Virus Alert neben der Uhr, WindowsSpywareProtect, keine Laufwerke mehr

#0
23.06.2008, 18:47
...neu hier

Beiträge: 7
#1 BITTE UM EURE HILFE...

Habe alle Sachen wie beschrieben durchgeführt


1.
Temporäre Dateien beseitigen


Habe ich mit CCleaner gemacht

-----------------------------------------------------------------------------------------------

2.
Combofix


ComboFix 08-06-20.4 - lkoch-schulte 2008-06-23 18:13:27.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.53 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\lkoch-schulte\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\BMc7e3360b.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\ekle.exe
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\cfcoicrh.ini
C:\WINDOWS\system32\cgwnewvs.ini
C:\WINDOWS\system32\cobsukff.ini
C:\WINDOWS\system32\endtrrkv.ini
C:\WINDOWS\system32\fuxhrogw.ini
C:\WINDOWS\system32\gsrvyhrm.ini
C:\WINDOWS\system32\hook.dll
C:\WINDOWS\system32\ijkkj.ini
C:\WINDOWS\system32\ijkkj.ini2
C:\WINDOWS\system32\jbnlfqhd.ini
C:\WINDOWS\system32\jdhagxum.ini
C:\WINDOWS\system32\kdajgeaf.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mdrjinei.ini
C:\WINDOWS\system32\qwdmthuv.ini
C:\WINDOWS\system32\xgqijwjr.ini

----- BITS: Possible infected sites -----

hxxp://2000server
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DOMAINSERVICE


((((((((((((((((((((((( Dateien erstellt von 2008-05-23 bis 2008-06-23 ))))))))))))))))))))))))))))))
.

2008-06-23 18:04 . 2008-06-23 18:04 <DIR> d-------- C:\Programme\CCleaner
2008-06-23 00:10 . 2008-06-23 00:10 13 --a------ C:\WINDOWS\scode8.cfg
2008-06-23 00:06 . 2008-06-23 18:02 <DIR> d-------- C:\Programme\SpyBlocker Software
2008-06-23 00:05 . 2008-06-23 00:05 796,672 --a------ C:\WINDOWS\GPInstall.exe

2008-06-23 00:05 . 1999-10-23 21:59 9,271 --a------ C:\WINDOWS\Port_DE.gpl
2008-06-22 21:02 . 2008-06-22 21:02 <DIR> d-------- C:\Programme\Lavasoft
2008-06-22 20:40 . 2008-06-22 20:37 691,545 --a------ C:\WINDOWS\unins000.exe
2008-06-22 20:40 . 2008-06-22 20:40 2,563 --a------ C:\WINDOWS\unins000.dat
2008-06-22 18:11 . 2008-06-22 18:11 <DIR> d-------- C:\Programme\PCHealthCenter
2008-06-22 18:11 . 2008-06-19 18:20 117,248 --a------ C:\WINDOWS\system32\vav.cpl
2008-06-22 18:11 . 2008-06-21 11:35 32,256 --a------ C:\WINDOWS\Sys6E0.exe
2008-06-22 18:11 . 2008-06-21 11:35 31,744 --a------ C:\WINDOWS\Sys6E1.exe
2008-06-22 18:11 . 2008-06-21 11:35 30,720 --a------ C:\WINDOWS\Sys6E3.exe
2008-06-22 18:11 . 2008-06-21 11:35 30,208 --a------ C:\WINDOWS\Sys6E2.exe
2008-06-22 18:08 . 2008-06-22 18:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd
2008-06-22 18:08 . 2008-06-22 13:04 245,760 --a------ C:\WINDOWS\ksendlbtlgs.dll
2008-06-22 18:08 . 2008-06-22 13:04 81,920 --a------ C:\WINDOWS\neltabxw.exe

2008-05-25 22:29 . 2008-06-21 14:31 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-25 22:29 . 2008-05-25 22:29 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-23 16:20 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-06-23 16:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-06-23 15:45 --------- d-----w C:\Dokumente und Einstellungen\lkoch-schulte\Anwendungsdaten\Skype
2008-06-23 15:43 --------- d-----w C:\Dokumente und Einstellungen\lkoch-schulte\Anwendungsdaten\skypePM
2008-06-23 14:48 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-23 14:48 --------- d-----w C:\Programme\WinPic
2008-06-22 19:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-06-22 17:56 --------- d-----w C:\Programme\RTL3DSoftware20
2008-06-20 00:42 --------- d-----w C:\Programme\Lx_cats
2008-05-22 16:20 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-05-22 16:20 --------- d-----w C:\Programme\DVDVideoSoft
2008-05-18 18:33 --------- d-----w C:\Dokumente und Einstellungen\lkoch-schulte\Anwendungsdaten\Orbit
2008-05-16 16:04 --------- d-----w C:\Programme\FlashGet
2008-05-14 12:27 --------- d-----w C:\Dokumente und Einstellungen\lkoch-schulte\Anwendungsdaten\OpenOffice.org2
2008-05-09 20:41 --------- d-----w C:\Dokumente und Einstellungen\lkoch-schulte\Anwendungsdaten\dvdcss
2008-05-06 13:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
2008-05-05 12:14 --------- d-----w C:\Programme\TrackMania Nations ESWC
2008-04-27 21:21 --------- d-----w C:\Dokumente und Einstellungen\lkoch-schulte\Anwendungsdaten\FileZilla
2008-04-06 19:55 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-03-26 20:33 106,009 ----a-w C:\Dokumente und Einstellungen\lkoch-schulte\Anwendungsdaten\mdb.bin
2008-03-02 20:50 22,320 ----a-w C:\Dokumente und Einstellungen\lkoch-schulte\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-01-23 08:32 131,072 ----a-w C:\Programme\internet explorer\plugins\LV80ActiveXControl.dll
2006-06-07 12:40 132,848 ----a-w C:\Programme\internet explorer\plugins\LV82ActiveXControl.dll
.

------- Sigcheck -------

2005-05-25 21:07 359936 63fdfea54eb53de2d863ee454937ce1e C:\WINDOWS\$hf_mig$\KB893066\SP2QFE\tcpip.sys
2006-04-20 14:18 360576 b2220c618b42a2212a59d91ebd6fc4b4 C:\WINDOWS\$hf_mig$\KB917953\SP2QFE\tcpip.sys
2004-08-04 14:00 359040 9f4b36614a0fc234525ba224957de55c C:\WINDOWS\$NtUninstallKB893066$\tcpip.sys
2005-05-25 21:04 359808 88763a98a4c26c409741b4aa162720c9 C:\WINDOWS\$NtUninstallKB917953$\tcpip.sys
2006-04-20 13:51 359808 1dbf125862891817f374f407626967f4 C:\WINDOWS\system32\dllcache\tcpip.sys
2006-04-20 13:51 359808 b4e29943b4b04bd5e7381546848e6669 C:\WINDOWS\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2005-01-04 12:27 405583]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 17:14 147456]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-02-06 18:21 21898024]
"WinSpywareProtect"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd\WinSpywareProtect\winspywareprotect.exe" [2008-06-22 18:10 1159680]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-01-23 12:31 126976]
"RTHDCPL"="RTHDCPL.EXE" [2005-04-21 10:06 14291456 C:\WINDOWS\RTHDCPL.EXE]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-05-27 10:59 98304]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-05-27 10:58 532480]
"LoadFUJ02E3"="C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe" [2005-02-25 11:13 69632]
"IndicatorUtility"="C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe" [2005-02-28 11:20 81920]
"LoadFujitsuQuickTouch"="C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe" [2005-03-24 15:44 353792]
"LoadBtnHnd"="C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe" [2005-03-24 15:41 61440]
"AGRSMMSG"="AGRSMMSG.exe" [2005-08-24 17:24 88203 C:\WINDOWS\AGRSMMSG.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_02\bin\jusched.exe" [2005-03-04 04:36 36975]
"vptray"="C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe" [2002-08-17 13:55 77824]
"Synchronization Manager"="C:\WINDOWS\system32\mobsync.exe" [2004-08-04 14:00 144384]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-02-21 11:19 819200]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-02-21 11:17 970752]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2005-05-27 09:18 221184]
"LXBYCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBYtime.dll" [2004-09-10 07:59 69632]
"LtMoh"="C:\Programme\ltmoh\Ltmoh.exe" [2004-08-17 13:37 184320]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-04-09 01:22 185784]
"Laser mouse"="C:\Programme\Office-Web\Office-Web Center\Panel.exe" [2005-04-25 19:51 233472]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-02-01 00:13 385024]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"TSClientMSIUninstaller"="cscript" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm
"MSACM.CEGSM"= mobilev.acm
"VIDC.NTN1"= nuvision.ax
"vidc.ffds"= ffdshow.ax
"msacm.l3codec"= C:\WINDOWS\system32\l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2790821320-1859114820-1699065174-1295\Scripts\Logon\0\0]
"Script"=mapping_script.bat


[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^lkoch-schulte^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=C:\Dokumente und Einstellungen\lkoch-schulte\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware]
--a------ 2007-06-11 11:25 6731312 C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Device Detection]
--a------ 2006-09-11 09:35 73216 C:\Programme\fotokasten comfort\dd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxbymon.exe]
--a------ 2004-09-22 06:46 188416 C:\Programme\Lexmark P910 Series\lxbymon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-01-19 12:55 5674352 C:\Programme\MSN Messenger\MsnMsgr.Exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Salestart]
C:\Programme\Gemeinsame Dateien\BestsellerAntivirus\bm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
--------- 2008-01-28 11:43 2097488 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-04-09 01:22 185784 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\FlashGet\\flashget.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\lxbycoms.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"C:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 O2SDRDR;O2SDRDR;C:\WINDOWS\system32\DRIVERS\o2sd.sys [2005-03-16 07:47]
R2 cvintdrv;cvintdrv;C:\WINDOWS\system32\drivers\cvintdrv.sys [2006-07-27 10:00]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;C:\WINDOWS\system32\DRIVERS\FUJ02E3.sys [2004-01-17 14:15]
S2 ClipInc001;ClipInc 001;H:\Tobit ClipInc\Server\ClipInc-Server.exe 001 []
S2 ClipInc002;ClipInc 002;H:\Tobit ClipInc\Server\ClipInc-Server.exe 002 []
S3 HidMouse;HidMouse;C:\WINDOWS\system32\Drivers\HidMouse.sys [2005-08-18 18:47]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 04:12]
S3 NuVision;Hauppauge WinTV USB Pro (PAL B/G);C:\WINDOWS\system32\DRIVERS\NUVision.sys [2005-07-08 22:40]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3af767aa-6018-11da-a084-806d6172696f}]
\Shell\AutoRun\command - E:\NCDStart.EXE

.
Inhalt des "geplante Tasks" Ordners
"2008-05-16 20:40:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-23 18:21:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

C:\WINDOWS\explorer.exe [2080] 0x8254FB48

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\NavLogon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\system32\lkcitdl.exe
C:\WINDOWS\system32\lkads.exe
C:\WINDOWS\system32\lktsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\MDM.EXE
C:\Programme\National Instruments\Shared\Security\nidmsrv.exe
C:\WINDOWS\system32\nisvcloc.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Windows Media Player\wmpnetwk.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-23 18:31:46 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-23 16:30:36

18 Verzeichnis(se), 5,382,598,656 Bytes frei
21 Verzeichnis(se), 5,388,582,912 Bytes frei

227


-----------------------------------------------------------------------------------------------

3.
Erstellen eines Hijackthis-Logfiles


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:35, on 23.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lkcitdl.exe
C:\WINDOWS\system32\lkads.exe
C:\WINDOWS\system32\lktsrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\National Instruments\Shared\Security\nidmsrv.exe
C:\WINDOWS\system32\nisvcloc.exe
C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Office-Web\Office-Web Center\Panel.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd\WinSpywareProtect\winspywareprotect.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\lkoch-schulte\Desktop\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.100.5:3128
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Octh Class - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Programme\FlashGet\jccatch.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\Programme\FlashGet\fgiebar.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {D4E743F3-9BD0-46D8-89F9-406357CB91BC} - (no file)
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LXBYCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBYtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Laser mouse] "C:\Programme\Office-Web\Office-Web Center\Panel.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WinSpywareProtect] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd\WinSpywareProtect\winspywareprotect.exe" /autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')
O8 - Extra context menu item: &Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: &Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://internet.1und1.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1133345546140
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader5.cab?nocache=20080115-1
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = awhnetz.local
O17 - HKLM\Software\..\Telephony: DomainName = awhnetz.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = awhnetz.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = awhnetz.local
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: wpvmqosg - {2A6C78C7-0EB1-4C03-AC22-C1E11CF0B647} - (no file)
O21 - SSODL: xvorfwbd - {4BB9DED9-2941-49E9-AD0C-7DBCD9680C34} - (no file)

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - H:\Tobit ClipInc\Server\ClipInc-Server.exe (file missing)
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - H:\Tobit ClipInc\Server\ClipInc-Server.exe (file missing)
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\DefWatch.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Lookout Citadel Server (LkCitadelServer) - National Instruments, Inc. - C:\WINDOWS\system32\lkcitdl.exe
O23 - Service: National Instruments PSP Server Locator (lkClassAds) - National Instruments, Inc. - C:\WINDOWS\system32\lkads.exe
O23 - Service: National Instruments Time Synchronization (lkTimeSync) - National Instruments, Inc. - C:\WINDOWS\system32\lktsrv.exe
O23 - Service: lxby_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxbycoms.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: National Instruments Domain Service (NIDomainService) - National Instruments, Inc. - C:\Programme\National Instruments\Shared\Security\nidmsrv.exe
O23 - Service: NILM License Manager - Macrovision Corporation - C:\Programme\National Instruments\Shared\License Manager\Bin\lmgrd.exe
O23 - Service: NI Service Locator (niSvcLoc) - National Instruments Corp. - C:\WINDOWS\system32\nisvcloc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\Symantec_Client_Security\Symantec AntiVirus\Rtvscan.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 13652 bytes


-----------------------------------------------------------------------------------------------

4.
Logfiles mittels datfind.bat erstellen und posten (abkopieren)


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: C4D0-0538

Verzeichnis von c:\

23.06.2008 18:37 0 dirdat.txt
23.06.2008 18:31 14.942 ComboFix.txt
23.06.2008 18:25 268 sqmdata04.sqm
23.06.2008 18:25 244 sqmnoopt04.sqm
23.06.2008 18:20 526.503.936 hiberfil.sys
23.06.2008 18:20 792.723.456 pagefile.sys
23.06.2008 18:18 268 sqmdata03.sqm
23.06.2008 18:18 244 sqmnoopt03.sqm
23.06.2008 07:11 268 sqmdata02.sqm
23.06.2008 07:11 244 sqmnoopt02.sqm
23.06.2008 00:15 268 sqmdata01.sqm
23.06.2008 00:15 244 sqmnoopt01.sqm
22.06.2008 20:50 268 sqmdata00.sqm
22.06.2008 20:50 244 sqmnoopt00.sqm
22.06.2008 20:31 268 sqmdata19.sqm
22.06.2008 20:31 244 sqmnoopt19.sqm
22.06.2008 18:23 268 sqmdata18.sqm
22.06.2008 18:23 244 sqmnoopt18.sqm
17.06.2008 00:49 268 sqmdata17.sqm
17.06.2008 00:49 244 sqmnoopt17.sqm
17.06.2008 00:01 268 sqmdata16.sqm
17.06.2008 00:01 244 sqmnoopt16.sqm
15.06.2008 18:48 268 sqmdata15.sqm
15.06.2008 18:48 244 sqmnoopt15.sqm
12.06.2008 09:12 268 sqmdata14.sqm
12.06.2008 09:12 244 sqmnoopt14.sqm
11.06.2008 12:16 268 sqmdata13.sqm
11.06.2008 12:16 244 sqmnoopt13.sqm
10.06.2008 16:50 268 sqmdata12.sqm
10.06.2008 16:50 244 sqmnoopt12.sqm
10.06.2008 11:24 268 sqmdata11.sqm
10.06.2008 11:24 244 sqmnoopt11.sqm
09.06.2008 08:14 268 sqmdata10.sqm
09.06.2008 08:14 244 sqmnoopt10.sqm
08.06.2008 11:30 268 sqmdata09.sqm
08.06.2008 11:30 244 sqmnoopt09.sqm
07.06.2008 10:12 268 sqmdata08.sqm
07.06.2008 10:12 244 sqmnoopt08.sqm
06.06.2008 11:09 268 sqmdata07.sqm
06.06.2008 11:09 244 sqmnoopt07.sqm
05.06.2008 13:29 268 sqmdata06.sqm
05.06.2008 13:29 244 sqmnoopt06.sqm
04.06.2008 23:59 268 sqmdata05.sqm
04.06.2008 23:59 244 sqmnoopt05.sqm
14.04.2008 08:28 21.509 cibbrwinstall.log
16.02.2008 01:27 218 uniextract.txt
69 Datei(en) 1.368.868.092 Bytes
0 Verzeichnis(se), 5.404.991.488 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: C4D0-0538

Verzeichnis von C:\WINDOWS\system32

22.06.2008 18:16 130.888 FNTCACHE.DAT
19.06.2008 18:20 117.248 vav.cpl
24.05.2008 16:16 1.158 wpa.dbl
19.04.2008 09:26 431.050 perfh009.dat
19.04.2008 09:26 68.676 perfc009.dat
19.04.2008 09:26 447.834 perfh007.dat
19.04.2008 09:26 81.204 perfc007.dat
19.04.2008 09:26 1.041.200 PerfStringBackup.INI
06.04.2008 21:43 1.205 lvcoinst.log
25.02.2008 11:02 249.772 TZLog.log
01.02.2008 00:13 57.344 QuickTime.qts
01.02.2008 00:13 90.112 QuickTimeVR.qtx
2456 Datei(en) 525.673.552 Bytes
0 Verzeichnis(se), 5.404.864.512 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: C4D0-0538

Verzeichnis von C:\WINDOWS

23.06.2008 18:24 13.580 WindowsUpdate.log
23.06.2008 18:21 227 system.ini
23.06.2008 18:20 50 wiaservc.log
23.06.2008 18:20 157 wiadebug.log
23.06.2008 18:20 0 0.log
23.06.2008 18:20 2.048 bootstat.dat
23.06.2008 18:19 342 SchedLgU.Txt
23.06.2008 18:08 0 setuperr.log
23.06.2008 18:08 60 setupact.log
23.06.2008 16:53 0 Sti_Trace.log
23.06.2008 15:45 747 wininit.ini
23.06.2008 00:10 13 scode8.cfg
23.06.2008 00:05 796.672 GPInstall.exe
22.06.2008 20:40 2.563 unins000.dat
22.06.2008 20:37 691.545 unins000.exe
22.06.2008 13:04 81.920 neltabxw.exe
22.06.2008 13:04 245.760 ksendlbtlgs.dll

21.06.2008 14:31 54.156 QTFont.qfn
21.06.2008 11:35 32.256 Sys6E0.exe
21.06.2008 11:35 30.720 Sys6E3.exe
21.06.2008 11:35 31.744 Sys6E1.exe
21.06.2008 11:35 30.208 Sys6E2.exe

19.06.2008 12:33 69 NeroDigital.ini
25.05.2008 22:29 1.409 QTFont.for
15.04.2008 06:43 899 brRapid.INI
29.03.2008 02:56 8.622 ModemLog_Agere Systems HDA Modem.txt
02.03.2008 00:03 2.636 mozver.dat
29.02.2008 17:06 286.720 Setup1.exe
29.02.2008 17:06 73.216 ST6UNST.EXE
13.02.2008 18:37 59 cdplayer.ini
07.02.2008 15:24 1.999 BMc7e3360b.txt
127 Datei(en) 44.717.348 Bytes
0 Verzeichnis(se), 5.404.864.512 Bytes frei
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: C4D0-0538

Verzeichnis von C:\DOKUME~1\LKOCH-~2\LOKALE~1\Temp



-----------------------------------------------------------------------------------------------

5.
Problembeschreibung / Symptome ?


Es öffnen sich dauern unten rechts Fenster mit WinSpywareProtect Alert, neben der Uhr wird VIRUS ALERT angezeigt, meine Festplatten sind verschwunden.

Nachdem ich Combofix gemacht habe, sind wenigstens meine Platten wieder da und neben der Uhr steht kein VIRUS ALERT mehr. Aber diese PopUps kommen trotzdem noch.

BITTE UM EURE HILFE...
Dieser Beitrag wurde am 23.06.2008 um 19:07 Uhr von LeoKS editiert.
Seitenanfang Seitenende
23.06.2008, 19:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo LeoKS

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinSpywareProtect"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Salestart]

File::
C:\WINDOWS\system32\vav.cpl
C:\WINDOWS\unins000.dat
C:\WINDOWS\unins000.exe
C:\WINDOWS\GPInstall.exe
C:\WINDOWS\wininit.ini
C:\WINDOWS\scode8.cfg
C:\WINDOWS\Sys6E0.exe
C:\WINDOWS\Sys6E1.exe
C:\WINDOWS\Sys6E3.exe
C:\WINDOWS\Sys6E2.exe
C:\WINDOWS\ksendlbtlgs.dll
C:\WINDOWS\neltabxw.exe

Folder::
C:\Programme\PCHealthCenter
C:\Programme\SpyBlocker Software
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd
C:\Programme\Gemeinsame Dateien\BestsellerAntivirus


Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

----------

««
scanne mit Malwarebytes, poste den report hier
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.06.2008, 21:34
...neu hier

Themenstarter

Beiträge: 7
#3 Also:

Ich habe die cfscript.txt erstellt und auf das ComboFix Logo gezogen, danach ist ComboFix gestartet und hat gearbeitet.

Also ComboFix habe ich nur einmal laufen lassen, war doch richtig, oder?

Danach habe ich mit MalwareBytes gescannt und folgenden Bericht bekommen:

----------------------------

Malwarebytes' Anti-Malware 1.18
Datenbank Version: 883

21:30:40 23.06.2008
mbam-log-6-23-2008 (21-30-40).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 180435
Scan Dauer: 59 minute(s), 33 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 25

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{cbdca34f-6f5e-4ef9-a5d0-b8e2d15a7f8a} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{082dc1c1-d7c1-4f63-ad44-16647019dd71} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{1524556b-77b6-4c7d-8209-4170e509a04f} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{31e82cb7-b724-477d-b51c-b358c51e02bd} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{eb1bd060-1713-4da2-84ea-8b542b929c0f} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\VAV (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\wpvmqosg (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\xvorfwbd (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd\WinSpywareProtect\winspywareprotect.exe.vir (Rogue.Installer) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Programme\PCHealthCenter\1.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Programme\PCHealthCenter\2.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Programme\PCHealthCenter\3.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Programme\PCHealthCenter\4.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\ekle.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\Sys6E0.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\Sys6E1.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\Sys6E2.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\Sys6E3.exe.vir (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6384F611-1BD2-4D28-885C-B6F129C208EC}\RP143\A0058151.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6384F611-1BD2-4D28-885C-B6F129C208EC}\RP143\A0058152.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6384F611-1BD2-4D28-885C-B6F129C208EC}\RP143\A0058153.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6384F611-1BD2-4D28-885C-B6F129C208EC}\RP143\A0058154.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6384F611-1BD2-4D28-885C-B6F129C208EC}\RP145\A0064711.dll (Trojan.FalkeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6384F611-1BD2-4D28-885C-B6F129C208EC}\RP148\A0065082.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6384F611-1BD2-4D28-885C-B6F129C208EC}\RP149\A0065154.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6384F611-1BD2-4D28-885C-B6F129C208EC}\RP149\A0065156.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6384F611-1BD2-4D28-885C-B6F129C208EC}\RP149\A0065157.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6384F611-1BD2-4D28-885C-B6F129C208EC}\RP149\A0065158.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6384F611-1BD2-4D28-885C-B6F129C208EC}\RP149\A0065159.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6384F611-1BD2-4D28-885C-B6F129C208EC}\RP149\A0065176.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6384F611-1BD2-4D28-885C-B6F129C208EC}\RP149\A0065177.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6384F611-1BD2-4D28-885C-B6F129C208EC}\RP149\A0065178.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{6384F611-1BD2-4D28-885C-B6F129C208EC}\RP149\A0065179.exe (Trojan.Agent) -> Quarantined and deleted successfully.

----------------

Viele Grüße
Seitenanfang Seitenende
23.06.2008, 22:20
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo,

ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

(oder, wenn es nicht funktioniert: C:\QooBox löschen)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.06.2008, 22:24
...neu hier

Themenstarter

Beiträge: 7
#5 Okay, habe es entfernt.

Was folgt jetzt?

Übrigens, was kann man für Virenscanner und Anti-Spyware Programme empfehlen, die dann parallel laufen? Habe im Moment nix drauf.

MfG
Seitenanfang Seitenende
23.06.2008, 22:24
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 «

http://virus-protect.org/artikel/tools/agentransack.html
gib ein in Suche:

mapping_script.bat

poste, was erscheint

danach gib ein in Suche:

BestsellerAntivirus

poste, was erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.06.2008, 23:13
...neu hier

Themenstarter

Beiträge: 7
#7 Habe ganz normal gesucht, also ohne "enthält Text"..
Ergebnis:

mapping_script.bat

0 file(s) found



BestsellerAntivirus

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\LocusSoftwareBestsellerAntivirus.zip (1 KB, 08.12.2007 00:36:12)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\LocusSoftwareBestsellerAntivirus1.zip (1 KB, 08.12.2007 00:36:12)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\LocusSoftwareBestsellerAntivirus2.zip (1 KB, 08.12.2007 00:36:12)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\LocusSoftwareBestsellerAntivirus3.zip (1 KB, 08.12.2007 00:36:12)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\LocusSoftwareBestsellerAntivirus4.zip (2 KB, 08.12.2007 00:36:13)
Seitenanfang Seitenende
24.06.2008, 00:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 ich verstehe nicht, was das hier soll:

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2790821320-1859114820-1699065174-1295\Scripts\Logon\0\0]
"Script"=mapping_script.bat

Hast du mal eine bat erstellt ?

------------


http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

PCHealthCenter

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

BestsellerAntivirus

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.06.2008, 01:10
...neu hier

Themenstarter

Beiträge: 7
#9

Zitat

Sabina postete
ich verstehe nicht, was das hier soll:

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2790821320-1859114820-1699065174-1295\Scripts\Logon\0\0]
"Script"=mapping_script.bat

Hast du mal eine bat erstellt ?

Ja, habe vorhin die Datei datFind.bat aufm Desktop erstellt, da es so in der Anleitung stand

"Logfiles mittels datfind.bat erstellen und posten (abkopieren)"


http://board.protecus.de/t23188.htm
unter Punkt 4




----------------------------------------------------------------

PCHealthCenter

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 24.06.2008 01:02:59 for strings:
; 'pchealthcenter'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...


----------------------------------------------------------------

BestsellerAntivirus

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 24.06.2008 01:06:18 for strings:
; 'bestsellerantivirus'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_CURRENT_USER\Software\Agent_EXE\Agent Ransack\RecentFileName]
"1"="BestsellerAntivirus"

; End Of The Log...
Seitenanfang Seitenende
24.06.2008, 10:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 datfindbat ist nicht: mapping_script.bat
aber gut, wenn es keine Problem auf dem rechner gibt......
die Resistry ist auch sauber.

so richtig wohl ist mir bei der bat jedoch nicht.

««
http://www.microsoft.com/germany/technet/scriptcenter/topics/gp/extension1.mspx
Es gibt vier verschiedene Registrierungsschlüssel, die von Interesse sind: jeweils einen für den Start, die Anmeldung, die Abmeldung und das Herunterfahren.

HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Startup

HKLM\SOFTWARE\Policies\Microsoft\Windows\System\Scripts\Shutdown

HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logon

HKCU\Software\Policies\Microsoft\Windows\System\Scripts\Logoff

wie dieses Script in die Gruppenrichtlinie kommt...weisst du das ??
Wenn du den rechner ausmachst und dich abmeldest mit deinem Benutzerkonto... erscheint da irgendwas ? Oder alles ist normal ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.06.2008, 12:48
...neu hier

Themenstarter

Beiträge: 7
#11 Ist das mit dem Script schlimm? Habe da keine Ahnung von.

Beim Herunterfahren meldet der sich ganz normal ab und der Laptop geht aus.
Seitenanfang Seitenende
24.06.2008, 16:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 na gut, lassen wir es so.
den malwarebytes behalte, ist ein guter scanner.
wenn es noch probleme gibt, melde dich ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.06.2008, 16:19
...neu hier

Themenstarter

Beiträge: 7
#13 Super, vielen Dank für die Hilfe... :-)
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: