Win32.Bagle Wurm

#16 Mario Jäger

der bagel-Wurm
da wirst du wohl formatieren müssen

1.
Lösche: C:\Qoobox + leere den Papierkorb

2.
# Klicke auf Start.
# Klicke auf die Einstellungen-Menüoption.
# Klicke auf Systemsteuerung.
# Wenn sich die Systemsteuerung öffnet, mache einen Doppelklick auf das Netzwerkverbindungen-Piktogramm. Wenn Dein Systemsteuerungsfenster auf Kategorieansicht eingestellt ist, dann klicke auf Netzwerk- und Internetverbindungen und dann auf Netzwerkverbindungen in der unteren Kategorie: oder ein Systemsteuerungssymbol.
# Du wirst nun eine Liste der zur Verfügung stehenden Netzwerkverbindungen sehen. Navigiere zu Deiner LAN- oder Wireless-Verbindung und mache einen Rechtsklick darauf.
# Du wirst nun ein Menü sehen, Klicke einfach auf Reparieren.
__________
MfG Sabina

rund um die PC-Sicherheit

#17 internet geht wieder!!!!

den antivirenscaner will er aber dennoch nicht installieren!

was nun?

soll ich die netzwerkverbindung denoch reparieren lassen
__________
Mit lieben Grüßen euer Mario

#18 wenn das Internet wieder funktioniert ...nichts reparieren

sdfix
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner
boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)
gehe in den Ordner C:\SDFix
RunThis.bat doppelt klicken

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit

#19

Zitat

Sabina postete
wenn das Internet wieder funktioniert ...nichts reparieren

sdfix
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner
boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)
gehe in den Ordner C:\SDFix
RunThis.bat doppelt klicken

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag

abgesicherter modus funktioniert net sabina
__________
Mit lieben Grüßen euer Mario

#20 @Mario
...Bagle, hldrrr.exe &Co ??-Abgesicherter Modus schmiert immer ab ??
Kontrolliere mal ob der Kriepel Dir ein neues Benutzerkonto erstellt hat, und wenn, auf welchen Du Dich gerade bewegst !? In der Regel ist das Konto unter Deinem ursprünglichen Namen jetzt das gefakte.-Kann sein , muß aber nicht!

#21 Starte die im zip enthaltene safeboot.reg und füge sie der Registrierung hinzu. Dann sollte der Abgesicherte Modus wieder funktionieren.
http://www.virus-protect.org/zip/SafeBoot.zip
__________
MfG Sabina

rund um die PC-Sicherheit

#22 mache ich dann sabina,

habe nochmal combofix ausgeführt weil er mir
a-->> keinen virenscanner inatllieren lassen hat
b-->> keinen Anispy installieren lassen hat

habe combofix ausgeführt
jetzt lasse ich eben Antispy durchlaufen 98 bedrohungen hat er gefunden unter anderem den Beagle

das spuckte combo aus


ComboFix 08-07-02.5 - Melanie 2008-07-03 22:32:34.2 - NTFSx86

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Desktop\AntiSpywareBot.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareBot
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareBot\AntispywareBot on the Web.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareBot\AntispywareBot.lnk
C:\Dokumente und Einstellungen\Melanie\Anwendungsdaten\AntispywareBot
C:\Dokumente und Einstellungen\Melanie\Anwendungsdaten\AntispywareBot\Log\2008 Jul 03 - 10_16_53 PM_109.log
C:\Dokumente und Einstellungen\Melanie\Anwendungsdaten\AntispywareBot\rs.dat
C:\Dokumente und Einstellungen\Melanie\Anwendungsdaten\AntispywareBot\Settings\ScanResults.pie
C:\Programme\AntiSpywareBot
C:\Programme\AntiSpywareBot\AntispywareBot.exe
C:\Programme\AntiSpywareBot\AntispywareBot.url
C:\Programme\AntiSpywareBot\DataBase.ref
C:\Programme\AntiSpywareBot\Difxapi.dll
C:\Programme\AntiSpywareBot\FilterDrv\AntispywareBot.amd64.sys
C:\Programme\AntiSpywareBot\FilterDrv\AntispywareBot.cat
C:\Programme\AntiSpywareBot\FilterDrv\AntispywareBot.inf
C:\Programme\AntiSpywareBot\FilterDrv\AntispywareBot.x86.sys
C:\Programme\AntiSpywareBot\SpyCleaner.dll
C:\Programme\AntiSpywareBot\TCL.dll
C:\Programme\AntiSpywareBot\vistaCPtasks.xml
C:\Programme\AntiSpywareBot\zlib.dll
C:\Programme\Realtek\InstallShield\AzMixerSel.exe
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\downld\639625.exe
C:\WINDOWS\system32\drivers\downld\640484.exe
C:\WINDOWS\system32\drivers\downld\681296.exe
C:\WINDOWS\system32\drivers\downld\724375.exe
C:\WINDOWS\system32\drivers\downld\735609.exe
C:\WINDOWS\system32\drivers\downld\742625.exe
C:\WINDOWS\system32\drivers\downld\833203.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\Tasks.\AntiSpywareBot Scheduled Scan.job

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-03 bis 2008-07-03 ))))))))))))))))))))))))))))))
.

2008-07-03 22:06 . 2007-12-10 13:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-07-03 22:06 . 2007-12-10 13:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-07-03 22:06 . 2008-02-01 11:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-07-03 22:06 . 2007-12-10 13:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-07-03 21:42 . 2008-07-03 21:45 <DIR> d-------- C:\SDFix
2008-07-03 21:10 . 2008-07-03 22:06 <DIR> d-------- C:\Programme\Spyware Doctor
2008-07-03 21:10 . 2008-07-03 21:10 <DIR> d-------- C:\Dokumente und Einstellungen\Melanie\Anwendungsdaten\PC Tools
2008-07-03 17:08 . 2008-07-03 18:29 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-07-03 16:57 . 2008-07-03 16:57 <DIR> d-------- C:\Programme\CCleaner
2008-07-03 16:38 . 2008-07-03 16:38 <DIR> d-------- C:\Programme\Trend Micro
2008-07-03 14:53 . 2008-07-03 14:53 <DIR> d-------- C:\WINDOWS\E80F62FF5D3C4A1984099721F2928206.TMP
2008-07-03 14:07 . 2000-10-02 00:00 125,712 --a------ C:\WINDOWS\system32\vb6de.dll
2008-07-03 13:01 . 2008-07-03 14:07 <DIR> d-------- C:\Programme\Magic MP3 Tagger
2008-07-03 11:01 . 2007-08-13 09:47 69,632 --a------ C:\WINDOWS\Alcmtr.exe
2008-07-03 10:54 . 2008-07-03 10:54 <DIR> d-------- C:\Programme\Firebird
2008-07-03 10:54 . 2005-09-23 00:05 548,864 --a------ C:\WINDOWS\system32\msvcp80.dll
2008-07-03 10:54 . 2007-10-16 10:08 458,752 --a------ C:\WINDOWS\system32\Firebird2Control.cpl
2008-07-03 10:54 . 2007-10-16 10:07 442,368 --a------ C:\WINDOWS\system32\GDS32.DLL
2008-07-03 10:39 . 2008-07-03 10:39 <DIR> d-------- C:\Programme\Windows Media Connect 2
2008-07-03 10:38 . 2008-07-03 10:38 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-07-03 10:38 . 2008-07-03 10:38 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-06-11 09:13 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 09:13 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-03 20:00 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-03 18:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-03 18:54 --------- d-----w C:\Programme\Symantec
2008-07-03 18:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-07-03 13:03 --------- d-----w C:\Dokumente und Einstellungen\Melanie\Anwendungsdaten\Symantec
2008-07-03 12:15 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-07-03 09:01 --------- d-----w C:\Programme\Realtek
2008-07-03 08:31 --------- d-----w C:\Dokumente und Einstellungen\Melanie\Anwendungsdaten\Winamp
2008-07-02 23:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-07-02 23:06 --------- d-----w C:\Programme\ShotOnline
2008-06-10 06:40 355,584 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe
2008-05-16 10:21 --------- d-----w C:\Programme\Winamp
2008-05-16 08:21 --------- d-----w C:\Dokumente und Einstellungen\Melanie\Anwendungsdaten\ICQ
2008-05-10 10:35 --------- d-----w C:\Dokumente und Einstellungen\Melanie\Anwendungsdaten\Reallusion
2008-05-10 10:34 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-10 10:34 --------- d-----w C:\Programme\Reallusion
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-04-04 12:51 28,416 ----a-w C:\WINDOWS\system32\uxtuneup.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-12-27 02:27 141848]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-12-27 02:27 166424]
"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-12-27 02:27 137752]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2005-09-25 20:11 155648]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-14 23:44 385024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SymLnch"="C:\Dokumente und Einstellungen\Melanie\Anwendungsdaten\Symantec\Layouts\Norton Internet Security\15.0\SymAllLanguages\NIS_RETAIL\20070828\Support\SymLnch\SymLnch.exe" [2007-08-26 18:04 687976]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"PcSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 18:15 1634304]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Arcor Wlan-Monitor 1.0.lnk - C:\Programme\Arcor\Arcor Wlan-Monitor 1.0\ArcorWlanUtility.exe [2007-12-03 11:55:08 5050368]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk
backup=C:\WINDOWS\pss\Bluetooth Manager.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Google Updater.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WG111v2 Smart Wizard Wireless Setting.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WG111v2 Smart Wizard Wireless Setting.lnk
backup=C:\WINDOWS\pss\WG111v2 Smart Wizard Wireless Setting.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2005-09-25 20:11 94208 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 12:34 5724184 C:\Programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2006-11-28 15:12 222720 C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegistryMechanic]
--a------ 2007-08-20 10:58 2483496 C:\Programme\Registry Mechanic\RegMech.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-04-01 20:49 36352 C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=

R2 AWISp50;AWISp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\AWISp50.sys [2006-03-15 10:35]
R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2005-04-01 11:42]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;C:\Programme\Firebird\Firebird_2_1\bin\fbguard.exe [2007-10-16 10:08]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;C:\Programme\Firebird\Firebird_2_1\bin\fbserver.exe [2007-10-16 10:07]
R3 R5U870FLx86;R5U870 UVC Lower Filter ;C:\WINDOWS\system32\Drivers\R5U870FLx86.sys [2007-12-27 00:55]
R3 R5U870FUx86;R5U870 UVC Upper Filter ;C:\WINDOWS\system32\Drivers\R5U870FUx86.sys [2007-12-27 00:55]
R3 SonyImgF;Sony Image Conversion Filter Driver;C:\WINDOWS\system32\DRIVERS\SonyImgF.sys [2007-12-27 01:41]
R3 ti21sony;ti21sony;C:\WINDOWS\system32\drivers\ti21sony.sys [2007-04-23 14:29]
S3 EverestDriver;Lavalys EVEREST Kernel Driver;C:\Programme\Lavalys\EVEREST Home Edition\kerneld.wnt []
S3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2005-04-21 14:33]
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 09:57]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-06-10 08:40]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-07-03 20:32:06 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-AzMixerSel - C:\Programme\Realtek\InstallShield\AzMixerSel.exe
MSConfigStartUp-ISTray - C:\Programme\Spyware Doctor\pctsTray.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-03 22:35:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]
"ImagePath"="\??\C:\Programme\Lavalys\EVEREST Home Edition\kerneld.wnt"
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\system32\wbem\wmiadap.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-03 22:37:21 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-03 20:37:18
ComboFix2.txt 2008-07-03 17:27:03

12 Verzeichnis(se), 91,628,351,488 Bytes frei
12 Verzeichnis(se), 91,666,497,536 Bytes frei

203 --- E O F --- 2008-06-21 00:02:04
__________
Mit lieben Grüßen euer Mario

#23

Zitat

Antispy durchlaufen 98 bedrohungen

ich frage mich, was du eigentlich tust, eine Verseuchung weg und du lädst gleich die nächste.
AntiSpywareBot - ist ein gefälschtes Programm, zerschiesst dir mal wieder den rechner.

----

wende dann also sdfix im abgesicherten modus an + poste den Report
Uff - formatieren wäre vernünftiger, der arme gebeutelte Rechner...kann einem richtig leid tun....
__________
MfG Sabina

rund um die PC-Sicherheit

#24 also ich konnte tatsächlich wieder im abgesicherten modus starten, aber sdfix liess er nicht zu da ich weder als Admin noch als normaler die rechte hatte was er aber machen lies, er lies sich Antivirenscanner installieren!

Er fand auch die bagle viren

hier der scan report von Anti vir:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 4. Juli 2008 00:33

Es wird nach 1376780 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: MELANIE-PC


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP116\A0030010.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP116\A0030012.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Bagle.IW.2
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP116\A0030013.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Bagle.IW.2
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP116\A0031008.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031025.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Bagle.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031026.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031028.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031029.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Bagle.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031030.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Bagle.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031032.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Bagle.IJ.52
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031042.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Bagle.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031044.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031046.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Bagle.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031048.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Bagle.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031055.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031056.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031057.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Bagle.IJ.52
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031058.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Bagle.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031059.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Bagle.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031061.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031062.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031074.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Bagle.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031075.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031076.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Bagle.IJ.52
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031077.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031078.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Bagle.IW.2
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031079.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Bagle.IW.2
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0031080.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0032797.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Bagle.IW.2
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0032798.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Bagle.IW.2
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0032799.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0032861.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Bagle.IW.2
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0032869.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Bagle.IW.2
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0032878.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Bagle.IW.2
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP117\A0033878.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Bagle.IW.2
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP118\A0033899.exe
[FUND] Ist das Trojanische Pferd TR/Bagle.Gen.B
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP118\A0033900.exe
[FUND] Enthält Erkennungsmuster des Wurmes WORM/Bagle.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP118\A0033916.sys
[FUND] Ist das Trojanische Pferd TR/Rootkit.Gen
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP118\A0033917.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Bagle.IW.2
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP118\A0033918.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Bagle.IW.2
[HINWEIS] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{EBAD6E2E-55CA-4EE2-993A-6918BF9C8701}\RP118\A0033920.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Bagle.IW.2
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Freitag, 4. Juli 2008 01:09
Benötigte Zeit: 36:21 min

Der Suchlauf wurde vollständig durchgeführt.

6452 Verzeichnisse wurden überprüft
363135 Dateien wurden geprüft
41 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
41 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
363094 Dateien ohne Befall
1459 Archive wurden durchsucht
3 Warnungen
41 Hinweise
__________
Mit lieben Grüßen euer Mario

#25 Hallo.

1.
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

««
wende sdfix im normalmodus an
http://virus-protect.org/artikel/tools/sdfix.html

RunThis.bat doppelt klicken
reinschreiben: 3

3 : wird Sophos geladen

bei Option 6 - erfolgt ein Fullscan + löschen der infizierten Dateien

"SophosReport.txt" (im SDFix-Ordner) - abkopieren und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit

#26 hier der sdfix report



Sophos Anti-Virus
Version 4.30.0 [Win32/Intel]
Virus data version 4.30E, June 2008
Includes detection for 425102 viruses, trojans and worms
Copyright (c) 1989-2008 Sophos Plc, www.sophos.com

System time 10:45:18, System date 04 July 2008
Command line qualifiers are: -f -remove -nc -nb -dn --stop-scan -idedir=C:\SDFix\IDE -p=C:\SDFix\SophosReport.txt

Full Scanning

>>> Virus 'Troj/Keygen-BE' found in file C:\Dokumente und Einstellungen\Melanie\Eigene Dateien\Melanie\Documents\Meine empfangenen Dateien\TuneUp Ultilities 2007\TuneUp Ultilities 2007\TuneUp Ultilities 2007\tuneup.utilities.2007.keygen-tsrh\keygen.exe
Removal successful
Could not open C:\WINDOWS\system32\drivers\sptd.sys

1 boot sector swept.
21429 files swept in 23 minutes and 54 seconds.
1 error was encountered.
1 virus was discovered.
1 file out of 21429 was infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
Ending Sophos Anti-Virus.
__________
Mit lieben Grüßen euer Mario

#27 ««
sdfix
RunThis.bat doppelt klicken
2 : wird Norman geladen
scanne + poste den report
Wenn man mit Norman von SDFix scannt steht auf dem Desktop das Log
"NFix_datum_nummer"

und in Zukunft keine Keygens mehr, wenn du hier Hilfe finden willst !!!!
__________
MfG Sabina

rund um die PC-Sicherheit

#28

Zitat

Sabina postete

und in Zukunft keine Keygens mehr, wenn du hier Hilfe finden willst !!!!

Keygens?

was für Keygens?

der läppi scannt gerade mit norman alles durch!!

Kannst du mir bei meinem Haupt PC auch helfen?

Wenn ich ein Programm anklicken will, braucht er ewig bis er es öffnet!

Explorer wenn ich anklicke macht er ein fenster auf aber die startseite kommt nicht, kann die adresse auch nicht ändern!
achja,

systemauslastung ist konstan zwischen 90 und 100%
Firefox ist das einzige was er aufmacht!
Mein antivirenscanner macht auch nicht auf im moment!!
__________
Mit lieben Grüßen euer Mario

#29 hier der norman report vom laptop:

Norman Malware Cleaner
Copyright © 1990 - 2008, Norman ASA. Built 2008/06/30 19:19:50

Norman Scanner Engine Version: 5.92.08
Nvcbin.def Version: 5.92.00, Date: 2008/06/30 19:19:50, Variants: 1812814

Running pre-scan cleanup routine:
Operating System: Microsoft Windows XP Home 5.1.2600 Service Pack 2
Logged on user: MELANIE-PC\Melanie


Scan started: 04/07/2008 12:06:48


Scanning running processes and process memory...

Number of processes/threads found: 2094
Number of processes/threads scanned: 2093
Number of processes/threads not scanned: 1
Number of infected processes/threads terminated: 0
Total scanning time: 33s


Scanning file system...

Scanning: C:\*.*


Running post-scan cleanup routine:

Number of files found: 238590
Number of archives unpacked: 819
Number of files scanned: 238559
Number of files not scanned: 31
Number of files skipped due to exclude list: 0
Number of infected files found: 0
Number of infected files repaired/deleted: 0
Number of infections removed: 0
Total scanning time: 48m 58s
__________
Mit lieben Grüßen euer Mario

#30 und hier der combofix report von meinem Hauptrechner!!


ComboFix 08-07-03.5 - Mario Jäger 2008-07-04 13:00:05.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.788 [GMT 2:00]
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\Downloaded Program Files\ODCTOOLS
C:\WINDOWS\system32\drivers\downld
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\mdelk.exe
C:\WINDOWS\system32\drivers\srosa.sys

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-04 bis 2008-07-04 ))))))))))))))))))))))))))))))
.

2008-07-04 10:27 . 2008-07-04 10:27 <DIR> d-------- C:\Dokumente und Einstellungen\Mario Jäger.S-2783464CE7C34\Anwendungsdaten\Talkback
2008-07-04 10:26 . 2006-09-26 09:02 692,224 --ah----- C:\WINDOWS\system32\RunDll32 cmicnfg.cpl,CMICtrlWnd
2008-07-04 10:26 . 2008-07-04 10:26 0 --a------ C:\WINDOWS\nsreg.dat
2008-07-03 20:18 . 2008-07-03 20:18 <DIR> d-------- C:\Programme\CCleaner
2008-07-03 20:17 . 2008-07-03 20:17 <DIR> d-------- C:\Programme\Trend Micro
2008-07-03 14:53 . 2008-07-03 15:06 <DIR> d-------- C:\Programme\Magic MP3 Tagger
2008-07-03 13:41 . 2000-10-02 00:00 125,712 --a------ C:\WINDOWS\system32\vb6de.dll
2008-07-02 19:41 . 2008-07-02 19:41 <DIR> d-------- C:\Programme\gamigo AG
2008-07-02 19:36 . 2008-07-02 19:36 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-06-27 10:42 . 2008-06-27 11:10 <DIR> d-------- C:\Dokumente und Einstellungen\Mario Jäger.S-2783464CE7C34\Anwendungsdaten\TeamViewer
2008-06-27 10:41 . 2008-06-27 10:41 <DIR> d-------- C:\Dokumente und Einstellungen\Mario Jäger.S-2783464CE7C34\temp
2008-06-27 10:41 . 2008-06-27 10:41 <DIR> d-------- C:\Dokumente und Einstellungen\Mario Jäger.S-2783464CE7C34\temp
2008-06-25 14:47 . 2008-06-25 14:47 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-06-25 14:47 . 2008-05-17 14:56 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-06-25 12:08 . 2008-06-25 13:34 <DIR> d-------- C:\Dokumente und Einstellungen\Mario Jäger.S-2783464CE7C34\Anwendungsdaten\FileZilla
2008-06-25 12:07 . 2008-06-25 12:07 <DIR> d-------- C:\Programme\FileZilla FTP Client
2008-06-24 22:33 . 2007-04-09 14:23 28,040 --a------ C:\WINDOWS\system32\mdimon.dll
2008-06-18 19:41 . 2008-06-18 19:41 <DIR> d-------- C:\KURZ-SOUND
2008-06-13 14:45 . 2008-06-13 14:45 579,464 --a------ C:\WINDOWS\system32\SymNeti.dll
2008-06-13 14:45 . 2008-06-13 14:45 207,240 --a------ C:\WINDOWS\system32\SymRedir.dll
2008-06-13 14:14 . 2008-06-13 14:14 31,280 --a------ C:\WINDOWS\system32\drivers\SymIM.sys
2008-06-13 14:14 . 2008-06-13 14:14 13,093 --a------ C:\WINDOWS\system32\drivers\SymRedir.cat
2008-06-13 14:14 . 2008-06-13 14:14 1,611 --a------ C:\WINDOWS\system32\drivers\SymRedir.inf
2008-06-13 14:13 . 2008-06-13 14:13 184,240 --a------ C:\WINDOWS\system32\drivers\symtdi.sys
2008-06-13 14:13 . 2008-06-13 14:13 96,432 --a------ C:\WINDOWS\system32\drivers\symfw.sys
2008-06-13 14:13 . 2008-06-13 14:13 41,008 --a------ C:\WINDOWS\system32\drivers\symndisv.sys
2008-06-13 14:13 . 2008-06-13 14:13 38,576 --a------ C:\WINDOWS\system32\drivers\symids.sys
2008-06-13 14:13 . 2008-06-13 14:13 37,424 --a------ C:\WINDOWS\system32\drivers\symndis.sys
2008-06-13 14:13 . 2008-06-13 14:13 22,320 --a------ C:\WINDOWS\system32\drivers\symredrv.sys
2008-06-13 14:13 . 2008-06-13 14:13 13,616 --a------ C:\WINDOWS\system32\drivers\symdns.sys
2008-06-11 07:14 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 07:14 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-07 14:34 . 2004-08-04 14:00 1,689,088 ---h---t- C:\WINDOWS\system32\f2c6396.dll
2008-06-07 14:34 . 2004-08-04 14:00 1,689,088 ---h---t- C:\WINDOWS\system32\8250f3a.dll
2008-06-07 14:34 . 2004-08-04 14:00 82,944 ---h---t- C:\WINDOWS\system32\9d5c240.dll
2008-06-07 14:34 . 2004-08-04 14:00 82,944 ---h---t- C:\WINDOWS\system32\7e87f18.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-04 08:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-03 18:21 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec
2008-07-03 17:40 94,208 ----a-w C:\WINDOWS\DUMP3b53.tmp
2008-07-02 17:59 --------- d-----w C:\Programme\ShotOnline
2008-06-27 12:28 --------- d-----w C:\Dokumente und Einstellungen\Mario Jäger.S-2783464CE7C34\Anwendungsdaten\ICQ
2008-06-25 12:47 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-06-16 11:49 --------- d-----w C:\Dokumente und Einstellungen\Mario Jäger.S-2783464CE7C34\Anwendungsdaten\HP
2008-06-03 13:23 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-06-03 13:23 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2008-06-03 13:23 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-06-03 13:23 10,671 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-06-03 13:23 --------- d-----w C:\Programme\Symantec
2008-06-01 06:53 --------- d-----w C:\Dokumente und Einstellungen\Mario Jäger.S-2783464CE7C34\Anwendungsdaten\Ahead
2008-05-30 13:39 --------- d-----w C:\Dokumente und Einstellungen\Mario Jäger.S-2783464CE7C34\Anwendungsdaten\PowerChallenge
2008-05-29 07:03 --------- d-----w C:\Programme\Hewlett-Packard
2008-05-29 07:03 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\HP
2008-05-29 06:39 82,380 ----a-w C:\WINDOWS\system32\drivers\AFS2K.SYS
2008-05-28 11:48 --------- d-----w C:\Programme\Audacity
2008-05-26 10:21 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\WLInstaller
2008-05-25 13:12 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\RapidSolution
2008-05-25 12:45 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-25 12:45 --------- d-----w C:\Programme\Arcor
2008-05-21 18:50 --------- d-----w C:\Dokumente und Einstellungen\Mario Jäger.S-2783464CE7C34\Anwendungsdaten\Winamp
2008-05-21 17:47 --------- d-----w C:\Programme\Teamspeak2_RC2
2008-05-21 17:47 --------- d-----w C:\Dokumente und Einstellungen\Mario Jäger.S-2783464CE7C34\Anwendungsdaten\teamspeak2
2008-05-21 16:10 --------- d-----w C:\Programme\Norton Internet Security
2008-05-21 15:59 --------- d-----w C:\Dokumente und Einstellungen\Mario Jäger.S-2783464CE7C34\Anwendungsdaten\Symantec
2008-05-21 15:37 --------- d-----w C:\Programme\Google
2008-05-21 15:23 --------- d-----w C:\Programme\IncrediMail
2008-05-21 15:23 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\IM
2008-05-21 15:22 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\IncrediMail
2008-05-21 15:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-21 15:01 --------- d-----w C:\Dokumente und Einstellungen\Mario Jäger.S-2783464CE7C34\Anwendungsdaten\TuneUp Software
2008-05-21 15:01 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TuneUp Software
2008-05-21 14:59 --------- d-----w C:\Programme\ICQ6
2008-05-21 14:57 --------- d-----w C:\Dokumente und Einstellungen\Mario Jäger.S-2783464CE7C34\Anwendungsdaten\InstallShield
2008-05-21 14:56 --------- d-----w C:\Programme\Winamp
2008-05-21 14:52 --------- d-----w C:\Programme\VIAudioi
2008-05-21 14:38 --------- d-----w C:\Programme\C-Media Audio
2008-05-20 12:54 --------- d-----w C:\Programme\RapidSolution
2008-05-20 11:39 --------- d-----w C:\Programme\Voice Studio 2003
2008-05-18 16:32 --------- d-----w C:\Dokumente und Einstellungen\Mario Jäger.MARIOS-PC\Anwendungsdaten\teamspeak2
2008-05-16 09:19 --------- d-----w C:\Programme\SpacialAudio
2008-05-16 09:03 --------- d-----w C:\Dokumente und Einstellungen\Mario Jäger.MARIOS-PC\Anwendungsdaten\TeamViewer
2008-05-16 09:02 --------- d-----w C:\Programme\TeamViewer3
2008-05-15 18:11 --------- d-----w C:\Dokumente und Einstellungen\Mario Jäger.MARIOS-PC\Anwendungsdaten\Winamp
2008-05-15 18:04 --------- d-----w C:\Programme\Winamp Remote
2008-05-15 14:13 --------- d-----w C:\Programme\Firebird
2008-05-14 16:56 --------- d-----w C:\Programme\phenomedia
2008-05-11 12:23 --------- d-----w C:\Programme\Reallusion
2008-05-11 12:19 --------- d-----w C:\Dokumente und Einstellungen\Mario Jäger.MARIOS-PC\Anwendungsdaten\InstallShield
2008-05-11 12:06 --------- d-----w C:\Dokumente und Einstellungen\Mario Jäger.MARIOS-PC\Anwendungsdaten\Reallusion
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]
2007-08-24 21:51 316784 --a------ C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
2008-05-21 18:05 116088 --a------ C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 00:43 8466432]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 00:43 81920]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-07-04 12:55 51048]
"osCheck"="C:\Programme\Norton Internet Security\osCheck.exe" [2008-07-04 12:34 714608]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2005-09-25 19:11 155648]
"nwiz"="nwiz.exe" [2007-06-29 00:43 1626112 C:\WINDOWS\system32\nwiz.exe]

C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen�\Programme\Autostart\
WG111v2 Smart Wizard Wireless Setting.lnk - C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe [2008-05-25 14:50:32 745472]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Arcor Wlan-Monitor 1.0.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Arcor Wlan-Monitor 1.0.lnk
backup=C:\WINDOWS\pss\Arcor Wlan-Monitor 1.0.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AudioDeck]
--a------ 2006-07-26 14:19 540672 C:\Programme\VIAudioi\SBADeck\ADeck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2007-10-18 12:34 5724184 C:\Programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
"swg"=C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"HP Software Update"=C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\SpacialAudio\\SAMBC\\SAMBC.exe"=
"L:\\Smart-Muli\\emule.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImApp.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImpCnt.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\gamigo AG\\LevelR\\LevelR.bin"=

R0 ViBus;ViBus;C:\WINDOWS\system32\DRIVERS\ViBus.sys [2007-12-07 11:13]
R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2007-09-21 17:49]
R0 ViPrt;VIA SATA IDE Device Driver;C:\WINDOWS\system32\DRIVERS\ViPrt.sys [2007-12-07 11:10]
R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2005-04-01 10:42]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;C:\Programme\Firebird\Firebird_2_1\bin\fbguard.exe [2007-10-16 10:08]
R2 LiveUpdate Notice;LiveUpdate Notice;"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon []
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;C:\Programme\Firebird\Firebird_2_1\bin\fbserver.exe [2007-10-16 10:07]
R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2005-04-21 13:33]
S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-03-06 21:32]
S3 scramby_out;Scramby Output;C:\WINDOWS\system32\drivers\scramby_out.sys [2007-08-08 09:31]
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 08:57]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-06-25 14:47]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{54a0aa38-2fa6-11dd-b549-000fb5d8311e}]
\Shell\AutoRun\command - N:\nideiect.com
\Shell\explore\Command - N:\nideiect.com
\Shell\open\Command - N:\nideiect.com

*Newly Created Service* - CATCHME
*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
"2008-07-04 11:00:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
"2008-05-29 06:40:47 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1212043193.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
"2008-06-30 18:00:00 C:\WINDOWS\Tasks\Norton Internet Security - Systemprüfung ausführen - Mario Jäger.job"
- C:\Programme\Norton Internet Security\Norton AntiVirus\Navw32.exet/TASK:
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
MSConfigStartUp-swg - C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-04 13:03:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-04 13:05:53 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-04 11:05:50
ComboFix2.txt 2008-01-10 19:36:07
ComboFix3.txt 2008-01-08 20:24:42

19 Verzeichnis(se), 116,791,209,984 Bytes frei
19 Verzeichnis(se), 117,185,499,136 Bytes frei

226 --- E O F --- 2008-06-26 10:45:05

der Ordner Qoobox wurde entsorgt
__________
Mit lieben Grüßen euer Mario