Antivirus 2008 PRO - virusmeldungen und spyware warnungen

#1 Seit heute geht bei mir ein kleines pop up Fenster auf worin steht

Spyware Alert
Worm.Win32.NetBooster detected on your machine.This virus is distribute via the internet through e-mail and Active-X objects. The worm has its own SMTP engine with means it gathers e-mails from your local computer and redistibutes itself. In worst cases this worm can allow attackers to access your computer, stealing passwords and personal data. This process should be removed from your system.

Type: Virus
System Affected: Windows 200, NT, ME, XP, Vista
Security Risc (0-5): 5
Recommendations: click yes to remove it from your pc immediately



Dann geht diese Seite auf : h**p://antivirus-2008-pro.com/scanner.php?aff=OS
Ich habe diesen Antivir aber nicht selbst installiert!


Oder ein solches pop up Fenster geht auf:

Windows Security Alert
Windows has detected an Internet attack attempt…
Somebody’S trying to infect your pc with spyware or harmful viruses. Run full system scan now to protect your pc from Internet attacks, hijacking attempts and spyware! Click here to download spyware remover fot total protection

Außerdem blinkt unten rechts in der Taskleiste ein rotes X dann ein Fenster in dem steht: Außerdem steht rechts Neben der Uhr VIRUS ALERT!

System Alert
System detected virus activities. These may impact the performance of your computer. Please use recommended antispyware software to protect your system from parasite programms


Ich weiss nicht welche von diesen Meldungen vom Virus hervorgerufen wird und damit auch nicht was ich jetzt tun soll bitte helft mir


Achso wenn ich den Internet explorer öffne danngeht folgende Seite auf und diese schreibt sich auch bei den Internetoptionen als Startseite rein immer wieder auch wen ich das manuel ändere.

den CCleaner habe ich runtergeladen und ausgeführt als nächstes kümmere ich mich um die logfiles...


Nur um diesen Thread zu sichern stelle ich die bisherigen infos schon mal ein. Ich werde ständig unterbrochen und hatte sxchon 2 Mal einen blauen Bildschirm und nichts ging mehr.. Das bedeutete Neustart.

Es folgen die Logfiles von hijackthis und Combofix...

Gruß Stefano78


Hier kommt das logfile von Combofix:

ComboFix 08-06-10.3 - MichaelP 2008-06-11 13:10:54.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.91 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\MichaelP\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\MichaelP\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk
C:\Dokumente und Einstellungen\MichaelP\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\MichaelP\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\MichaelP\Favoriten\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\MichaelP\Startmenü\Programme\Antivirus 2008 PRO
C:\Dokumente und Einstellungen\MichaelP\Startmenü\Programme\Antivirus 2008 PRO\antivirus-2008pro.lnk
C:\kmd.exe
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\eslf.exe
C:\WINDOWS\kvsdpfeaake.dll
C:\WINDOWS\rtsplgob.dll
C:\WINDOWS\system32\ddcCTljj.dll
C:\WINDOWS\system32\jjlTCcdd.ini
C:\WINDOWS\system32\jjlTCcdd.ini2
C:\WINDOWS\system32\ljJCuuRK.dll
C:\WINDOWS\system32\wdgapgyx.dll
C:\WINDOWS\system32\xygpagdw.ini
D:\Programme\Antivirus 2008 PRO
D:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe
D:\Programme\Antivirus 2008 PRO\vscan.tsi
D:\Programme\Antivirus 2008 PRO\zlib.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-11 bis 2008-06-11 ))))))))))))))))))))))))))))))
.

2008-06-11 12:40 . 2008-06-11 12:40 <DIR> d-------- D:\Programme\CCleaner
2008-06-10 18:32 . 2008-06-10 17:30 258,048 --a------ C:\WINDOWS\xkefqtgs.dll
2008-06-10 18:32 . 2008-06-10 17:30 229,376 --a------ C:\WINDOWS\rnopbfgt.dll
2008-06-10 18:32 . 2008-06-10 17:30 81,920 --a------ C:\WINDOWS\pebgkxwq.exe
2008-06-05 19:08 . 2008-06-05 19:08 <DIR> d-------- C:\Dokumente und Einstellungen\MichaelP\temp
2008-06-05 19:08 . 2008-06-05 19:08 <DIR> d-------- C:\Dokumente und Einstellungen\MichaelP\Anwendungsdaten\TeamViewer
2008-05-17 04:24 . 2008-05-17 04:24 118 --a------ C:\WINDOWS\system32\MRT.INI
2008-05-14 17:41 . 2008-06-10 18:28 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-14 17:41 . 2008-05-14 17:41 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-11 11:56 --------- d-----w C:\Dokumente und Einstellungen\MichaelP\Anwendungsdaten\AdobeUM
2008-04-16 08:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2004-06-27 09:40 27 ----a-w D:\Programme\stinger.opt
2004-06-27 09:26 784,903 ----a-w D:\Programme\stinger.exe
2004-04-29 00:25 1,024 ----a-w C:\Dokumente und Einstellungen\MichaelP\updata.exe
2004-03-11 11:27 40,960 ----a-w D:\Programme\Uninstall_CDS.exe
2004-06-04 20:00 2,814 --sha-w C:\WINDOWS\system32\galga.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{598CA0F7-1954-49CF-8BC2-06F4123C6709}"= "C:\WINDOWS\rtsplgob.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{598ca0f7-1954-49cf-8bc2-06f4123c6709}]
[HKEY_CLASSES_ROOT\rtsplgob.1]
[HKEY_CLASSES_ROOT\TypeLib\{C75F4608-C153-4210-8E2A-EAF191523EC2}]
[HKEY_CLASSES_ROOT\rtsplgob]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"updateMgr"="D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]
"swg"="D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-06 13:53 68856]
"antivirus-2008pro.exe"="D:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 03:36 262401]
"Device Detector"="C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" [ ]
"QuickTime Task"="D:\Programme\QuickTime\qttask.exe" [2006-11-19 14:26 98304]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-11-17 11:33 3022848]
"Lexmark 1200 Series"="D:\Programme\Lexmark 1200 Series\lxczbmgr.exe" [2006-07-13 07:26 57344]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{03A80B1D-5C6A-42c2-9DFB-81B6005D8023}"= D:\Programme\Trend Micro\Tmas\sshook.dll [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"rnopbfgt"= {E4735E0A-6DC8-499A-AC97-9A4986F2E35C} - C:\WINDOWS\rnopbfgt.dll [2008-06-10 17:30 229376]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"D:\\Programme\\MSN Messenger\\msnmsgr.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-16 03:36]
R0 fasttrak;fasttrak;C:\WINDOWS\system32\DRIVERS\fasttrak.sys [2002-04-23 13:42]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-16 03:36]
S3 Amps2prt;PS/2 Port Mouse Filter Driver;C:\WINDOWS\system32\Drivers\Amps2prt.sys [2001-04-04 18:54]
S3 PentaxUsb;PENTAX Optio 50L on USB;C:\WINDOWS\system32\DRIVERS\CoachUsb.sys [2004-11-24 15:34]
S3 PentaxVc;PENTAX Optio 50L Video Capture;C:\WINDOWS\system32\DRIVERS\CoachVc.sys [2004-11-24 15:36]
S3 StMp3Rec;Treiber für Player-Wiederherstellungsgerät;C:\WINDOWS\system32\Drivers\StMp3Rec.sys [2007-02-15 14:14]
S3 VisorUsb;Handspring USB;C:\WINDOWS\system32\DRIVERS\VisorUsb.sys [2001-03-01 15:07]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6ab1522-dfde-11d9-80a1-806d6172696f}]
\Shell\AutoRun\command - F:\AutoRun\Demo.exe


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{646C9593-5DEB-4A37-628A-5D1F833F9FEA}]
C:\WINDOWS\system32\sv\sv.exe s

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7A8BCF3C-ADEB-B39D-3AD9-EE7208710DA7}]
C:\WINDOWS\system32\sv\server.exe s
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-11 13:15:58
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
D:\Programme\Ahead\InCD\incdsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Lexmark 1200 Series\lxczbmon.exe
D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Programme\Handspring\HOTSYNC.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-11 13:20:26 - machine was rebooted [MichaelP]
ComboFix-quarantined-files.txt 2008-06-11 11:20:21
ComboFix2.txt 2007-07-25 14:35:44
ComboFix3.txt 2007-07-25 08:41:47

14 Verzeichnis(se), 624,320,512 Bytes frei
16 Verzeichnis(se), 591,077,376 Bytes frei

135 --- E O F --- 2008-05-17 02:24:56



3a. Erstellen eines Hijackjthis-Logfiles:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:56: VIRUS ALERT!, on 11.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Lexmark 1200 Series\lxczbmgr.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Programme\Lexmark 1200 Series\lxczbmon.exe
D:\Programme\Handspring\HOTSYNC.EXE
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\DOKUME~1\MichaelP\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hjt.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar1.dll
O3 - Toolbar: rtsplgob - {598CA0F7-1954-49CF-8BC2-06F4123C6709} - C:\WINDOWS\rtsplgob.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Lexmark 1200 Series] "D:\Programme\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [f8b0e742] rundll32.exe "C:\WINDOWS\system32\wdgapgyx.dll",b
O4 - HKCU\..\Run: [updateMgr] "D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotSync Manager.lnk = D:\Programme\Handspring\HOTSYNC.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &eBay Search - res://D:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://homepage.t-online.de/app/static/activex/msxml4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89D6E7A0-7726-4954-AA8B-1DA5D6AB62AE}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3FEEE9F-431F-4760-B909-9675627EE2DC}: NameServer = 217.237.148.70 217.237.150.115
O21 - SSODL: rnopbfgt - {E4735E0A-6DC8-499A-AC97-9A4986F2E35C} - C:\WINDOWS\rnopbfgt.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

3b.
Erstellen einer Uninstall Liste

Ad-aware 6 Personal
Adobe Flash Player 9 ActiveX
Adobe Reader 7.0.9
Adobe Shockwave Player
Audacity 1.2.0
Avira AntiVir Personal – Free Antivirus
CCleaner (remove only)
CDex extraction audio
C-Media WDM Audio Driver
Diskeeper Professional Edition
DVD Solution
FaxTools
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
HijackThis 2.0.2
InCD
IrfanView (remove only)
Kazaa Lite 2.6.1
Lexmark 1200 Series
Lexmark Z600 Series
Logitech MouseWare 9.79.1
Microsoft Data Access Components KB870669
Microsoft Office Professional Edition 2003
Microsoft Windows-Journal-Viewer
MSXML 4.0 SP2 (KB936181)
Nero - Burning Rom
Nero OEM
PowerDVD
PowerProducer
QuickTime
ToolbarSetup
Winamp (remove only)
Windows Genuine Advantage v1.3.0254.0
Windows Installer 3.1 (KB893803)
Windows Installer 3.1 (KB893803)
Windows Live Messenger
Windows Live Sign-in Assistant




4.
Lofiles datfind.bat:

Datenträger in Laufwerk C: ist Boot
Volumeseriennummer: F8B0-E7ED

Verzeichnis von C:\WINDOWS\system32

11.06.2008 12:24 2.206 wpa.dbl
11.06.2008 10:53 19 clkcnt.txt
31.05.2008 12:11 40.836 perfc009.dat
31.05.2008 12:11 314.508 perfh009.dat
31.05.2008 12:11 320.094 perfh007.dat
31.05.2008 12:11 49.174 perfc007.dat
31.05.2008 12:11 732.342 PerfStringBackup.INI
17.05.2008 04:24 118 MRT.INI
09.05.2008 23:35 16.863.864 MRT.exe
11.04.2008 10:19 189.792 FNTCACHE.DAT
25.03.2008 06:51 187.168 msjint40.dll
25.03.2008 06:51 621.344 mswstr10.dll
25.03.2008 06:50 355.104 msxbde40.dll
25.03.2008 06:50 838.432 mswdat10.dll
25.03.2008 06:50 264.992 mstext40.dll
25.03.2008 06:50 559.904 msrepl40.dll
25.03.2008 06:50 322.336 msrd3x40.dll
25.03.2008 06:50 432.928 msrd2x40.dll
25.03.2008 06:50 355.104 mspbde40.dll
25.03.2008 06:50 219.936 msltus40.dll
25.03.2008 06:50 60.192 msjter40.dll
25.03.2008 06:50 248.608 msjtes40.dll
25.03.2008 06:50 355.112 msjetoledb40.dll
25.03.2008 06:50 1.516.568 msjet40.dll
25.03.2008 06:50 326.432 msexcl40.dll
25.03.2008 06:50 518.944 msexch40.dll
20.03.2008 10:03 1.845.376 win32k.sys
20.02.2008 08:50 282.624 gdi32.dll
20.02.2008 07:33 45.568 dnsrslvr.dll
20.02.2008 07:33 148.992 dnsapi.dll
05.02.2008 16:53 2.550 Uninstall.ico
05.02.2008 16:53 1.406 Help.ico
05.02.2008 16:53 30.590 pavas.ico


Hoffentlich kann mir jemand helfen?

Gruß Stefano78


--
End of file - 6238 bytes

#2 Hallo Stefano78

«
Lade folgende Datei bei www.virustotal.com/de hoch und poste das Ergebnis
C:\WINDOWS\pebgkxwq.exe


«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O3 - Toolbar: rtsplgob - {598CA0F7-1954-49CF-8BC2-06F4123C6709} - C:\WINDOWS\rtsplgob.dll
O4 - HKLM\..\Run: [f8b0e742] rundll32.exe "C:\WINDOWS\system32\wdgapgyx.dll",b
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O21 - SSODL: rnopbfgt - {E4735E0A-6DC8-499A-AC97-9A4986F2E35C} - C:\WINDOWS\rnopbfgt.dll

««
wende smitfraudfix Option 2 an (im abgesicherten modus)
http://virus-protect.org/artikel/tools/smitfrautfix.html

«
wende rvaxo im abgesicherten Modus an + poste dann den report hier
http://virus-protect.org/artikel/tools/rvaxo.html

«
scannen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

«
dein System updaten
http://v4.windowsupdate.microsoft.com/de/default.asp



Gruss Swiss

#3 Hallo Swiss,
zuerst vielen Dank für die Hilfe.

Hier das Ergebnis von der Datei:

C:\WINDOWS\pebgkxwq.exe

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.11.0 2008.06.11 -
AntiVir 7.8.0.55 2008.06.11 -
Authentium 5.1.0.4 2008.06.11 -
Avast 4.8.1195.0 2008.06.11 -
AVG 7.5.0.516 2008.06.11 Downloader.Adload.JD
BitDefender 7.2 2008.06.11 -
CAT-QuickHeal 9.50 2008.06.10 Trojan.Vapsup.foh
ClamAV 0.92.1 2008.06.11 -
DrWeb 4.44.0.09170 2008.06.11 -
eSafe 7.0.15.0 2008.06.11 -
eTrust-Vet 31.6.5865 2008.06.11 Win32/Pripecs!generic
Ewido 4.0 2008.06.11 -
F-Prot 4.4.4.56 2008.06.10 -
F-Secure 6.70.13260.0 2008.06.11 -
Fortinet 3.14.0.0 2008.06.10 -
GData 2.0.7306.1023 2008.06.11 -
Ikarus T3.1.1.26.0 2008.06.11 Trojan.Win32.Small.ZZB
Kaspersky 7.0.0.125 2008.06.11 -
McAfee 5314 2008.06.10 -
Microsoft 1.3604 2008.06.11 Trojan:Win32/Small.ZZB
NOD32v2 3177 2008.06.11 -
Norman 5.80.02 2008.06.10 -
Panda 9.0.0.4 2008.06.10 Adware/VapSup
Prevx1 V2 2008.06.11 Malicious Software
Rising 20.48.22.00 2008.06.11 Trojan.Win32.Vapsup.eml
Sophos 4.30.0 2008.06.11 -
Sunbelt 3.0.1145.1 2008.06.05 -
Symantec 10 2008.06.11 -
TheHacker 6.2.92.342 2008.06.11 -
VBA32 3.12.6.7 2008.06.10 -
VirusBuster 4.3.26:9 2008.06.10 -
Webwasher-Gateway 6.6.2 2008.06.11 -
weitere Informationen
File size: 81920 bytes
MD5...: 47557ec986651d968c61ebd080e5a720
SHA1..: d027e9cce79a98322b0f68d96378e29e02fa94b9
SHA256: 730d4f80008b4bfc489ad2ed0c55300ae768189c7939ddaee4f5c5a2f2c58218
SHA512: 380ec7aa98315291930ed58f48a24fcc3a4e396eba641a42752db22d926e7e01
230f5023dd00e3e3436a6537249600d253bae622401847ac58d1d285bfca6783
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x403d38
timedatestamp.....: 0x484e968a (Tue Jun 10 14:58:18 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xaed7 0xb000 6.59 00ef578ea7d153d58882339b1809be69
.rdata 0xc000 0x42a2 0x5000 4.71 2b1b1126f57d91c2abdd8cac474906ed
.data 0x11000 0x2e04 0x2000 1.52 889cad1fbc77ad5de3c923a3e032f087
.rsrc 0x14000 0xb0 0x1000 3.06 cec9b95146f57b35474dc9da6c445146

( 4 imports )
> KERNEL32.dll: LoadLibraryW, TerminateProcess, GetProcAddress, CloseHandle, SetLastError, GetCurrentProcessId, MultiByteToWideChar, GetLastError, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, EnterCriticalSection, LeaveCriticalSection, HeapFree, GetCommandLineA, GetVersionExA, HeapAlloc, GetProcessHeap, RaiseException, RtlUnwind, GetModuleHandleA, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, GetCurrentThreadId, InterlockedDecrement, Sleep, HeapSize, ExitProcess, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, DeleteCriticalSection, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, GetCPInfo, GetACP, GetOEMCP, LCMapStringA, WideCharToMultiByte, LCMapStringW, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, WriteFile, GetModuleFileNameA, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, LoadLibraryA, InitializeCriticalSection, SetStdHandle, GetConsoleCP, GetConsoleMode, FlushFileBuffers, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, SetFilePointer, CreateFileA
> ADVAPI32.dll: RegSetValueExW, RegDeleteValueW
> SHELL32.dll: SHGetSpecialFolderPathW
> ole32.dll: CoInitialize

--------------------------------------------------------------
mit dem HijackThis löschen ("fixen") erledigt
Neustart durchgeführt!


Ich finde keine smitfraudfix Option 2
kannst Du das bitte genauer beschreiben?

Gruß Stefano78
( 0 exports )

#4 Hier ist die Anleitung:
http://virus-protect.org/artikel/tools/smitfrautfix.html

Zitat

1
entpacke smitfraudfix.zip

2
starte den PC neu und (bevor das Windows Bild erscheint, mehrmals die F8 Taste drücken - wähle "Abgesicherter Modus" (Hinweis: smitfraudfix funktioniert auch im Normalmodus)

3
doppelklick smitfraudfix.cmd

4
Wähle die 2 und drücke auf Enter um die infizierten Dateien zu löschen


Du wirst dann gefragt: Do you want to clean the registry ? antworte mit Y (ja) und drücke auf Enter, um das DesktopBild zu entfernen und die Registry Schlüssel der Infektion zu bereinigen.

#5 stefano78

nach Abarbeiten von smitfraudfix:

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\system32\sv" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
notepad files.txt

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{598CA0F7-1954-49CF-8BC2-06F4123C6709}"=-
[-HKEY_CLASSES_ROOT\clsid\{598ca0f7-1954-49cf-8bc2-06f4123c6709}]
[-HKEY_CLASSES_ROOT\rtsplgob.1]
[-HKEY_CLASSES_ROOT\TypeLib\{C75F4608-C153-4210-8E2A-EAF191523EC2}]
[-HKEY_CLASSES_ROOT\rtsplgob]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"antivirus-2008pro.exe"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"rnopbfgt"=-

File::
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\xkefqtgs.dll
C:\WINDOWS\rnopbfgt.dll
C:\WINDOWS\pebgkxwq.exe

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

----------

dann kümmern wir uns um den verseuchten USB-Stick !!!!!!!!!!


«
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Hallo Sabina,

Nachdem ich alles gemacht habe wie beschrieben erscheint beim doppelklick auf smitfraudfix.cmd ein Fenster mit DATEI DOWNLOAD ausführen. Wenn ich auf Ausführen klicke erscheint ein rotes Fenster mit der Meldung:

smitfraudfix v2.323

Process.exe file missing

Drücken Sie eine beliebige Taste.


-------


was habe ich falsch gemacht?

Gruß Stefano

#7 dann lass den smitfraudfix erst mal und arbeite alles weitere ab, was ich geschrieben habe
__________
MfG Sabina

rund um die PC-Sicherheit

#8

Zitat

Sabina postete
dann lass den smitfraudfix erst mal und arbeite alles weitere ab, was ich geschrieben habe

Hallo,

Der Editor (Start - Alle Programme - Zubehör - Editor) geht gar nicht erst auf es passiert nichts!

#9 ««
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\xkefqtgs.dll
C:\WINDOWS\rnopbfgt.dll
C:\WINDOWS\pebgkxwq.exe

Klicke auf den Roten MoveIt!

-------------------

wende sdfix im abgesicherten modus an
RunThis.bat doppelt klicken
http://virus-protect.org/artikel/tools/sdfix.html

poste dann nach neustart das log
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Hallo Sabina,

alles erledigt!

hier ist das Logfile von RunThis.bat:


SDFix: Version 1.191
Run by MichaelP on 11.06.2008 at 16:25

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\DOKUME~1\MichaelP\Desktop\SDFix\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\DOKUME~1\MICHAELP\LOKALE~1\TEMPBO~1.EXE - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-11 16:39:15
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

D:\Programme\ComPlus Applications
D:\Programme\Executive Software

D:\Programme\Gemeinsame Dateien\CMEII(2)
D:\Programme\Gemeinsame Dateien\CMEII(2)\cmediagnostics.log 590 bytes
D:\Programme\Gemeinsame Dateien\DESIGNER
D:\Programme\Gemeinsame Dateien\DESIGNER\MSADDNDR.DLL 86016 bytes executable
D:\Programme\Gemeinsame Dateien\Dienste
D:\Programme\Gemeinsame Dateien\Dienste\bigfoot.bmp 2702 bytes
D:\Programme\Gemeinsame Dateien\Dienste\verisign.bmp 2702 bytes
D:\Programme\Gemeinsame Dateien\Dienste\whowhere.bmp 2702 bytes
D:\Programme\Gemeinsame Dateien\GMT(2)
D:\Programme\Gemeinsame Dateien\GMT(2)\gator.log 6941 bytes
D:\Programme\Gemeinsame Dateien\GMT(2)\helper.wav 29390 bytes
D:\Programme\Gemeinsame Dateien\GMT(2)\mepcme.dat 148 bytes
D:\Programme\Gemeinsame Dateien\GMT(2)\mepcmeft.dat 148 bytes
D:\Programme\Gemeinsame Dateien\GMT(2)\mepgh.dat 148 bytes
D:\Programme\Gemeinsame Dateien\GMT(2)\meprca.dat 148 bytes
D:\Programme\Gemeinsame Dateien\InstallShield

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1626

EDIT (Sabina)


Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"D:\\Programme\\MSN Messenger\\msnmsgr.exe"="D:\\Programme\\MSN Messenger\\msnmsgr.exe:*isabled:Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files :


File Backups: - C:\DOKUME~1\MichaelP\Desktop\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Fri 4 Jun 2004 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Mon 22 Jul 2002 418,816 ...HR --- "C:\WINDOWS\system32\Tools\All.exe"
Fri 19 Jul 2002 390,144 ...HR --- "C:\WINDOWS\system32\Tools\Change.exe"
Fri 19 Jul 2002 574,464 ...HR --- "C:\WINDOWS\system32\Tools\CheckPath.exe"
Tue 20 Aug 2002 430,592 ...HR --- "C:\WINDOWS\system32\Tools\Counter.exe"
Tue 23 Jul 2002 390,656 ...HR --- "C:\WINDOWS\system32\Tools\DelFolders.exe"
Fri 22 Nov 2002 399,872 ...HR --- "C:\WINDOWS\system32\Tools\DirectSetup.exe"
Fri 19 Jul 2002 388,096 ...HR --- "C:\WINDOWS\system32\Tools\RegClean.exe"
Fri 19 Jul 2002 388,608 ...HR --- "C:\WINDOWS\system32\Tools\Regexe.exe"
Fri 19 Jul 2002 388,096 ...HR --- "C:\WINDOWS\system32\Tools\RunRegexe.exe"
Wed 7 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\851ec77bad9deffe5a3e6f29ba9e9716\BIT1.tmp"

Finished!

#11 «
auf D:\
versteckte Systemdateien Programme und Ordner anzeigen
http://virus-protect.org/invisible.html

«
lösche:
D:\Programme\Gemeinsame Dateien\CMEII(2)
D:\Programme\Gemeinsame Dateien\GMT(2)

«
scanne mit Malwarebytes + poste den report hier
http://virus-protect.org/artikel/tools/malwarebytes.html

«
poste ein neues Log vom HijakThis
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Guten Morgen Sabina,

das habe ich erledigt:

Versteckte- und Systemdateien sichtbar machen
Standardansicht in Windows Explorer anpassen, um ausgeblendete Ordner anzuzeigen.

1. Klicke unter Start auf Arbeitsplatz.
2. Klicke im Menü Extras auf Ordneroptionen.
3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen
4. Geschützte und Systemdateien ausblenden --> Haken entfernen
5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen.

Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

-----------------------------------------------------------------

Deise beiden hier habe ich nicht gefunden:

D:\Programme\Gemeinsame Dateien\CMEII(2)
D:\Programme\Gemeinsame Dateien\GMT(2)

wenn ich das eingebe bekomme ich diese Antwort:

file D:\Programme\Gemeinsame Dateien\CMEII(2) wurde nicht gefunden stellen sSie sicher das der Pfad, bzw. die Internetadresse richtig ist.


Hier ist das Ergebnis von Malwarebytes scan:
Malwarebytes' Anti-Malware 1.17
Datenbank Version: 849

09:41:25 12.06.2008
mbam-log-6-12-2008 (09-41-25).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 77813
Scan Dauer: 23 minute(s), 28 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\WINDOWS\eslf.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{5FFBC05B-83E3-4695-847C-66B40E826301}\RP672\A0084292.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.


Hijackthis Logfil:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:43, on 12.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\QuickTime\qttask.exe
D:\Programme\Lexmark 1200 Series\lxczbmgr.exe
D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Programme\Lexmark 1200 Series\lxczbmon.exe
D:\Programme\Handspring\HOTSYNC.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
D:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
D:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\DOKUME~1\MichaelP\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hjt.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.framic-music.com/42206/42201.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: eBay Toolbar Helper - {22D8E815-4A5E-4DFB-845E-AAB64207F5BD} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: eBay Toolbar - {92085AD4-F48A-450D-BD93-B28CC7DF67CE} - D:\Programme\eBay\eBay Toolbar2\eBayTB.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Lexmark 1200 Series] "D:\Programme\Lexmark 1200 Series\lxczbmgr.exe"
O4 - HKCU\..\Run: [updateMgr] "D:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [swg] D:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotSync Manager.lnk = D:\Programme\Handspring\HOTSYNC.EXE
O8 - Extra context menu item: &eBay Search - res://D:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab27571.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-18.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - https://homepage.t-online.de/app/static/activex/msxml4.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{89D6E7A0-7726-4954-AA8B-1DA5D6AB62AE}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{A3FEEE9F-431F-4760-B909-9675627EE2DC}: NameServer = 217.237.148.70 217.237.150.115
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6656 bytes
----------------------------------------------------------------------

Hallo Sabina,
habe Fertig?

Gruß Stefano

#13 Hallo stefano78

1.
lade otmoveIt auf D:\
http://virus-protect.org/artikel/tools/otmoveIt.html

öffne: OTMoveIt.exe
OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

D:\Programme\Gemeinsame Dateien\CMEII
D:\Programme\Gemeinsame Dateien\GMT
D:\Programme\Gemeinsame Dateien\CMEII(2)
D:\Programme\Gemeinsame Dateien\GMT(2)

Klicke auf den Roten MoveIt!

----------

2.
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

(oder, wenn es nicht funktioniert: C:\QooBox löschen)

------------

3.
lade combofix neu + poste den report
http://virus-protect.org/artikel/tools/combofix.html

------------------
!!
kommst du inzwischen in den Texteditor ????

versuche es mal mit:

Start/Ausführen den Befehl: notepad
eingeben
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hallo Sabia,

lade otmoveIt auf D:\
http://virus-protect.org/artikel/tools/otmoveIt.html

öffne: OTMoveIt.exe
OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat:
D:\Programme\Gemeinsame Dateien\CMEII
D:\Programme\Gemeinsame Dateien\GMT
D:\Programme\Gemeinsame Dateien\CMEII(2)
D:\Programme\Gemeinsame Dateien\GMT(2)

Klicke auf den Roten MoveIt!

---------- Erledigt !!!

2.
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

(oder, wenn es nicht funktioniert: C:\QooBox löschen)

------------ Erledigt !!!

3.
lade combofix neu + poste den report
http://virus-protect.org/artikel/tools/combofix.html

------------------ Erledigt !!!

Dabei ist mit die Logdatei verloren gegangen. wo finde ich die wieder? oder muss ich nochmal Cmbofix starten?



!!
kommst du inzwischen in den Texteditor ????

versuche es mal mit:

Auf dem herkömmlichen Weg hat es nicht geklappt aber so wie unten beschrieben komme ich in den Editor!

Start/Ausführen den Befehl: notepad
eingeben
__________
MfG Sabina


[b]Gruß Stefano[/b]

#15 Hallo Stefano78

Das combofix-Log findest du hier:
C:/Combofix/combofix.txt

Gruss Swiss