Firefox öffnet ständig von selbst neue Seiten....

#1 Hallo,
Firefox öffnet ständig von selbst neue Seiten, hoffe mir kann jemand helfen.
Ich habe ein Logfile erstellt und hoffe es hilft weiter.

Vielen Dank

Liebe Grüße

Vigo



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:38:46, on 29.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\slmdmsr.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\drivers\STDSB.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\ZSSnp211.exe
C:\WINDOWS\Domino.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\APPS\SMP\SmpSys.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\SYSTEM32\DGL\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\DGL\SERVICES.EXE
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Hijack This\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll (file missing)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\system32\drivers\STDSB.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [ZSSnp211] C:\WINDOWS\ZSSnp211.exe
O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SM_IAN] C:\Programme\AdvancedCleaner Free\ian_monitor.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [SystemKbs] C:\WINDOWS\SYSTEM32\DGL\SVCHOST.EXE
O4 - HKLM\..\Policies\Explorer\Run: [application] C:\WINDOWS\Ich\ACSPMonitor\ASMonitor.exe hs
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://download-spiele.de.pogo.com/online2/pogo/zuma/popcaploader_v10_de.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slmdmsr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9488 bytes

#2 Hallo VigoX

Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\SYSTEM32\DGL\SVCHOST.EXE

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

------------------------------------------

«
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

«
wende rvaxo im abgesicherten Modus (oder im normalmodus) an + poste dann den report hier
http://virus-protect.org/artikel/tools/rvaxo.html

«
scannen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina, habe gerade die Malware laufen lassen und folgendes Ergebniss:


Werde jetzt

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 797

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 112769
Scan Dauer: 47 minute(s), 29 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{e4e3e0f8-cd30-4380-8ce9-b96904bdefca} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fe8a736f-4124-4d9c-b4b1-3b12381efabe} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c9c5deaf-0a1f-4660-8279-9edfad6fefe1} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\popcaploader.popcaploaderctrl2.1 (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{014da6c9-189f-421a-88cd-07cfe51cff10} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\AdvancedCleaner Free (Rogue.Advanced.Cleaner) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{c49dd894-c6de-4910-8c41-ba20f852d8bc} (Adware.IE.Toolbar) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Downloaded Program Files\popcaploader.dll (Adware.PopCap) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\acrsecB.fon (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\acrsecI.fon (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.





Hier :


MD5: 1dd34692ad99a1313163f09ef896b20e
First received: 2007.11.08 15:13:26 (CET)
Datum 2008.02.24 18:38:25 (CET) [>94D]
Ergebnisse 17/32
Permalink: analisis/d231f0b862649020fc538982d9940a05

#4 o.k. arbeite also alles weitere ab (siehe oben) + poste die reporte
(von virustotal brauche ich den kompletten report, also alles abkopieren)
Ergebnisse 17/32 .... reicht nicht
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Problem ist immer noch da...

habe die Temporären Dateien gelöscht...


hier: Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - Win-Trojan/Keylogger.32768.H
AntiVir - - -
Authentium - - -
Avast - - Win32:Trojan-gen {VC}
AVG - - Potentially harmful program Logger.BNO
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - Spyware.Gen
eTrust-Vet - - -
Ewido - - Not-A-Virus.Monitor.Win32.KeyLogger.p
F-Prot - - W32/Monitor.AID
F-Secure - - W32/KeyLogger.UZ
FileAdvisor - - High threat detected
Fortinet - - Keylog/KeyLogger
Ikarus - - not-a-virus:Monitor.Win32.Keylogger.p
Kaspersky - - not-a-virus:Monitor.Win32.KeyLogger.p
McAfee - - Generic PWS.y
Microsoft - - -
NOD32v2 - - -
Norman - - W32/KeyLogger.UZ
Panda - - Application/DouglasKeylogger
Prevx1 - - Heuristic: Suspicious Self Modifying File
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - Spyware.DoglaKeylogger
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Riskware.KeyLogger.P.1
weitere Informationen
MD5: 1dd34692ad99a1313163f09ef896b20e
SHA1: a748df11d833eedff3201f3ea38cb4b97f597174
SHA256: 70bbfbff91d6411c18c1f53ee1a6a1e50526bac4d3e50bb5750bf1c3a08ad20a
SHA512: bd29d7c56a02a565c7a2165b267478f838f6ca16569df6491bf8d4371d58733c70f9ca4fd01f7c796149dfde2d221705d3004a2cd1e9b503c8d6c45b63153a0f





und hier:


---RVAXO.exe Updated: 2008-05-27---first run---
Uninstallers:

Files found:
C:\WINDOWS\wininit.ini
C:\WINDOWS\smdat32m.sys
C:\WINDOWS\smdat32a.sys
C:\Dokumente und Einstellungen\Daniel\Local Settings\Temp\ose00000.exe
C:\Dokumente und Einstellungen\Daniel\Local Settings\Temp\ose00001.exe

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------

#6 «
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 ComboFix 08-05-28.4 - Daniel 2008-05-29 12:02:12.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Daniel\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\jbmtzovujz.dat
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\jbmtzovujz.exe
c:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\jbmtzovujz_nav.dat
c:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\jbmtzovujz_navps.dat
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\Programme\Mozilla Firefox\plugins\NPNd2fn.dll
C:\WINDOWS\system32\drivers\Icon.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-29 ))))))))))))))))))))))))))))))
.

2008-05-29 11:51 . 2008-05-29 12:08 <DIR> d-------- C:\RVAXO
2008-05-29 11:34 . 2008-05-29 11:34 <DIR> d-------- C:\Dokumente und Einstellungen\Daniel\WINDOWS
2008-05-29 11:32 . 2008-05-28 23:34 828,816 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-05-29 11:32 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-05-29 11:30 . 2008-05-29 11:30 <DIR> d-------- C:\Programme\ZipCentral
2008-05-29 11:08 . 2008-05-29 11:08 <DIR> d-------- C:\Programme\CCleaner
2008-05-29 10:09 . 2008-05-29 10:09 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-29 10:09 . 2008-05-29 10:09 <DIR> d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Malwarebytes
2008-05-29 10:09 . 2008-05-29 10:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-29 10:09 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-29 10:09 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-29 09:32 . 2008-05-29 09:38 <DIR> d-------- C:\Programme\Hijack This
2008-05-23 22:31 . 2008-05-23 22:32 <DIR> d-------- C:\Programme\Apple Software Update
2008-04-29 11:29 . 2008-04-29 11:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-29 10:11 34,639,904 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-29 10:08 9,106,601 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-05-29 10:07 406,892 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-27 18:55 --------- d-----w C:\Programme\ICQToolbar
2008-05-25 19:17 --------- d-----w C:\Programme\Google
2008-05-25 19:01 --------- d-----w C:\Programme\Zylom Games
2008-05-25 19:00 --------- d-----w C:\Programme\Windows Live Toolbar
2008-05-25 18:59 --------- d-----w C:\Programme\VideoLAN
2008-05-25 18:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-05-25 18:53 --------- d-----w C:\Programme\Promotionbasis PromoBar
2008-05-25 18:52 --------- d-----w C:\Programme\Mozilla Firefox 3 Beta 3
2008-05-23 20:33 --------- d-----w C:\Programme\Safari
2008-05-18 18:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-08 18:41 --------- d-----w C:\Programme\Picasa2
2008-04-29 10:02 2,350,592 ----a-w C:\WINDOWS\Internet Logs\xDB17.tmp
2008-04-29 10:02 2,251,776 ----a-w C:\WINDOWS\Internet Logs\xDB18.tmp
2008-04-29 09:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-04-29 09:28 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-04-29 09:28 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2008-04-25 09:00 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Canon
2008-04-18 22:34 2,833,920 ----a-w C:\WINDOWS\Internet Logs\xDB15.tmp
2008-04-18 22:34 2,232,832 ----a-w C:\WINDOWS\Internet Logs\xDB16.tmp
2008-04-15 20:23 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\iolo
2008-04-15 20:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iolo
2008-04-15 16:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-04-10 20:18 2,774,016 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp
2008-04-09 21:35 --------- d-----w C:\Programme\Stundenplan
2008-04-06 09:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-04-06 09:10 321,024 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp
2008-04-06 09:10 2,191,872 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp
2008-04-06 08:17 --------- d-----w C:\Programme\Elaborate Bytes
2008-04-05 21:29 72,704 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp
2008-04-05 21:29 2,187,776 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp
2008-04-05 21:12 731,136 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2008-04-05 21:12 2,187,264 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2008-04-04 09:20 2,183,168 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2008-04-04 09:20 1,147,904 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2008-04-02 20:37 2,391,040 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2008-03-30 10:10 3,124,224 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2008-03-30 10:10 2,170,880 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2008-03-29 10:57 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Apple Computer
2008-03-28 21:01 --------- d-----w C:\Programme\QuickTime
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 621,344 ------w C:\WINDOWS\system32\dllcache\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\dllcache\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-14 22:24 93,128 ----a-w C:\WINDOWS\system32\ElbyCDIO.dll
2008-03-01 16:24 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2008-03-01 12:54 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2008-03-01 12:54 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2008-03-01 12:54 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-03-01 12:54 233,472 ----a-w C:\WINDOWS\system32\dllcache\webcheck.dll
2008-03-01 12:54 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2008-03-01 12:54 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll
2008-03-01 12:54 102,912 ----a-w C:\WINDOWS\system32\dllcache\occache.dll
2008-03-01 12:54 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-02-29 08:55 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-02-29 08:54 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-02-27 14:55 593,920 ----a-w C:\Programme\RipIt4Me.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="C:\APPS\SMP\SmpSys.exe" [2005-11-17 09:51 975360]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2007-04-15 17:14 208946]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]
"Magentic"="C:\PROGRA~1\Magentic\bin\Magentic.exe" [2007-04-11 15:39 462892]
"SystemKbs"="C:\WINDOWS\SYSTEM32\DGL\SVCHOST.EXE" [2007-04-28 20:24 32768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 14:00 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 14:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 14:00 455168]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-03-10 18:44 98394]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-03-10 18:43 688218]
"VTTimer"="VTTimer.exe" [2005-03-08 03:33 53248 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-09-14 13:47 167936 C:\WINDOWS\system32\VTTrayp.exe]
"STDSB"="C:\WINDOWS\system32\drivers\STDSB.exe" [2003-12-17 16:50 28672]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 18:39 90112 C:\WINDOWS\SOUNDMAN.EXE]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"ZSSnp211"="C:\WINDOWS\ZSSnp211.exe" [2006-07-14 17:24 49152]
"Domino"="C:\WINDOWS\Domino.exe" [2006-07-04 15:16 49152]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 22:09 262401]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-09-06 16:14 919016]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 21:27 312320]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-29 11:28 185896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2008-02-26 03:23 443968]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H2O]
--a------ 2005-05-11 02:46 200069 C:\Programme\SyncroSoft\Pos\H2O\cledx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2006-04-13 11:09 49152 C:\Programme\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 13:55 5674352 C:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--a------ 2005-05-11 13:48 127118 c:\Apps\Powercinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2005-12-07 22:57 30208 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SweetIM]
C:\Programme\Macrogaming\SweetIM\SweetIM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AOL ACS"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"=
"%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"C:\\Programme\\Magentic\\bin\\MgImp.exe"=
"C:\\Programme\\Magentic\\bin\\Magentic.exe"=
"C:\\Programme\\Magentic\\bin\\MgApp.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\APPS\\skype\\phone\\Skype.exe"=

R2 MTC0007_STDSB;Scroll Bar Driver;C:\WINDOWS\system32\drivers\STDSB.sys [2005-08-25 15:00]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 20:08]
S2 STDSB;STDSB;C:\WINDOWS\system32\DRIVERS\STDSB.sys [2005-08-25 15:00]

.
Inhalt des "geplante Tasks" Ordners
"2008-05-23 20:32:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-05-29 09:30:00 C:\WINDOWS\Tasks\Erweiterte Garantie.job"
- C:\APPS\SMP\PBCARNOT.EXE
"2006-10-04 21:20:45 C:\WINDOWS\Tasks\HDReg.job"
- c:\Apps\HDReg\HDRegRem.exe
"2008-05-29 09:30:00 C:\WINDOWS\Tasks\Meinen PC einrichten.job"
- C:\Apps\SMP\PCSETUP.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-29 12:09:06
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\SYSTEM32\DGL\HelperKbs.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\APPS\HIDSERVICE\HidService.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\slmdmsr.exe
C:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\DGL\SERVICES.EXE
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\PROGRA~1\INCRED~1\bin\ImApp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-29 12:14:50 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-29 10:14:41

18 Verzeichnis(se), 5,027,041,280 Bytes frei
28 Verzeichnis(se), 5,130,895,360 Bytes frei

227 --- E O F --- 2008-05-28 21:37:37

#8 Hallo,

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SystemKbs"=-

Folder::
C:\WINDOWS\SYSTEM32\DGL

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

-----------------------------------------------------------

2.
wende Option 1 und danach Option 2 von navilog an +
poste hier beide reporte
http://virus-protect.org/artikel/tools/navilog.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 ComboFix 08-05-28.4 - Daniel 2008-05-29 12:33:18.2 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Daniel\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-29 ))))))))))))))))))))))))))))))
.

2008-05-29 11:51 . 2008-05-29 12:08 <DIR> d-------- C:\RVAXO
2008-05-29 11:34 . 2008-05-29 11:34 <DIR> d-------- C:\Dokumente und Einstellungen\Daniel\WINDOWS
2008-05-29 11:32 . 2008-05-28 23:34 828,816 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-05-29 11:32 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-05-29 11:30 . 2008-05-29 11:30 <DIR> d-------- C:\Programme\ZipCentral
2008-05-29 11:08 . 2008-05-29 11:08 <DIR> d-------- C:\Programme\CCleaner
2008-05-29 10:09 . 2008-05-29 10:09 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-29 10:09 . 2008-05-29 10:09 <DIR> d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Malwarebytes
2008-05-29 10:09 . 2008-05-29 10:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-29 10:09 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-29 10:09 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-29 09:32 . 2008-05-29 09:38 <DIR> d-------- C:\Programme\Hijack This
2008-05-23 22:31 . 2008-05-23 22:32 <DIR> d-------- C:\Programme\Apple Software Update
2008-04-29 11:29 . 2008-04-29 11:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-29 10:38 34,666,528 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-29 10:24 407,084 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-29 10:17 --------- d-----w C:\Programme\ICQToolbar
2008-05-29 10:08 9,106,601 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-05-25 19:17 --------- d-----w C:\Programme\Google
2008-05-25 19:01 --------- d-----w C:\Programme\Zylom Games
2008-05-25 19:00 --------- d-----w C:\Programme\Windows Live Toolbar
2008-05-25 18:59 --------- d-----w C:\Programme\VideoLAN
2008-05-25 18:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-05-25 18:53 --------- d-----w C:\Programme\Promotionbasis PromoBar
2008-05-25 18:52 --------- d-----w C:\Programme\Mozilla Firefox 3 Beta 3
2008-05-23 20:33 --------- d-----w C:\Programme\Safari
2008-05-18 18:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-08 18:41 --------- d-----w C:\Programme\Picasa2
2008-04-29 10:02 2,350,592 ----a-w C:\WINDOWS\Internet Logs\xDB17.tmp
2008-04-29 10:02 2,251,776 ----a-w C:\WINDOWS\Internet Logs\xDB18.tmp
2008-04-29 09:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-04-29 09:28 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-04-29 09:28 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2008-04-25 09:00 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Canon
2008-04-18 22:34 2,833,920 ----a-w C:\WINDOWS\Internet Logs\xDB15.tmp
2008-04-18 22:34 2,232,832 ----a-w C:\WINDOWS\Internet Logs\xDB16.tmp
2008-04-15 20:23 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\iolo
2008-04-15 20:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\iolo
2008-04-15 16:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-04-10 20:18 2,774,016 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp
2008-04-09 21:35 --------- d-----w C:\Programme\Stundenplan
2008-04-06 09:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2008-04-06 09:10 321,024 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp
2008-04-06 09:10 2,191,872 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp
2008-04-06 08:17 --------- d-----w C:\Programme\Elaborate Bytes
2008-04-05 21:29 72,704 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp
2008-04-05 21:29 2,187,776 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp
2008-04-05 21:12 731,136 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2008-04-05 21:12 2,187,264 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2008-04-04 09:20 2,183,168 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2008-04-04 09:20 1,147,904 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2008-04-02 20:37 2,391,040 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2008-03-30 10:10 3,124,224 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2008-03-30 10:10 2,170,880 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2008-03-29 10:57 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Apple Computer
2008-03-28 21:01 --------- d-----w C:\Programme\QuickTime
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 621,344 ------w C:\WINDOWS\system32\dllcache\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\dllcache\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys
2008-03-14 22:24 93,128 ----a-w C:\WINDOWS\system32\ElbyCDIO.dll
2008-03-01 16:24 3,591,680 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2008-03-01 12:54 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2008-03-01 12:54 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2008-03-01 12:54 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-03-01 12:54 233,472 ----a-w C:\WINDOWS\system32\dllcache\webcheck.dll
2008-03-01 12:54 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2008-03-01 12:54 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll
2008-03-01 12:54 102,912 ----a-w C:\WINDOWS\system32\dllcache\occache.dll
2008-03-01 12:54 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2008-02-29 08:55 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-02-29 08:54 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-02-27 14:55 593,920 ----a-w C:\Programme\RipIt4Me.exe
.

((((((((((((((((((((((((((((( snapshot@2008-05-29_12.14.16.76 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-29 10:08:13 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-29 10:25:15 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="C:\APPS\SMP\SmpSys.exe" [2005-11-17 09:51 975360]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2007-04-15 17:14 208946]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [ ]
"Magentic"="C:\PROGRA~1\Magentic\bin\Magentic.exe" [2007-04-11 15:39 462892]
"SystemKbs"="C:\WINDOWS\SYSTEM32\DGL\SVCHOST.EXE" [2007-04-28 20:24 32768]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 14:00 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 14:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 14:00 455168]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-03-10 18:44 98394]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-03-10 18:43 688218]
"VTTimer"="VTTimer.exe" [2005-03-08 03:33 53248 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-09-14 13:47 167936 C:\WINDOWS\system32\VTTrayp.exe]
"STDSB"="C:\WINDOWS\system32\drivers\STDSB.exe" [2003-12-17 16:50 28672]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 18:39 90112 C:\WINDOWS\SOUNDMAN.EXE]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"ZSSnp211"="C:\WINDOWS\ZSSnp211.exe" [2006-07-14 17:24 49152]
"Domino"="C:\WINDOWS\Domino.exe" [2006-07-04 15:16 49152]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 22:09 262401]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-09-06 16:14 919016]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 21:27 312320]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-29 11:28 185896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2008-02-26 03:23 443968]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H2O]
--a------ 2005-05-11 02:46 200069 C:\Programme\SyncroSoft\Pos\H2O\cledx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2006-04-13 11:09 49152 C:\Programme\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 13:55 5674352 C:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--a------ 2005-05-11 13:48 127118 c:\Apps\Powercinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2005-12-07 22:57 30208 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SweetIM]
C:\Programme\Macrogaming\SweetIM\SweetIM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AOL ACS"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"=
"%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"C:\\Programme\\Magentic\\bin\\MgImp.exe"=
"C:\\Programme\\Magentic\\bin\\Magentic.exe"=
"C:\\Programme\\Magentic\\bin\\MgApp.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\APPS\\skype\\phone\\Skype.exe"=

R2 MTC0007_STDSB;Scroll Bar Driver;C:\WINDOWS\system32\drivers\STDSB.sys [2005-08-25 15:00]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 20:08]
S2 STDSB;STDSB;C:\WINDOWS\system32\DRIVERS\STDSB.sys [2005-08-25 15:00]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-05-23 20:32:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-05-29 09:30:00 C:\WINDOWS\Tasks\Erweiterte Garantie.job"
- C:\APPS\SMP\PBCARNOT.EXE
"2006-10-04 21:20:45 C:\WINDOWS\Tasks\HDReg.job"
- c:\Apps\HDReg\HDRegRem.exe
"2008-05-29 09:30:00 C:\WINDOWS\Tasks\Meinen PC einrichten.job"
- C:\Apps\SMP\PCSETUP.EXE
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-29 12:37:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\SYSTEM32\DGL\HelperKbs.dll
.
Zeit der Fertigstellung: 2008-05-29 12:41:18
ComboFix-quarantined-files.txt 2008-05-29 10:41:06
ComboFix2.txt 2008-05-29 10:14:53

18 Verzeichnis(se), 5,135,069,184 Bytes frei
27 Verzeichnis(se), 5,112,528,896 Bytes frei



Ich glaube das Problem ist gelöst.

Ganz ganz lieben Dank dafür!!!

Liebe Grüße Daniel. (-:

#10 VigoX

«
du hast das script nicht richtig estellt und der Keylogger ist immer noch da
"SystemKbs
weisst du, dass du einen Keylogger auf dem Rechner hast ? - C:\WINDOWS\SYSTEM32\DGL

«
wende Option 1 und danach Option 2 von navilog an +
poste hier beide reporte
http://virus-protect.org/artikel/tools/navilog.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 hallöle allerseits, mir ist das gleiche passiert, selbständiger Seitenaufbau im Firefox

Abhilfe ist mir gelungen mit der kostenfreien Spybot - Search & Destroy Software.

Vorgehensweise: Nach der Installation > Überprüfen anklicken und geduldig warten ! Nach der Prüfung eventuelle erkannte Fehler entfernen anklicken,

danach den Rechner NEU starten: Es erschien bei mir der Hinweis:
In der Registrierungsdatenbank ist ein unberechtigter Eintrag: > > jeuzat

n i c h t s anklicken und das Fenster stehen lassen.

Jetzt unten links Start anklicken, dann auf Ausführen, im geöffneten Fenster in der Zeile > > > msconfig eingeben und OK klicken.

Es erscheint das Fenster Systemkonfigurationsprogramm, dort im Menue auf
Systemstart klicken und dieses Kästchen, bei mir war es jeuzat, mit scrollen nach unten suchen und das Häkchen entfernen !

Jetzt unten im Fenster auf Übernehmen klicken und den Rechner NEU Starten.

Nach dem Neustart erscheint ein Fenster das eine Änderung vorgenommen wurde.

Beim Kästchen einen Haken setzen sodaß dieser Hinweis beim nächsten Neustart nicht mehr erscheint.

Das war es bei mir, alles wieder okay und man ist mal wieder eine Sorge los.

Viel Erfolg und Gruß vom Wombat-66

#12 wombat-66

Zitat

Registrierungsdatenbank ist ein unberechtigter Eintrag: > > jeuzat

das reicht meiner Meinung nach nicht aus, besser noch mal mit navilog drüberbügeln... Option 1 und 2
http://virus-protect.org/artikel/tools/navilog.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 hei Sabina, vielen Dank für deine Meinunng, aber

bis dato sind auf meinem Rechner keine weiteren selbsständigen Seitenaufbauten zu verzeichnen !

MfG der Wombat