IE AntiVir - System error

#76 Hallo Sabrina
ja alles wieder normal, danke für alles.

lg Jojo

#77 Hallo Nezbez

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8AE578E0-6DF5-41E0-869F-F65A32D2F6BD}]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\antispy]

File::
C:\WINDOWS\system32\xmlview.dll
C:\WINDOWS\system32\xmlsys.dll
C:\WINDOWS\system32\xmlwin.dll

Folder::
C:\Programme\IEAntiVirus

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

-----------------

Combofix
falls es nicht funktioniert, melde dich, dann entfernen wir die Malware anders.
__________
MfG Sabina

rund um die PC-Sicherheit

#78 Hallo Nezbez

du musst das script von Combofix genaustens so erstellen und anwenden, wie ich es beschrieben habe.
sonst löscht die combofix nix aus.
also noch mal..und korrekt , bitte

--------

dann surfst du mit einem IE aus der Internetsteinzeit
Internet Explorer v6.00
und ohne alle Windowsupdates ??? Kein Wunder, dass du Probleme hast, d.h. der Rechner....
__________
MfG Sabina

rund um die PC-Sicherheit

#79 hoppla. da hab ich wohl beim ersten mal, das script nicht richtig ins combofix geschoben. ist jetz nach dem zweiten mal jedenfalls verschwunden. (hoffe das soll so sein.) im log file stand jetz auch was von "Löschungen" dieser drei .dll dateien.
problem ist anscheinend auch verschwunden.

Zitat

dann surfst du mit einem IE aus der Internetsteinzeit
Internet Explorer v6.00
und ohne alle Windowsupdates ??? Kein Wunder, dass du Probleme hast, d.h. der Rechner....

surfe eigentlich nie mit ie , nur netscape. für dich wahrscheinlich noch haare sträubender . . hatte mit dem ganzen neueren zeugs nur immer mehr probleme als mit den alten sachen. so hatte eigentlich auch noch nie welche. deswegen "oldschool" .

jedenfalls vielen vielen dank für deine hilfe.
HEeey Super Sabi Uh Uh )

#80 Brauche auch mal eure Hilfe.

ComboFix 08-07-01.5 - Devilfighter 2008-07-02 18:27:00.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.2719 [GMT 2:00]
ausgeführt von:: D:\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\wsnpoem
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\wsnpoem\audio.dll
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\wsnpoem
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\wsnpoem\audio.dll
C:\WINDOWS\system32\phcc15j0ec8c.bmp
C:\WINDOWS\system32\system\

----- BITS: Possible infected sites -----

//updatestar.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-06-02 bis 2008-07-02 ))))))))))))))))))))))))))))))
.

2008-07-02 17:02 . 2008-07-02 17:02 <DIR> d-------- C:\WINDOWS\LastGood
2008-06-29 22:58 . 2008-06-29 22:58 26,624 --a------ C:\WINDOWS\system32\domsys.dll
2008-06-29 10:23 . 2008-06-29 10:25 <DIR> d-------- C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\Azureus
2008-06-29 10:23 . 2008-06-29 10:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus
2008-06-29 09:46 . 2008-06-29 09:57 <DIR> d-------- C:\Programme\LimeWire
2008-06-29 09:46 . 2008-06-29 09:57 <DIR> d-------- C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\LimeWire
2008-06-28 15:52 . 2008-06-28 16:07 <DIR> d-------- C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\dvdcss
2008-06-28 11:15 . 2008-06-28 11:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-06-28 11:09 . 2008-04-07 05:38 45,392 -ra------ C:\WINDOWS\system32\AdobePDF.dll
2008-06-28 11:09 . 2008-04-07 05:38 22,872 -ra------ C:\WINDOWS\system32\AdobePDFUI.dll
2008-06-25 20:32 . 2008-06-25 20:32 <DIR> d-------- C:\Programme\MSXML 4.0
2008-06-20 17:32 . 2008-06-20 17:32 <DIR> d-------- C:\Programme\Ontrack
2008-06-17 22:42 . 2008-06-17 22:46 <DIR> d-------- C:\Programme\BildCommander
2008-06-16 23:11 . 2008-07-01 00:08 4,096 --ahs---- C:\VSNAP.IDX
2008-06-16 22:13 . 2008-06-16 22:13 <DIR> d-------- C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\Symantec
2008-06-16 22:07 . 2008-05-07 16:46 215,144 -ra------ C:\WINDOWS\patchw32.dll
2008-06-16 22:06 . 2008-05-07 16:46 215,144 -ra------ C:\WINDOWS\pw32a.dll
2008-06-16 21:58 . 2008-07-02 18:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-06-16 21:58 . 2008-05-07 12:30 137,952 --a------ C:\WINDOWS\system32\drivers\symsnap.sys
2008-06-16 21:58 . 2008-01-19 20:12 128,104 --a------ C:\WINDOWS\system32\drivers\WimFltr.sys
2008-06-16 21:58 . 2008-05-07 16:44 107,368 --a------ C:\WINDOWS\system32\GEARAspi.dll
2008-06-16 21:58 . 2008-01-19 19:45 38,112 --a------ C:\WINDOWS\system32\drivers\v2imount.sys
2008-06-16 21:58 . 2008-05-07 16:44 16,168 --a------ C:\WINDOWS\system32\drivers\GEARAspiWDM.sys
2008-06-16 21:58 . 2008-01-19 19:40 15,088 --a------ C:\WINDOWS\system32\drivers\vproeventmonitor.sys
2008-06-16 21:57 . 2008-06-16 21:57 <DIR> d-------- C:\Programme\Norton Ghost
2008-06-16 21:57 . 2008-06-16 22:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-06-11 23:43 . 2008-06-11 23:43 111,992 --a------ C:\WINDOWS\system32\acaptuser32.dll
2008-06-11 17:42 . 2008-06-11 17:42 <DIR> d-------- C:\Dokumente und Einstellungen\Devilfighter\Screenshots
2008-06-11 17:01 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-06-11 17:00 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-09 18:22 . 2008-06-30 18:26 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-06-09 18:22 . 2008-06-09 18:22 1,409 --a------ C:\WINDOWS\QTFont.for
2008-06-09 17:56 . 2008-06-09 18:19 <DIR> d-------- C:\Dokumente und Einstellungen\Devilfighter\Phone Browser
2008-06-09 17:56 . 2008-06-09 17:56 <DIR> d-------- C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\Datalayer
2008-06-09 17:41 . 2008-06-09 18:39 <DIR> d-------- C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\Nokia Multimedia Player
2008-06-09 17:35 . 2008-06-09 17:35 <DIR> d-------- C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\Nokia
2008-06-09 17:34 . 2008-06-09 17:35 <DIR> d-------- C:\Programme\Nokia
2008-06-09 17:34 . 2008-06-09 17:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PCSuite
2008-06-09 17:34 . 2008-06-09 17:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nokia
2008-06-09 17:34 . 2008-06-09 17:34 <DIR> d-------- C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\PC Suite
2008-06-09 17:34 . 2008-06-09 17:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2008-06-09 16:55 . 2008-06-29 21:56 201 --a------ C:\WINDOWS\wininit.ini
2008-06-08 23:25 . 2008-06-08 23:24 691,545 --a------ C:\WINDOWS\unins000.exe
2008-06-08 23:25 . 2008-06-08 23:25 2,562 --a------ C:\WINDOWS\unins000.dat
2008-06-08 22:16 . 2008-06-08 22:16 <DIR> d-------- C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\shca15j0ec8c
2008-06-07 14:44 . 2008-06-07 14:44 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-06-05 18:53 . 2008-07-02 16:57 13,086 --a------ C:\WINDOWS\system32\Config.MPF
2008-06-05 18:51 . 2008-06-06 23:40 <DIR> d-------- C:\Programme\SiteAdvisor
2008-06-05 18:51 . 2008-06-05 18:51 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\SiteAdvisor
2008-06-05 18:51 . 2008-06-06 23:07 <DIR> d-------- C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\SiteAdvisor
2008-06-05 18:50 . 2006-03-03 08:07 143,360 --a------ C:\WINDOWS\system32\dunzip32.dll
2008-06-05 18:50 . 2007-11-22 06:44 33,832 --a------ C:\WINDOWS\system32\drivers\mferkdk.sys
2008-06-05 18:49 . 2008-06-05 18:49 <DIR> d-------- C:\Programme\McAfee.com
2008-06-05 18:49 . 2008-07-02 17:02 <DIR> d-------- C:\Programme\McAfee
2008-06-05 18:49 . 2008-06-05 19:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\McAfee
2008-06-05 18:49 . 2007-11-22 06:44 201,320 --a------ C:\WINDOWS\system32\drivers\mfehidk.sys
2008-06-05 18:49 . 2007-07-13 06:20 113,952 --a------ C:\WINDOWS\system32\drivers\Mpfp.sys
2008-06-05 18:49 . 2007-11-22 06:44 79,304 --a------ C:\WINDOWS\system32\drivers\mfeavfk.sys
2008-06-05 18:49 . 2007-12-02 12:51 40,488 --a------ C:\WINDOWS\system32\drivers\mfesmfk.sys
2008-06-05 18:49 . 2007-11-22 06:44 35,240 --a------ C:\WINDOWS\system32\drivers\mfebopk.sys
2008-06-02 21:08 . 2008-06-08 22:13 <DIR> d-------- C:\Dokumente und Einstellungen\Devilfighter\dwhelper

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-02 16:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-02 16:03 --------- d-----w C:\Programme\SpywareGuard
2008-07-02 16:01 --------- d-----w C:\Programme\Unlocker
2008-06-30 18:20 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-06-30 18:16 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-06-29 21:03 --------- d-----w C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\uTorrent
2008-06-29 15:35 --------- d---a-w C:\Programme\ScreentakerDotNET
2008-06-29 08:11 --------- d-----w C:\Programme\uTorrent
2008-06-28 09:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-06-27 16:40 --------- d-----w C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\teamspeak2
2008-06-20 15:32 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-15 15:17 --------- d-----w C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\Skype
2008-06-15 14:09 --------- d-----w C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\skypePM
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-09 17:05 --------- d-----w C:\Programme\DivX
2008-06-09 15:35 --------- d-----w C:\Programme\DIFX
2008-06-09 15:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2008-06-09 15:19 --------- d-----w C:\Programme\Ad Muncher
2008-06-09 15:11 --------- d-----w C:\Programme\a-squared Free
2008-06-09 15:09 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-06-09 15:09 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-06-09 15:09 --------- d-----w C:\Programme\Festplatten-Inspektor
2008-06-08 20:51 --------- d-----w C:\Programme\RegCleaner
2008-06-08 20:29 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-08 20:27 --------- d-----w C:\Programme\SpywareBlaster
2008-06-07 18:22 --------- d-----w C:\Programme\WINDOWS MEDIA CONNECT 2
2008-06-05 16:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SiteAdvisor
2008-06-05 16:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2008-06-05 16:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-31 06:32 --------- d-----w C:\Programme\Advanced System Cleaner
2008-05-30 23:22 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-05-30 23:22 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-05-30 23:22 815,104 ----a-w C:\WINDOWS\system32\divx_xx0a.dll
2008-05-30 23:22 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-05-30 23:22 683,520 ----a-w C:\WINDOWS\system32\DivX.dll
2008-05-30 23:22 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-05-30 23:22 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-05-30 23:22 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-05-30 23:22 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-05-30 23:22 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-05-30 23:22 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-05-27 18:00 --------- d-----w C:\Programme\xp-AntiSpy
2008-05-27 17:59 --------- d-----w C:\Programme\QuickTime
2008-05-27 17:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-05-27 16:53 355,584 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe
2008-05-22 22:22 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-05-22 22:22 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-05-22 22:20 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-05-22 22:20 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-22 22:19 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-05-22 22:19 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-05-22 22:19 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-05-22 22:18 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-22 14:40 --------- d-----w C:\Programme\GMX MultiMessenger
2008-05-22 14:40 --------- d-----w C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\GMX
2008-05-22 14:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GMX
2008-05-17 12:56 28,416 ----a-w C:\WINDOWS\system32\uxtuneup.dll
2008-05-14 20:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-11 11:10 --------- d-----w C:\Programme\MSBuild
2008-05-11 11:10 --------- d-----w C:\Programme\Microsoft Works
2008-05-11 11:09 --------- d-----w C:\Programme\Microsoft.NET
2008-05-11 11:08 --------- d-----w C:\Programme\Microsoft Visual Studio 8
2008-05-08 14:02 203,136 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-06 20:25 --------- d-----w C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\DivX
2008-05-06 15:51 --------- d-----w C:\Programme\FlashFXP
2008-05-06 15:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FlashFXP
2008-05-04 19:06 --------- d-----w C:\Programme\DVD Shrink
2008-05-04 17:56 --------- d-----w C:\Programme\Logitech
2008-05-04 17:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2008-05-04 16:38 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-05-04 14:12 --------- d-----w C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\InstallShield Installation Information
2008-05-04 13:46 --------- d-----w C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\vlc
2008-05-04 13:31 --------- d-----w C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\Logitech
2008-05-04 13:18 --------- d-----w C:\Programme\Bluetooth Software
2008-05-04 13:14 --------- d-----w C:\Programme\CD-Druckerei
2008-05-04 12:57 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-05-04 12:55 --------- d-----w C:\Programme\Windows Media Components
2008-05-04 12:55 --------- d-----w C:\Programme\directx
2008-05-04 12:55 --------- d-----w C:\Programme\DesktopX
2008-05-04 12:52 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-04 12:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Stardock
2008-05-04 12:39 --------- d-----w C:\Programme\AlienGUIse
2008-05-04 12:38 --------- d-----w C:\Programme\Stardock
2008-05-04 12:36 --------- d-----w C:\Programme\PhotoImpact 12
2008-05-04 12:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-05-04 12:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Ulead Systems
2008-05-04 12:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
2008-05-04 12:31 --------- d-----w C:\Programme\Bonjour
2008-05-04 12:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-05-04 12:02 --------- d-----w C:\Programme\NeroInstall.bak
2008-05-04 12:02 --------- d-----w C:\Programme\D-Tools
2008-05-04 12:01 --------- d-----w C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\Nero
2008-05-04 12:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-05-04 12:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-05-04 11:59 --------- d-----w C:\Programme\Nero
2008-05-04 11:59 --------- d-----w C:\Programme\AnyDVD
2008-05-04 11:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-05-04 11:58 --------- d-----w C:\Programme\CloneDVD2
2008-05-04 11:56 --------- d-----w C:\Programme\CloneCD
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3}]
2008-06-11 22:33 75128 --a------ C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F4971EE7-DAA0-4053-9964-665D8EE6A077}]
2008-06-11 22:42 345480 --a------ C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]
"Screentaker.NET"="C:\Programme\ScreentakerDotNET\Screentaker.NET.exe" [2007-07-08 16:37 36864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiteAdvisor"="C:\Programme\SiteAdvisor\6261\SiteAdv.exe" [2007-06-22 01:12 36640]
"mcagent_exe"="C:\Programme\McAfee.com\Agent\mcagent.exe" [2007-11-01 19:12 582992]
"Norton Ghost 14.0"="C:\Programme\Norton Ghost\Agent\VProTray.exe" [2008-05-07 17:13 2245984]
"Adobe Acrobat Speed Launcher"="C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe" [2008-06-12 02:25 37232]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe" [2008-06-11 22:43 640376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 07:52 15360]

C:\Dokumente und Einstellungen\Devilfighter\Startmen�\Programme\Autostart\
Verkn�pfung mit AdMunch.lnk - C:\Programme\Ad Muncher\AdMunch.exe [2008-05-04 11:58:38 7168]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="userinit.exe"
"UIHost"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\MCPClient]
2005-01-31 15:13 49152 C:\PROGRA~1\GEMEIN~1\Stardock\MCPStub.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
2001-12-20 23:34 24576 C:\Programme\AlienGUIse\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll acaptuser32.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
"UpdateStar"=C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\UpdateStar\UpdateStar.exe -A
"MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
"IncrediMail"=C:\Programme\IncrediMail\bin\IncMail.exe /c
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"Start WingMan Profiler"="C:\Programme\Logitech\Profiler\lwemon.exe" /noui

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"CloneCDTray"="C:\Programme\CloneCD\CloneCDTray.exe" /s
"HDInspector.exe"=C:\Programme\Festplatten-Inspektor\HDInspector.exe
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"Launch LGDCore"="C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
"Launch LCDMon"="C:\Programme\Logitech\G-series Software\LCDMon.exe"
"LogitechGalleryRepair"=C:\Programme\Logitech\ImageStudio\ISStart.exe
"LogitechImageStudioTray"=C:\Programme\Logitech\ImageStudio\LogiTray.exe
"Logitech Hardware Abstraction Layer"=KHALMNPR.EXE
"LVCOMS"=C:\Programme\Gemeinsame Dateien\Logitech\QCDriver\LVCOMS.EXE
"Ulead AutoDetector v2"=C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
"C6501Sound"=RunDll32 c6501.cpl,CMICtrlWnd
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"PCSuiteTrayApplication"=C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
"SpyHunter Security Suite"=C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
"McENUI"=C:\PROGRA~1\McAfee\MHN\McENUI.exe /hide

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\FlashFXP\\FlashFXP.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"E:\\Battlefield 2\\BF2.exe"=
"E:\\PB\\pbsetup.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\drivers\\PnkBstrK.sys"=
"C:\\Programme\\Ad Muncher\\AdMunch.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\GMX MultiMessenger\\MESSENGR.EXE"=
"C:\\Programme\\Gemeinsame Dateien\\McAfee\\MNA\\McNASvc.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\uTorrent\\utorrent-1.8-beta-11140.upx.exe"=

R2 Symantec SymSnap VSS Provider;Symantec SymSnap VSS Provider;C:\WINDOWS\system32\dllhost.exe [2008-04-14 07:52]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 07:53]
R3 cm102u32;C-Media CM6501 Like Sound Interface;C:\WINDOWS\system32\drivers\c6501.sys [2006-09-05 11:04]
R3 SymSnapService;SymSnapService;"C:\Programme\Norton Ghost\Shared\Drivers\SymSnapService.exe" [2008-05-07 12:30]
S2 0013711215010980mcinstcleanup;McAfee Application Installer Cleanup (0013711215010980);C:\WINDOWS\TEMP\001371~1.EXE C:\PROGRA~1\GEMEIN~1\McAfee\INSTAL~1\cleanup.ini []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-27 18:53]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-07-02 16:00:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
"2008-06-27 09:10:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-06-05 16:49:50 C:\WINDOWS\Tasks\McDefragTask.job"
- c:\programme\mcafee\mqc\QcConsol.exe'
"2008-06-05 16:49:49 C:\WINDOWS\Tasks\McQcTask.job"
- c:\programme\mcafee\mqc\QcConsol.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-02 18:28:11
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-02 18:29:11
ComboFix-quarantined-files.txt 2008-07-02 16:28:41

7 Verzeichnis(se), 25,380,864,000 Bytes frei
9 Verzeichnis(se), 25,368,190,976 Bytes frei

314 --- E O F --- 2008-06-25 18:32:07

#81 Hallo Devilfighter

1.
loesche: C:\WINDOWS\system32\domsys.dll mit
http://virus-protect.org/artikel/tools/undll.html

2.
http://virus-protect.org/artikel/tools/otmoveIt.html
Download OTMoveIt zum Desktop
OTMoveIt öffne: OTMoveIt.exe
OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\Programme\Enigma Software Group
C:\Programme\SpywareGuard
C:\Programme\Advanced System Cleaner
C:\WINDOWS\unins000.exe
C:\WINDOWS\unins000.dat
C:\Dokumente und Einstellungen\Devilfighter\Anwendungsdaten\shca15j0ec8c

Klicke auf den Roten MoveIt!

3.
wende navilog an, Option 1 und dann Option 2
http://virus-protect.org/artikel/tools/navilog.html

4.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

5.
scanne online mit Bitdefender + lasse alles entfernen, was noch gefunden wird
http://virus-protect.org/artikel/tools/bitdefender.html

-----------

denke über eine Neuinstallation von Windows nach, denn du hattes auf dem Rechner: wsnpoem (Backdoor-Trojaner mit der Bezeichnung "WSNPOEM") - womit alle Passworte geändert werden sollten und Formatieren das beste wäre.....
Dieser Trojaner spioniert den infizierten PC aus und die dadurch erlangten Daten werden an einen ausländischen Server weitergeleitet.
__________
MfG Sabina

rund um die PC-Sicherheit

#82 Hallo Zusammen,

hatte mir das Problem auch eingefangen. Und mich fast schwarz gegoogelt.
Glücklicherweise hab ich dann doch einen guten Tipp gefunden.

Da hier jede Menge Leute nachfragen wie's zu fixen ist. Hier vielleicht die Alternative. Bei mir hat's geholfen!

http://www.malwarebytes.org/forums/index.php?showtopic=4420

MfG
knopfauge

#83 knopfauge
die Malware ist sehr vielfältig.
http://virus-protect.org/artikel/spyware/ieantivirus-remove.html

und es kommen immer neue dll und exe dazu.
deshalb ist es immer noch am besten, per HijackThis und Combofix nachzusehen
Hier ist noch keiner aus dem Thread gegangen, ohne, dass sein Problem nicht gelöst wurde.
__________
MfG Sabina

rund um die PC-Sicherheit

#84 Hallo Sabina,

das find ich auch gut so. Deswegen nochmal ein ganz großes Lob an Dich.

Hab mir doch überlegt Dir das Log zu schicken. Sicher ist sicher.

Jedoch erkennt mein AntiVirenProg GData AntivirenKIt Die Combofix.exe immer als "W32/KillProc.C"

Will jetzt ungern meinen Virenschutz deaktivieren. :-(
Was soll ich tun?


Vielen Dank, schon mal im Vorab.
MfG Knopfauge

#85 Hallo knopfauge

deaktivere ruhig - ist kein Problem, Antivirus erkennt , dass es ein Killprogramm ist, kein virus
__________
MfG Sabina

rund um die PC-Sicherheit

#86 ComboFix 08-07-02.3 - Jens 2008-07-03 11:43:03.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.399 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Jens\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\slonyx.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-03 bis 2008-07-03 ))))))))))))))))))))))))))))))
.

2008-07-02 22:38 . 2008-07-02 22:38 <DIR> d-------- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Malwarebytes
2008-07-02 22:37 . 2008-07-02 22:37 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-02 22:37 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-02 22:37 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-02 20:42 . 2008-07-02 20:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-07-02 20:41 . 2008-07-02 20:41 <DIR> d-------- C:\Programme\Apple Software Update
2008-07-02 20:41 . 2008-07-02 20:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-07-02 19:53 . 2008-07-02 20:02 <DIR> d-------- C:\Programme\Spyware Doctor
2008-07-02 19:53 . 2008-07-02 19:53 <DIR> d-------- C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\PC Tools
2008-07-02 19:53 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-07-02 19:53 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-07-02 19:53 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-07-02 19:53 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-07-02 19:42 . 2008-07-02 20:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-07-02 18:55 . 2008-07-02 20:49 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-02 21:07 --------- d-----w C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\The Bat!
2008-07-02 17:42 --------- d-----w C:\Programme\Google
2008-06-30 11:48 --------- d-----w C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\MyPhoneExplorer
2008-06-26 08:37 --------- d-----w C:\Programme\Tobit InfoCenter
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-03 06:27 --------- d-----w C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\FRITZ!
2008-05-30 07:09 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-30 06:51 --------- d-----w C:\Programme\Trend Micro
2008-05-30 06:41 45,768 ----a-w C:\WINDOWS\system32\drivers\MiniIcpt.sys
2008-05-30 06:40 40,400 ----a-w C:\WINDOWS\system32\drivers\GDTdiIcpt.sys
2008-05-30 06:40 --------- d-----w C:\Programme\Gemeinsame Dateien\G DATA
2008-05-30 06:40 --------- d-----w C:\Programme\G DATA
2008-05-30 06:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA
2008-05-14 11:01 --------- d-----w C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\Tobit
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-27 17:16 2,829 ----a-w C:\WINDOWS\War3Unin.pif
2008-04-27 17:16 126,976 ----a-w C:\WINDOWS\War3Unin.exe
2006-12-11 14:38 366,250 ----a-w C:\Dokumente und Einstellungen\Jens\database.dat
2006-12-11 14:38 24,619 ----a-w C:\Dokumente und Einstellungen\Jens\undo.dat
2001-10-05 10:53 21,866 -c--a-w C:\Programme\Gemeinsame Dateien\tppupd2k.dll
.

------- Sigcheck -------

2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\explorer.exe
2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2003-04-02 14:00 1007104 22b0a56e6c5847292437078b484ec61b C:\WINDOWS\$NtServicePackUninstall$\explorer.exe
2004-08-04 09:57 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\ServicePackFiles\i386\explorer.exe
2007-06-13 15:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\system32\dllcache\explorer.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EFC34894-0983-4385-8057-6AA5A8FE0642}]
2007-04-16 12:02 386048 --a------ D:\PROGRA~1\NETVIE~1\one2one\Plugin\IEPLUG~1\IEONE2~1.DLL

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{CFC903DC-64D4-41AD-8EA7-B7A93F618F1A}"= "D:\PROGRA~1\NETVIE~1\one2one\Plugin\IEPLUG~1\IEONE2~1.DLL" [2007-04-16 12:02 386048]

[HKEY_CLASSES_ROOT\clsid\{cfc903dc-64d4-41ad-8ea7-b7a93f618f1a}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 18:43 4670704]
"SybaseCentral43"="D:\Programme\Sybase\Shared9\Sybase Central 4.3\win32\scjview.exe" [2006-09-28 14:44 102400]
"DBISQL9"="D:\Programme\Sybase\SQL Anywhere 9\win32\dbisqlg.exe" [2006-10-27 18:11 135168]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"RocketDock"="C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe" [2007-03-19 00:05 630784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ETapiSt"="D:\Programme\Ascotel\BusinessCall\etapist.exe" [2007-03-05 09:12 344064]
"pdfFactory Pro Dispatcher v2"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis2a.exe" [2004-04-12 15:26 425984]
"TPP Auto Loader"="C:\WINDOWS\TPPALDR.EXE" [2001-10-05 12:54 118784]
"AVK Client"="C:\PROGRA~1\GDATA~1\AVKCLI~1\AvkCl.exe" [2007-11-06 12:18 775752]
"SoundMan"="SOUNDMAN.EXE" [2003-06-03 03:45 54784 C:\WINDOWS\SOUNDMAN.EXE]
"ATIModeChange"="Ati2mdxx.exe" [2003-06-03 03:46 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ETapiNotify"="eclientn.exe" [2007-09-18 13:44 188416 C:\WINDOWS\system32\eclientn.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 16:32 56080 C:\WINDOWS\KHALMNPR.Exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 16:32 56080 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
"Picasa Media Detector"="D:\Programme\Picasa2\PicasaMediaDetector.exe" [2008-02-26 03:23 443968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"vidc.DIVF"= DivX412.dll
"msacm.l3fhg"= mp3fhg.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"VIDC.YV12"= yv12vfw.dll
"msacm.ac3filter"= ac3filter.acm
"msacm.divxa32"= divxa32.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Sybase\\SQL Anywhere 9\\win32\\dbisqlg.exe"=
"D:\\Programme\\Sybase\\Shared9\\Sybase Central 4.3\\win32\\scjview.exe"=
"D:\\Programme\\Sybase\\SQL Anywhere 7\\win32\\dbeng7.exe"=
"D:\\Programme\\Sybase\\SQL Anywhere 9\\win32\\dbeng9.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"D:\\TL\\ASA60\\win32\\DBENG6.EXE"=
"D:\\Programme\\totalcmd\\TOTALCMD.EXE"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"\\\\W2003srv\\Winpro1\\TimeLine\\Hotline\\NetViewerB.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"D:\\Programme\\xampp\\apache\\bin\\apache.exe"=
"D:\\Programme\\Sybase\\SQL Anywhere 9\\win32\\dbsrv9.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Abacast\\Abaclient.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\msncall.exe"=
"D:\\Programme\\Sony Ericsson\\Update Service\\ma3platform.exe"=
"D:\\Programme\\TurboNote\\tbnote.exe"=
"D:\\Programme\\The Bat!\\thebat.exe"=
"D:\\Programme\\SMTPAuth\\SMTPAuth.exe"=
"D:\\Programme\\Ascotel\\BusinessCall\\ClnInst.exe"=
"C:\\Programme\\Sybase\\SQL Anywhere 9\\win32\\dbeng9.exe"=
"E:\\Programme\\Warcraft III\\Warcraft III.exe"=
"C:\\Dokumente und Einstellungen\\Jens\\Lokale Einstellungen\\Anwendungsdaten\\Abacast\\Abaclient2.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26135:TCP"= 26135:TCP:BitComet 26135 TCP
"26135:UDP"= 26135:UDP:BitComet 26135 UDP

R1 SSHDRV85;SSHDRV85;C:\WINDOWS\system32\drivers\SSHDRV85.sys [2008-03-24 04:17]
R2 AntiVirusKit Client;G DATA AntiVirus Client;"C:\Programme\G DATA\AVKClient\AVKCl.exe" [2007-11-06 12:18]
R2 AVKProxy;AVKProxy;"C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe" [2007-10-02 14:23]
R2 AVKWCtl;AVK Wächter;"C:\Programme\G DATA\AVKClient\AVKWCtl.exe" [2007-11-05 18:12]
R2 DavidReplica;David Replica;C:\Programme\Tobit InfoCenter\David\Apps\Replica\CODE\replica.exe [2008-01-09 15:11]
R2 DavidServiceLayer;David Service Layer;C:\Programme\Tobit InfoCenter\David\Code\SL.EXE [2008-02-28 09:04]
R2 GDTdiInterceptor;GDTdiInterceptor;C:\WINDOWS\system32\drivers\GDTdiIcpt.sys [2008-05-30 08:40]
R3 GDMnIcpt;GDMnIcpt;C:\WINDOWS\system32\drivers\MiniIcpt.sys [2008-05-30 08:41]
S2 SMTPAuth;SMTPAuth;D:\Programme\SMTPAuth\Service.exe [2006-05-31 18:51]
S3 ASANYs_asa7;Adaptive Server Anywhere - asa7;d:\programme\sybase\sql anywhere 7\win32\dbsrv7.exe [2005-02-23 21:30]
S3 ASANYs_asa9;Adaptive Server Anywhere - asa9;D:\Programme\Sybase\SQL Anywhere 9\win32\dbsrv9.exe [2006-10-27 18:09]
S3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2004-06-24 03:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12

.
Inhalt des "geplante Tasks" Ordners
"2008-07-02 18:41:37 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-03 11:47:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.dll
.
------------------------ Other Running Processes ------------------------
.
D:\Programme\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\Programme\xampp\mysql\bin\mysqld-nt.exe
D:\Programme\ProShowGold\scsiaccess.exe
D:\Programme\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-03 11:52:03 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-03 09:51:52

6 Verzeichnis(se), 566,890,496 Bytes frei
8 Verzeichnis(se), 565,665,792 Bytes frei

180 --- E O F --- 2008-06-23 06:42:05

#87 Hallo knopfauge

Combofix hat schon rausgeholt, was noch an Schadware vorhanden war
und ich habe wieder eine neue dll für meine Seite - C:\WINDOWS\system32\slonyx.dll

ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

Alles Gute
__________
MfG Sabina

rund um die PC-Sicherheit

#88 Hallo Sabina,

besten Dank für alles. Bin froh Dir doch noch das Log geschickt zu haben, sonst wären die beiden Dateien unentdeckt geblieben.

Nochmals Danke.

Eh ich es vergesse. Hast Du eine Idee wie das Zeug auf meinen PC gekommen ist? Das hätte doch eigentlich das Antivirenkit abfangen müssen. Aber leider tat's dass nicht. Nicht mal beim PLattencheck.


Alles Gute,
Knopfauge

#89 Hallo knopfauge

ich nehme an, ein verseuchter Code. Also von dir selbst angeklickt und geladen.
__________
MfG Sabina

rund um die PC-Sicherheit

#90 @ Sabrina habe auch probs mit dem IE Antivir... schau doch mal bitte drüber
ComboFix 08-07-02.5 - Torsten 2008-07-03 18:26:24.2 - [color=red]FAT32[/color]x86
ausgeführt von:: C:\Dokumente und Einstellungen\Torsten\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
[color=purple]The following files were disabled during the run:[/color]
C:\Programme\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll


((((((((((((((((((((((( Dateien erstellt von 2008-06-03 bis 2008-07-03 ))))))))))))))))))))))))))))))
.

2008-07-03 17:26 . 2008-07-03 17:26 <DIR> d-------- C:\Programme\Trend Micro
2008-07-03 17:06 . 2008-07-03 17:06 <DIR> d-------- C:\Programme\Enigma Software Group
2008-07-03 16:58 . 2008-07-03 16:58 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-07-03 16:58 . 2008-07-03 16:58 <DIR> d-------- C:\WINDOWS\LastGood
2008-07-03 16:58 . 2008-07-03 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-07-03 14:52 . 2008-07-03 14:52 26,624 --a------ C:\WINDOWS\system32\agino32.dll
2008-07-02 13:52 . 2008-07-02 13:52 <DIR> d-------- C:\Dokumente und Einstellungen\Torsten\Anwendungsdaten\S.A.D
2008-07-02 13:46 . 2008-07-02 13:46 <DIR> d-------- C:\Programme\S.A.D
2008-07-02 13:18 . 2008-07-02 13:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogMeIn
2008-07-02 13:17 . 2008-07-02 13:18 1,024 --a------ C:\.rnd
2008-06-30 16:28 . 2008-06-30 16:28 <DIR> d-------- C:\Programme\ICQ6Toolbar
2008-06-30 16:28 . 2008-06-30 16:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-06-30 16:24 . 2008-06-30 16:24 <DIR> d-------- C:\Programme\ICQ6
2008-06-11 19:09 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-29 10:15 --------- d-----w C:\Programme\Backgammon Pro
2008-05-28 10:32 10,040 ----a-w C:\WINDOWS\system32\lmimirr2.dll
2008-05-10 18:49 --------- d-----w C:\Dokumente und Einstellungen\Achim\Anwendungsdaten\vlc
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\RMCast.sys
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:14 1,293,312 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2008-04-23 20:16 3,591,680 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-04-22 07:40 625,664 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-04-22 07:39 70,656 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-04-22 07:39 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-20 05:07 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2007-09-29 14:42 4,768 ----a-w C:\Dokumente und Einstellungen\Achim\HKLM_Run.reg
2007-09-29 14:42 230 ----a-w C:\Dokumente und Einstellungen\Achim\HKLM_RunOnce.reg
2007-09-29 14:42 228 ----a-w C:\Dokumente und Einstellungen\Achim\HKCU_RunOnce.reg
2007-09-29 14:42 1,102 ----a-w C:\Dokumente und Einstellungen\Achim\HKCU_Run.reg
.

((((((((((((((((((((((((((((( snapshot@2008-07-03_16.24.54.65 )))))))))))))))))))))))))))))))))))))))))
.
+ 2005-05-24 10:27:16 213,048 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
+ 2007-10-21 19:40:14 94,208 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
+ 2007-10-21 19:40:16 950,272 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
+ 2004-12-07 08:11:00 258,352 ----a-w C:\WINDOWS\system32\unicows.dll
+ 2006-09-11 09:56:00 526,184 ----a-w C:\WINDOWS\system32\XceedCry.dll
+ 2006-12-21 13:18:00 497,496 ----a-w C:\WINDOWS\system32\XceedZip.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E014A78F-34DC-4BE5-83BB-58CA12E384B6}]
2008-07-03 14:52 26624 --a------ C:\WINDOWS\system32\agino32.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-03-10 12:20 67128]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-10-06 14:16 49152]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2006-06-26 21:09 1211176]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-10 19:56 68856]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"3DMouse"="C:\PROGRA~1\3DMouse\3DMouse.EXE" [2003-10-16 18:17 143360]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 15:11 262401]
"DataLayer"="C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE" [2004-12-09 12:14 1068032]
"FLMOFFICE4DMOUSE"="C:\Programme\Office Mouse\moffice.exe" [2005-11-16 18:46 806912]
"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 15:51 57344]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2003-08-29 14:17 188416]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2003-08-29 14:20 77824]
"MCAgentExe"="c:\PROGRA~1\mcafee.com\agent\mcagent.exe" [2005-09-22 18:29 303104]
"MCUpdateExe"="C:\PROGRA~1\mcafee.com\agent\McUpdate.exe" [2006-01-11 12:05 212992]
"MediaKey"="C:\PROGRA~1\MediaKey\MediaKey.EXE" [2002-11-06 04:20 155648]
"MessengerPlus3"="C:\Programme\MessengerPlus! 3\MsgPlus.exe" [2006-04-21 17:32 190024]
"MPFExe"="C:\PROGRA~1\MCAFEE.COM\PERSON~1\MPFTRAY.EXE" [2003-09-06 21:49 1380352]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-10-06 14:16 5058560]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2003-10-06 14:16 49152]
"PCSuiteTrayApplication"="D:\Progs\Nokia\Nokia PC Suite 6\Launch Application 2.exe" [2004-11-25 12:59 143360]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-03-27 14:51 77824]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2004-03-18 09:33 892928]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 17:17 159744]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 20:21 57344]
"SpyHunter Security Suite"="C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2008-06-19 16:48 851968]
"nwiz"="nwiz.exe" [2003-10-06 14:16 741376 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2004-03-23 20:39:00 110592]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
Bluetooth Manager.lnk - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2004-12-21 20:42:32 45056]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm
"MSACM.CEGSM"= mobilev.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\System32\\LEXPPS.EXE"=
"C:\\Programme\\Kazaa Lite K++\\KazaaLite.kpp"=
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"=
"C:\\Programme\\McAfee.com\\Agent\\MCUPDATE.EXE"=
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\Messenger\\MSMSGS.EXE"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-19 15:11]
R0 WDMCAPI;ISDN PCI CAPI;C:\WINDOWS\system32\DRIVERS\WDMCAPI.sys [2002-11-15 08:02]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-19 15:11]
R3 WDMWANMP;NDIS WAN miniport;C:\WINDOWS\system32\DRIVERS\wdmwanmp.sys [2002-05-22 06:29]
S3 PID_0920;Logitech QuickCam Express(PID_0920);C:\WINDOWS\system32\DRIVERS\LV532AV.SYS [2003-09-16 04:41]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\pcwstart.exe

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-03 18:29:18
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\Programme\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Programme\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll
.
Zeit der Fertigstellung: 2008-07-03 18:30:09
ComboFix-quarantined-files.txt 2008-07-03 16:30:06
ComboFix2.txt 2008-07-03 14:25:38

16 Verzeichnis(se), 2,072,182,784 Bytes frei
18 Verzeichnis(se), 2,071,281,664 Bytes frei

153 --- E O F --- 2008-06-21 16:25:01
__________
MFG E'o'D