Home » Spyware & Browser Hijacker Support Forum » Antivirus 2008 Pro - Spyware detected on your computer » Themenansicht

Antivirus 2008 Pro - Spyware detected on your computer
#0
24.06.2008, 09:10
hans38
...neu hier

Beiträge: 3
#1 Hallo zusammen,

vorab: Lob für dieses Forum!

Wäre sehr dankbar in der Sache "Antivirus 2008 Pro" eure Hilfe/Kompetenz in Anspruch nehmen zu können. Habe folgendes Problem:

Mein Hintergrund ist Blau und in der Mitte des Bildschirmes folgende Beschriftung:
"Warning! Spyware detected on your Computer! Install an antivirus or spyware remover to clean your computer."

Ausserdem kommt - wenn ich meinen Internet-Explorer starte immer folgende Meldung "Insecure Internet activity. Threat of virus attack
Due to insecure Internet browsing your PC can easily get infected with viruses, worms and trojans without your knowledge, and that can lead to system slowdown, freezes and crashes.
Also insecure Internet activity can result in revealing your personal information.
To get full advanced real-time protection for PC and Internet activity, register KvmSecure.
We recommend you to protect your PC now and continue safe Internet browsing.
Click here to get full advanced real-time protection and continue browsing.
Continue to this website unprotected (not recommended)." - Werde dann auf die Seite von "Antivirus 2008 Pro" weitergeleitet.

Habe versucht mit Hijackthis alle gefährlichen Dateien zu löschen, jedoch lassen sich die 2 folgenden nicht löschen "O21 - SSODL: xvorfwbd - {A67A5994-3146-49C7-A571-CCA2B3DA0114} - C:\WINDOWS\xvorfwbd.dll" und "O2 - BHO: QXK Olive - {0646E553-FBE2-4F85-967E-DE1F86BD1914} - C:\WINDOWS\ksendlbtbvg.dll"..

Hier die Auswertung:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:07:46, on 24.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Programme\Roxio\Media Experience\DMXLauncher.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\PROGRA~1\F-SECU~1\backweb\1245240\Program\SERVIC~1.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\backweb\1245240\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\backweb\1245240\Program\fspex.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsqh.exe
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\Anti-Virus\fsrw.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
C:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=22028
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: QXK Olive - {0646E553-FBE2-4F85-967E-DE1F86BD1914} - C:\WINDOWS\ksendlbtbvg.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [DMXLauncher] "C:\Programme\Roxio\Media Experience\DMXLauncher.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: F-Secure 2006 OEM.lnk = C:\Programme\F-Secure Internet Security\backweb\1245240\Program\fspex.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Dieses Popup &blockieren - C:\Programme\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196531836296
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1206104513
O17 - HKLM\System\CCS\Services\Tcpip\..\{80E248E1-5EDC-4DCD-831C-91D04B462D54}: NameServer = 195.50.140.178 195.50.140.114
O21 - SSODL: xvorfwbd - {A67A5994-3146-49C7-A571-CCA2B3DA0114} - C:\WINDOWS\xvorfwbd.dll
O23 - Service: F-Secure 2006 OEM (BackWeb Plug-in - 1245240) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\1245240\Program\SERVIC~1.EXE
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\1245240\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Sonic Shared\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 11221 bytes

Vorab schonmal vielen Dank + weiter so!
__________
MfG Hans38
Seitenanfang Seitenende
24.06.2008, 11:10
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo, hans38

1.
entferne mit cleaner die temporaeren dateien
http://www.ccleaner.de/?protecus.de

2.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked

Zitat

O2 - BHO: QXK Olive - {0646E553-FBE2-4F85-967E-DE1F86BD1914} - C:\WINDOWS\ksendlbtbvg.dll

O21 - SSODL: xvorfwbd - {A67A5994-3146-49C7-A571-CCA2B3DA0114} - C:\WINDOWS\xvorfwbd.dll

O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
3.
lade smitfraudfix, boote in den abgesicherten modus und wende option 2 an
http://virus-protect.org/artikel/tools/smitfrautfix.html

4.
lade combofix, klicke die warnmeldung weg + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.06.2008, 12:26
hans38
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo Sabina,

vielen Dank für die schnelle Hilfe - es scheint funktioniert zu haben, es kommen keine Fehlermeldungen/Viren-Hinweise, etc. mehr.


Nachfolgend die Reporte:


SmitFraudFix v2.328

Scan done at 11:44:04,48, 24.06.2008
Run from C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Bilder\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\xvorfwbd.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\neltabxw.exe Deleted
C:\WINDOWS\privacy_danger\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



ComboFix 08-06-20.4 - Besitzer 2008-06-24 11:53:20.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.601 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Bilder\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\edpe.exe
C:\WINDOWS\vrmdtneg.dll
C:\WINDOWS\wpvmqosg.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-24 bis 2008-06-24 ))))))))))))))))))))))))))))))
.

2008-06-24 11:44 . 2008-06-24 11:44 3,698 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-24 11:41 . 2007-11-22 12:28 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-06-24 11:41 . 2007-11-22 12:17 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-06-24 11:41 . 2007-11-22 12:17 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-06-24 11:41 . 2008-06-24 11:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-06-24 11:41 . 2007-11-22 12:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-06-24 11:41 . 2007-11-22 12:17 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-06-24 11:41 . 2007-11-22 12:36 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-06-24 11:41 . 2008-06-24 11:41 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-06-24 11:38 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-06-24 11:38 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-06-24 11:38 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-06-24 11:38 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-06-24 11:38 . 2008-06-23 23:34 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-06-24 11:38 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe
2008-06-24 11:38 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-06-24 11:38 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-24 11:38 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-06-24 11:19 . 2008-06-24 11:19 <DIR> d-------- C:\Programme\CCleaner
2008-06-23 23:02 . 2008-06-23 23:02 <DIR> d-------- C:\Programme\Trend Micro
2008-06-23 22:36 . 2008-06-23 22:36 <DIR> d-------- C:\Programme\rhcv5tj0er6r
2008-06-23 22:36 . 2008-06-23 22:36 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\rhcv5tj0er6r
2008-06-23 22:36 . 2008-06-23 23:09 94,208 --a------ C:\WINDOWS\system32\pphcr5tj0er6r.exe
2008-06-23 22:36 . 2008-06-23 23:09 90,838 --a------ C:\WINDOWS\system32\phcr5tj0er6r.bmp
2008-06-23 22:36 . 2008-06-23 23:09 60,928 --a------ C:\WINDOWS\system32\blphcr5tj0er6r.scr
2008-06-23 22:35 . 2008-06-23 22:36 109,056 --a------ C:\WINDOWS\system32\lphcr5tj0er6r.exe
2008-06-13 14:19 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-13 14:19 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-24 19:06 --------- d-----w C:\Programme\ICQ6
2008-04-24 19:05 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-24 19:02 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\InstallShield
2008-04-21 07:01 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 21:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2004-08-10 05:04 59392]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe" [2007-11-22 12:36 32881]
"SoundMan"="SOUNDMAN.EXE" [2006-08-03 06:12 577536 C:\WINDOWS\SOUNDMAN.EXE]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43 7630848]
"nwiz"="nwiz.exe" [2006-08-11 21:43 1519616 C:\WINDOWS\system32\nwiz.exe]
"F-Secure Manager"="C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" [2005-06-03 00:37 122929]
"F-Secure TNB"="C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" [2005-07-18 16:51 700416]
"F-Secure Startup Wizard"="C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" [2005-08-23 15:38 372736]
"RoxWatchTray"="C:\Programme\Gemeinsame Dateien\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2006-09-20 21:58 221184]
"DMXLauncher"="C:\Programme\Roxio\Media Experience\DMXLauncher.exe" [2006-09-18 02:07 102400]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2006-08-25 12:11 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2006-08-25 12:11 81920]
"RoxioDragToDisc"="C:\Programme\Roxio\Drag-to-Disc\DrgToDsc.exe" [2006-08-17 10:00 1116920]
"Arcor Online"="" []
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 03:41 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-02 01:24 180269]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 21:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 05:21:22 288472]
HP Photosmart Premier - Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2006-02-10 08:56:20 73728]
ISDNWatch.lnk - C:\Programme\FRITZ!\IWatch.exe [2007-12-01 23:34:39 341296]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\F-Secure Internet Security\\backweb\\1245240\\Program\\fspex.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

R0 FSFW;F-Secure Firewall Driver;C:\WINDOWS\system32\drivers\fsdfw.sys [2005-08-29 16:12]
R1 DLARTL_M;DLARTL_M;C:\WINDOWS\system32\Drivers\DLARTL_M.SYS [2006-08-11 11:35]
R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-24 09:45]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-11 10:20]
R2 F-Secure Filter;F-Secure File System Filter;C:\Programme\F-Secure Internet Security\Anti-Virus\Win2K\FSfilter.sys [2004-09-10 17:14]
R2 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Programme\F-Secure Internet Security\Anti-Virus\Win2K\FSgk.sys [2008-02-13 18:58]
R2 F-Secure Recognizer;F-Secure File System Recognizer;C:\Programme\F-Secure Internet Security\Anti-Virus\Win2K\FSrec.sys [2004-06-01 11:03]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 13:13]
R3 fxusbase;AVM ISDN-Connector FRITZ!X USB;C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2001-08-17 13:15]
S2 BackWeb Plug-in - 1245240;F-Secure 2006 OEM;C:\PROGRA~1\F-SECU~1\backweb\1245240\Program\SERVIC~1.EXE [2007-12-01 15:58]
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCMPR5.SYS []
S3 PLCNDIS5;PLCNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\PLCNDIS5.SYS [2005-09-22 00:20]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-06-24 05:46:58 C:\WINDOWS\Tasks\Scheduled scanning task.job"
- C:\PROGRA~1\F-SECU~1\ANTI-V~1\fsav.exeZ /HARD /ARCHIVE /DISINF /SCHED /NOBREAK /REPORT=C:\PROGRA~1\F-SECU~1\ANTI-V~1\report.txt
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-24 11:55:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-24 11:58:34
ComboFix-quarantined-files.txt 2008-06-24 09:57:57

12 Verzeichnis(se), 208,354,406,400 Bytes frei
16 Verzeichnis(se), 208,346,927,104 Bytes frei

140 --- E O F --- 2008-06-20 20:34:45
__________
MfG Hans38
Seitenanfang Seitenende
24.06.2008, 16:07
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo hans38

Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\pphcr5tj0er6r.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

------------------------------------------------------------
««
http://virus-protect.org/artikel/tools/otmoveIt.html
Download OTMoveIt zum Desktop
OTMoveIt öffne: OTMoveIt.exe

OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\Programme\rhcv5tj0er6r
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\rhcv5tj0er6r
C:\WINDOWS\system32\pphcr5tj0er6r.exe
C:\WINDOWS\system32\phcr5tj0er6r.bmp
C:\WINDOWS\system32\blphcr5tj0er6r.scr
C:\WINDOWS\system32\lphcr5tj0er6r.exe
Klicke auf den Roten MoveIt!

---------------

Text im rechten Fenster / Results
Mit rechtem Mausklick abkopieren und im Forenbeitrag mit rechtem Mausklick "einfügen"
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.06.2008, 18:32
hans38
...neu hier

Themenstarter

Beiträge: 3
#5 Hallo Sabina,

vielen Dank für den Hinweis - hätte gedacht es ist schon alles wieder ok.

Hier das Ergebnis von "Virustotal":

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.6.24.0 2008.06.24 -
AntiVir 7.8.0.59 2008.06.24 -
Authentium 5.1.0.4 2008.06.24 -
Avast 4.8.1195.0 2008.06.24 -
AVG 7.5.0.516 2008.06.24 -
BitDefender 7.2 2008.06.24 Dropped:BAT.AutoDelete.A
CAT-QuickHeal 9.50 2008.06.23 -
ClamAV 0.93.1 2008.06.24 BAT.AutoDelete.A
DrWeb 4.44.0.09170 2008.06.24 -
eSafe 7.0.17.0 2008.06.24 -
eTrust-Vet 31.6.5900 2008.06.24 -
Ewido 4.0 2008.06.24 -
F-Prot 4.4.4.56 2008.06.23 -
F-Secure 7.60.13501.0 2008.06.24 -
Fortinet 3.14.0.0 2008.06.24 -
GData 2.0.7306.1023 2008.06.24 -
Ikarus T3.1.1.26.0 2008.06.24 BAT.AutoDelete.A
Kaspersky 7.0.0.125 2008.06.24 -
McAfee 5324 2008.06.24 -
Microsoft 1.3604 2008.06.24 -
NOD32v2 3213 2008.06.24 Win32/Adware.WinFixer
Norman 5.80.02 2008.06.24 -
Panda 9.0.0.4 2008.06.24 Suspicious file
Prevx1 V2 2008.06.24 Cloaked Malware
Rising 20.50.10.00 2008.06.24 -
Sophos 4.30.0 2008.06.24 -
Sunbelt 3.0.1153.1 2008.06.15 -
Symantec 10 2008.06.24 -
TheHacker 6.2.92.359 2008.06.24 -
TrendMicro 8.700.0.1004 2008.06.24 -
VBA32 3.12.6.8 2008.06.23 -
VirusBuster 4.5.11.0 2008.06.23 -
Webwasher-Gateway 6.6.2 2008.06.24 -
weitere Informationen
File size: 94208 bytes
MD5...: 45684e238403d720ead129a0fb2e2258
SHA1..: 1adab6088f394487d6e57c73931da3d471c30b72
SHA256: daed5971ade8ea2fa88cd4341e467aafef826b3bb620226031161d0aa9395d16
SHA512: b93e937f31758e3e579e5bc33e206f87e97fbde2794b538a16a147b8be516f2e
952096208cf41ff2b139c8765921aa7b9dee79eb66f7899505fde0b04403a418
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x406df5
timedatestamp.....: 0x485c5bc8 (Sat Jun 21 01:39:20 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xda92 0xe000 6.56 04167fd1d49bf06b808aede3e9373fd9
.rdata 0xf000 0x2df4 0x3000 4.87 755a9a883fbaed9e59bd1678dc543db8
.data 0x12000 0x2ac0 0x2000 2.17 9a5b1b0544a0ba83777a36cb94f62677
.tls 0x15000 0x7 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x16000 0x1e20 0x2000 5.42 c257661d6c95eb7c3b5231af545a237d

( 5 imports )
> KERNEL32.dll: WaitForSingleObject, CreateMutexA, Sleep, TerminateProcess, GetTickCount, FindFirstFileA, FindClose, GetTempPathA, lstrcpyA, CreateFileA, WriteFile, CloseHandle, lstrcatA, GetModuleFileNameA, GetEnvironmentVariableA, GetDriveTypeA, GetVolumeInformationA, HeapAlloc, HeapFree, UnmapViewOfFile, OpenFileMappingA, MapViewOfFile, GetModuleHandleA, FindResourceA, GetLastError, LoadLibraryA, GetProcAddress, SetStdHandle, GetOEMCP, IsBadCodePtr, IsBadReadPtr, GetCurrentProcess, SizeofResource, LockResource, LoadResource, DeleteCriticalSection, InitializeCriticalSection, RaiseException, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, GetVersionExA, GetACP, GetLocaleInfoA, GetThreadLocale, InterlockedExchange, InterlockedDecrement, lstrlenA, GetStringTypeW, GetStringTypeA, GetSystemInfo, VirtualProtect, GetCurrentProcessId, QueryPerformanceCounter, SetUnhandledExceptionFilter, VirtualQuery, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, UnhandledExceptionFilter, LocalFree, EnterCriticalSection, LeaveCriticalSection, InterlockedIncrement, GetSystemTimeAsFileTime, GetStartupInfoA, GetCommandLineA, RtlUnwind, ExitProcess, HeapReAlloc, LCMapStringA, LCMapStringW, GetCPInfo, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, HeapSize, TlsAlloc, SetLastError, GetCurrentThreadId, TlsFree, TlsSetValue, TlsGetValue, SetFilePointer, FlushFileBuffers, GetStdHandle
> ADVAPI32.dll: RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> SHELL32.dll: ShellExecuteA
> ole32.dll: OleRun, CoInitialize, CoCreateInstance
> OLEAUT32.dll: -, -, -, -, -, -, -, -

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=D0E9FCDF00D06C1F70A201E481954E0010CAD994





PS: Habe leider verpennt den Text von "OTMoveIt.exe" hier hinein zu kopieren und die Datei nach dem "Move it" gleich geschlossen :-( Ist das schlimm?
__________
MfG Hans38
Seitenanfang Seitenende
25.06.2008, 00:38
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo,

Hauptsache, die Dateien sind weg ;)
ich wollte nur sicher gehen, dass sie wirklich gelöscht sind.

OTMoveIt
1. klicken: CleanUp! button
2. cleanup.txt wird vom Internet geladen (von Firewall zulassen!)
so wird von OTMoveIt2 automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden

««
scanne Online mit Bitdefender + poste den report
http://virus-protect.org/artikel/tools/bitdefender.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1