Virus / Trojaner mit Verweis auf Sichererantivirus |
||
---|---|---|
#0
| ||
31.05.2008, 01:19
...neu hier
Beiträge: 6 |
||
|
||
31.05.2008, 10:13
Ehrenmitglied
Beiträge: 6028 |
#2
CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK ComboFix Download ComboFix und speichert es auf den Desktop! Alle Fenster schliessen und combofix.exe starten Folge den Instruktionen in das Fenster Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt) nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen" Wenn dein Virenscanner meckert,ignorieren ! zusammen mit ein neuen log von HijackThis __________ MfG Argus |
|
|
||
31.05.2008, 10:55
...neu hier
Themenstarter Beiträge: 6 |
#3
vorab schon mal vielen dank für deine hilfe.
hier die logfiles: ComboFix 08-05-29.1 - Seeadler 2008-05-31 10:33:03.3 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.630 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Seeadler\Desktop\ComboFix.exe [color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color] . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\jisvnqhp.ini C:\WINDOWS\system32\nTtBLkkj.ini C:\WINDOWS\system32\nTtBLkkj.ini2 . ((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-31 )))))))))))))))))))))))))))))) . 2008-05-31 10:17 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe 2008-05-31 10:17 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe 2008-05-31 10:17 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe 2008-05-31 10:17 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe 2008-05-31 10:17 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\404Fix.exe 2008-05-31 10:17 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe 2008-05-31 10:17 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe 2008-05-31 10:17 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe 2008-05-31 10:17 . 2008-05-31 10:20 4,048 --a------ C:\WINDOWS\system32\tmp.reg 2008-05-31 01:55 . 2008-05-31 01:56 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware 2008-05-31 01:55 . 2008-05-31 01:55 <DIR> d-------- C:\Dokumente und Einstellungen\Seeadler\Application Data\Anwendungsdaten\Malwarebytes 2008-05-31 01:55 . 2008-05-31 01:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes 2008-05-31 01:55 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys 2008-05-31 01:55 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys 2008-05-30 23:34 . 2008-05-30 23:34 <DIR> d-------- C:\Programme\CCleaner 2008-05-30 20:10 . 2008-05-30 20:10 <DIR> d-------- C:\Programme\Lavasoft 2008-05-30 20:10 . 2008-05-30 20:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft 2008-05-30 16:48 . 2008-05-30 20:55 813 --a------ C:\WINDOWS\wininit.ini 2008-05-30 11:53 . 2008-05-30 05:59 94,208 --a------ C:\WINDOWS\embd.exe 2008-05-16 21:06 . 2008-05-16 21:08 <DIR> d-------- C:\Hermann 05.08 2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\system32\lsdelete.exe 2008-05-09 21:51 . 2008-05-31 08:27 <DIR> d-------- C:\Programme\Zylom Games 2008-05-09 21:51 . 2008-05-09 21:51 <DIR> d-------- C:\Dokumente und Einstellungen\Seeadler\Application Data\Anwendungsdaten\Zylom 2008-05-09 21:51 . 2008-05-09 21:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom 2008-05-04 10:05 . 2008-05-04 10:15 <DIR> d-------- C:\Programme\vBus 2008-05-03 16:39 . 2008-05-03 16:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia 2008-04-29 11:20 . 2008-04-29 11:20 15,648 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys 2008-04-29 11:19 . 2008-04-29 11:19 15,648 --a------ C:\WINDOWS\system32\drivers\Awrtrd.sys 2008-04-29 11:19 . 2008-04-29 11:19 12,960 --a------ C:\WINDOWS\system32\drivers\Awrtpd.sys 2008-04-18 12:06 . 2008-04-18 12:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio 2008-04-18 12:03 . 2008-04-18 12:03 <DIR> d-------- C:\Programme\Klett . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-31 08:35 --------- d-----w C:\Dokumente und Einstellungen\Seeadler\Application Data\Anwendungsdaten\DNA 2008-05-31 06:28 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-05-30 22:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2008-05-30 20:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater 2008-05-30 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-05-30 17:54 --------- d-----w C:\Programme\eBay 2008-05-30 14:31 --------- d-----w C:\Programme\Spybot - Search & Destroy 2008-05-13 19:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe 2008-05-13 19:51 --------- d-----w C:\Dokumente und Einstellungen\Seeadler\Application Data\Anwendungsdaten\AdobeUM 2008-04-19 08:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic 2008-04-14 03:59 --------- d-----w C:\Programme\Java 2008-02-16 23:31 47,360 ----a-w C:\Dokumente und Einstellungen\Seeadler\Application Data\Anwendungsdaten\pcouffin.sys 2007-05-05 15:44 50,140,504 -c--a-w C:\Programme\in2movies_setup.exe 2006-10-07 12:26 11,120 -c--a-w C:\Programme\uninstal2Up04.log 2006-07-15 20:08 6,206,192 -c--a-w C:\Programme\winamp523_full_emusic-7plus.exe 2006-04-04 17:42 4,677,596 -c--a-w C:\Programme\eMule0.47a-Installer.exe 2005-09-15 18:10 20,217 -c--a-w C:\Programme\eMule0.46c_Installer.htm 2005-03-19 15:24 21 -c--a-w C:\Programme\AVPersonalAVWIN.INI 2004-07-26 16:55 3,176,429 ----a-w C:\Programme\Bausteine2Up04.exe 2001-05-17 14:40 18,210 -c--a-r C:\Programme\Bausteine2Up04.ini . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{13DBB69B-8DF4-4CCA-8FB6-0CC613204869}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4647C2C7-9F3D-4220-87D9-43E617F67478}] [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{960DE41C-C337-4D8A-8AED-EC0400E35201}] C:\WINDOWS\system32\cbXRLeCt.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D120326F-262F-485B-8A96-B83F73F82FA2}] C:\WINDOWS\system32\vtUnnopq.dll [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DE40B38E-2219-4B7A-860E-E8CC300810B0}] C:\WINDOWS\system32\khfCULDt.dll [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{23649E36-60C6-4433-880A-9DF59FC27342}"= "C:\WINDOWS\atfxqogp.dll" [ ] [HKEY_CLASSES_ROOT\clsid\{23649e36-60c6-4433-880a-9df59fc27342}] [HKEY_CLASSES_ROOT\atfxqogp.1] [HKEY_CLASSES_ROOT\TypeLib\{AAA0A546-2B51-4AED-B1E2-C14F38C73165}] [HKEY_CLASSES_ROOT\atfxqogp] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360] "EzAgent"="C:\Programme\ASUS\ASUS FM Radio\ezagent.exe" [2003-02-17 12:01 114688] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-12 06:00 68856] "BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-05-08 05:53 289088] "MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [ ] "antivirus-2008pro.exe"="C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe" [ ] "SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nForce Tray Options"="sstray.exe" [2002-10-27 01:02 77824 C:\WINDOWS\system32\sstray.exe] "ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-01-24 21:00 315392] "CARPService"="carpserv.exe" [2002-05-14 07:36 4608 C:\WINDOWS\system32\carpserv.exe] "LWBKEYBOARD"="C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe" [2002-04-02 11:52 371200] "LWBMOUSE"="C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE" [2001-11-20 12:51 356352] "IW Controlcenter"="C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE" [2002-09-26 16:14 751104] "Agent"="C:\Programme\CyberLink\PowerVCRII\Agent.exe" [2002-10-01 15:57 94208] "Remote_Agent"="C:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe" [2002-10-01 18:01 32768] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648] "CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2004-12-27 21:14 57344] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-08-06 23:13 180269] "WireLessMouse"="C:\Programme\TCM\TCM Mouse Only\MouseDrv.exe" [2004-05-27 18:50 286720] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-18 16:29 262401] "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 16:57 282624] "Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 03:10 409600] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2006-06-07 18:12 35328] "ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-03-20 18:34 213936] "SoundMan"="SOUNDMAN.EXE" [2006-08-02 23:12 577536 C:\WINDOWS\SOUNDMAN.EXE] "PCSuiteTrayApplication"="D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 14:20 227328] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784] "GnabTray"="C:\Programme\Gemeinsame Dateien\Gnab\Service\GnabTray.exe" [ ] "70f01bf5"="C:\WINDOWS\system32\mcstfctj.dll" [ ] "Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-04-03 18:12 777424] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360] "Nokia.PCSync"="D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 16:58 1744896] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcAtUMe] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.asv2"= asusasv2.dll "msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm "VIDC.IV41"= ir41_32.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] --a------ 2006-09-01 16:57 282624 C:\Programme\QuickTime\qttask.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"= "C:\\Programme\\Internet Explorer\\iexplore.exe"= "C:\\Programme\\eMule\\emule.exe"= "D:\\Programme\\Anno 1701\\Anno1701.exe"= "C:\\Programme\\Messenger\\msmsgs.exe"= "C:\\Programme\\BitTorrent_DNA\\dna.exe"= "C:\\Programme\\DNA\\btdna.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "80:TCP"= 80:TCP:HTTP R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-18 16:29] R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 05:38] R1 Asapi;ASAPI;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 20:27] R1 ATMhelpr;ATMhelpr;C:\WINDOWS\system32\drivers\ATMhelpr.sys [1997-06-17 04:00] R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-18 16:29] R1 cdrdrv;cdrdrv;C:\WINDOWS\system32\drivers\cdrdrv.sys [2002-09-18 11:04] R1 vobcom;vobcom;C:\WINDOWS\system32\drivers\vobcom.sys [2001-10-04 11:53] R1 vobiw;vobiw;C:\WINDOWS\system32\drivers\vobiw.sys [2002-09-26 16:46] R3 Cap7134;ASUS TV7134 WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-10-01 21:17] R3 PhTVTune;ASUS TV7134 WDM TVTuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-10-04 12:08] S3 sonypvs1;Sony Digital Imaging Video2;C:\WINDOWS\system32\DRIVERS\sonypvs1.sys [2002-10-15 22:41] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63329edb-2c00-11dc-b7a8-0019db498b52}] \Shell\AutoRun\command - H:\LaunchU3.exe -a [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b20a0823-beaa-11db-8fcd-000c6e01a04f}] \Shell\AutoRun\command - I:\showbmp.exe . Inhalt des "geplante Tasks" Ordners "2008-05-30 23:35:01 C:\WINDOWS\Tasks\MP Scheduled Scan.job" - C:\Programme\Windows Defender\MpCmdRun.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-31 10:37:18 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\ati2evxx.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\Programme\PrintKey2000\Printkey2000.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\WINDOWS\system32\wscntfy.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-05-31 10:43:22 - machine was rebooted ComboFix-quarantined-files.txt 2008-05-31 08:42:46 ComboFix2.txt 2008-05-30 23:50:51 19 Verzeichnis(se), 4,684,529,664 Bytes frei 22 Verzeichnis(se), 4,614,922,240 Bytes frei 193 --- E O F --- 2008-05-17 07:07:17 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:51, on 31.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\Ati2evxx.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\drivers\KodakCCS.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\sstray.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\system32\carpserv.exe C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE C:\Programme\CyberLink\PowerVCRII\Agent.exe C:\Programme\SlySoft\CloneCD\CloneCDTray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\TCM\TCM Mouse Only\MouseDrv.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Winamp\winampa.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe C:\WINDOWS\SOUNDMAN.EXE D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ASUS\ASUS FM Radio\ezagent.exe C:\Programme\DNA\btdna.exe C:\Programme\Google\Google Updater\GoogleUpdater.exe C:\Programme\PrintKey2000\Printkey2000.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\explorer.exe C:\Dokumente und Einstellungen\Seeadler\Desktop\HJT\HiJackThis\HJT.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {13DBB69B-8DF4-4CCA-8FB6-0CC613204869} - (no file) O2 - BHO: (no name) - {4647C2C7-9F3D-4220-87D9-43E617F67478} - (no file) O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: (no name) - {960DE41C-C337-4D8A-8AED-EC0400E35201} - C:\WINDOWS\system32\cbXRLeCt.dll (file missing) O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll O2 - BHO: (no name) - {D120326F-262F-485B-8A96-B83F73F82FA2} - C:\WINDOWS\system32\vtUnnopq.dll (file missing) O2 - BHO: (no name) - {DE40B38E-2219-4B7A-860E-E8CC300810B0} - C:\WINDOWS\system32\khfCULDt.dll (file missing) O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) O3 - Toolbar: atfxqogp - {23649E36-60C6-4433-880A-9DF59FC27342} - C:\WINDOWS\atfxqogp.dll (file missing) O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [CARPService] carpserv.exe O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE O4 - HKLM\..\Run: [Agent] C:\Programme\CyberLink\PowerVCRII\Agent.exe O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WireLessMouse] C:\Programme\TCM\TCM Mouse Only\MouseDrv.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [GnabTray] C:\Programme\Gemeinsame Dateien\Gnab\Service\GnabTray.exe -checkstart O4 - HKLM\..\Run: [70f01bf5] rundll32.exe "C:\WINDOWS\system32\mcstfctj.dll",b O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [EzAgent] C:\Programme\ASUS\ASUS FM Radio\ezagent.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [antivirus-2008pro.exe] C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {7527E129-A524-434A-A337-8C19F6F25C91} (AldiSuedActiveFormX Element) - https://shop.aldisued-fotos-druck.de/shop/activex/aldi_sued_express_upload.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp02.photoprintit.de/microsite/1341/defaults/activex/IPSUploader.cab O20 - Winlogon Notify: efcAtUMe - C:\WINDOWS\ O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe -- End of file - 9985 bytes |
|
|
||
31.05.2008, 11:32
Ehrenmitglied
Beiträge: 6028 |
#4
Spybot S&D TeaTimer
Bitte den TeaTimer von Spybot S & D deaktivieren: C:\Programme\Spybot - Search & Destroy\TeaTimer.exe abstellen! Starte dazu Spybot S&D, klicke auf "Advanced mode" >"JA">"Tools">Menu> klicke auf "Resident" > das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller Systemeinstellungen) > "exit". (der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!) Download ResetTeaTimer zum Desktop Doppelklik ResetTeaTimer Wenn dein Rechner wieder sauber ist kannst du TeaTimer wieder einschalten! ------------------------------------------------------------ «« Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern Zitat KILLALL::Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden. cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen danach: Combofix noch einmal anwenden -------------------------------------------------------- «« Schliesse alle Fenster und starte Hijack This Klicke: Do a Systemscan only Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei (soweit noch vorhanden) Zitat O2 - BHO: (no name) - {13DBB69B-8DF4-4CCA-8FB6-0CC613204869} - (no file)klicke: Fix checked Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst __________ MfG Argus |
|
|
||
31.05.2008, 19:57
...neu hier
Themenstarter Beiträge: 6 |
#5
Hallo,
sieht gut aus. Hab den Malewarebytes nochmal drüberlaufen lassen und er hat nichts mehr gefunden. Ist das ausreichend oder soll ich noch ein anderes Programm zur Sicherheit nochmal prüfen lassen ? und welches wenn ja ? Was würdest du mir als profi als schutz empfehlen um einigermaßen geschützt durchs internet zu kommen ? hab momentan den avira antivr personal im einsatz. reicht das oder sollte ich doch was für den virenschutz investieren ? Nochmals vielen dank für deine hilfe, alleine hätte ich wohl noch ewig versucht den virus mit virenprogrammen zu löschen.... |
|
|
||
31.05.2008, 20:44
Ehrenmitglied
Beiträge: 6028 |
#6
Du hattest ja schon gute Vorarbeit geleistet
Systemwiederherstellung http://www.virus-protect.org/systemwiederherstellung.html Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren Auf ein Rechner gehört nur ein Virenscanner und MalwareBytes Antimalware kannst du behalten wird ja mehrmals am Tag ge-updatet Update dein Java http://board.protecus.de/t32385-1.htm Und schau mal nach welche Version von Adobe Flash auf dein Rechner steht muss version 9.0.124.0 sein,wenn niedriger,version 9.0.124.0 installieren http://www.filehippo.com/download_flashplayer_ie/4007/ Quelle http://securitylabs.websense.com/content/Alerts/3096.aspx __________ MfG Argus |
|
|
||
ich habe mir einen Virus eingefangen. Der ist wohl bei euch schon bekannt:
http://board.protecus.de/t33093.htm?highlight=sicherer
zudem fehlt mir auf der rechten Seite des Startmenues die Systemeinstellung etc. und ich kann nicht mehr mit der Maus auf die verschiedenen Fenster klicken.
Ich hab die Vorarbeiten aus : http://board.protecus.de/t23187.htm?highlight=sicherer
vorbereitet und hänge die versch. Logs hier an.
Wäre nett wenn ihr mir helfen würdet.......
ComboFix 08-05-29.1 - Seeadler 2008-05-31 0:14:18.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.461 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Seeadler\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Dokumente und Einstellungen\Seeadler\Application Data\Anwendungsdaten\inst.exe
C:\Dokumente und Einstellungen\Seeadler\Application Data\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk
C:\Dokumente und Einstellungen\Seeadler\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Seeadler\Startmenü\Programme\Antivirus 2008 PRO
C:\Dokumente und Einstellungen\Seeadler\Startmenü\Programme\Antivirus 2008 PRO\antivirus-2008pro.lnk
C:\Programme\Antivirus 2008 PRO
C:\Programme\Antivirus 2008 PRO\vscan.tsi
C:\Programme\Antivirus 2008 PRO\zlib.dll
C:\Programme\autorun.inf
C:\WINDOWS\boqnrwdmfrp.dll
C:\WINDOWS\system32\cghrbuaq.dll
C:\WINDOWS\system32\gjbahqnw.ini
C:\WINDOWS\system32\jtcftscm.ini
C:\WINDOWS\system32\mcstfctj.dll
C:\WINDOWS\system32\qaubrhgc.ini
C:\WINDOWS\system32\qponnUtv.ini
C:\WINDOWS\system32\qponnUtv.ini2
C:\WINDOWS\system32\tCeLRXbc.ini
C:\WINDOWS\system32\tCeLRXbc.ini2
C:\WINDOWS\system32\tDLUCfhk.ini
C:\WINDOWS\system32\tDLUCfhk.ini2
C:\WINDOWS\system32\wnqhabjg.dll
C:\WINDOWS\xmpstean.exe
.
((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-30 ))))))))))))))))))))))))))))))
.
2008-05-30 23:34 . 2008-05-30 23:34 <DIR> d-------- C:\Programme\CCleaner
2008-05-30 20:34 . 2008-05-30 20:34 324,864 --------- C:\WINDOWS\system32\vtUnnopq.dll_old
2008-05-30 20:10 . 2008-05-30 20:10 <DIR> d-------- C:\Programme\Lavasoft
2008-05-30 20:10 . 2008-05-30 20:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-05-30 16:48 . 2008-05-30 20:55 813 --a------ C:\WINDOWS\wininit.ini
2008-05-30 11:54 . 2008-05-30 11:54 33,920 --a------ C:\WINDOWS\system32\efcAtUMe.dll
2008-05-30 11:53 . 2008-05-30 05:59 94,208 --a------ C:\WINDOWS\embd.exe
2008-05-16 21:06 . 2008-05-16 21:08 <DIR> d-------- C:\Hermann 05.08
2008-05-16 11:58 . 2008-05-16 11:58 12,632 --a------ C:\WINDOWS\system32\lsdelete.exe
2008-05-09 21:51 . 2008-05-09 21:51 <DIR> d-------- C:\Programme\Zylom Games
2008-05-09 21:51 . 2008-05-09 21:51 <DIR> d-------- C:\Dokumente und Einstellungen\Seeadler\Application Data\Anwendungsdaten\Zylom
2008-05-09 21:51 . 2008-05-09 21:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
2008-05-04 10:05 . 2008-05-04 10:15 <DIR> d-------- C:\Programme\vBus
2008-05-03 16:39 . 2008-05-03 16:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Trymedia
2008-04-29 11:20 . 2008-04-29 11:20 15,648 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 11:19 . 2008-04-29 11:19 15,648 --a------ C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 11:19 . 2008-04-29 11:19 12,960 --a------ C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-18 12:06 . 2008-04-18 12:06 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2008-04-18 12:03 . 2008-04-18 12:03 <DIR> d-------- C:\Programme\Klett
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-30 22:16 --------- d-----w C:\Dokumente und Einstellungen\Seeadler\Application Data\Anwendungsdaten\DNA
2008-05-30 22:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-30 20:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-05-30 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-30 17:54 --------- d-----w C:\Programme\eBay
2008-05-30 14:31 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-05-13 19:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-13 19:51 --------- d-----w C:\Dokumente und Einstellungen\Seeadler\Application Data\Anwendungsdaten\AdobeUM
2008-04-19 08:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-14 03:59 --------- d-----w C:\Programme\Java
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-16 23:31 47,360 ----a-w C:\Dokumente und Einstellungen\Seeadler\Application Data\Anwendungsdaten\pcouffin.sys
2008-02-16 08:59 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2007-05-05 15:44 50,140,504 -c--a-w C:\Programme\in2movies_setup.exe
2006-10-07 12:26 11,120 -c--a-w C:\Programme\uninstal2Up04.log
2006-07-15 20:08 6,206,192 -c--a-w C:\Programme\winamp523_full_emusic-7plus.exe
2006-04-04 17:42 4,677,596 -c--a-w C:\Programme\eMule0.47a-Installer.exe
2005-09-15 18:10 20,217 -c--a-w C:\Programme\eMule0.46c_Installer.htm
2005-03-19 15:24 21 -c--a-w C:\Programme\AVPersonalAVWIN.INI
2004-07-26 16:55 3,176,429 ----a-w C:\Programme\Bausteine2Up04.exe
2001-05-17 14:40 18,210 -c--a-r C:\Programme\Bausteine2Up04.ini
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4647C2C7-9F3D-4220-87D9-43E617F67478}]
2008-05-30 11:54 33920 --a------ C:\WINDOWS\system32\efcAtUMe.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{960DE41C-C337-4D8A-8AED-EC0400E35201}]
C:\WINDOWS\system32\cbXRLeCt.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CC7A758B-8CA3-4FB5-987D-F6147DAA28C6}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D120326F-262F-485B-8A96-B83F73F82FA2}]
C:\WINDOWS\system32\vtUnnopq.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{DE40B38E-2219-4B7A-860E-E8CC300810B0}]
C:\WINDOWS\system32\khfCULDt.dll
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{23649E36-60C6-4433-880A-9DF59FC27342}"= "C:\WINDOWS\atfxqogp.dll" [ ]
[HKEY_CLASSES_ROOT\clsid\{23649e36-60c6-4433-880a-9df59fc27342}]
[HKEY_CLASSES_ROOT\atfxqogp.1]
[HKEY_CLASSES_ROOT\TypeLib\{AAA0A546-2B51-4AED-B1E2-C14F38C73165}]
[HKEY_CLASSES_ROOT\atfxqogp]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"EzAgent"="C:\Programme\ASUS\ASUS FM Radio\ezagent.exe" [2003-02-17 12:01 114688]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-12 06:00 68856]
"BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-05-08 05:53 289088]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [ ]
"antivirus-2008pro.exe"="C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe" [ ]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nForce Tray Options"="sstray.exe" [2002-10-27 01:02 77824 C:\WINDOWS\system32\sstray.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-01-24 21:00 315392]
"CARPService"="carpserv.exe" [2002-05-14 07:36 4608 C:\WINDOWS\system32\carpserv.exe]
"LWBKEYBOARD"="C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe" [2002-04-02 11:52 371200]
"LWBMOUSE"="C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE" [2001-11-20 12:51 356352]
"IW Controlcenter"="C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE" [2002-09-26 16:14 751104]
"Agent"="C:\Programme\CyberLink\PowerVCRII\Agent.exe" [2002-10-01 15:57 94208]
"Remote_Agent"="C:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe" [2002-10-01 18:01 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2004-12-27 21:14 57344]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-08-06 23:13 180269]
"WireLessMouse"="C:\Programme\TCM\TCM Mouse Only\MouseDrv.exe" [2004-05-27 18:50 286720]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-18 16:29 262401]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 16:57 282624]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 03:10 409600]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2006-06-07 18:12 35328]
"ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-03-20 18:34 213936]
"SoundMan"="SOUNDMAN.EXE" [2006-08-02 23:12 577536 C:\WINDOWS\SOUNDMAN.EXE]
"GnabTray"="C:\Programme\Gemeinsame Dateien\Gnab\Service\GnabTray.exe" [2007-04-19 12:15 327680]
"PCSuiteTrayApplication"="D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-03-23 14:20 227328]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-04-03 18:12 777424]
"70f01bf5"="C:\WINDOWS\system32\mcstfctj.dll" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
"Nokia.PCSync"="D:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 16:58 1744896]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{4647C2C7-9F3D-4220-87D9-43E617F67478}"= C:\WINDOWS\system32\efcAtUMe.dll [2008-05-30 11:54 33920]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcAtUMe]
efcAtUMe.dll 2008-05-30 11:54 33920 C:\WINDOWS\system32\efcAtUMe.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.asv2"= asusasv2.dll
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"VIDC.IV41"= ir41_32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-09-01 16:57 282624 C:\Programme\QuickTime\qttask.exe
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Kodak\\KODAK Software Updater\\7288971\\Program\\Kodak Software Updater.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"D:\\Programme\\Anno 1701\\Anno1701.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\in2movies\\in2movies\\Program\\GCS.exe"=
"C:\\Programme\\BitTorrent_DNA\\dna.exe"=
"C:\\Programme\\DNA\\btdna.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"80:TCP"= 80:TCP:HTTP
"8371:TCP"= 8371:TCP:Gnab Tcp Port
"8371:UDP"= 8371:UDP:Gnab Udp Port
R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-18 16:29]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 05:38]
R1 Asapi;ASAPI;C:\WINDOWS\system32\drivers\Asapi.sys [2002-04-17 20:27]
R1 ATMhelpr;ATMhelpr;C:\WINDOWS\system32\drivers\ATMhelpr.sys [1997-06-17 04:00]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-18 16:29]
R1 cdrdrv;cdrdrv;C:\WINDOWS\system32\drivers\cdrdrv.sys [2002-09-18 11:04]
R1 vobcom;vobcom;C:\WINDOWS\system32\drivers\vobcom.sys [2001-10-04 11:53]
R1 vobiw;vobiw;C:\WINDOWS\system32\drivers\vobiw.sys [2002-09-26 16:46]
R2 GnabService;GnabService;c:\programme\gemeinsame dateien\gnab\service\servicecontroller.exe [2007-04-19 12:14]
R3 Cap7134;ASUS TV7134 WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-10-01 21:17]
R3 PhTVTune;ASUS TV7134 WDM TVTuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-10-04 12:08]
S3 sonypvs1;Sony Digital Imaging Video2;C:\WINDOWS\system32\DRIVERS\sonypvs1.sys [2002-10-15 22:41]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63329edb-2c00-11dc-b7a8-0019db498b52}]
\Shell\AutoRun\command - H:\LaunchU3.exe -a
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b20a0823-beaa-11db-8fcd-000c6e01a04f}]
\Shell\AutoRun\command - I:\showbmp.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-04-30 23:35:00 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-31 00:19:26
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Eintr„ge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\efcAtUMe.dll
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\geBsrOIX.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\in2movies\in2movies\Program\GCS.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-31 0:24:59 - machine was rebooted [Seeadler]
ComboFix-quarantined-files.txt 2008-05-30 22:24:25
19 Verzeichnis(se), 2,495,369,216 Bytes frei
22 Verzeichnis(se), 3,284,836,352 Bytes frei
223 --- E O F --- 2008-05-17 07:07:17
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:35, on 31.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
c:\programme\gemeinsame dateien\gnab\service\servicecontroller.exe
C:\Programme\in2movies\in2movies\Program\GCS.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\carpserv.exe
C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
C:\Programme\CyberLink\PowerVCRII\Agent.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\TCM\TCM Mouse Only\MouseDrv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Gnab\Service\GnabTray.exe
D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ASUS\ASUS FM Radio\ezagent.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\Seeadler\Desktop\HJT\HiJackThis\HJT.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {403ACB8C-BBD7-4F5F-87C7-91EC3BE7685A} - C:\WINDOWS\system32\geBsrOIX.dll
O2 - BHO: (no name) - {4647C2C7-9F3D-4220-87D9-43E617F67478} - C:\WINDOWS\system32\efcAtUMe.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {960DE41C-C337-4D8A-8AED-EC0400E35201} - C:\WINDOWS\system32\cbXRLeCt.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {D120326F-262F-485B-8A96-B83F73F82FA2} - C:\WINDOWS\system32\vtUnnopq.dll (file missing)
O2 - BHO: (no name) - {DE40B38E-2219-4B7A-860E-E8CC300810B0} - C:\WINDOWS\system32\khfCULDt.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: atfxqogp - {23649E36-60C6-4433-880A-9DF59FC27342} - C:\WINDOWS\atfxqogp.dll (file missing)
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CARPService] carpserv.exe
O4 - HKLM\..\Run: [LWBKEYBOARD] C:\Programme\MultiMedia Keyboard\MultiMedia Keyboard\1.1\KbdAp32A.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.1\MOUSE32A.EXE
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\INSTAN~1\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\CyberLink\PowerVCRII\Agent.exe
O4 - HKLM\..\Run: [Remote_Agent] C:\Programme\CyberLink\PowerVCRII\RemoteAgent.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WireLessMouse] C:\Programme\TCM\TCM Mouse Only\MouseDrv.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [GnabTray] C:\Programme\Gemeinsame Dateien\Gnab\Service\GnabTray.exe -checkstart
O4 - HKLM\..\Run: [PCSuiteTrayApplication] D:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [70f01bf5] rundll32.exe "C:\WINDOWS\system32\fsuatdgd.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EzAgent] C:\Programme\ASUS\ASUS FM Radio\ezagent.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [antivirus-2008pro.exe] C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {7527E129-A524-434A-A337-8C19F6F25C91} (AldiSuedActiveFormX Element) - https://shop.aldisued-fotos-druck.de/shop/activex/aldi_sued_express_upload.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://asp02.photoprintit.de/microsite/1341/defaults/activex/IPSUploader.cab
O20 - Winlogon Notify: efcAtUMe - C:\WINDOWS\SYSTEM32\efcAtUMe.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: GnabService - Empolis GmbH - c:\programme\gemeinsame dateien\gnab\service\servicecontroller.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
--
End of file - 10654 bytes
Uninstall Liste:
ABC Amber Audio Converter
Ad-Aware
Adobe Flash Player 9 ActiveX
Adobe Flash Player ActiveX
Adobe Photoshop Album 2.0 Starter Edition
Adobe Reader 7.1.0 - Deutsch
Adobe Type Manager 4.0
Agfa ScanWise 1.50
AGFAnet Print Service
Anno 1701
ASUS FM Radio
ASUS TV FM CARD
ASUS Video Security
ATI Control Panel
ATI Display Driver
Avira AntiVir Personal – Free Antivirus
Bausteine2Up04
Bausteine3Up04_2
Bob baut einen Park
Bob der Baumeister
Browser Mouse
CannaPower-Tool
Canon iP4200
Canon PhotoRecord
Canon Setup Utility 2.0
Canon Utilities Easy-PhotoPrint
Canon Utilities Easy-PrintToolBox
CCHelp
CCleaner (remove only)
CCScore
CD-LabelPrint
ChickenShoot Gold
CloneCD
Cucusoft DVD to PSP + PSP Video Converter Suite 7.3.7.2
DeepBurner v1.3.6.167
Digitale Bibliothek 4
DivX Codec
DivX Content Uploader
DivX Converter
DivX Player
DivX Web Player
eMule
eMusic - 50 Free MP3 offer
ESSAdpt
ESSANUP
ESSBrwr
ESSCAM
ESSCDBK
ESScore
ESSCT
ESSgui
ESShelp
ESSini
ESSPCD
ESSPDock
ESSSONIC
ESSvpaht
ESSvpot
Firstload Revolution Vers. 1.30
FM-56PCI-HSFi-AB
GameSpy Arcade
Google Earth
Google Toolbar for Internet Explorer
Google Updater
HijackThis 2.0.2
HLPCCTR
HLPIndex
HLPPDOCK
HLPRFO
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB926239)
Hotfix für Windows Media Player 11 (KB939683)
IKEA HomePlanner Kitchen
ImageMixer for Sony
in2movies
IndustrieGigant 2
InstantCD/DVD
InterVideo WinDVD 8
Java(TM) 6 Update 2
Java(TM) 6 Update 5
KC Softwares VideoInspector
Kodak EasyShare Software
KSU
MediaMonkey 2.5
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Data Access Components KB870669
Microsoft Office Professional Edition 2003
Microsoft User-Mode Driver Framework Feature Pack 1.5
Microsoft Visual C++ 2005 Redistributable
MicroStaff WINASPI
Monopoly Deluxe
MSXML 4.0 SP2 (KB927978)
MSXML 4.0 SP2 (KB936181)
MultiMedia Keyboard 1.1
Nero OEM
NeroVision Express 2
Nokia Connectivity Cable Driver
Nokia PC Suite
Nokia PC Suite
Notifier
NVIDIA nForce Treiber für Windows 2000/XP
NVIDIA nForce Utilities
OTtBP
OTtBPSDK
PC Connectivity Solution
PCDLNCH
PL-2303 USB-to-Serial
PowerDVD
PowerVCR II
PrintKey2000
PSP-Studio
QuickPar 0.9
QuickTime
RadioTracker 2.0.1.26
RealPlayer
Realtek AC'97 Audio
Setup-Start von Microsoft Works 2004
SFR
SFR2
Shockwave
Sony USB Driver
SpongeBob Schwammkopf - Schlacht um Bikini Bottom DEMO
Spybot - Search & Destroy
Spybot - Search & Destroy 1.3
Steuer-Spar-Erklärung 2005
TCM Mouse Driver
Ulead VideoStudio 6
Ultimate Encoder 2006 Trial
VCAMCEN
VIA Platform Device Manager
VideoLAN VLC media player 0.8.4a
VPRINTOL
VSO CopyToDVD 4
Winamp (remove only)
Windows Defender
Windows Defender Signatures
Windows Driver Package - Nokia (WUDFRd) WPD (03/19/2007 6.83.31.1)
Windows Driver Package - Nokia Modem (02/15/2007 3.1)
Windows Installer 3.1 (KB893803)
Windows Installer 3.1 (KB893803)
Windows Live Anmelde-Assistent
Windows Live installer
Windows Live Writer
Windows Media Encoder 9 Series
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows-Treiberpaket - Nokia Modem (11/03/2006 6.82.0.1)
WinRAR Archivierer
Yahoo! Anti-Spy
Yahoo! Install Manager
Yahoo! Toolbar mit Pop-Up-Blocker
YOU DON'T KNOW JACK®
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70F0-1B5A
Verzeichnis von C:\WINDOWS\system32
31.05.2008 00:41 143.056 XIOrsBeg.ini
31.05.2008 00:40 143.056 XIOrsBeg.ini2
31.05.2008 00:28 1.208.124 dgdtausf.ini
31.05.2008 00:27 95.744 fsuatdgd.dll
31.05.2008 00:25 0 clkcnt.txt
31.05.2008 00:24 324.864 geBsrOIX.dll
31.05.2008 00:18 12.598 wpa.dbl
30.05.2008 20:34 324.864 vtUnnopq.dll_old
30.05.2008 11:54 33.920 efcAtUMe.dll
16.05.2008 11:58 12.632 lsdelete.exe
09.05.2008 23:35 16.863.864 MRT.exe
14.04.2008 05:59 6.641 jupdate-1.6.0_05-b13.log
10.04.2008 05:56 379.144 FNTCACHE.DAT
30.03.2008 10:56 383.390 perfh009.dat
30.03.2008 10:56 53.744 perfc009.dat
30.03.2008 10:56 394.830 perfh007.dat
30.03.2008 10:56 64.802 perfc007.dat
30.03.2008 10:56 906.552 PerfStringBackup.INI
26.03.2008 22:00 5.214 jupdate-1.6.0_02-b06.log
25.03.2008 06:51 621.344 mswstr10.dll
25.03.2008 06:51 187.168 msjint40.dll
25.03.2008 06:50 355.104 msxbde40.dll
25.03.2008 06:50 838.432 mswdat10.dll
25.03.2008 06:50 264.992 mstext40.dll
25.03.2008 06:50 559.904 msrepl40.dll
25.03.2008 06:50 322.336 msrd3x40.dll
25.03.2008 06:50 432.928 msrd2x40.dll
25.03.2008 06:50 355.104 mspbde40.dll
25.03.2008 06:50 219.936 msltus40.dll
25.03.2008 06:50 60.192 msjter40.dll
25.03.2008 06:50 248.608 msjtes40.dll
25.03.2008 06:50 355.112 msjetoledb40.dll
25.03.2008 06:50 1.516.568 msjet40.dll
25.03.2008 06:50 326.432 msexcl40.dll
25.03.2008 06:50 518.944 msexch40.dll
20.03.2008 10:03 1.845.376 win32k.sys
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70F0-1B5A
Verzeichnis von C:\DOKUME~1\Seeadler\LOKALE~1\Temp
31.05.2008 00:41 112.365 datfind.txt
1 Datei(en) 112.365 Bytes
0 Verzeichnis(se), 3.271.307.264 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70F0-1B5A
Verzeichnis von C:\WINDOWS
31.05.2008 00:32 1.881.639 WindowsUpdate.log
31.05.2008 00:19 227 system.ini
31.05.2008 00:18 0 0.log
31.05.2008 00:18 159 wiadebug.log
31.05.2008 00:18 50 wiaservc.log
31.05.2008 00:18 2.048 bootstat.dat
31.05.2008 00:17 32.564 SchedLgU.Txt
31.05.2008 00:16 399 setupapi.log
30.05.2008 20:55 813 wininit.ini
30.05.2008 05:59 94.208 embd.exe
17.02.2008 01:19 135 NeroDigital.ini
09.02.2008 10:11 1.041 cdplayer.ini
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70F0-1B5A
Verzeichnis von C:\WINDOWS\temp
31.05.2008 00:24 16.384 Perflib_Perfdata_318.dat
31.05.2008 00:18 0 JETD09E.tmp
2 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 3.271.299.072 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70F0-1B5A
Verzeichnis von C:\WINDOWS\Downloaded Program Files
11.12.2006 17:44 367 LegitCheckControl.inf
Hab aus dem o.g. Thread den Text:
KILLALL::
Registry::
[-HKEY_CLASSES_ROOT\CLSID\{04EA2470-913A-11D2-8CB8-0000F8083420}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"vbgtorfd"=-
"dwnrpofk"=-
File::
C:\WINNT\vbgtorfd.dll
C:\WINNT\norlatmx.exe
C:\xmp.bat
kopiert und in die combofix.exe gezogen wie beschrieben.
Danach mit dem nachfolgenden Programm gescannt und die Viren entfernen lassen. Hier die log:
Malwarebytes' Anti-Malware 1.14
Datenbank Version: 807
02:01:15 31.05.2008
mbam-log-5-31-2008 (02-01-15).txt
Scan Art: Schnell Scan
Objekte gescannt: 33129
Scan Dauer: 3 minute(s), 24 second(s)
Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 4
Infizierte Registrierungsschlüssel: 20
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5
Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)
Infizierte Speicher Module:
C:\WINDOWS\system32\efcAtUMe.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\jkkLBtTn.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\geBsrOIX.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\phqnvsij.dll (Trojan.Vundo) -> Unloaded module successfully.
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{4647c2c7-9f3d-4220-87d9-43e617f67478} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4647c2c7-9f3d-4220-87d9-43e617f67478} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\efcatume (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e6ce1780-8118-41bb-82c9-9da1f8f97193} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e6ce1780-8118-41bb-82c9-9da1f8f97193} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{c1d0b9f7-f3c6-443a-af61-ad47771ace27} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{aaa0a546-2b51-4aed-b1e2-c14f38c73165} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{1ae22bce-b554-4803-bae3-2eff740aff44} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{56e90faa-6f19-44fd-8197-0c08388c2632} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{182fcc02-5b76-4fe2-90a5-ba88906cad3c} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{cc7a758b-8ca3-4fb5-987d-f6147daa28c6} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{13dbb69b-8df4-4cca-8fb6-0cc613204869} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{13dbb69b-8df4-4cca-8fb6-0cc613204869} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\atfxqogp.bxpr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{4647c2c7-9f3d-4220-87d9-43e617f67478} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\70f01bf5 (Trojan.Vundo) -> Quarantined and deleted successfully.
Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\jkklbttn -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (55372-OEM-0046576-34078) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)
Infizierte Dateien:
C:\WINDOWS\system32\efcAtUMe.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\jkkLBtTn.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\geBsrOIX.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\phqnvsij.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\vtUnnopq.dll_old (Trojan.Vundo) -> Quarantined and deleted successfully.