VIRUS ALERT! - Seit Virus mindestens 3 Fehler

Thema ist geschlossen!
Thema ist geschlossen!
#0
30.06.2008, 14:18
...neu hier

Beiträge: 5
#16 achja:
- der desktophintergrund is weiß, bei einem rechtsklick erhält man ein dropdownmenü, als wäre es eine inetseite("vor" "zurück" "seitenquelltext anzeigen" usw)
das ist der quelltext davon:

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<!----
***** This file is automatically generated by Microsoft Windows *****
--------><HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=windows-1252"></HEAD>
<BODY
style="BORDER-RIGHT: medium none; BORDER-TOP: medium none; BORDER-LEFT: medium none; BORDER-BOTTOM: medium none"
bottomMargin=0 bgColor=#dadada leftMargin=0 background="" topMargin=0
rightMargin=0>
<DIV
style="LEFT: 0px; WIDTH: 1280px; POSITION: absolute; TOP: 0px; HEIGHT: 960px"><IMG
style="LEFT: 0px; WIDTH: 100%; POSITION: absolute; TOP: 0px; HEIGHT: 100%" cache
src="file:///C:/Dokumente%20und%20Einstellungen/Florian/Lokale%20Einstellungen/Anwendungsdaten/Microsoft/Wallpaper1.bmp">
</DIV><IFRAME id=0
style="Z-INDEX: 1000; BACKGROUND: none transparent scroll repeat 0% 0%; LEFT: 0px; WIDTH: 1280px; POSITION: absolute; TOP: 0px; HEIGHT: 960px"
name=DeskMovrW marginWidth=0 marginHeight=0
src="file:///C:\WINDOWS\privacy_danger\index.htm" frameBorder=0
subscribed_url="" resizeable="XY"> </IFRAME>
<OBJECT id=ActiveDesktopMover
style="LEFT: 0px; VISIBILITY: hidden; WIDTH: 0px; POSITION: absolute; TOP: 0px; HEIGHT: 0px; container: positioned; zIndex: 5"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>
<OBJECT id=ActiveDesktopMoverW
style="Z-INDEX: 999; LEFT: 0px; VISIBILITY: hidden; WIDTH: 1px; POSITION: absolute; TOP: 0px; HEIGHT: 960px; container: positioned"
classid=clsid:72267F6A-A6F9-11D0-BC94-00C04FB67863></OBJECT>&nbsp;
</BODY></HTML>



das ist das logfile von hijackthis, vll hilft es ja weiter:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:18: VIRUS ALERT!, on 30.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\BlueSoleil\BlueSoleilCS.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\BlueSoleil\BsHelpCS.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\PROGRAMME\FRAPS\FRAPS.EXE
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Safari\Safari.exe
D:\Programme\CCleaner\CCleaner.exe
C:\PMAIL\winpm-32.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = //softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [d408ce97] rundll32.exe "C:\WINDOWS\system32\pulgcqgy.dll",b
O4 - HKCU\..\Run: [Fraps] D:\PROGRAMME\FRAPS\FRAPS.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Alles mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://D:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://D:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: pntqkflv - {3F75C59C-053C-4D62-9626-E7478D836ED6} - C:\WINDOWS\pntqkflv.dll
O21 - SSODL: qegbdmwf - {6827A4FE-8751-4EC4-B28B-83AD68F5A838} - C:\WINDOWS\qegbdmwf.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleilCS - Unknown owner - D:\Programme\BlueSoleil\BlueSoleilCS.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: BsHelpCS - Unknown owner - D:\Programme\BlueSoleil\BsHelpCS.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O24 - Desktop Component 0: Privacy Protection - fiC:\WINDOWS\privacy_danger\

--
End of file - 6649 bytes
Seitenanfang Seitenende
30.06.2008, 15:42
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#17 Aniron

mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O4 - HKLM\..\Run: [d408ce97] rundll32.exe "C:\WINDOWS\system32\pulgcqgy.dll",b

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O21 - SSODL: pntqkflv - {3F75C59C-053C-4D62-9626-E7478D836ED6} - C:\WINDOWS\pntqkflv.dll

O21 - SSODL: qegbdmwf - {6827A4FE-8751-4EC4-B28B-83AD68F5A838} - C:\WINDOWS\qegbdmwf.dll

O24 - Desktop Component 0: Privacy Protection - ///C:\WINDOWS\privacy_danger\
««
wende smitfraudfix Option 2 an
http://virus-protect.org/artikel/tools/smitfrautfix.html

«
scannen + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.06.2008, 18:12
...neu hier

Beiträge: 5
#18 viele dank für die schnelle antwort, ich werde es gleich ausprobieren





edit:

das is das log von malwarebytes:

Malwarebytes' Anti-Malware 1.19
Datenbank Version: 908
Windows 5.1.2600 Service Pack 2

19:30:20 30.06.2008
mbam-log-6-30-2008 (19-30-15).txt

Scan Art: Komplett Scan (C:\|D:\|G:\|)
Objekte gescannt: 251424
Scan Dauer: 52 minute(s), 27 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 3
Infizierte Registrierungsschlüssel: 125
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 13
Infizierte Verzeichnisse: 0
Infizierte Dateien: 27

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\lenjgmii.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\pmnKCTNf.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\qoMfeeeB.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{785ee791-ea81-4f2e-b636-19f947fc971f} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{785ee791-ea81-4f2e-b636-19f947fc971f} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{e55e1c86-434d-46f9-a253-2de4ab3f9734} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e55e1c86-434d-46f9-a253-2de4ab3f9734} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\qomfeeeb (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{367c28cf-9525-4e86-8a55-c3c14e14cb8a} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{14b8149c-a16b-429e-a48e-d00166b0b74b} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{00ca8b1a-8ab4-466d-860a-3519431d999d} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{01b672e7-a3af-454a-a897-fceab38c677d} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{01d4060a-d6c5-4708-8a75-8a9a83e024c6} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{029929d2-aee9-4006-bb6a-b983dad07bbe} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{06c3726c-6423-47d1-901b-176363324256} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0874061f-0f7a-48d6-9226-5f1bf21a6917} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{089b6bcd-9292-4f6b-85ae-17ec14fdbdd5} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0c12d235-09f3-4162-b129-e26162b807ea} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{186195e4-2035-4f05-8de4-db6e8cdc7a56} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{193fbb2d-41ac-4ca1-9bcf-3dfdc4913098} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1a9ea1cf-8bad-475b-8d70-df26e6b7df8e} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1aef4aff-4bbf-49e9-b6d2-9d6bf99a2d62} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1b7cd77e-93b2-4d80-871f-85f5aa1f85c2} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1bbd024c-edc8-48de-9b2d-dd6c5a6724e2} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1caeff8f-b432-4d20-abfd-16602e13074d} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1da13caf-1414-4594-a73c-7a8c852a20ef} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{20af49fc-9c0e-41c4-bcbb-5f8fc73b6119} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{223951e7-788d-4b8f-9cb3-b56155767f1e} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{24a36229-5403-4f58-9615-3be506cfa98e} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{25d419e9-27eb-4aab-8975-ee4993e7a74b} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{268397c6-e280-4c2e-b583-a7a7e92b0607} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{28360248-d24c-440c-95a7-136319b730f6} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2aba7789-d021-4d23-8ed4-9cef37d3c9c3} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{30d5a62a-b3ac-40ef-aaa8-3863179cd2e9} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3370af3c-4b58-4f16-a7d8-acd101ecc9e8} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3511ee85-47b8-4e04-97ca-5f222e7e3d80} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3578ff6f-2ee5-420e-89e9-5e7681076494} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3a82ac7e-a48a-4f07-bef7-565e47c4895f} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3b21dc71-7a8b-4fa3-8d1d-b550633dccb1} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3bc433d9-2c1c-4c70-9343-25a91827e012} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3c913264-8e9b-45a6-b2c9-991d98818e9f} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3f386009-a07e-4343-84d9-8662746acbca} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{41e145ff-52d4-449d-830f-29a499a67873} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4454c715-e64f-49bb-b7c1-1d098834f27d} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4d3d4c9c-33e7-411f-8140-c33d04432d17} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{505bda8b-8346-4b8e-b8bb-22fd125fb4b2} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{506e2b49-ab84-4eeb-b757-8c1542032660} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{50c84f54-33a2-43f6-ab5b-54a7117c300b} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{511990c9-6d82-4397-8963-330b7b80f8b9} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{52f58cc4-8253-423f-b3ee-8bf23214917c} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{553427fc-cda7-4b23-b761-10232c325dd3} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{57c93e06-b842-42f8-afff-cd2023ee4723} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5fa74064-3209-4d35-81b1-1081806120cd} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6156411d-39fc-4232-9162-4c8575b076bd} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{61a5b70f-bd45-44e2-87f6-5dfb811ce453} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6404bbee-3527-4572-9621-15d9ed83d7a8} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{66350d54-ea9b-4d4a-b70a-742e6f0b1f7f} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6727340b-e7bb-421a-859c-3554501e9f9d} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{67eca145-4c34-4c85-bb36-11a5f70520d7} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{68ff0119-de31-42e6-b04c-50575d00bf67} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6942b25d-3d24-41da-9fd6-9ae610ec5c9f} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{69d08d4b-d603-4d87-8654-6334f608eaf4} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{69ea7c37-d81f-4c82-9734-7808fc0e8b84} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{746b9185-0c58-4267-b516-c0d14783477d} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{7498c58a-fe26-4026-a61a-7a7981632e30} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{78947e2d-ce52-4ff0-86ed-9d0baaa2fb62} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{79293454-0012-4a4b-a8cb-6442b1118c99} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{7de32de0-83c7-4cb6-a8c7-1b14de9d0e74} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{7f7a1e18-c476-40e2-b86d-c0c7b8d93e4f} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{87460cae-6583-416a-b9b6-703e730843e6} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{87860e68-672e-477f-8fdc-cb43fec41cc0} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8acf2192-0349-4f2f-bd32-b07074efdb19} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8af37822-322f-49dc-a089-70f88be20903} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8b28f765-923c-4eb3-ba0f-e0ae374e243d} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8d44f1c9-0bbe-4913-ab71-947125cc3df1} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8fac9f95-d495-466b-b84f-7487854a8d92} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{91570acb-141d-4d93-ba6d-437982924cff} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{94a4b0ba-c6c7-4338-a6f2-a6eca7a7b023} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9a37c18f-afed-4202-9efd-faa30fb00071} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9aae9f07-8e6f-4907-b928-61d3b64cc775} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a1c23d69-d24a-4f39-b133-43befdaaebc1} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a25ef7a0-6c67-4626-8c0c-2a45772ba418} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a3cba9eb-bead-4859-be11-65ced2862d5d} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a63fe7ed-36f6-4de4-847d-246c046e4746} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a8ea3357-705d-47f4-bf3a-43b2c5a1cb33} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a9feddd0-d746-4cfb-a43a-d55df38d0152} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{aaefed00-29d8-4f75-b66f-6035cc5046fc} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{adb8f5c5-e3f3-48d8-afd7-978bd8e6b6a6} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b5fb70a4-e583-4681-8ab2-ab0a3aaec83d} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b7265ea7-170c-4c13-abf8-bd266b1a821b} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b73271bc-af6c-45a7-9153-2febae6b304b} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b8e835b9-57e4-4d21-bde9-60e541cc65e8} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{bf011c6b-e8f6-4466-b3e5-f107b8daea1c} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{bf7f8102-1f3c-44c7-a91b-1c4eb112544c} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c2c60cc6-221c-423a-b853-63ccd43026cc} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c5a0ea02-4b62-4ee8-86d5-2b3220e90af7} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ca6217ab-bcd0-419b-9f65-84e00dc5e943} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ca7c331c-1e54-4575-888f-386591a9d7b4} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{cab50fe6-cc9a-464a-be87-89a61594746a} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{cc36cc22-5a4d-4ca4-9f5a-2f2c2716792a} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ce0d894a-6925-4c33-bdd0-adbd0a29622c} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ce9a0f6f-9d8a-42ee-9508-2109c276571a} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{cf02dcce-f181-4f39-a0ef-eb90550e5ffa} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d0bbba62-26a6-4891-a4d4-98ff1c9cb60d} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d17399fa-af54-40a0-b8d1-e3d6f174647c} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d1972bc8-3fdf-44bf-8398-ca3c4dc2c760} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d2b22021-0fd0-41fd-9392-ff1e8b9acfc9} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d32210d2-eb83-4327-ab51-50e29855236a} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d5cffed1-0f14-4a9e-a62e-3d4f2641cb06} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d6d8360b-0952-4317-8faa-669b0f624267} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d7af4128-5df8-4db3-b319-5d441041eaea} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{de7bd24c-cea7-459b-86cb-1ccf39082b87} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{dfc167a0-b117-48ce-a926-841d82a82fd0} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{e0c20d2c-d97a-4325-977b-a25e415b89b3} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{e297fc7a-a179-4fe5-b0e2-6f9210d3406b} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{e2a35644-c7b2-4ceb-95f2-8f2e4d43cfd4} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{e86bcfa2-121e-4961-acca-c5c43e948344} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ed6ec1c1-6b1b-4ef9-9035-63e3e115980d} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f096cba3-73b0-4921-9ddb-4d2e4d288996} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f0a99628-83ba-4ffc-a11b-346327418073} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f38810d5-f090-4444-9681-9ea043b20847} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f5183232-cd16-49b1-86ba-644293fc8554} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{fccd4355-050b-49e8-b3a6-d7b1e1ddb9c2} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\gxvpsafm.bodb (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\gxvpsafm.toolbar.1 (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\d408ce97 (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{e55e1c86-434d-46f9-a253-2de4ab3f9734} (Trojan.Vundo) -> No action taken.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\pmnkctnf -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\pmnkctnf -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (76416-OEM-0066414-95649) -> No action taken.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\pmnKCTNf.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\fNTCKnmp.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\fNTCKnmp.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\cbXQiIXo.dll_old (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\oXIiQXbc.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\oXIiQXbc.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\lenjgmii.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\iimgjnel.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\maxcacxh.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hxcacxam.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\yfgnjanj.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jnajngfy.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\qoMfeeeB.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0FCZ5X67\CANEUTZN (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8H2BWNGJ\kb456456[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SRY9EHQ9\CA4PGLS3 (Trojan.Vundo) -> No action taken.
C:\Downloads\ViRiLiTY-AVC3198\Alive Video Converter + keygen\keygen.exe (Spyware.OnlineGames) -> No action taken.
C:\System Volume Information\_restore{6B1C8E39-D08F-4F5F-B94E-CD46E25C9E8D}\RP323\A0054241.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{6B1C8E39-D08F-4F5F-B94E-CD46E25C9E8D}\RP323\A0054328.exe (Rogue.Installer) -> No action taken.
C:\System Volume Information\_restore{6B1C8E39-D08F-4F5F-B94E-CD46E25C9E8D}\RP323\A0054396.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{6B1C8E39-D08F-4F5F-B94E-CD46E25C9E8D}\RP323\A0054406.dll (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{6B1C8E39-D08F-4F5F-B94E-CD46E25C9E8D}\RP323\A0054407.dll (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{6B1C8E39-D08F-4F5F-B94E-CD46E25C9E8D}\RP324\A0054436.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\efbq.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\tovafrnm.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\qegbdmwf.dll (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\TmpRecentIcons\antivirus-2008pro.lnk (Rogue.Link) -> No action taken.


edit:
und hier noch von combofix:

ComboFix 08-06-20.4 - Florian 2008-06-30 19:34:29.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.548 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Florian\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\efbq.exe
C:\WINDOWS\system32\fNTCKnmp.ini
C:\WINDOWS\system32\fNTCKnmp.ini2
C:\WINDOWS\system32\hxcacxam.ini
C:\WINDOWS\system32\iimgjnel.ini
C:\WINDOWS\system32\jnajngfy.ini
C:\WINDOWS\system32\oWwacccf.ini
C:\WINDOWS\system32\oWwacccf.ini2
C:\WINDOWS\system32\oXIiQXbc.ini
C:\WINDOWS\system32\oXIiQXbc.ini2
C:\WINDOWS\system32\pmnKCTNf.dll
C:\WINDOWS\system32\ygqcglup.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-30 ))))))))))))))))))))))))))))))
.

2008-06-30 19:40 . 2008-06-30 19:40 294 ---hs---- C:\WINDOWS\system32\iimgjnel.ini
2008-06-30 18:35 . 2008-06-30 18:35 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Malwarebytes
2008-06-30 18:35 . 2008-06-30 18:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-30 18:35 . 2008-06-28 14:16 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-30 18:35 . 2008-06-28 14:16 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-30 18:26 . 2008-06-30 18:26 2,174 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-30 18:25 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-06-30 18:25 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-06-30 18:25 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-06-30 18:25 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-06-30 18:25 . 2008-06-23 23:34 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-06-30 18:25 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe
2008-06-30 18:25 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-06-30 18:25 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-30 18:25 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-06-30 18:23 . 2008-06-30 18:23 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-30 18:23 . 2008-06-30 18:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-06-30 18:23 . 2008-06-30 18:23 91,520 --a------ C:\WINDOWS\system32\lenjgmii.dll
2008-06-30 18:13 . 2008-06-30 18:13 91,520 --a------ C:\WINDOWS\system32\yfgnjanj.dll
2008-06-30 17:07 . 2008-06-30 17:07 318,208 --------- C:\WINDOWS\system32\cbXQiIXo.dll_old
2008-06-30 15:45 . 2008-06-30 15:46 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
2008-06-30 15:04 . 2008-06-30 18:06 307 --a------ C:\WINDOWS\wininit.ini
2008-06-30 14:23 . 2007-08-24 08:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-06-30 14:23 . 2007-08-24 09:22 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-06-30 14:23 . 2007-08-24 09:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-06-30 14:23 . 2007-08-24 09:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-06-30 14:23 . 2007-08-24 09:22 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-06-30 14:23 . 2007-08-24 09:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-06-30 14:23 . 2008-06-30 15:45 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-06-30 14:23 . 2008-06-30 14:23 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-06-30 01:48 . 2008-06-30 01:48 92,032 --a------ C:\WINDOWS\system32\maxcacxh.dll
2008-06-29 19:42 . 2008-06-29 19:42 28,800 --a------ C:\WINDOWS\system32\qoMfeeeB.dll
2008-06-29 19:41 . 2008-06-29 10:49 225,280 --a------ C:\WINDOWS\qegbdmwf.dll
2008-06-29 19:41 . 2008-06-29 10:49 81,920 --a------ C:\WINDOWS\tovafrnm.exe
2008-06-29 19:38 . 2008-06-29 19:38 <DIR> d-------- C:\Programme\MSXML 4.0
2008-06-23 20:49 . 2008-06-23 20:49 <DIR> d-------- C:\Programme\TeamViewer3
2008-06-23 20:49 . 2008-06-23 20:49 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\temp
2008-06-23 20:49 . 2008-06-23 21:12 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\TeamViewer
2008-06-22 21:03 . 2008-06-22 21:04 <DIR> d-------- C:\WINDOWS\uninstall\Awakening of the Rebellion - Return of the Gameplay
2008-06-22 21:03 . 2008-06-22 21:03 <DIR> d-------- C:\WINDOWS\uninstall
2008-06-19 16:42 . 2008-06-24 12:10 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Petroglyph
2008-06-11 15:18 . 2008-06-30 14:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-01 15:01 . 2001-05-24 15:02 328,704 --a------ C:\WINDOWS\IsUn0407.exe
2008-06-01 14:59 . 2008-06-01 15:06 880 --a------ C:\WINDOWS\STBC.ini
2008-05-20 23:01 . 2008-05-20 23:01 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Turbine
2008-05-20 22:55 . 2008-05-20 22:55 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2008-05-06 21:15 . 2008-05-06 21:15 <DIR> d-------- C:\WINDOWS\ulead.dat
2008-05-06 21:15 . 2008-05-06 21:15 <DIR> d-------- C:\WINDOWS\Noslip
2008-05-06 21:15 . 1997-11-11 22:33 317,440 --a------ C:\WINDOWS\IsUninst.exe
2008-05-06 21:15 . 2008-05-07 17:46 89 --a------ C:\WINDOWS\ULead32.ini
2008-05-06 21:15 . 2008-05-06 21:15 24 --a------ C:\WINDOWS\system32\Kene32.uns
2008-05-06 21:14 . 2008-05-06 21:14 <DIR> d-------- C:\Dokumente und Einstellungen\Florian\WINDOWS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-30 17:40 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-30 16:22 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-29 21:59 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\phonostar-Player
2008-06-29 19:38 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\ICQ
2008-06-24 10:16 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-19 14:30 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-06-14 17:57 273,024 ----a-w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 15:58 341 ----a-w C:\Programme\INSTALL.LOG
2008-06-08 21:10 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\OpenOffice.org2
2008-05-25 21:50 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\Free Download Manager
2008-05-20 13:22 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\DNA
2008-05-18 19:07 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\foobar2000
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-30 20:36 --------- d-----w C:\Dokumente und Einstellungen\Florian\Anwendungsdaten\teamspeak2
2008-04-21 07:01 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2007-04-23 12:21 269,824 ----a-w C:\WINDOWS\inf\WG111v3\Vista64\wg111v3.sys
2007-04-23 12:11 224,896 ----a-w C:\WINDOWS\inf\WG111v3\wg111v3.sys
2006-12-15 09:30 98,304 ----a-w C:\WINDOWS\inf\WG111v3\UScanM.exe
2006-12-15 09:30 66,048 ----a-w C:\WINDOWS\inf\WG111v3\EAPPkt.sys
2006-12-15 09:30 315,392 ----a-w C:\WINDOWS\inf\WG111v3\InstallDriver.exe
2006-12-15 09:30 28,672 ----a-w C:\WINDOWS\inf\WG111v3\SetDrv.exe
2006-12-15 09:30 212,992 ----a-w C:\WINDOWS\inf\WG111v3\CopyWHQLDriver.exe
2006-12-15 09:30 20,480 ----a-w C:\WINDOWS\inf\WG111v3\RTWUPath.exe
2006-12-15 09:30 19,968 ----a-w C:\WINDOWS\inf\WG111v3\RTWREFU.EXE
2003-12-18 09:33 20,102 ----a-w C:\Programme\Readme.txt
2003-09-03 05:46 10,960 ----a-w C:\Programme\EULA.txt
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{785EE791-EA81-4F2E-B636-19F947FC971F}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B6144C61-D68E-496A-B280-34916FEDFE54}]
C:\WINDOWS\system32\fcccawWo.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E55E1C86-434D-46F9-A253-2DE4AB3F9734}]
2008-06-29 19:42 28800 --a------ C:\WINDOWS\system32\qoMfeeeB.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F252A127-3215-423D-8275-81C0F579B58B}]
C:\WINDOWS\system32\cbXQiIXo.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Fraps"="D:\PROGRAMME\FRAPS\FRAPS.EXE" [2007-09-11 11:19 908968]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"SpybotSD TeaTimer"="D:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"SUPERAntiSpyware"="D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="atiptaxx.exe" [2005-02-22 21:05 339968 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 04:21 262401]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-11-22 17:10 185896]
"BluetoothAuthenticationAgent"="bthprops.cpl,,BluetoothAuthenticationAgent" []
"d408ce97"="C:\WINDOWS\system32\lenjgmii.dll" [2008-06-30 18:23 91520]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{E55E1C86-434D-46F9-A253-2DE4AB3F9734}"= C:\WINDOWS\system32\qoMfeeeB.dll [2008-06-29 19:42 28800]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= D:\Programme\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
D:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 D:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMfeeeB]
qoMfeeeB.dll 2008-06-29 19:42 28800 C:\WINDOWS\system32\qoMfeeeB.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WB]
D:\Programme\AlienGUIse\fastload.dll 2001-12-21 00:34 24576 D:\Programme\AlienGUIse\fastload.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=wbsys.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^NETGEAR WG111v3 Smart Wizard.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\NETGEAR WG111v3 Smart Wizard.lnk
backup=C:\WINDOWS\pss\NETGEAR WG111v3 Smart Wizard.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Ralink Wireless Utility.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ralink Wireless Utility.lnk
backup=C:\WINDOWS\pss\Ralink Wireless Utility.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Florian^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=C:\Dokumente und Einstellungen\Florian\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Florian^Startmenü^Programme^Autostart^Alienware Dock.lnk]
path=C:\Dokumente und Einstellungen\Florian\Startmenü\Programme\Autostart\Alienware Dock.lnk
backup=C:\WINDOWS\pss\Alienware Dock.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Florian^Startmenü^Programme^Autostart^hamachi.lnk]
path=C:\Dokumente und Einstellungen\Florian\Startmenü\Programme\Autostart\hamachi.lnk
backup=C:\WINDOWS\pss\hamachi.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Florian^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk]
path=C:\Dokumente und Einstellungen\Florian\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent DNA]
--a------ 2008-05-09 16:42 289088 C:\Programme\DNA\btdna.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BtTray]
--a------ 2007-09-10 12:08 258134 D:\Programme\BlueSoleil\BtTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2007-09-18 16:16 171464 D:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Download Manager]
--a------ 2007-12-16 21:39 2449455 D:\Programme\Free Download Manager\fdm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2008-04-16 21:49 172280 D:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MimBoot]
--a------ 2005-05-10 16:04 11776 D:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer]
--a------ 2007-12-05 17:14 126976 D:\Programme\phonostar\ps_timer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 06:24 286720 D:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-06-17 15:21 1271032 D:\Programme\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
C:\Programme\TGTSoft\StyleXP\StyleXP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-11-22 17:10 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh]
--a------ 2008-02-22 22:42 3537968 D:\Programme\Veoh Networks\Veoh\VeohClient.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\FlatOut2\\FlatOut2.exe"=
"D:\\Programme\\Halo\\halo.exe"=
"C:\\WINDOWS\\system32\\ElectricSheep.scr"=
"D:\\Programme\\Call of Duty 2\\CoD2MP_s.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"D:\\Programme\\LucasArts\\Star Wars Republic Commando\\GameData\\System\\SWRepublicCommando.exe"=
"D:\\Programme\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"D:\\Programme\\THQ\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"D:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Programme\\phonostar\\ps_olect.exe"=
"C:\\Programme\\Sony\\Station\\LaunchPad\\LaunchPad.exe"=
"D:\\Programme\\Steam\\SteamApps\\first_aniron\\counter-strike\\hl.exe"=
"D:\\Programme\\Steam\\SteamApps\\first_aniron\\ricochet\\hl.exe"=
"D:\\Programme\\Aliens vs. Predator 2\\lithtech.exe"=
"D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"D:\\Programme\\BlueSoleil\\BlueSoleilCS.exe"=
"C:\\Programme\\DNA\\btdna.exe"=
"D:\\Programme\\BitTorrent\\bittorrent.exe"=
"D:\\Programme\\Der Herr der Ringe Online\\lotroclient.exe"=
"D:\\Programme\\LucasArts\\Star Wars Empire at War\\GameData\\sweaw.exe"=
"C:\\Programme\\TeamViewer3\\TeamViewer.exe"=
"D:\\Programme\\LucasArts\\Star Wars Empire at War Forces of Corruption\\swfoc.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"81:TCP"= 81:TCP:192.168.178.20/255.255.255.255:Enabled:Bifrost

R1 atitray;atitray;D:\Programme\omegadriver\ATI Tray Tools\atitray.sys [2007-05-22 11:04]
R2 BlueSoleilCS;BlueSoleilCS;D:\Programme\BlueSoleil\BlueSoleilCS.exe [2007-09-14 10:44]
R3 BsHelpCS;BsHelpCS;D:\Programme\BlueSoleil\BsHelpCS.exe [2007-08-17 16:58]
R3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2007-08-27 12:24]
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-06-28 14:16]
S3 musbehco;musbehco;C:\DOKUME~1\Florian\LOKALE~1\Temp\musbehco.sys []
S3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;C:\WINDOWS\system32\DRIVERS\wg111v3.sys [2007-04-23 14:11]

.
Inhalt des "geplante Tasks" Ordners
"2008-06-27 15:16:40 C:\WINDOWS\Tasks\1-Click Maintenance.job"
- D:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
"2008-06-23 20:00:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-30 19:40:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINDOWS\system32\iimgjnel.ini 294 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\qoMfeeeB.dll

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\lenjgmii.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
D:\Programme\AlienGUIse\wbload.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\verclsid.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-30 19:43:50 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-30 17:43:30

11 Verzeichnis(se), 3,621,134,336 Bytes frei
13 Verzeichnis(se), 3,532,406,784 Bytes frei

273 --- E O F --- 2008-06-21 01:01:36





ich hoffe sehr ihr könnt mir dabei helfen, schonmal danke im voraus ;)
Dieser Beitrag wurde am 30.06.2008 um 19:44 Uhr von Aniron editiert.
Seitenanfang Seitenende
30.06.2008, 21:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#19 Hallo,Aniron

wer keygens lädt, zerschiesst sich den rechner, ich hoffe, du hast daraus gelernt.... ;)

0.
entferne mit Cleaner alle temporären Dateien
http://www.ccleaner.de/?protecus.de

1.
scanne noch mal mit Malwarebytes - -> No action taken. ist nicht angebracht, das Proggie löscht !!!

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Driver::
musbehco

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qoMfeeeB]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{E55E1C86-434D-46F9-A253-2DE4AB3F9734}"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{785EE791-EA81-4F2E-B636-19F947FC971F}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B6144C61-D68E-496A-B280-34916FEDFE54}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E55E1C86-434D-46F9-A253-2DE4AB3F9734}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F252A127-3215-423D-8275-81C0F579B58B}]

File::
C:\WINDOWS\system32\cbXQiIXo.dll
C:\WINDOWS\system32\cbXQiIXo.dll_old
C:\WINDOWS\system32\fcccawWo.dll
C:\WINDOWS\system32\iimgjnel.ini
C:\WINDOWS\system32\lenjgmii.dll
C:\WINDOWS\system32\yfgnjanj.dll
C:\WINDOWS\system32\maxcacxh.dll
C:\WINDOWS\system32\qoMfeeeB.dll
C:\WINDOWS\qegbdmwf.dll
C:\WINDOWS\tovafrnm.exe

Folder::
C:\Downloads\ViRiLiTY-AVC3198
C:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0FCZ5X67
C:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8H2BWNGJ
C:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SRY9EHQ9
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


poste das neue log von Combofix

««
dann versuche die Windowsupdates zu machen und berichte, ob es klappt, oder ob eine Fehlermeldung kommt.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.07.2008, 13:38
...neu hier

Beiträge: 5
#20 combofix kann ich leider nicht meht benutzen. es kommt eine fehlermeldung, dass combodix "expired" ist, oder sowas ähnliches. habs neu runtergeladen,aber es passiert das gleiche
Seitenanfang Seitenende
02.07.2008, 14:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#21 «

Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere in das weisse Feld:

Zitat

Drivers to disable:
musbehco
Drivers to delete:
musbehco
registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{785EE791-EA81-4F2E-B636-19F947FC971F}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B6144C61-D68E-496A-B280-34916FEDFE54}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E55E1C86-434D-46F9-A253-2DE4AB3F9734}
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\qoMfeeeB
Registry values to delete:
hklm\software\microsoft\windows\currentversion\explorer\shellexecutehooks|{E55E1C86-434D-46F9-A253-2DE4AB3F9734}
Files to delete:
C:\WINDOWS\system32\cbXQiIXo.dll
C:\WINDOWS\system32\cbXQiIXo.dll_old
C:\WINDOWS\system32\fcccawWo.dll
C:\WINDOWS\system32\iimgjnel.ini
C:\WINDOWS\system32\lenjgmii.dll
C:\WINDOWS\system32\yfgnjanj.dll
C:\WINDOWS\system32\maxcacxh.dll
C:\WINDOWS\system32\qoMfeeeB.dll
C:\WINDOWS\qegbdmwf.dll
C:\WINDOWS\tovafrnm.exe
Folders to delete:
C:\Downloads\ViRiLiTY-AVC3198
C:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0FCZ5X67
C:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8H2BWNGJ
C:\Dokumente und Einstellungen\Florian\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SRY9EHQ9

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
Klicke Execute
bestätige, dass der Rechner neu gestartet wird - klicke "yes"
nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), wenn es im Sicherheitsforum verlangt wird, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

»»
dann scanne noch mal mit Malwarebytes, lasse alles entfernen + versuche die Windowsupdates zu machen + berichte, ob es klappt.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.07.2008, 19:45
...neu hier

Beiträge: 5
#22 also malwarebytes läuft gerade noch durch. allerdings erscheint nach dem neustart, nachdem ich avenger ausgeführt habe, in regelmäßigen abständen eine sicherheitswarnung von antivir mit dem pfad c:/avenger/unterschiedlich.dll. ist das gewollt?
Seitenanfang Seitenende
04.07.2008, 20:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#23 lösche den Ordner c:/avenger
+
poste den scanreport von malwarebytes
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.07.2008, 13:10
Member

Beiträge: 14
#24 Ich habe das selbe Prob. Habe mit dem CCleaner schon die Files gelöscht und hier ist der HijackThis log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:08: VIRUS ALERT!, on 11.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lexmark X5100 Series\lxbabmgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Lexmark X5100 Series\lxbabmon.exe
C:\WINDOWS\system32\netdde.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\LckFldService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ar.atwola.com/redir/B0/T2EFz2wldSElGbtA9h2u5JK5HtTjQIAAF_2MTytHGV2l8hUDnAs18g/http://www.slidealama.com/index.php?section=order&lang=ger
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: Shell=Explorer.exe svhost.exe
O1 - Hosts: 121.128.133.26 gwgt1.joymax.com
O1 - Hosts: 121.128.133.27 gwgt1.joymax.com
O1 - Hosts: 121.128.133.28 gwgt1.joymax.com
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {00000000-5736-4205-0008-f7ed0776fb27} - (no file)
O3 - Toolbar: sqvgnrpx - {63BB2189-05DB-4E6B-9542-82C9A1C53C0B} - C:\WINDOWS\sqvgnrpx.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [b827708a] rundll32.exe "C:\WINDOWS\system32\hjlxibxj.dll",b
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKUS\S-1-5-19\..\RunOnce: [SIA2006] "H:\Thomas\Progs\Stegano Internet Anonym\SIA2006.exe" -firstboot (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [SIA2006] "H:\Thomas\Progs\Stegano Internet Anonym\SIA2006.exe" -firstboot (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [SIA2006] "H:\Thomas\Progs\Stegano Internet Anonym\SIA2006.exe" -firstboot (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [SIA2006] "H:\Thomas\Progs\Stegano Internet Anonym\SIA2006.exe" -firstboot (User 'Default user')
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - C:\Programme\Xilisoft\Download YouTube Video\upod_link.HTM
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: fdxbameg - {87494188-E027-461B-98DD-42715A9F3A15} - C:\WINDOWS\fdxbameg.dll
O21 - SSODL: fsrpknov - {DB90A6B1-AA29-44D0-8EA2-5A5A58711537} - C:\WINDOWS\fsrpknov.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - D:\Stämme\apache\bin\apache.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NBService - Unknown owner - D:\Nero\Nero 7\Nero BackItUp\NBService.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8313 bytes


Ich weiß nicht was ich jetzt machen soll
Seitenanfang Seitenende
11.07.2008, 13:41
Moderator

Beiträge: 5694
#25 Hallo falgeheins

>>
virustotal
Oben auf der Seite --> auf Durchsuchen klicken -->die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten -> Bericht hier posten !
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\svhost.exe

(Vermutlich musst du diese löschen, aber warte noch ab)

>>
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Einträgen
und wähle fix checked. + starte den Rechner neu.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

F2 - REG:system.ini: Shell=Explorer.exe svhost.exe

O3 - Toolbar: (no name) - {00000000-5736-4205-0008-f7ed0776fb27} - (no file)

O3 - Toolbar: sqvgnrpx - {63BB2189-05DB-4E6B-9542-82C9A1C53C0B} - C:\WINDOWS\sqvgnrpx.dll

O4 - HKLM\..\Run: [b827708a] rundll32.exe "C:\WINDOWS\system32\hjlxibxj.dll",b

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll

O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.0.21\ShoppingReport.dll

O21 - SSODL: fdxbameg - {87494188-E027-461B-98DD-42715A9F3A15} - C:\WINDOWS\fdxbameg.dll

O21 - SSODL: fsrpknov - {DB90A6B1-AA29-44D0-8EA2-5A5A58711537} - C:\WINDOWS\fsrpknov.dll
>>

>>
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html


Gruss Swiss
Dieser Beitrag wurde am 11.07.2008 um 13:48 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
11.07.2008, 13:59
Member

Beiträge: 14
#26 Die svhost datei finde ich doch gar nicht? Und bei virustotal kann ich nicht den Pfad "von Hand eingeben" weil ich kann ja nicht auf C:\Windows zugreifen...
Dieser Beitrag wurde am 11.07.2008 um 14:02 Uhr von falgeheins editiert.
Seitenanfang Seitenende
11.07.2008, 14:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#27 Hallo falgeheins

fixe einfach, was swiss angegeben für HijackThis, dann starten den Rechner neu und poste das log von Combofix.
Dann sehen wir weiter
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.07.2008, 14:02
Member

Beiträge: 14
#28 Und das mit Hijackthis geht auch nicht, weil ich ja keine Rechte habe zumindest kommt das:
Das bearbeiten der Registrierung wurde durch den Administrator deaktiviert..

Schon mal Danke für die tolle Hilfe hätte ich echt nicht gedacht das man hier so schnell Hilfe bekommt und dann auch gleich noch sehr Profesionnele Hilfe
Seitenanfang Seitenende
11.07.2008, 14:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#29 o.k.
dann wende erst mal nur Combofix an + poste den report...oder klappt das auch nicht ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.07.2008, 14:11
Member

Beiträge: 325
#30 deshalb:

Zitat

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Mein Tipp: mit Malwarebytes anfangen, so hats bei mir seinerzeit auch geklappt,wenns nicht im Mormalmodus geht, dann erstmal im abgesicherten
http://virus-protect.org/artikel/tools/malwarebytes.html



«
Seitenanfang Seitenende