AntiVirus 2008 Pro

#0
27.05.2008, 21:20
Member

Beiträge: 27
#1 hab irgenwie nen Virus drauf...fragt mich nicht woher!!

mein BACKGROUND WURDE GEÄNDERT USW..

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:19: VIRUS ALERT!, on 27.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\BitDefender\BitDefender 2008\bdagent.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\explorer.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Winamp\Winamp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\BitDefender\BitDefender 2008\seccenter.exe
C:\WINDOWS\system32\DllHost.exe
C:\Programme\BitDefender\BitDefender 2008\uiscan.exe
C:\DOKUME~1\KeViN\LOKALE~1\Tempboome20.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\BitDefender 2008\IEToolbar.dll
O3 - Toolbar: atfxqogp - {736569A1-1F42-4ECD-A4E5-2B05341D41FF} - C:\WINDOWS\atfxqogp.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [44c6c128] rundll32.exe "C:\WINDOWS\system32\wkkhrwfu.dll",b
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\RunOnce: [WindowBlinds] C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbconfig.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143566418375
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O21 - SSODL: vltdfabw - {37E86350-0FD2-4D55-9BFF-0D7B61BE54D7} - C:\WINDOWS\vltdfabw.dll
O21 - SSODL: vregfwlx - {C84B6B6C-C23E-4006-AD29-B2C838D04F3C} - C:\WINDOWS\vregfwlx.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 9273 bytes


helft mir!
Seitenanfang Seitenende
27.05.2008, 22:01
Member

Beiträge: 19
#2 mit hijackthis fixen :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O3 - Toolbar: atfxqogp - {736569A1-1F42-4ECD-A4E5-2B05341D41FF} - C:\WINDOWS\atfxqogp.dll (wenn bekannt so lassen ansonsten fixen)
O4 - HKLM\..\Run: [44c6c128] rundll32.exe "C:\WINDOWS\system32\wkkhrwfu.dll",b(wenn bekannt so lassen ansonsten fixen)
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O21 - SSODL: vltdfabw - {37E86350-0FD2-4D55-9BFF-0D7B61BE54D7} - C:\WINDOWS\vltdfabw.dll (wenn bekannt so lassen ansonsten fixen)
O21 - SSODL: vregfwlx - {C84B6B6C-C23E-4006-AD29-B2C838D04F3C} - C:\WINDOWS\vregfwlx.dll (wenn bekannt so lassen ansonsten fixen)
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
Seitenanfang Seitenende
27.05.2008, 22:12
Member

Themenstarter

Beiträge: 27
#3 ich kann einige nicht löschen weil die rregistry vom administrator deaktiviert wurde..
ooo man ;)
Seitenanfang Seitenende
27.05.2008, 23:03
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.windowsxlive.net
O3 - Toolbar: atfxqogp - {736569A1-1F42-4ECD-A4E5-2B05341D41FF} - C:\WINDOWS\atfxqogp.dll
O4 - HKLM\..\Run: [44c6c128] rundll32.exe "C:\WINDOWS\system32\wkkhrwfu.dll",b
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O21 - SSODL: vltdfabw - {37E86350-0FD2-4D55-9BFF-0D7B61BE54D7} - C:\WINDOWS\vltdfabw.dll
O21 - SSODL: vregfwlx - {C84B6B6C-C23E-4006-AD29-B2C838D04F3C} - C:\WINDOWS\vregfwlx.dll
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Rechner neu Starten

Benutze CrapCleaner
http://virus-protect.org/CCleaner.html

Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”> "Komplett Scan durchfuehren" .
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Nehme als Update Spiegel >>It-mate.co.uk

ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !

Und ein log von Hijack This
__________
MfG Argus
Seitenanfang Seitenende
28.05.2008, 20:24
Member

Themenstarter

Beiträge: 27
#5 Malwarebytes' Anti-Malware 1.12
Datenbank Version: 794

Scan Art: Komplett Scan (C:\|D:\|F:\|G:\|)
Objekte gescannt: 74185
Scan Dauer: 55 minute(s), 17 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\jkkKeeFX.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6a0a3933-4e2f-4239-b553-64e4b7c8c26f} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{6a0a3933-4e2f-4239-b553-64e4b7c8c26f} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\Interface\{79a70aee-f5f1-4045-ba47-79a4a84d0d9e} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{7d8ca158-cbb3-45d8-ac11-3bf48547c6a5} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{6f82e55c-e6eb-4782-8211-83dbb3bf3645} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{0f1574a7-9e7c-440c-b2f1-8fe978cf9754} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{7557f13b-f203-4ffd-9d28-c4821cbfb482} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{b1e22eb8-2ae8-4e8e-96ae-74f2a1764533} (Adware.WebDir) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\jkkkeefx -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\jkkKeeFX.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\XFeeKkkj.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\XFeeKkkj.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mgrjiquu.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uuqijrgm.ini (Trojan.Vundo) -> Quarantined and deleted successfully.


ComboFix 08-05-27.4 - KeViN 2008-05-28 19:51:43.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.169 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\KeViN\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\KeViN\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk
C:\Dokumente und Einstellungen\KeViN\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\KeViN\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\KeViN\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\KeViN\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\KeViN\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\KeViN\Favoriten\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\KeViN\Startmenü\Programme\Antivirus 2008 PRO
C:\Dokumente und Einstellungen\KeViN\Startmenü\Programme\Antivirus 2008 PRO\antivirus-2008pro.lnk
C:\Programme\Antivirus 2008 PRO
C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe
C:\Programme\Antivirus 2008 PRO\vscan.tsi
C:\Programme\Antivirus 2008 PRO\zlib.dll
C:\WINDOWS\atfxqogp.dll
C:\WINDOWS\boqnrwdmmfv.dll
C:\WINDOWS\egao.exe
C:\WINDOWS\privacy_danger
C:\WINDOWS\privacy_danger\images\capt.gif
C:\WINDOWS\privacy_danger\images\danger.jpg
C:\WINDOWS\privacy_danger\images\down.gif
C:\WINDOWS\privacy_danger\images\spacer.gif
C:\WINDOWS\privacy_danger\index.htm
C:\WINDOWS\system32\fccdddby.dll
C:\WINDOWS\system32\inst.dat
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\ufwrhkkw.ini
C:\WINDOWS\system32\vtUmLFxU.dll
C:\WINDOWS\system32\vtUOiJCT.dll
C:\WINDOWS\system32\ybdddccf.ini
C:\WINDOWS\system32\ybdddccf.ini2
C:\WINDOWS\vltdfabw.dll
C:\WINDOWS\vregfwlx.dll
C:\WINDOWS\xmpstean.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-28 ))))))))))))))))))))))))))))))
.

2008-05-28 18:44 . 2008-05-28 18:44 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-28 18:44 . 2008-05-28 18:44 <DIR> d-------- C:\Dokumente und Einstellungen\KeViN\Anwendungsdaten\Malwarebytes
2008-05-28 18:44 . 2008-05-28 18:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-28 18:44 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-28 18:44 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-27 21:33 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-05-27 21:33 . 2008-05-27 21:33 2,602 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-27 21:32 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-05-27 21:32 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-05-27 21:32 . 2008-05-27 13:54 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-05-27 21:32 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-05-27 21:32 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-05-27 21:32 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-05-27 21:32 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-05-27 21:18 . 2008-05-27 21:18 <DIR> d-------- C:\Programme\Trend Micro
2008-05-27 21:15 . 2008-05-27 21:30 <DIR> d-------- C:\Dokumente und Einstellungen\KeViN\Anwendungsdaten\TmpRecentIcons
2008-05-27 20:44 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-05-27 20:39 . 2008-05-27 20:39 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-27 20:39 . 2008-05-27 20:39 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-27 20:20 . 2008-05-27 20:20 <DIR> d-------- C:\Programme\uTorrent
2008-05-27 20:20 . 2008-05-27 21:08 <DIR> d-------- C:\Dokumente und Einstellungen\KeViN\Anwendungsdaten\uTorrent
2008-05-27 19:14 . 2008-05-27 19:14 <DIR> d-------- C:\Programme\Stardock
2008-05-25 20:34 . 2008-05-25 20:34 <DIR> d-------- C:\Programme\Mp3tag
2008-05-25 20:34 . 2008-05-25 20:36 <DIR> d-------- C:\Dokumente und Einstellungen\KeViN\Anwendungsdaten\Mp3tag
2008-05-25 12:39 . 2008-05-25 12:39 <DIR> d-------- C:\Programme\SystemRequirementsLab
2008-05-18 13:50 . 2008-05-18 13:50 <DIR> d-------- C:\Programme\Audacity
2008-05-17 20:31 . 2008-05-19 20:53 <DIR> d-------- C:\Dokumente und Einstellungen\KeViN\Incomplete
2008-05-16 21:20 . 2008-05-20 22:26 <DIR> d-------- C:\Temp
2008-05-06 12:45 . 2008-05-06 12:45 <DIR> d-------- C:\Dokumente und Einstellungen\FaMiLy\Anwendungsdaten\BitDefender
2008-05-04 21:21 . 2008-05-05 17:24 <DIR> d-------- C:\Programme\Prime95
2008-05-04 19:25 . 2008-05-04 19:25 <DIR> d-------- C:\Programme\Creative
2008-05-04 19:25 . 2003-03-05 12:19 15,840 --------- C:\WINDOWS\system32\drivers\PFMODNT.SYS
2008-05-04 16:39 . 2008-05-04 16:39 <DIR> d-------- C:\Deckard
2008-05-04 09:16 . 2008-05-28 20:03 121 --a------ C:\WINDOWS\bdagent.INI
2008-05-04 00:25 . 2008-05-04 00:25 <DIR> d-------- C:\Dokumente und Einstellungen\KeViN\Anwendungsdaten\BitDefender
2008-05-04 00:25 . 2008-05-28 20:00 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2008-05-04 00:23 . 2008-05-04 00:23 <DIR> d-------- C:\Programme\BitDefender
2008-05-04 00:23 . 2008-05-04 09:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender
2008-05-04 00:21 . 2008-05-04 00:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BitDefender
2008-05-01 12:35 . 2008-05-01 12:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-04-28 17:41 . 2008-05-21 21:22 <DIR> d-------- C:\Programme\StuffPlug3

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-27 18:51 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-27 18:11 --------- d-----w C:\Programme\QuickTime
2008-05-27 18:10 --------- d-----w C:\Programme\Zattoo
2008-05-25 17:03 --------- d-----w C:\Programme\Steam
2008-05-21 19:37 --------- d-----w C:\Programme\LimeWire
2008-05-21 19:35 --------- d-----w C:\Programme\Cool Beans NFO Creator
2008-05-21 19:22 --------- d-----w C:\Programme\Windows Media Connect 2
2008-05-21 19:22 --------- d-----w C:\Programme\Winamp Remote
2008-05-21 19:22 --------- d-----w C:\Programme\WinAMP
2008-05-21 19:22 --------- d-----w C:\Programme\MAGIX Online Druck Service
2008-05-21 19:22 --------- d-----w C:\Programme\FrostWire
2008-05-21 19:22 --------- d-----w C:\Programme\DivX
2008-05-16 17:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-16 16:59 --------- d-----w C:\Programme\TVUPlayer
2008-05-15 21:17 --------- d-----w C:\Programme\Gemeinsame Dateien\Stardock
2008-05-15 20:57 --------- d-----w C:\Programme\Windows Live
2008-05-15 20:56 --------- d-----w C:\Programme\Opera
2008-05-15 18:53 --------- d-----w C:\Dokumente und Einstellungen\KeViN\Anwendungsdaten\AdobeUM
2008-05-06 10:44 --------- d-----w C:\Programme\Google
2008-05-05 16:32 --------- d-----w C:\Programme\Image-Line
2008-05-05 16:32 --------- d-----w C:\Programme\HLSW
2008-05-05 16:31 --------- d-----w C:\Programme\Java
2008-05-04 00:38 --------- d-----w C:\Programme\NPSSoftware_WhenUSaveNow_Installer
2008-05-02 10:38 --------- d-----w C:\Programme\Kaspersky Lab
2008-05-02 10:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-05-01 10:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-24 19:38 --------- d-----w C:\Programme\Picasa2
2008-04-19 15:29 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AdobeUM
2008-04-19 09:19 --------- d-----w C:\Programme\Windows Desktop Search
2008-04-18 22:26 --------- d-----w C:\Programme\Windows Live Toolbar
2008-04-18 22:22 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-04-18 22:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-04-15 19:54 --------- d-----w C:\Programme\Nokia
2008-04-15 19:53 --------- d-----w C:\Programme\MSXML 6.0
2008-04-15 19:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Nokia
2008-04-15 19:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-04-14 16:05 --------- d-----w C:\Dokumente und Einstellungen\KeViN\Anwendungsdaten\FrostWire
2008-04-13 09:08 --------- d-s---w C:\Programme\Xfire
2008-04-12 17:01 --------- d-----w C:\Programme\ICQ6
2008-04-12 16:49 --------- d-----w C:\Dokumente und Einstellungen\KeViN\Anwendungsdaten\Xfire
2008-04-11 18:08 --------- d-----w C:\Dokumente und Einstellungen\FaMiLy\Anwendungsdaten\Nokia
2008-04-10 20:02 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-04-10 20:02 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-04-10 19:37 --------- d-----w C:\Programme\Gemeinsame Dateien\PCSuite
2008-04-10 19:35 --------- d-----w C:\Programme\PC Connectivity Solution
2008-04-08 19:30 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-04-07 10:45 --------- d-----w C:\Dokumente und Einstellungen\FaMiLy\Anwendungsdaten\Talkback
2008-04-06 15:38 --------- d-----w C:\Programme\CleanUp!
2008-04-05 11:05 --------- d-----w C:\Programme\Microsoft.NET
2008-04-03 20:45 --------- d-----w C:\Dokumente und Einstellungen\KeViN\Anwendungsdaten\U3
2008-04-03 17:22 --------- d-----w C:\Dokumente und Einstellungen\KeViN\Anwendungsdaten\WinSplit
2008-03-30 18:58 --------- d-----w C:\Programme\SopCast
2008-03-30 17:29 --------- d-----w C:\Programme\Logitech
2008-03-30 10:11 --------- d-----w C:\Programme\PartyGaming
2008-03-29 21:49 --------- d-----w C:\Programme\Messenger Plus! Live
2008-03-29 16:33 --------- d-----w C:\Programme\Lavasoft
2007-12-13 20:50 60,808 ----a-w C:\Dokumente und Einstellungen\KeViN\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-02-02 11:29 1,568 ----a-w C:\Dokumente und Einstellungen\KeViN\Anwendungsdaten\mpauth.dat
2006-08-15 12:55 30,615 ----a-w C:\Dokumente und Einstellungen\KeViN\x.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"PC Suite Tray"="C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" [2008-03-28 11:20 1079296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 09:58 110592 C:\WINDOWS\system32\bthprops.cpl]
"nwiz"="nwiz.exe" [2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2004-10-14 14:42 1404928]
"LVCOMS"="C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE" [2002-12-10 17:54 127022]
"BitDefender Antiphishing Helper"="C:\Programme\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 15:46 61440]
"BDAgent"="C:\Programme\BitDefender\BitDefender 2008\bdagent.exe" [2008-02-16 17:45 360448]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-06-10 13:19 185896]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-22 12:22 86016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2008-03-26 18:41 1232896]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= file:///C:\WINDOWS\privacy_danger\index.htm
FriendlyName= Privacy Protection

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonuiX.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog
"PC Suite Tray"="C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"LogitechGalleryRepair"=C:\Programme\Logitech\ImageStudio\ISStart.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"LogitechImageStudioTray"=C:\Programme\Logitech\ImageStudio\LogiTray.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\Xfire\\Xfire.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\mIRC\\backup\\mirc.exe"=
"C:\\Programme\\SopCast\\SopCast.exe"=
"C:\\Dokumente und Einstellungen\\KeViN\\Anwendungsdaten\\SopCast\\adv\\SopAdver.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo2.exe"=
"C:\\Programme\\Java\\jre1.5.0_11\\bin\\javaw.exe"=
"C:\\Programme\\Steam\\SteamApps\\_skyl1n3\\counter-strike source\\hl2.exe"=
"C:\\Programme\\Steam\\SteamApps\\_skyl1n3\\day of defeat source\\hl2.exe"=
"C:\\Programme\\Steam\\SteamApps\\_skyl1n3\\half-life 2 deathmatch\\hl2.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\SFT Loader\\leecher.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\totalcmd\\TOTALCMD.EXE"=
"C:\\Programme\\Sports Interactive\\Football Manager 2008\\fm.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Programme\\Joost\\xulrunner\\tvprunner.exe"=
"C:\\Programme\\FrostWire\\FrostWire.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys [2008-01-25 15:40]
S0 MFX;MFX;C:\WINDOWS\system32\drivers\MFX.sys [2006-12-09 12:05]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;C:\Programme\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-18 01:00]
S3 pccsmcfd;PCCS Mode Change Filter Driver;C:\WINDOWS\system32\DRIVERS\pccsmcfd.sys [2007-09-17 15:53]
S3 RivaTuner;RivaTuner;C:\Programme\RivaTuner\RivaTuner.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-02-16 20:29]
S3 upperdev;upperdev;C:\WINDOWS\system32\DRIVERS\usbser_lowerflt.sys [2007-11-29 10:39]
S3 UsbserFilt;UsbserFilt;C:\WINDOWS\system32\DRIVERS\usbser_lowerfltj.sys [2007-11-29 10:39]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{65255170-fe2b-11da-81ff-0007e9581b55}]
\Shell\AutoRun\command - J:\setup.exe /autorun
\Shell\directx\command - J:\DirectX\dxsetup.exe
\Shell\setup\command - J:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7539cddf-fdd3-11da-81fb-0007e9581b55}]
\Shell\AutoRun\command - J:\setup.exe /autorun
\Shell\directx\command - J:\DirectX\dxsetup.exe
\Shell\setup\command - J:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb97dfb9-5960-11dc-9b3b-0007e9581b55}]
\Shell\AutoRun\command - K:\LaunchU3.exe -a

.
Inhalt des "geplante Tasks" Ordners
"2008-02-29 16:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClick.exe
"2008-05-18 12:51:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-28 20:06:00
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\x___x
C:\WINDOWS\system32\drivers\MFX.sys 20780 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\C:\Programme\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-28 20:23:23 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-28 18:23:09

11 Verzeichnis(se), 11,295,670,272 Bytes frei
14 Verzeichnis(se), 11,712,528,384 Bytes frei

288 --- E O F --- 2008-05-25 15:59:55


so das wärs!!
Seitenanfang Seitenende
28.05.2008, 20:30
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Ich vermisse noch ein log ;)
__________
MfG Argus
Seitenanfang Seitenende
28.05.2008, 20:31
Member

Themenstarter

Beiträge: 27
#7 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:31: VIRUS ALERT!, on 28.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\BitDefender\BitDefender 2008\bdagent.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\BitDefender 2008\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\BitDefender 2008\bdagent.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143566418375
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Unknown owner - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe (file missing)
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\BitDefender 2008\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 8114 bytes
Seitenanfang Seitenende
28.05.2008, 20:57
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Fixe noch mit Hijack This
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Arbeite das mal ab
http://board.protecus.de/t33739.htm

Smitfraudfix
http://virus-protect.org/artikel/tools/smitfrautfix.html
Download Smitfraudfix by S!Ri zum Desktop

Starte dein Recher in
abgesicherten Modus

Doppelklick Smitfraudfix.exe.
Wähle die 2 und drücke auf Enter um die infizierten Dateien zu löschen

Du wirst dann gefragt: Do you want to clean the registry? antworte mit Y (ja) und drücke auf Enter, um das DesktopBild zu entfernen und die Registry Schlüssel der Infektion zu bereinigen.

Das Programm wird nun überprüfen, ob die wininet.dll infiziert ist. Man wird möglicherweise gefragt, die infizierte Datei entfernen zu lassen (wenn sie gefunden wird): Replace infected file ? antworte Y (ja) und drücke auf Enter, um eine saubere Datei zu bekommen.
die Taskleiste verschwindet + Bildschirm..alles wird blau werden...warte...

Wenn dein rechner nicht automatisch selbst neu startet,starte dan selbst neu in normal Modus
Kopiere den Inhalt des Berichts in diesen Thread (C:\rapport.txt )
__________
MfG Argus
Seitenanfang Seitenende
28.05.2008, 21:10
Member

Themenstarter

Beiträge: 27
#9 SmitFraudFix v2.323

Scan done at 21:04:30.29, 28.05.2008
Run from C:\Dokumente und Einstellungen\KeViN\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Intel(R) PRO/100 VE Network Connection - BitDefender Firewall NDIS Filter Miniport
DNS Server Search Order: 62.2.17.61
DNS Server Search Order: 62.2.24.158
DNS Server Search Order: 62.2.17.60
DNS Server Search Order: 62.2.24.162

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7FE83CF5-C173-4E1F-BB8A-0F48E19318AF}: DhcpNameServer=62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7FE83CF5-C173-4E1F-BB8A-0F48E19318AF}: DhcpNameServer=62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162
HKLM\SYSTEM\CS3\Services\Tcpip\..\{7FE83CF5-C173-4E1F-BB8A-0F48E19318AF}: DhcpNameServer=62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=62.2.17.61 62.2.24.158 62.2.17.60 62.2.24.162


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



ICH KANN DIE CMD NICHT ÖFFNEN MIT START - AUSFÜHREN

WEIL DAS AUSFÜHREN DA NICHT STETH.. DESWEITEREN FEHLT ARBEITSPLATZ USW..
Seitenanfang Seitenende
28.05.2008, 21:23
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Download VArestorepolicies zum Desktop
Entpacke es,rechtsklick auf VArestorepolicies.inf und klicke Installieren

Starte dein Rechner neu

Download productid_fix zum Desktop
Doppelklick auf productid_fix
Ein logfile wird sich oeffnen
Kopiere den Inhalt des Berichts in diesen Thread

Und versuche http://board.protecus.de/t33739.htm nochmal
__________
MfG Argus
Seitenanfang Seitenende
28.05.2008, 21:50
Member

Themenstarter

Beiträge: 27
#11 ich kann das program VArestorepolicies nicht findne!
Seitenanfang Seitenende
28.05.2008, 22:19
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 Download VArestorepolicies zum Desktop
Entpacke es,rechtsklick auf VArestorepolicies.inf und klicke Installieren
__________
MfG Argus
Seitenanfang Seitenende
28.05.2008, 22:26
Member

Themenstarter

Beiträge: 27
#13 da kommt "not necessary" im editor bei productid_fix!


den rest hab ich gemacht!
Seitenanfang Seitenende
28.05.2008, 22:36
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#14 Dan ist ja alles gut gegangen,oder?
__________
MfG Argus
Seitenanfang Seitenende
28.05.2008, 22:38
Member

Themenstarter

Beiträge: 27
#15 so wie's aussieht, ja!


danke dir viel viel mal!


kann ich mich irgendwie revanchieren? :p
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: