Desktopicons nur einzeln anklickbar_Wallpaper weg_Virussoftwarepopups im IE

#1 Guten Tag, habe die Anleitung abgearbeitet. Folgend nun meine Logfiles:

Combofix_log:
ComboFix 08-06-01.6 - GretchenModerMöße 2008-06-02 12:58:03.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.236 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\GretchenModerMöße\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-02 bis 2008-06-02 ))))))))))))))))))))))))))))))
.

2008-06-02 12:47 . 2008-06-02 12:47 <DIR> d-------- C:\Programme\CCleaner
2008-05-30 18:05 . 2008-05-30 18:59 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-30 18:05 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-30 18:05 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-30 15:33 . 2008-05-30 15:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-30 13:33 . 2008-05-30 17:32 20,601 --ahs---- C:\WINDOWS\system32\YcKTttwa.ini
2008-05-30 13:28 . 2008-05-30 05:59 139,264 --a------ C:\WINDOWS\embd.exe
2008-05-08 21:15 . 2004-08-04 00:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-05-08 21:15 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-05-08 21:15 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-05-08 21:15 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-30 13:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Win Funk Audio
2008-05-30 11:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-08 19:17 --------- d-----w C:\Programme\FinePixViewer
2008-04-24 08:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-21 23:40 --------- d-----w C:\Programme\ICQ6
2008-04-08 20:17 --------- d-----w C:\Programme\TVAnts
2008-01-08 19:55 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2004-05-21 15:59 62,865 ----a-w C:\WINDOWS\inf\IM\odysseyIM3.sys
2004-05-21 15:59 45,056 ----a-w C:\WINDOWS\inf\IM\imdinst.exe
2004-05-21 15:59 12,739 ----a-w C:\WINDOWS\inf\IM\odNetInstall.dll
2004-03-11 11:27 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

Code

<pre>
----a-w         3,791,775 2006-01-18 21:32:27  C:\Dokumente und Einstellungen\GretchenModerMöße\Eigene Dateien\bass\Novation Bass Station 1.0 VST.  .exe
</pre>

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{111B6948-2696-A53E-8977-5C8E7CEDB776}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2B85D6A0-879C-433F-AC3F-22F3DBC273F7}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4AD89CEE-BB48-A166-DF4E-4768B8382FBA}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]
"Steam"="" []
"SetDefaultMIDI"="MIDIDef.exe" [2005-05-24 10:17 25088 C:\WINDOWS\MIDIDEF.EXE]
"PowerBar"="C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" [2004-04-21 10:26 86016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DU Meter"="C:\Programme\DU Meter\DUMeter.exe" [2004-08-25 12:31 1470464]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 14:03 36975]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-10-06 15:16 5058560]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 02:00 90112]
"remotewatch.exe"="" []
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [2002-02-04 22:32 53248]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-06-06 13:16 98304]
"nwiz"="nwiz.exe" [2003-10-06 15:16 741376 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2003-10-06 15:16 49152]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 11:50 20992 C:\WINDOWS\LOGI_MWX.EXE]
"H2O"="C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-10-23 01:00 385024]
"CTHelper"="CTHELPER.EXE" [2005-05-24 10:28 16384 C:\WINDOWS\CTHELPER.EXE]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 22:00 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
"NTSF MICROSOFT SYSTEM"="ntsf.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccDsSIc]
fccDsSIc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.i420"= i420vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CTSysVol"=C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r
"FUNK AUDIO MP3 BROWSE"=C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Win Funk Audio\manager less.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\FlashFXP\\flashfxp.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-21 22:00]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-21 22:00]
R1 Ext2Fs;Ext2Fs;C:\WINDOWS\system32\drivers\ext2.sys [2004-09-03 14:44]
R1 nltdi;nltdi;C:\WINDOWS\system32\drivers\nltdi.sys [2007-04-23 13:03]
R1 SysVfs;SysVfs;C:\WINDOWS\system32\drivers\SysVfs.sys [2004-09-03 14:45]
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2005-09-27 16:19]
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2005-09-27 16:19]
R2 Vcs;Vcs support;C:\WINDOWS\System32\Drivers\Vcs.sys [2004-11-14 06:01]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 21:08]
R3 odysseyIM3;Odyssey Network Services Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM3.sys [2004-05-21 17:59]
R3 Tetris;Tetris driver;C:\WINDOWS\system32\Drivers\Tetris.sys [2005-09-27 16:19]
R3 TNET1130;D-Link AirPlus XtremeG+ Wireless Adapter;C:\WINDOWS\system32\DRIVERS\GPlus.sys [2003-08-13 15:38]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\System32\NSNDIS5.SYS [2004-03-24 04:12]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-02 13:03:15
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programme\NetLimiter 2 Pro\nlsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\NetLimiter 2 Pro\NLClient.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE
C:\Programme\Bluetooth Software\BTTray.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Digital Audio System\E-MU PatchMix DSP\EmuPatchMixDSP.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-02 13:14:21 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-02 11:13:50

18 Verzeichnis(se), 7,481,270,272 Bytes frei
20 Verzeichnis(se), 7,966,375,936 Bytes frei

140


HJT-LOG:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:26:44, on 02.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\NetLimiter 2 Pro\nlsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\NetLimiter 2 Pro\NLClient.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe
C:\Programme\Bluetooth Software\BTTray.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Digital Audio System\E-MU PatchMix DSP\EmuPatchMixDSP.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\HiJackThis\HJT.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {111B6948-2696-A53E-8977-5C8E7CEDB776} - (no file)
O2 - BHO: (no name) - {2B85D6A0-879C-433F-AC3F-22F3DBC273F7} - (no file)
O2 - BHO: (no name) - {4AD89CEE-BB48-A166-DF4E-4768B8382FBA} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [PowerBar] "C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Registration-Studio 7 SE.lnk = D:\PinnacleStudio 7\Register\RegTool.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Exif Launcher.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Programme\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PacificPoker4 - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - D:\PACIFI~1\pacificpoker.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1149471009265
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1149472975546
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0862191B-F98B-4288-9BBF-1C312DF68F84}: NameServer = 145.253.2.11,145.253.2.171
O17 - HKLM\System\CCS\Services\Tcpip\..\{CC3D2E6F-9A84-46F4-A548-445E60F65B24}: NameServer = 213.237.148.115,145.253.2.171
O17 - HKLM\System\CCS\Services\Tcpip\..\{E95AE77D-83F7-4FCF-B201-16D3EC44267D}: NameServer = 192.168.123.112
O17 - HKLM\System\CS1\Services\Tcpip\..\{0862191B-F98B-4288-9BBF-1C312DF68F84}: NameServer = 145.253.2.11,145.253.2.171
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: fccDsSIc - fccDsSIc.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\Bluetooth Software\bin\btwdins.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - C:\Programme\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PMounter - Unknown owner - C:\WINDOWS\system32\PMounter.exe
O24 - Desktop Component 0: Privacy Protection - (no file)

--
End of file - 10040 bytes

datfind.bat:

Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: C89D-A9A8

Verzeichnis von C:\WINDOWS\system32

02.06.2008 13:01 11.564 DVCState-{00000000-00000000-0000000C-00001102-00000008-40021102}.rfx
02.06.2008 13:01 1.104 BMXBkpCtrlState-{00000000-00000000-0000000C-00001102-00000008-40021102}.rfx
02.06.2008 13:01 1.104 BMXCtrlState-{00000000-00000000-0000000C-00001102-00000008-40021102}.rfx
02.06.2008 13:01 64 BMXState-{00000000-00000000-0000000C-00001102-00000008-40021102}.rfx
02.06.2008 13:01 64 BMXStateBkp-{00000000-00000000-0000000C-00001102-00000008-40021102}.rfx
02.06.2008 12:30 2.206 wpa.dbl
30.05.2008 17:32 20.601 YcKTttwa.ini
30.05.2008 13:34 0 clkcnt.txt
02.04.2008 23:48 39.992 perfc009.dat
02.04.2008 23:48 311.604 perfh009.dat
02.04.2008 23:48 48.156 perfc007.dat
02.04.2008 23:48 316.594 perfh007.dat
02.04.2008 23:48 723.744 PerfStringBackup.INI
17.03.2008 20:11 1.515.320 FNTCACHE.DAT

2413 Datei(en) 498.410.680 Bytes
0 Verzeichnis(se), 7.980.310.528 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: C89D-A9A8

Verzeichnis von C:\DOKUME~1\GRETCH~1\LOKALE~1\Temp

02.06.2008 13:28 118.608 datfind.txt
02.06.2008 13:25 114.688 ~DF62F4.tmp
02.06.2008 13:14 945 jusched.log
02.06.2008 13:14 0 jupdate1.5.0.xml
02.06.2008 13:06 0 JET6A30.tmp
5 Datei(en) 234.241 Bytes
0 Verzeichnis(se), 7.980.318.720 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: C89D-A9A8

Verzeichnis von C:\WINDOWS

02.06.2008 13:03 270 system.ini
02.06.2008 13:02 0 0.log
02.06.2008 13:02 159 wiadebug.log
02.06.2008 13:02 1.992 WindowsUpdate.log
02.06.2008 13:02 50 wiaservc.log
02.06.2008 13:01 2.048 bootstat.dat
30.05.2008 18:28 610 win.ini
30.05.2008 05:59 139.264 embd.exe
06.05.2008 14:24 202 NeroDigital.ini
18.03.2008 21:21 108.386 War3Unin.dat
124 Datei(en) 29.696.778 Bytes
0 Verzeichnis(se), 7.980.314.624 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: C89D-A9A8

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datentr„ger in Laufwerk C: ist Programme
Volumeseriennummer: C89D-A9A8

Verzeichnis von C:\WINDOWS\Downloaded Program Files

28.08.2007 10:39 2.635.280 ImageUploader4.ocx
28.08.2007 10:39 378 ImageUploader4.inf
13 Datei(en) 3.100.257 Bytes
0 Verzeichnis(se), 7.980.314.624 Bytes frei
.

das Problem ist folgendes: Es öffneten sich dauernd neue Popups im Inetexplorer mit dem Inhalt dass ich einen verseuchten rechner habe. Meistens mit dem Wurm: Worm.Win32.Netbooster. Und dann eben Ja und Nein button zum anklicken was zum download von irgendetwas geführt hätte. Dieses Problem tritt moment aber nicht mehr auf. Nach einem Neustart war mein Wallpaper verschwunden und durch ein rotes Biohazard-zeichen ersetzt mit der Nachricht darunter dass meine privaten Dateien auf dem Rechner in Gefahr seien und ich doch Programm XY laden solle. Der Desktop war anklickbar und hat eine INternetseite geöffnet. Diese Problem ist momentan auch vergangenheit. Jetzt ist der Desktophintergrund weiß Wallpaper fehlt und die icons sind komisch schwarz hinterlegt und anklickbar, allerdings nur einzeln. Meine Internetverbindung ist ultra langsam ich muss jede seite ca. 4mal "anwählen" bis sie auch wirklich geladen wird. Zeitweise war auch und Start "alle Programme"; "Arbeitsplatz"; "systemsteurung" etc verschwunden. Also Momentan ist das Hauptproblem, dass der Desktop nicht richtig funktioniert und dass mein Inet unheimlich langsam ist.

Ich hoffe ihr könnt mir helfen.

#2 styleforce

neu aufsetzen wäre das beste.............
Datei Virus
ntsf.exe Backdoor.Win32.Rbot.gen
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.AVF&VSect=Sn

----------------------------------------------------------------

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

RenV::
C:\Dokumente und Einstellungen\GretchenModerMöße\Eigene Dateien\bass\Novation Bass Station 1.0 VST. .exe

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{111B6948-2696-A53E-8977-5C8E7CEDB776}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2B85D6A0-879C-433F-AC3F-22F3DBC273F7}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4AD89CEE-BB48-A166-DF4E-4768B8382FBA}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccDsSIc]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"NTSF MICROSOFT SYSTEM"=-

File::
C:\WINDOWS\System32\ntsf.exe
C:\WINDOWS\system32\YcKTttwa.ini
C:\WINDOWS\embd.exe

Folder::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Win Funk Audio

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


danach: Combofix noch einmal anwenden

««««««««««««

2.
wende dialfix an ...alles anhaken
http://virus-protect.org/artikel/tools/dial_a_fix.html

3.
scanne Kaspersky - Virus Removal Tool - AVPTool und poste den report
http://virus-protect.org/artikel/tools/kaspersky.html

4.
berichte, ob die windowsupdates wieder funktionieren + poste ein neues Log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Kaspersky_Report:
Scan
----
Scanned: 235415
Detected: 4
Untreated: 0
Start time: 03.06.2008 15:06:49
Duration: 03:36:21
Finish time: 03.06.2008 18:43:10


Detected
--------
Status Object
------ ------
not found: Trojan program Trojan-Downloader.WMA.Wimad.c File: C:\Programme\LimeWire\D\GretchenModerMöße\Shared\Top of Charts - 2005.wma
deleted: virus Packed.Win32.PolyCrypt.d File: C:\Programme\NetPumper\ZM\NP_0131_1.exe//PE_Patch.UPC
deleted: adware not-a-virus:AdWare.Win32.WinAD.af File: C:\WINDOWS\tqp.exe//data0002//UPX
deleted: Trojan program Trojan-Downloader.BAT.Ftp.ab File: C:\WINDOWS\system32\i

die events hab ich weggelassen


CombofixReport:

ComboFix 08-06-01.6 - GretchenModerMöße 2008-06-03 18:45:22.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.242 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\GretchenModerMöße\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-03 bis 2008-06-03 ))))))))))))))))))))))))))))))
.

2008-06-03 14:25 . 2008-06-03 14:25 <DIR> d-------- C:\Kaspersky Lab Tool
2008-06-03 14:25 . 2008-06-03 18:53 190,496 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-03 14:25 . 2008-06-03 18:49 3,116 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-03 13:36 . 2008-06-03 13:36 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-06-02 13:24 . 2008-06-02 13:25 <DIR> d-------- C:\HiJackThis
2008-06-02 13:14 . 2008-06-02 13:14 <DIR> d-------- C:\Dokumente und Einstellungen\GretchenModerMöße
2008-06-02 13:14 . <DIR> C:\Dokumente und Einstellungen\GretchenModerM÷¯e\Lokale Einstellungen
2008-06-02 13:14 . <DIR> C:\Dokumente und Einstellungen\GretchenModerM÷¯e\Lokale Einstellungen
2008-06-02 12:47 . 2008-06-02 12:47 <DIR> d-------- C:\Programme\CCleaner
2008-05-30 18:05 . 2008-05-30 18:59 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-30 18:05 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-30 18:05 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-30 15:33 . 2008-05-30 15:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-08 21:15 . 2004-08-04 00:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-05-08 21:15 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-05-08 21:15 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-05-08 21:15 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-30 11:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-08 19:17 --------- d-----w C:\Programme\FinePixViewer
2008-04-24 08:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-21 23:40 --------- d-----w C:\Programme\ICQ6
2008-04-08 20:17 --------- d-----w C:\Programme\TVAnts
2008-01-08 19:55 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2004-05-21 15:59 62,865 ----a-w C:\WINDOWS\inf\IM\odysseyIM3.sys
2004-05-21 15:59 45,056 ----a-w C:\WINDOWS\inf\IM\imdinst.exe
2004-05-21 15:59 12,739 ----a-w C:\WINDOWS\inf\IM\odNetInstall.dll
2004-03-11 11:27 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

Code

<pre>
----a-w         3,791,775 2006-01-18 21:32:27  C:\Dokumente und Einstellungen\GretchenModerMöße\Eigene Dateien\bass\Novation Bass Station 1.0 VST.  .exe
</pre>

((((((((((((((((((((((((((((( snapshot@2008-06-02_13.13.31.98 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-02 11:01:49 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-03 16:50:08 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2007-07-05 12:34:52 134,160 ----a-w C:\WINDOWS\system32\drivers\klif.sys
- 2008-06-02 11:02:50 16,384 ----a-w C:\WINDOWS\Temp\Cookies\index.dat
+ 2008-06-03 16:50:52 16,384 ----a-w C:\WINDOWS\TEMP\Cookies\index.dat
- 2008-06-02 11:02:50 32,768 ----a-w C:\WINDOWS\Temp\Temporary Internet Files\Content.IE5\index.dat
+ 2008-06-03 16:50:52 32,768 ----a-w C:\WINDOWS\TEMP\Temporary Internet Files\Content.IE5\index.dat
- 2008-06-02 11:02:50 32,768 ----a-w C:\WINDOWS\Temp\Verlauf\History.IE5\index.dat
+ 2008-06-03 16:50:52 32,768 ----a-w C:\WINDOWS\TEMP\Verlauf\History.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]
"Steam"="" []
"SetDefaultMIDI"="MIDIDef.exe" [2005-05-24 10:17 25088 C:\WINDOWS\MIDIDEF.EXE]
"PowerBar"="C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" [2004-04-21 10:26 86016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DU Meter"="C:\Programme\DU Meter\DUMeter.exe" [2004-08-25 12:31 1470464]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 14:03 36975]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-10-06 15:16 5058560]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 02:00 90112]
"remotewatch.exe"="" []
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [2002-02-04 22:32 53248]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-06-06 13:16 98304]
"nwiz"="nwiz.exe" [2003-10-06 15:16 741376 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2003-10-06 15:16 49152]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 11:50 20992 C:\WINDOWS\LOGI_MWX.EXE]
"H2O"="C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-10-23 01:00 385024]
"CTHelper"="CTHELPER.EXE" [2005-05-24 10:28 16384 C:\WINDOWS\CTHELPER.EXE]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 22:00 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.i420"= i420vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CTSysVol"=C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r
"FUNK AUDIO MP3 BROWSE"=C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Win Funk Audio\manager less.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\FlashFXP\\flashfxp.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-21 22:00]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-21 22:00]
R1 Ext2Fs;Ext2Fs;C:\WINDOWS\system32\drivers\ext2.sys [2004-09-03 14:44]
R1 nltdi;nltdi;C:\WINDOWS\system32\drivers\nltdi.sys [2007-04-23 13:03]
R1 SysVfs;SysVfs;C:\WINDOWS\system32\drivers\SysVfs.sys [2004-09-03 14:45]
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2005-09-27 16:19]
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2005-09-27 16:19]
R2 setup_7.0.0.180_18.05.2008_22-36;setup_7.0.0.180_18.05.2008_22-36;"C:\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_22-36.exe" -r []
R2 Vcs;Vcs support;C:\WINDOWS\System32\Drivers\Vcs.sys [2004-11-14 06:01]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 21:08]
R3 odysseyIM3;Odyssey Network Services Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM3.sys [2004-05-21 17:59]
R3 Tetris;Tetris driver;C:\WINDOWS\system32\Drivers\Tetris.sys [2005-09-27 16:19]
R3 TNET1130;D-Link AirPlus XtremeG+ Wireless Adapter;C:\WINDOWS\system32\DRIVERS\GPlus.sys [2003-08-13 15:38]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\System32\NSNDIS5.SYS [2004-03-24 04:12]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-03 18:51:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programme\NetLimiter 2 Pro\nlsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\NetLimiter 2 Pro\NLClient.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE
C:\Programme\Bluetooth Software\BTTray.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Digital Audio System\E-MU PatchMix DSP\EmuPatchMixDSP.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-03 19:02:57 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-03 17:02:28
ComboFix2.txt 2008-06-03 11:23:54
ComboFix3.txt 2008-06-02 14:26:54
ComboFix4.txt 2008-06-02 11:14:22

20 Verzeichnis(se), 7,768,272,896 Bytes frei
22 Verzeichnis(se), 7,752,454,144 Bytes frei

157


Das mit den Windowsupdates hab ich leider nicht verstanden. Was ich vergessen hatte zu erwähnen ist auch, dass hinter jeder Uhrzeit die auf dem Rechner erschienen ist immer Virus Alert! stand. das hab ich allerdings irgendwie wegbekommen.
Hoff mal ich hab alles richtig gemacht.
danke für die hilfe.

P.S:Bisher funktioniert alles wieder einwandfrei, Inet ist wieder normal schnell nur mein Desktophintergrund lässt sich immernoch nicht ändern. Egal welches Wallpeper ich auswähle es bleibt einfach weiß.

#4 Hallo styleforce

1.
wende smitfraudfix an (option 2) - berichte, ob du dann wieder einen desktophintergrund einstellen kannst.
http://virus-protect.org/artikel/tools/smitfrautfix.html

2.
http://virus-protect.org/artikel/tools/renvexe.html
renvexe laden + anwenden

«
poste den report

danach:
Ziehe die erzeugte Reportdatei (Log.txt) auf RenV.exe



+ klicke RenV.exe noch mal an + poste den neues report

-------------------------------------------------------------

3.
mache die windowsupdates
www.windowsupdate.com
und berichte, ob es funktioniert.
wahrscheinlich wird es nicht gehen, weil der virusalert die productid rausgeloescht hat.
bringe sie also wieder an die richtige stelle in der registry

sieh, wie man es macht ab:
um den von Virus Alert! gelöschten Schlüssel in der Registry wieder herzustellen:
http://board.protecus.de/t33739.htm
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Desktop ist nun schwarz lässt sich alles wieder anklicken und auswählen etc. Wallpaper nach etwas rumspielen wieder zu sehen.

RenVexe_Report1:

Code

Ran on 05.06.2008 - 11:49:57,48

 Entries:                0  (0)
 Directories:            0  Files:             0
 Bytes:                  0  Blocks:            0

RenVexe_Report2:

Code

Ran on 05.06.2008 - 11:50:09,64

 Entries:                0  (0)
 Directories:            0  Files:             0
 Bytes:                  0  Blocks:            0

WindowsUpdates funktionieren

#6 styleforce

««
mache die windowsupdates
www.windowsupdate.com
und berichte, ob es funktioniert.
wahrscheinlich wird es nicht gehen, weil der virusalert die productid rausgeloescht hat.
bringe sie also wieder an die richtige stelle in der registry

sieh, wie man es macht ab:
um den von Virus Alert! gelöschten Schlüssel in der Registry wieder herzustellen:
http://board.protecus.de/t33739.htm

dann berichte von den Windowsupdates... ob es klappt...

-------------

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
lade combofix neu + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Also mir wird gesagt dass mein WindowsXp nich original sei.
Hab aber gecheckt in der Registry steht n Product Key. Also nix falsches. Dachte ich hab meine Xp version drauf, allerdings ists doch die Profesional von nem Kumpel.

ComboFix 08-06-05.3 - GretchenModerMöße 2008-06-05 22:41:16.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.199 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\GretchenModerMöße\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-05 bis 2008-06-05 ))))))))))))))))))))))))))))))
.

2008-06-05 18:21 . 2008-06-05 18:21 <DIR> d-------- C:\WINDOWS\LastGood
2008-06-05 12:03 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-06-05 12:03 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-06-05 12:03 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-06-05 12:03 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-06-05 11:26 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-06-05 11:26 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-06-05 11:26 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-06-05 11:26 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-06-05 11:26 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-06-05 11:26 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-06-05 11:26 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-05 11:26 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-06-05 11:26 . 2008-06-05 11:41 2,602 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-03 14:25 . 2008-06-03 14:25 <DIR> d-------- C:\Kaspersky Lab Tool
2008-06-03 14:25 . 2008-06-05 22:46 509,984 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-06-03 14:25 . 2008-06-05 12:35 8,576 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-06-03 13:36 . 2008-06-05 12:37 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-06-02 13:24 . 2008-06-02 13:25 <DIR> d-------- C:\HiJackThis
2008-06-02 13:14 . <DIR> C:\Dokumente und Einstellungen\GretchenModerM÷¯e
2008-06-02 12:47 . 2008-06-02 12:47 <DIR> d-------- C:\Programme\CCleaner
2008-05-30 18:05 . 2008-05-30 18:59 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-30 18:05 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-30 18:05 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-30 15:33 . 2008-05-30 15:33 <DIR> d-------- C:\Dokumente und Einstellungen\GretchenModerMöße\Anwendungsdaten\Malwarebytes
2008-05-30 15:33 . 2008-05-30 15:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-08 21:15 . 2004-08-04 00:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-05-08 21:15 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-05-08 21:15 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-05-08 21:15 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-30 11:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-30 10:51 --------- d-----w C:\Dokumente und Einstellungen\GretchenModerMöße\Anwendungsdaten\AdobeUM
2008-05-08 19:17 --------- d-----w C:\Programme\FinePixViewer
2008-04-24 08:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-21 23:40 --------- d-----w C:\Programme\ICQ6
2008-04-08 20:17 --------- d-----w C:\Programme\TVAnts
2008-01-08 19:55 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2004-05-21 15:59 62,865 ----a-w C:\WINDOWS\inf\IM\odysseyIM3.sys
2004-05-21 15:59 45,056 ----a-w C:\WINDOWS\inf\IM\imdinst.exe
2004-05-21 15:59 12,739 ----a-w C:\WINDOWS\inf\IM\odNetInstall.dll
2004-03-11 11:27 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]
"Steam"="" []
"SetDefaultMIDI"="MIDIDef.exe" [2005-05-24 10:17 25088 C:\WINDOWS\MIDIDEF.EXE]
"PowerBar"="C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" [2004-04-21 10:26 86016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DU Meter"="C:\Programme\DU Meter\DUMeter.exe" [2004-08-25 12:31 1470464]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 14:03 36975]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-10-06 15:16 5058560]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 02:00 90112]
"remotewatch.exe"="" []
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [2002-02-04 22:32 53248]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-06-06 13:16 98304]
"nwiz"="nwiz.exe" [2003-10-06 15:16 741376 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2003-10-06 15:16 49152]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 11:50 20992 C:\WINDOWS\LOGI_MWX.EXE]
"H2O"="C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-10-23 01:00 385024]
"CTHelper"="CTHELPER.EXE" [2005-05-24 10:28 16384 C:\WINDOWS\CTHELPER.EXE]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-21 22:00 262401]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-02-02 20:58:31 113664]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
BTTray.lnk - C:\Programme\Bluetooth Software\BTTray.exe [2003-07-29 16:14:16 499773]
Exif Launcher.lnk - C:\Programme\FinePixViewer\QuickDCF.exe [2006-06-27 14:33:05 282624]
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2005-03-10 19:41:43 169472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"= 1 (0x1)
"AllowUnhashedWebView"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.i420"= i420vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CTSysVol"=C:\Programme\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r
"FUNK AUDIO MP3 BROWSE"=C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Move Win Funk Audio\manager less.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\FlashFXP\\flashfxp.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-21 22:00]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-21 22:00]
R1 Ext2Fs;Ext2Fs;C:\WINDOWS\system32\drivers\ext2.sys [2004-09-03 14:44]
R1 nltdi;nltdi;C:\WINDOWS\system32\drivers\nltdi.sys [2007-04-23 13:03]
R1 SysVfs;SysVfs;C:\WINDOWS\system32\drivers\SysVfs.sys [2004-09-03 14:45]
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2005-09-27 16:19]
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2005-09-27 16:19]
R2 setup_7.0.0.180_18.05.2008_22-36;setup_7.0.0.180_18.05.2008_22-36;"C:\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_22-36.exe" -r []
R2 Vcs;Vcs support;C:\WINDOWS\System32\Drivers\Vcs.sys [2004-11-14 06:01]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 21:08]
R3 odysseyIM3;Odyssey Network Services Miniport;C:\WINDOWS\system32\DRIVERS\odysseyIM3.sys [2004-05-21 17:59]
R3 Tetris;Tetris driver;C:\WINDOWS\system32\Drivers\Tetris.sys [2005-09-27 16:19]
R3 TNET1130;D-Link AirPlus XtremeG+ Wireless Adapter;C:\WINDOWS\system32\DRIVERS\GPlus.sys [2003-08-13 15:38]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\System32\NSNDIS5.SYS [2004-03-24 04:12]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-05 22:45:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


**************************************************************************
.
Zeit der Fertigstellung: 2008-06-05 22:50:38
ComboFix-quarantined-files.txt 2008-06-05 20:49:28
ComboFix2.txt 2008-06-03 17:02:58

20 Verzeichnis(se), 7,742,443,520 Bytes frei
22 Verzeichnis(se), 7,735,705,600 Bytes frei

140

bisher geht alles wieder einwandfrei. danke für die hilfe

#8 «
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

«
LOP-Uninstall (Uninstaller) - anwenden
http://virus-protect.org/artikel/tools/cid-uninstaller.html

«
das beste , du scannst noch mal mit dr.web
http://virus-protect.org/cureit.html

dann sollte wieder alles soweit i,o. sein....
__________
MfG Sabina

rund um die PC-Sicherheit