Home » Spyware & Browser Hijacker Support Forum » "Virus Alert" rechts unten neben der Uhr » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1 2

Antworten

"Virus Alert" rechts unten neben der Uhr

Thema ist geschlossen!

29.05.2008, 17:08

oskar17

...neu hier

Beiträge: 2

#1 tachen tachen :-) Virus alert steht unten neben der Uhr und ich kriege das nicht weg!!!! Außerdem wird mein Laufwerk(C) mein einziges nicht angezeigt. Kann mir jemand helfen? mfg oskar

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:06: VIRUS ALERT!, on 29.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\PC Tools AntiVirus\PCTAV.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Evil Player\Evil_Player.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\QIP\qip.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: QXK Olive - {11B771F0-C8FD-426A-B537-F9AAE4059895} - C:\WINDOWS\boqnrwdmkrs.dll
O2 - BHO: QXK Olive - {3C635E4B-AD24-4560-8219-86C85CFBF389} - C:\WINDOWS\boqnrwdmerq.dll
O2 - BHO: QXK Olive - {72976A08-625C-41C1-AD59-780F96CC2473} - C:\WINDOWS\nldfmtappdm.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: gktxaspm - {0983040A-984F-4BEF-BEBE-D3D3342D3954} - (no file)
O3 - Toolbar: atfxqogp - {636F6360-35BA-4603-B7B8-847380EAAC76} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMax] "C:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [PCTAVApp] "C:\Programme\PC Tools AntiVirus\PCTAV.exe" /MONITORSCAN
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [CleanUp XP] C:\Programme\CleanUp XP\CleanUp.exe -h
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{68A3DFD5-E33E-48B6-868F-3C4346F30ABB}: NameServer = 89.27.130.34 89.27.130.33
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: iifExWOe - iifExWOe.dll (file missing)
O21 - SSODL: vltdfabw - {7D2A91D6-ECD0-4D77-9323-CA0335ECD156} - C:\WINDOWS\vltdfabw.dll
O21 - SSODL: vregfwlx - {267D5822-54C8-4324-B36F-4877AC088625} - C:\WINDOWS\vregfwlx.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PC Tools AntiVirus Engine (PCTAVSvc) - PC Tools Research Pty Ltd - C:\Programme\PC Tools AntiVirus\PCTAVSvc.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 7722 bytes

29.05.2008, 17:37

Swisstreasure

Moderator

Beiträge: 5694

#2 Hallo oskar17

>>
lösche mit cleaner die temp-Dateien
http://www.ccleaner.de/?protecus.de

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor dem genannten Eintrag bei

Zitat

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

O2 - BHO: QXK Olive - {11B771F0-C8FD-426A-B537-F9AAE4059895} - C:\WINDOWS\boqnrwdmkrs.dll

O2 - BHO: QXK Olive - {3C635E4B-AD24-4560-8219-86C85CFBF389} - C:\WINDOWS\boqnrwdmerq.dll

O2 - BHO: QXK Olive - {72976A08-625C-41C1-AD59-780F96CC2473} - C:\WINDOWS\nldfmtappdm.dll

O3 - Toolbar: gktxaspm - {0983040A-984F-4BEF-BEBE-D3D3342D3954} - (no file)

O3 - Toolbar: atfxqogp - {636F6360-35BA-4603-B7B8-847380EAAC76} - (no file)

O4 - HKLM\..\Run: [CleanUp XP] C:\Programme\CleanUp XP\CleanUp.exe -h

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O20 - Winlogon Notify: iifExWOe - iifExWOe.dll (file missing)

O21 - SSODL: vltdfabw - {7D2A91D6-ECD0-4D77-9323-CA0335ECD156} - C:\WINDOWS\vltdfabw.dll

O21 - SSODL: vregfwlx - {267D5822-54C8-4324-B36F-4877AC088625} - C:\WINDOWS\vregfwlx.dll

und wähle fix checked. + starte den Rechner neu.

««
arbeite rvaxo ab + poste den report
http://virus-protect.org/artikel/tools/rvaxo.html

««
arbeite fixwareout ab und poste nach neustart den report
http://virus-protect.org/artikel/tools/fixwareout.html

>>
scanne mit Malwarebytes- lasse alles entfernen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
lade combofix, klicke die Warnmeldung weg, lasse scannen + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html

Gruss Swiss

29.05.2008, 18:17

Sabina

Ehrenmitglied

Beiträge: 29434

#3 oskar17

entfernen von:
Scan saved at 17:06: VIRUS ALERT!, on 29.05.2008

wenn das erledigt ist, arbeite das hier ab + berichte
http://board.protecus.de/t33739.htm

wenn du was nicht verstehst in der anleitung...frag

__________
MfG Sabina

rund um die PC-Sicherheit

29.05.2008, 18:58

oskar17

...neu hier

Themenstarter

Beiträge: 2

#4 no.1
Malwarebytes' Anti-Malware 1.12
Datenbank Version: 799

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 86783
Scan Dauer: 26 minute(s), 18 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 16

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\gktxaspm.bvwm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\gktxaspm.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0983040a-984f-4bef-bebe-d3d3342d3954} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{392d96eb-4548-4f7d-b204-e0ed139c88a2} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{cd36f5bd-425f-4e81-99b9-bd527f658277} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{1e742aba-eca7-454c-8037-395f4c916876} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\atfxqogp.blfx (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Programme\Trend Micro\HijackThis\backups\backup-20080529-180109-467.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\Trend Micro\HijackThis\backups\backup-20080529-180109-474.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\gnowmebk.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\vadokmxt.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\wdpoefan.dll.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP57\A0036716.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP57\A0036726.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP83\A0048153.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP83\A0048160.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP84\A0051372.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP84\A0051373.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP85\A0052507.DLL (Adware.MyWebSearch) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP85\A0052510.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP86\A0052555.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP86\A0052556.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{7FD0DCBA-3DC6-4EDC-8B3F-2F58FCF2DDFD}\RP86\A0052557.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

no.2
ComboFix 08-05-28.8 - Matzat 2008-05-29 18:13:34.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.667 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Matzat\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\MyWebSearch
C:\WINDOWS\gnowmebk.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mouvbxhe.ini
C:\WINDOWS\system32\NCTTAudioFile.dll
C:\WINDOWS\system32\PVDLkUvw.ini
C:\WINDOWS\system32\PVDLkUvw.ini2
C:\WINDOWS\system32\SYJSDcfe.ini
C:\WINDOWS\system32\SYJSDcfe.ini2
C:\WINDOWS\vadokmxt.dll
C:\WINDOWS\vltdfabw.dll
C:\WINDOWS\vregfwlx.dll
C:\WINDOWS\wdpoefan.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-29 ))))))))))))))))))))))))))))))
.

2008-05-29 17:48 . 2008-05-29 17:48 <DIR> d-------- C:\Programme\CCleaner
2008-05-29 17:05 . 2008-05-29 17:05 <DIR> d-------- C:\Programme\Trend Micro
2008-05-29 16:50 . 2008-05-29 18:17 <DIR> d-------- C:\Programme\CleanUp XP
2008-05-29 16:50 . 2003-12-14 17:47 692,224 --a------ C:\WINDOWS\system32\ciaResSvr20.dll
2008-05-28 15:01 . 2008-05-28 11:46 94,208 --a------ C:\WINDOWS\eesg.exe
2008-05-27 20:05 . 2008-05-27 20:05 <DIR> d--h----- C:\WINDOWS\Icons
2008-05-26 21:45 . 2008-05-26 15:23 94,208 --a------ C:\WINDOWS\edma.exe
2008-05-25 08:57 . 2008-05-25 08:57 <DIR> d-------- C:\Programme\MSXML 4.0
2008-05-24 10:01 . 2008-05-29 18:17 <DIR> d-------- C:\Programme\PC Tools AntiVirus
2008-05-24 10:01 . 2008-05-24 10:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PC Tools
2008-05-24 10:01 . 2008-05-24 10:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools
2008-05-24 10:01 . 2006-11-24 10:19 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll
2008-05-24 10:01 . 2006-11-24 10:19 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll
2008-05-24 10:01 . 2007-12-06 15:51 28,568 --a------ C:\WINDOWS\system32\drivers\AVHook.sys
2008-05-24 10:01 . 2007-12-06 15:51 21,912 --a------ C:\WINDOWS\system32\drivers\AVRec.sys
2008-05-24 10:01 . 2008-02-12 10:44 21,904 --a------ C:\WINDOWS\system32\drivers\AVFilter.sys
2008-05-24 09:45 . 2008-05-24 14:40 <DIR> d-------- C:\Programme\Spyware Doctor
2008-05-24 09:45 . 2008-05-24 10:03 <DIR> d-------- C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\PC Tools
2008-05-24 09:45 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-05-24 09:45 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-05-24 09:45 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-05-24 09:45 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-05-24 09:37 . 2008-05-24 09:38 <DIR> d-------- C:\WINDOWS\DED53B0BB67C4244AE6AD6FD3C28D1EF.TMP
2008-05-24 09:06 . 2008-05-28 15:01 <DIR> d-------- C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\TmpRecentIcons
2008-05-23 19:20 . 2008-05-23 19:20 <DIR> d-------- C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\AVS4YOU
2008-05-23 19:20 . 2008-05-23 19:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AVS4YOU
2008-05-23 19:19 . 2008-05-24 09:10 <DIR> d-------- C:\Programme\Gemeinsame Dateien\AVSMedia
2008-05-23 19:19 . 2008-05-24 09:10 <DIR> d-------- C:\Programme\AVS4YOU
2008-05-23 19:19 . 2007-10-25 11:20 974,848 --a------ C:\WINDOWS\system32\mfc70.dll
2008-05-23 16:22 . 2008-05-23 16:22 <DIR> d-------- C:\Programme\NeroInstall.bak
2008-05-23 16:22 . 2008-05-29 17:52 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-05-23 16:21 . 2008-05-23 16:21 <DIR> d-------- C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\Nero
2008-05-23 16:19 . 2008-05-23 16:19 <DIR> d-------- C:\Programme\Nero
2008-05-23 16:19 . 2008-05-23 16:20 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-05-23 16:19 . 2008-05-23 16:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-05-23 14:50 . 2008-05-23 19:16 <DIR> d-------- C:\Programme\Movie Splitter
2008-05-23 13:19 . 2008-05-23 14:22 <DIR> d-------- C:\Programme\Agogo AVI MPEG WMV RM MOV Converter
2008-05-22 18:04 . 2008-05-22 18:04 <DIR> d-------- C:\Programme\Passware
2008-05-22 17:58 . 2008-05-22 17:58 <DIR> d-------- C:\Programme\Intelore
2008-05-16 20:25 . 2008-05-16 20:25 118 --a------ C:\WINDOWS\system32\MRT.INI
2008-05-15 14:24 . 2008-05-15 14:25 <DIR> d-------- C:\Programme\MTA San Andreas
2008-05-06 13:51 . 2008-05-06 13:53 <DIR> d-------- C:\Savage
2008-05-06 11:09 . 2008-05-06 11:09 <DIR> d-------- C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\InstallShield
2008-05-05 21:08 . 2008-05-05 21:39 <DIR> d-------- C:\Programme\Wolfenstein - Enemy Territory
2008-05-05 15:52 . 2008-05-05 15:52 <DIR> d-------- C:\Programme\Hamachi
2008-05-05 15:52 . 2008-05-29 18:17 <DIR> d-------- C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\Hamachi
2008-05-05 15:52 . 2008-05-05 15:52 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-05-05 15:24 . 2008-05-05 18:58 <DIR> d-------- C:\Programme\PANZERS - Phase1
2008-04-29 13:09 . 2008-04-29 13:09 34 --a------ C:\WINDOWS\cdplayer.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-29 16:18 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-05-29 16:06 --------- d-----w C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\skypePM
2008-05-29 16:05 --------- d-----w C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\Skype
2008-05-29 13:55 --------- d-----w C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\teamspeak2
2008-05-29 12:08 23,352 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-05-29 12:07 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-05-27 13:40 --------- d-----w C:\Programme\Steam
2008-05-27 11:32 --------- d-----w C:\Programme\Evil Player
2008-05-24 07:26 --------- d-----w C:\Programme\WarRock
2008-05-24 07:26 --------- d-----w C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\LimeWire
2008-05-15 11:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-15 11:26 --------- d-----w C:\Programme\Rockstar Games
2008-05-13 12:38 --------- d-----w C:\Programme\Windows Media Connect 2
2008-05-06 09:11 --------- d-----w C:\Programme\OpenArena
2008-05-06 09:08 --------- d-----w C:\Programme\Valve
2008-04-24 15:10 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-04-24 15:08 --------- d-----w C:\Programme\Skype
2008-04-24 15:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-04-24 15:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-04-24 11:58 --------- d-----w C:\Programme\Avira
2008-04-24 11:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-04-24 11:51 --------- d-----w C:\Programme\Teamspeak2_RC2
2008-04-23 15:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-04-23 15:01 --------- d-----w C:\Programme\Lavasoft
2008-04-23 15:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-04-22 16:34 --------- d-----w C:\Programme\VirtualDJ
2008-04-17 10:07 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-04-17 10:07 --------- d--h--r C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\SecuROM
2008-04-17 09:52 --------- d-----w C:\Programme\Ubisoft
2008-04-17 09:51 --------- d-----w C:\Programme\DAEMON Tools Lite
2008-04-17 09:48 --------- d-----w C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\DAEMON Tools
2008-04-17 09:45 717,296 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-04-17 09:18 --------- d-----w C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\OpenArena
2008-04-17 08:49 --------- d-----w C:\Programme\Serious Sam 2
2008-04-16 19:58 --------- d-----w C:\Programme\BurnIn
2008-04-16 19:23 --------- d-----w C:\Programme\Flagship Studios
2008-04-16 18:42 --------- d-----w C:\Programme\GetData
2008-04-16 10:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-04-14 10:04 --------- d-----w C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\Winamp
2008-04-09 19:26 --------- d--h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-04-09 19:25 --------- d--h--w C:\Programme\CanonBJ
2008-04-09 18:51 --------- d-----w C:\Dokumente und Einstellungen\Matzat\Anwendungsdaten\WEBDE
2008-04-04 11:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
2008-04-04 10:49 --------- d-----w C:\Programme\Eidos
2008-04-01 15:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-04-01 15:20 --------- d-----w C:\Programme\Microsoft.NET
2008-04-01 15:20 --------- d-----w C:\Programme\Microsoft Visual Studio 8
2008-04-01 15:12 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-04-01 15:12 290,816 ------w C:\WINDOWS\Setup1.exe
2008-04-01 15:12 --------- d-----w C:\Programme\visual sub
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-05 16:43 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-04-01 11:39 486856]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-06 18:37 21898024]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2008-02-28 17:07 1828136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 17:28 790528]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-02-28 09:59 570664]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 16:29 2221352]
"PCTAVApp"="C:\Programme\PC Tools AntiVirus\PCTAV.exe" [2008-03-05 09:37 1238928]
"CleanUp XP"="C:\Programme\CleanUp XP\CleanUp.exe" [2005-06-08 17:01 1859584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"Steam"="c:\programme\steam\steam.exe" -silent
"Octoshape Streaming Services"="C:\Programme\Octoshape Streaming Services\Matzat\OctoshapeClient.exe" -inv:bootrun

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" -minimize
"TV Card Remote Control Device Monitor"=C:\WINDOWS\713xRMT.exe
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\QIP\\qip.exe"=
"C:\\Programme\\Steam\\steamapps\\stevennus\\counter-strike source\\hl2.exe"=
"C:\\Programme\\Steam\\steamapps\\stevennus\\half-life\\hl.exe"=
"C:\\Programme\\Steam\\steamapps\\stevennus\\counter-strike\\hl.exe"=
"C:\\Programme\\Octoshape Streaming Services\\Matzat\\OctoshapeClient.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Programme\\Serious Sam 2\\Bin\\Sam2.exe"=
"C:\\Programme\\Serious Sam 2\\Bin\\DedicatedServer.exe"=
"C:\\Programme\\Flagship Studios\\Hellgate London\\Launcher.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Hamachi\\hamachi.exe"=
"C:\\Programme\\PANZERS - Phase1\\Run\\Panzers.exe"=
"C:\\Programme\\Wolfenstein - Enemy Territory\\ET.exe"=
"C:\\Savage\\silverback.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
R3 3xHybrid;SAA713x TV Card Service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2007-12-28 13:00]
S3 GetDataMip;GetDataMip;C:\Programme\GetData\Mount Image Pro v2\mip32.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\Shell\AutoRun\command - H:\Setup.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-05-29 14:29:18 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-29 18:17:25
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\PC Tools AntiVirus\PCTAVSvc.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-29 18:19:41 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-29 16:19:36

13 Verzeichnis(se), 75,010,527,232 Bytes frei
15 Verzeichnis(se), 76,356,898,816 Bytes frei

227 --- E O F --- 2008-05-28 20:26:30
am ende habe ich noch mal Malwarebytes' Anti-Malware,Spyware Doctor und Avira anti Vir durchlaufen lassen...Alles sauber und keine funde:-)
Ein großes danke schön ♥♥♥ mfg oskar

29.05.2008, 21:05

valho

...neu hier

Beiträge: 8

#5 ich habe das selbe problem wie oskar17!!! außerdem krieg ich auch noch in regelmäßigen abständen pop-ups von "spyware alert"!! soll ich einfach genau das gleiche machen was ihm empfohlen wurde oder....??

würd mich sehr über hilfe freuen!!!!! mfg valho

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:15: VIRUS ALERT!, on 29.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\FRITZ!DSL\IGDCTRL.EXE
F:\Tobit ClipInc\Server\ClipInc-Server.exe
F:\Tobit ClipInc\Server\ClipInc-Server.exe
F:\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\Rundll32.exe
D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
C:\WINDOWS\system32\ctfmona.exe
C:\WINDOWS\system32\rundll32.exe
D:\TuneUp Utilities 2008\MemOptimizer.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\SLEE81.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
D:\Virtual CD v9\System\VC9SecS.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ABC\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: atfxqogp - {9FE5B166-BC73-48F4-8696-A66ADB1485AE} - C:\WINDOWS\atfxqogp.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTAPR2] "C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" /r
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [SPIRun] Rundll32 SPIRun.dll,RunDLLEntry
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [amd_dc_opt] D:\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [CTCheck] D:\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe
O4 - HKLM\..\Run: [ec406b6d] rundll32.exe "C:\WINDOWS\system32\tbmlilxh.dll",b
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "D:\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SAFE7] "D:\Steganos Safe 7\SAFE7.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SAFE7] "D:\Steganos Safe 7\SAFE7.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SAFE7] "D:\Steganos Safe 7\SAFE7.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SAFE7] "D:\Steganos Safe 7\SAFE7.exe" -firstboot (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\Microsoft Office\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Microsoft Office\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188142337890
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1188142310437
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15034/CTPID.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Microsoft Office\Office12\GrooveSystemServices.dll
O21 - SSODL: vregfwlx - {F9851CBA-A554-45EF-B7EA-D343C67546DF} - C:\WINDOWS\vregfwlx.dll
O21 - SSODL: vltdfabw - {D55CD866-071D-4F16-AB65-001FB9AD89DA} - C:\WINDOWS\vltdfabw.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - F:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - F:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - F:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - D:\Virtual CD v9\System\VC9SecS.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 7887 bytes

Dieser Beitrag wurde am 29.05.2008 um 22:18 Uhr von valho editiert.

29.05.2008, 22:32

Miss

Member

Beiträge: 11

#6 Bei mehreren Lösungsvorschägen habe ich diesen Satz mehrmals schon gelesen "starte Hijack This...."

Was ist das? Kann mir jemand weiterhelfen..................

29.05.2008, 23:11

Argus

Ehrenmitglied

Beiträge: 6028

#7 @Miss
Hijack This
http://sicher-ins-netz.info/analyse/hjt.html
__________
MfG Argus

30.05.2008, 01:07

Sabina

Ehrenmitglied

Beiträge: 29434

#8 oskar17

1.
Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\ciaResSvr20.dll

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren

-------------------------------------------------------
2.
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\WINDOWS\eesg.exe
C:\WINDOWS\edma.exe

Klicke auf den Roten MoveIt!

3.
Start - Ausführen - Kopiere rein: Combofix /U

- klicke "OK"
__________
MfG Sabina

rund um die PC-Sicherheit

30.05.2008, 01:11

Sabina

Ehrenmitglied

Beiträge: 29434

#9 Hallo valho

wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe

O4 - HKLM\..\Run: [ec406b6d] rundll32.exe "C:\WINDOWS\system32\tbmlilxh.dll",b

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O21 - SSODL: vregfwlx - {F9851CBA-A554-45EF-B7EA-D343C67546DF} - C:\WINDOWS\vregfwlx.dll

O21 - SSODL: vltdfabw - {D55CD866-071D-4F16-AB65-001FB9AD89DA} - C:\WINDOWS\vltdfabw.dll

O24 - Desktop Component 0: Privacy Protection - f///C:\WINDOWS\privacy_danger\index.htm

««
wende smitfraudfix Option 2 an
http://virus-protect.org/artikel/tools/smitfrautfix.html

«
wende rvaxo im abgesicherten Modus (oder im normalmodus) an + poste dann den report hier
http://virus-protect.org/artikel/tools/rvaxo.html

«
scannen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html

----------------------------------------------------------

wenn dann alles sauber ist, (nach dem log von Combofix werde ich noch ein script erstellen)
arbeite das ab:
http://board.protecus.de/t33739.htm
__________
MfG Sabina

rund um die PC-Sicherheit

30.05.2008, 16:41

valho

...neu hier

Beiträge: 8

#10 windows lässt sich im abgesicherten modus nicht richtig starten!! ich soll im abgesicherten modus ein passwort für meinen account eingeben, hab aber keins eingerichtet, kann also auch kein korrektes eingeben....

ich hab smitfraudfix dann einfach im ungesicherten modus ausgeführt... hoffe ma es geht trotzdem!!

hier der RVAXO report, und vielen dank schonmal!!! :

---RVAXO.exe Updated: 2008-05-29---first run---
Uninstallers:

Files found:
C:\WINDOWS\system32\KRrssBeg.ini2
C:\WINDOWS\boqnrwdmwet.dll
C:\WINDOWS\xmpstean.exe
C:\WINDOWS\atfxqogp.dll
C:\WINDOWS\vregfwlx.dll
C:\WINDOWS\vltdfabw.dll
C:\WINDOWS\wininit.ini
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\ctfmona.exe
C:\WINDOWS\system32\ctfmonb.bmp
C:\WINDOWS\system32\blackster.scr
C:\WINDOWS\system32\mcrh.tmp
C:\Dokumente und Einstellungen\Valentin\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Valentin\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Valentin\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Valentin\FAVORI~1\Error Cleaner.url
C:\Dokumente und Einstellungen\Valentin\FAVORI~1\Privacy Protector.url
C:\Dokumente und Einstellungen\Valentin\FAVORI~1\Spyware&Malware Protection.url

Folders Found:

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------
Not deleted items:

--------------RVAXO.exe finished----------------

30.05.2008, 16:46

Sabina

Ehrenmitglied

Beiträge: 29434

#11 Hallo valho

«
scannen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

31.05.2008, 13:45

valho

...neu hier

Beiträge: 8

#12 super!!! der virus scheint weg zu sein!!!
vielen, vielen dank für die Hilfe!!!

hier noch die reports:

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 799

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|)
Objekte gescannt: 137512
Scan Dauer: 39 minute(s), 58 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 2
Infizierte Registrierungsschlüssel: 19
Infizierte Registrierungswerte: 5
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 30

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\geBssrRK.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\vtUooMfE.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8362b264-0191-42ca-87d0-84b240cca05c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{8362b264-0191-42ca-87d0-84b240cca05c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{0f8b0aa8-9d77-4231-91c8-368195e82551} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{28f85800-2969-4966-8894-eda174875e71} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{1e80400b-dcba-4564-bc54-8c2004030da9} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{ae6aeecd-04fa-4d6f-8ee2-006a1a5bdf49} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{cf7db8b4-3332-4307-a252-01ae5ffdc5f4} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{96134abb-ad7c-4135-a927-329b735d524f} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{96134abb-ad7c-4135-a927-329b735d524f} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vtuoomfe (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\atfxqogp.bakq (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\atfxqogp.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{96134abb-ad7c-4135-a927-329b735d524f} (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\General\Wallpaper (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\OriginalWallpaper (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\ConvertedWallpaper (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\gebssrrk -> Delete on reboot.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\gebssrrk -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ebhwutog.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\gotuwhbe.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ekxjnfta.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\atfnjxke.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\geBssrRK.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\KRrssBeg.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\KRrssBeg.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0003950.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0003957.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0004002.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0004013.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0004024.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0005024.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0005041.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0005062.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0005064.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0005065.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0005066.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0005067.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1ECB9BA0-1920-44B5-9AF5-FBA439D4833D}\RP5\A0005068.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\esva.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vtUooMfE.dll (Trojan.Vundo) -> Delete on reboot.
C:\Dokumente und Einstellungen\Georgina\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Georgina\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Georgina\Desktop\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Georgina\Desktop\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Georgina\Desktop\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Georgina\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Georgina\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Georgina\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.

ComboFix 08-05-29.1 - Valentin 2008-05-31 13:31:54.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1609 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Valentin\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\hxlilmbt.ini
C:\WINDOWS\system32\KRrssBeg.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-31 ))))))))))))))))))))))))))))))
.

2008-05-30 16:35 . 2008-05-30 16:35 <DIR> d-------- C:\RVAXO
2008-05-30 16:35 . 2007-07-04 20:32 16,384 --a------ C:\WINDOWS\system32\Restart.exe
2008-05-30 16:18 . 2008-05-30 16:33 2,256 --a------ C:\WINDOWS\system32\tmp.reg
2008-05-29 23:16 . 2008-05-29 23:16 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-29 23:16 . 2008-05-29 23:16 <DIR> d-------- C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\Malwarebytes
2008-05-29 23:16 . 2008-05-29 23:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-29 23:16 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-29 23:16 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-29 23:03 . 2008-05-29 23:10 <DIR> d-------- C:\fixwareout
2008-05-29 22:57 . 2008-05-29 21:30 828,824 --a------ C:\WINDOWS\system32\RVAXO.bat
2008-05-29 22:57 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-05-29 21:52 . 2008-05-30 16:03 <DIR> d-------- C:\Programme\ABC
2008-05-29 21:09 . 2008-05-29 21:09 <DIR> d-------- C:\Programme\Trend Micro
2008-05-29 14:06 . 2008-05-29 14:06 <DIR> d-------- C:\Dokumente und Einstellungen\Georgina\Anwendungsdaten\TmpRecentIcons
2008-05-25 00:43 . 2008-05-25 00:43 <DIR> d-------- C:\Dokumente und Einstellungen\Valentin\.mp3splt-gtk
2008-05-18 13:44 . 2008-05-18 15:37 4,096 --a------ C:\WINDOWS\system32\crash
2008-05-18 13:25 . 2008-05-18 13:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-05-18 13:21 . 2008-03-28 21:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-05-18 13:20 . 2008-05-18 13:20 <DIR> d-------- C:\ATI
2008-05-14 03:29 . 2008-05-14 03:29 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-05-12 00:54 . 2008-05-12 17:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Metacafe
2008-05-09 16:17 . 2008-05-09 16:28 9,520 --a------ C:\CTMeasureTiming.ini
2008-05-08 21:01 . 2001-08-17 22:43 24,576 --------- C:\WINDOWS\system32\msxml3a.dll
2008-05-06 21:23 . 2008-05-06 21:23 <DIR> d-------- C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\Ubisoft
2008-05-06 18:14 . 2008-05-06 18:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ubisoft
2008-05-06 18:14 . 2007-10-12 15:14 3,734,536 --a------ C:\WINDOWS\system32\d3dx9_36.dll
2008-05-06 18:14 . 2007-10-12 15:14 1,374,232 --a------ C:\WINDOWS\system32\D3DCompiler_36.dll
2008-05-06 18:14 . 2007-10-02 09:56 444,776 --a------ C:\WINDOWS\system32\d3dx10_36.dll
2008-05-06 18:14 . 2007-10-22 03:39 267,272 --a------ C:\WINDOWS\system32\xactengine2_10.dll
2008-05-06 18:14 . 2007-07-20 00:57 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll
2008-04-24 18:27 . 2008-04-24 18:27 <DIR> d-------- C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\Command & Conquer 3 Tiberium Wars
2008-04-24 17:31 . 2007-06-29 14:47 34,304 --a------ C:\WINDOWS\system32\drivers\AmdLLD.sys
2008-04-21 16:54 . 2008-04-21 17:09 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-29 19:39 --------- d-----w C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\OpenOffice.org2
2008-05-25 16:01 --------- d-----w C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\Hamachi
2008-05-25 15:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-25 14:05 --------- d-----w C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\Xfire
2008-05-25 14:03 --------- d-----w C:\Programme\Creative
2008-05-25 14:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Creative
2008-05-24 20:29 --------- d-----w C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\dvdcss
2008-05-18 11:22 --------- d-----w C:\Programme\ATI Technologies
2008-05-18 11:01 --------- d-----w C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\ATI
2008-05-18 10:58 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-10 18:56 --------- d-----w C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\Creative
2008-05-08 18:57 --------- d--h--w C:\Programme\Creative Installation Information
2008-04-28 13:16 1,541,896 ----a-w C:\WINDOWS\CISUnins.exe
2008-04-28 13:16 1,541,896 ----a-w C:\WINDOWS\CICUnins.exe
2008-04-21 16:08 22,584 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-03-29 06:21 2,873,856 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-03-29 03:18 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll
2007-12-06 15:47 22,328 ----a-w C:\Dokumente und Einstellungen\Valentin\Anwendungsdaten\PnkBstrK.sys
.

------- Sigcheck -------

2003-04-02 14:00 13312 e5ee2f4700b6a85f0d45a18c67da500f C:\WINDOWS\$NtServicePackUninstall$\ctfmon.exe
2007-11-24 22:50 23552 cab5f4d65d49c24faa4ef0351b3755a3 C:\WINDOWS\ServicePackFiles\i386\ctfmon.exe
2007-11-24 22:50 23552 cab5f4d65d49c24faa4ef0351b3755a3 C:\WINDOWS\system32\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{355D7733-76E2-4146-9BB2-C761006CE06B}]
C:\WINDOWS\boqnrwdmwet.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="D:\TuneUp Utilities 2008\MemOptimizer.exe" [2007-12-14 14:17 414976]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"CTAPR2"="C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" [2007-02-15 17:39 57344]
"VolPanel"="C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2007-02-28 18:50 180224]
"SPIRun"="SPIRun.dll" [2006-11-29 12:35 8704 C:\WINDOWS\system32\SPIRun.dll]
"avgnt"="D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-14 22:22 262401]
"amd_dc_opt"="D:\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2007-07-23 11:06 77824]
"CTCheck"="D:\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe" [2007-11-06 11:08 397312]
"QuickTime Task"="D:\QuickTime\qttask.exe" [2008-02-01 00:13 385024]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2007-11-24 22:50 23552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SAFE7"="D:\Steganos Safe 7\SAFE7.exe" [2005-05-02 17:10 274432]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"= 0 (0x0)
"SynchronousUserGroupPolicy"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm
"msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm
"VIDC.XFR1"= xfcodec.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Xfire\\xfire.exe"=
"D:\\ICQ6\\ICQ.exe"=
"D:\\Steam\\SteamApps\\battlefighter05\\counter-strike source\\hl2.exe"=
"D:\\FRITZ!DSL\\IGDCTRL.EXE"=
"E:\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"D:\\Steam\\Steam.exe"=
"F:\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
"C:\\Programme\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\FRITZ!DSL\\FBOXUPD.EXE"=
"E:\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"E:\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"D:\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"D:\\Microsoft Office\\Office12\\GROOVE.EXE"=
"D:\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"E:\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx9.exe"=
"E:\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Dx10.exe"=
"E:\\Ubisoft\\Assassin's Creed\\AssassinsCreed_Launcher.exe"=
"E:\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=

R0 xmasbus;xmasbus;C:\WINDOWS\system32\DRIVERS\xmasbus.sys [2003-12-21 17:24]
R0 xmasscsi;xmasscsi;C:\WINDOWS\system32\Drivers\xmasscsi.sys [2003-12-20 20:03]
R1 vdrv9000;vdrv9000;C:\WINDOWS\system32\DRIVERS\vdrv9000.sys [2007-01-23 11:48]
R2 ClipInc001;ClipInc 001;F:\Tobit ClipInc\Server\ClipInc-Server.exe 001 []
R2 ClipInc002;ClipInc 002;F:\Tobit ClipInc\Server\ClipInc-Server.exe 002 []
R2 ClipInc003;ClipInc 003;F:\Tobit ClipInc\Server\ClipInc-Server.exe 003 []
R2 SLEE_81_DRIVER;Steganos Live Encryption Engine 8.1 [Driver];C:\WINDOWS\system32\drivers\SLEE81.sys [2005-05-02 11:02]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
R2 VC9SecS;Virtual CD v9 Management Service;D:\Virtual CD v9\System\VC9SecS.exe [2007-04-12 15:33]
R3 t3;Sound Blaster X-Fi Xtreme Audio;C:\WINDOWS\system32\drivers\t3.sys [2007-03-29 10:24]
R3 t3filt;t3filt;C:\WINDOWS\system32\drivers\t3filt.sys [2007-02-20 16:01]
S3 HH9Help.sys;HH9Help.sys;C:\WINDOWS\system32\drivers\HH9Help.sys [2006-09-20 12:42]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2007-12-19 01:08]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2007-12-18 23:08:15 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- D:\TuneUp Utilities 2008\OneClick.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-31 13:39:05
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

folder error: C:\DOKUME~1\Valentin\LOKALE~1\Temp\

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\FRITZ!DSL\IGDCTRL.EXE
F:\Tobit ClipInc\Server\ClipInc-Server.exe
F:\Tobit ClipInc\Server\ClipInc-Server.exe
F:\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\slee81.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-31 13:40:50 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-31 11:40:47

9 Verzeichnis(se), 11,762,540,544 Bytes frei
11 Verzeichnis(se), 11,767,869,440 Bytes frei

187 --- E O F --- 2008-05-25 15:19:28

31.05.2008, 16:38

Sabina

Ehrenmitglied

Beiträge: 29434

#13 Hallo valho

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{355D7733-76E2-4146-9BB2-C761006CE06B}]

File::
C:\WINDOWS\boqnrwdmwet.dll

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden

2.
wende windowsscan an + poste den report
http://virus-protect.org/artikel/tools/windowsscan.html

3.
poste ein neues Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit

01.06.2008, 15:34

valho

...neu hier

Beiträge: 8

#14 Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

01.06.2008 system.ini 15 28:227
01.06.2008 WindowsUpdate.log 15 21:36.542
01.06.2008 bootstat.dat 15 21:2.048
30.05.2008 setupact.log 16 34:240
30.05.2008 setuperr.log 16 33:0
30.05.2008 ntbtlog.txt 16 28:397.790
25.05.2008 NeroDigital.ini 19 21:116
28.04.2008 CICUnins.exe 15 16:1.541.896
28.04.2008 CISUnins.exe 15 16:1.541.896
27.03.2008 CFSETUP.TXT 21 49:34.859
DSL, 27.03.2008 ModemLog_cFos 00 58:46.596
26.03.2008 win.ini 18 02:830
27.02.2008 game.ini 18 30:301
26.02.2008 wa.INI 18 19:83
12.02.2008 mozver.dat 19 47:1.653
06.02.2008 ativpsrm.bin 17 20:0
25.01.2008 BlendSettings.ini 19 00:23
21.01.2008 atiogl.xml 15 48:12.477
18.01.2008 ctfile.rfc 17 06:832
27.12.2007 PhotoSnapViewer.INI 12 08:151
24.11.2007 WORDPAD.INI 22 06:754
04.11.2007 Setup1.exe 16 56:249.856
04.11.2007 ST6UNST.EXE 16 56:73.216
02.10.2007 _detmp.1 12 18:72.706
17.09.2007 cdplayer.ini 19 43:34
10.09.2007 RSoftInfo.dat 16 59:40
28.08.2007 eSellerateEngine.dll 20 55:352.256

Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

01.06.2008 nmp.log 15 21:0
01.06.2008 wpa.dbl 15 02:13.646
30.05.2008 tmp.txt 16 33:0
30.05.2008 tmp.reg 16 33:2.256
29.05.2008 RVAXO.bat 21 30:828.824
29.05.2008 FNTCACHE.DAT 20 07:297.256
18.05.2008 crash 15 37:4.096
14.05.2008 xfcodec.dll 03 29:41.296
09.05.2008 MRT.exe 23 35:16.863.864
21.04.2008 PnkBstrB.exe 18 08:99.904
21.04.2008 perfc009.dat 17 27:60.932
21.04.2008 perfh009.dat 17 27:400.952
21.04.2008 perfh007.dat 17 27:415.458
21.04.2008 perfc007.dat 17 27:73.870
21.04.2008 PerfStringBackup.INI 17 27:916.856
29.03.2008 atioglx2.dll 07 19:9.801.728
29.03.2008 atiok3x2.dll 06 40:167.936
29.03.2008 ATIDEMGX.dll 06 05:372.736
29.03.2008 ati2dvag.dll 06 04:299.008
29.03.2008 atipdlxx.dll 05 56:172.032
29.03.2008 Oemdspif.dll 05 56:126.976
29.03.2008 Ati2mdxx.exe 05 55:26.112
29.03.2008 ati2edxx.dll 05 55:43.520
29.03.2008 ati2evxx.dll 05 55:126.976
29.03.2008 ati2evxx.exe 05 54:536.576
29.03.2008 ATIDDC.DLL 05 52:53.248
29.03.2008 ati3duag.dll 05 43:3.176.480
29.03.2008 atiiiexx.dll 05 39:307.200
29.03.2008 ativvaxx.dll 05 36:1.765.120
29.03.2008 ativva5x.dat 05 36:3.107.788
29.03.2008 ativva6x.dat 05 36:887.724
29.03.2008 ativvaxx.dat 05 36:3.107.788
29.03.2008 amdpcom32.dll 05 24:46.080
29.03.2008 atioglxx.dll 05 23:5.439.488
29.03.2008 atikvmag.dll 05 21:393.216
29.03.2008 atitvo32.dll 05 19:17.408
29.03.2008 ati2cqag.dll 05 12:520.192
28.03.2008 ati2sgag.exe 21 05:593.920
25.03.2008 mswstr10.dll 06 51:621.344
25.03.2008 msjint40.dll 06 51:187.168
25.03.2008 msxbde40.dll 06 50:355.104
25.03.2008 mswdat10.dll 06 50:838.432
25.03.2008 mstext40.dll 06 50:264.992
25.03.2008 msrepl40.dll 06 50:559.904
25.03.2008 msrd3x40.dll 06 50:322.336
25.03.2008 msrd2x40.dll 06 50:432.928
25.03.2008 mspbde40.dll 06 50:355.104

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

127.0.0.1 localhost

***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****

Microsoft Windows XP [Version 5.1.2600]

http://www.paules-pc-forum.de
***** Malware Team *****

***** Ende des Scans 01.06.2008 um 15:32:15,64 ***

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:33, on 01.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\FRITZ!DSL\IGDCTRL.EXE
F:\Tobit ClipInc\Server\ClipInc-Server.exe
F:\Tobit ClipInc\Server\ClipInc-Server.exe
F:\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\SLEE81.exe
D:\Virtual CD v9\System\VC9SecS.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\WINDOWS\system32\Rundll32.exe
D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
D:\TuneUp Utilities 2008\MemOptimizer.exe
C:\WINDOWS\explorer.exe
D:\MOZILL~1\FIREFOX.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTAPR2] "C:\Programme\Creative\Sound Blaster X-Fi\Console Launcher\CTAPR2.exe" /r
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [SPIRun] Rundll32 SPIRun.dll,RunDLLEntry
O4 - HKLM\..\Run: [avgnt] "D:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [amd_dc_opt] D:\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [CTCheck] D:\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "D:\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [SAFE7] "D:\Steganos Safe 7\SAFE7.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SAFE7] "D:\Steganos Safe 7\SAFE7.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [SAFE7] "D:\Steganos Safe 7\SAFE7.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [SAFE7] "D:\Steganos Safe 7\SAFE7.exe" -firstboot (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\Microsoft Office\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Microsoft Office\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Microsoft Office\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15034/CTPID.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - F:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - F:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - F:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE81.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Virtual CD v9 Management Service (VC9SecS) - H+H Software GmbH - D:\Virtual CD v9\System\VC9SecS.exe

--
End of file - 7309 bytes

01.06.2008, 16:57

Sabina

Ehrenmitglied

Beiträge: 29434

#15 Hallo valho

1.
ich finde nix mehr, es scheint alles wieder sauber.
schau, ob die Laufwerke wieder angezeigt werden.

2.
boote noch mal in den abgesicherten Modus, wenn du frage nach dem Passwort kommt, klicke einfach enter (weiter) und berichte, ob man auch ohne Eingabe eines Passworts in Windows kommt.

3.
es kann sein, dass die ProductID-Nummer von VIRUS ALERT" ausgelöscht wurde.
überprüfe das bitte.
http://virus-protect.org/artikel/spyware/virusalert-remove.html

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
ProductId
XXXX-XXX-XXXXXXX-XXXXX

(die X stehen für die 20 Nummern und Buchstaben)
-------------

4.
dann versuche die Windowsupdates zu machen und berichte, ob es klappt oder ob eine fehlermeldung kommt
__________
MfG Sabina

rund um die PC-Sicherheit

Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:

Seite(n): 1 2