Virus 2008 pro mit VIRUS ALERT neben Uhrzeit

#0
05.07.2008, 17:35
...neu hier

Beiträge: 4
#1 Hallo,

habe mir den schon in anderen threads beschriebenen Virus mit
VIRUS ALERT neben der Systemuhrzeit und keinen Zugang mehr zur
Registry und dem Taskmanager auf meinem Rechner eingefangen. Hab die
im thread http://board.protecus.de/t23187.htm beschriebenen Schritte
soweit durchgeführt und poste jetzt die beiden logs vom combofix- und
hijackthistool für eine Analyse. Der Rechner sieht soweit wieder gut aus,
aber vielleicht ist ja noch etwas wieteres aus den logs erkennbar.

Besten Dank im voraus
Gruß Jens

combofix.txt:

ComboFix 08-07-04.6 - Administrator 2008-07-05 18:03:25.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.277 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Install.dat
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk
C:\Dokumente und Einstellungen\Administrator\Desktop\antivirus-2008pro.lnk
C:\Dokumente und Einstellungen\Administrator\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Administrator\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Administrator\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Administrator\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Administrator\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Administrator\Favoriten\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Antivirus 2008 PRO
C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Antivirus 2008 PRO\antivirus-2008pro.lnk
C:\Programme\Antivirus 2008 PRO
C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe
C:\Programme\Antivirus 2008 PRO\vscan.tsi
C:\Programme\Antivirus 2008 PRO\zlib.dll
C:\Programme\Microsoft Security Adviser
C:\WINDOWS\erab.exe
C:\WINDOWS\system32\appcert
C:\WINDOWS\system32\atdniyrv.ini
C:\WINDOWS\system32\eKjjknpo.ini
C:\WINDOWS\system32\eKjjknpo.ini2
C:\WINDOWS\system32\epatfjgm.ini
C:\WINDOWS\system32\MabryObj.dll
C:\WINDOWS\system32\opnkjjKe.dll
C:\WINDOWS\system32\qvvnppsq.ini
C:\WINDOWS\system32\uwedqexb.ini
C:\WINDOWS\system32\vryindta.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-05 bis 2008-07-05 ))))))))))))))))))))))))))))))
.

2008-07-05 18:06 . 2008-07-05 18:06 294 ---hs---- C:\WINDOWS\system32\qvvnppsq.ini
2008-07-05 17:47 . 2008-07-05 17:47 <DIR> d-------- C:\Programme\Yahoo!
2008-07-05 17:47 . 2008-07-05 17:47 <DIR> d-------- C:\Programme\CCleaner
2008-07-05 17:45 . 2008-07-05 17:45 88,576 --a------ C:\WINDOWS\system32\qsppnvvq.dll
2008-07-05 17:21 . 2008-07-05 17:21 <DIR> d-------- C:\AntiVir PersonalEdition Classic
2008-07-01 23:24 . 2008-07-01 23:24 28,288 --a------ C:\WINDOWS\system32\ljJCsttr.dll
2008-07-01 23:23 . 2008-07-01 20:17 303,104 --a------ C:\WINDOWS\kgqfweltbnk.dll
2008-07-01 23:23 . 2008-07-01 20:17 233,472 --a------ C:\WINDOWS\okmdepgb.dll
2008-07-01 23:23 . 2008-07-01 20:17 180,224 --a------ C:\WINDOWS\axrfgvek.dll
2008-07-01 23:23 . 2008-07-01 20:17 155,648 --a------ C:\WINDOWS\nqgpedlr.dll
2008-07-01 23:23 . 2008-07-01 20:17 81,920 --a------ C:\WINDOWS\mrvtdpqe.exe
2008-06-22 16:45 . 2008-06-22 16:45 345 --a------ C:\Dokumente und Einstellungen\Administrator\schosst.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-03 19:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis
2008-06-05 20:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2004-04-30 15:21 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{28220052-D9A9-44B1-AB98-EDC594D238B6}]
2008-07-01 23:24 28288 --a------ C:\WINDOWS\System32\ljJCsttr.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E859DCC4-2549-4667-9E0D-CBCB6F2FCC78}]
2008-07-01 20:17 303104 --a------ C:\WINDOWS\kgqfweltbnk.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{6374A4B4-45BA-4718-9972-E56A8912ED9E}"= "C:\WINDOWS\nqgpedlr.dll" [2008-07-01 20:17 155648]

[HKEY_CLASSES_ROOT\clsid\{6374a4b4-45ba-4718-9972-e56a8912ed9e}]
[HKEY_CLASSES_ROOT\nqgpedlr.1]
[HKEY_CLASSES_ROOT\TypeLib\{9C84F3E1-BE66-4AC6-85ED-FB0913344C5E}]
[HKEY_CLASSES_ROOT\nqgpedlr]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 10:04 3309568]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"EPSON Stylus C84 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" [2003-05-27 05:08 99840]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2003-12-13 02:50 33792]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-03-24 10:04 46080]
"AWatch"="C:\Programme\FRITZ!DSL\Awatch.exe" [2001-11-16 15:31 548864]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 15:47 57344]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 22:11 262401]
"Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-08-27 20:22 90112]
"3c8608fb"="C:\WINDOWS\System32\qsppnvvq.dll" [2008-07-05 17:45 88576]
"nwiz"="nwiz.exe" [2004-03-24 10:04 782336 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:43 13312]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{28220052-D9A9-44B1-AB98-EDC594D238B6}"= "C:\WINDOWS\System32\ljJCsttr.dll" [2008-07-01 23:24 28288]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJCsttr]
2008-07-01 23:24 28288 C:\WINDOWS\system32\ljJCsttr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-04-19 22:11]
R0 c2scsi;c2scsi;C:\WINDOWS\System32\DRIVERS\c2scsi.sys [2002-09-26 23:16]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-04-19 22:11]
R2 AVMPORT;AVMPORT;C:\WINDOWS\System32\drivers\avmport.sys [2001-10-23 01:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmndsl.sys [2001-12-06 02:00]
R3 AVMWAN;AVM NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmwan.sys [2001-12-06 02:00]
R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\System32\DRIVERS\fdslbase.sys [2001-12-06 02:00]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\System32\DRIVERS\NETFWDSL.SYS [2001-12-05 11:52]
S3 Ip6FwHlp;IPv6-Internetverbindungsfirewall;C:\WINDOWS\System32\svchost.exe [2001-08-18 12:00]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\System32\DRIVERS\NETFRITZ.SYS [2001-11-09 14:51]

*Newly Created Service* - ALG
*Newly Created Service* - IPNAT
.
- - - - ORPHANS REMOVED - - - -

BHO-{D184B1A9-9657-4675-BC56-531C646B155D} - C:\WINDOWS\System32\ciadminh.dll
BHO-{FE25B053-8FC8-4771-8EC8-F1F500216339} - C:\WINDOWS\System32\opnkjjKe.dll
Toolbar-ID - (no file)
HKLM-Run-Cmaudio - cmicnfg.cpl
SharedTaskScheduler-{203B1C4D9-BC71-8916-38AD-9DEA5D213614} - (no file)


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-05 18:06:44
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINDOWS\system32\qvvnppsq.ini 294 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\ljJCsttr.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\FRITZ!\IWatch.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-05 18:09:22 - machine was rebooted [Administrator]
ComboFix-quarantined-files.txt 2008-07-05 16:09:18

8 Verzeichnis(se), 16,171,020,288 Bytes frei
10 Verzeichnis(se), 16,170,586,112 Bytes frei

144


hijackthislog.txt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:12, on 05.07.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\FRITZ!\IWatch.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = //softwarereferral/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {28220052-D9A9-44B1-AB98-EDC594D238B6} - C:\WINDOWS\System32\ljJCsttr.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {D184B1A9-9657-4675-BC56-531C646B155D} - C:\WINDOWS\System32\ciadminh.dll (file missing)
O2 - BHO: QXK Olive - {E859DCC4-2549-4667-9E0D-CBCB6F2FCC78} - C:\WINDOWS\kgqfweltbnk.dll
O2 - BHO: (no name) - {FE25B053-8FC8-4771-8EC8-F1F500216339} - C:\WINDOWS\System32\opnkjjKe.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: nqgpedlr - {6374A4B4-45BA-4718-9972-E56A8912ED9E} - C:\WINDOWS\nqgpedlr.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [3c8608fb] rundll32.exe "C:\WINDOWS\System32\qsppnvvq.dll",b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Mountit.lnk = C:\Programme\Roxio\WinOnCD 6 DVD\MountIt.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: ljJCsttr - C:\WINDOWS\SYSTEM32\ljJCsttr.dll
O22 - SharedTaskScheduler: OLE Module - {203B1C4D9-BC71-8916-38AD-9DEA5D213614} - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6296 bytes
Seitenanfang Seitenende
05.07.2008, 18:13
Member

Beiträge: 325
#2 Dein Angegebener Foren-Link ist (war) tod ;) , Du hast (hattest) "protectus" geschrieben. ---> Danke für die Korrektur !
Der Hijackthis-Log zeigt noch einige gefährliche bzw. fragliche Einträge !
Ansonsten meldet sich bestimmt sicher gleich ein Moderator zur Hilfe! ;)
Dieser Beitrag wurde am 05.07.2008 um 20:20 Uhr von Provisitor editiert.
Seitenanfang Seitenende
05.07.2008, 19:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#3 Hallo kochi71

1.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = //softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: (no name) - {28220052-D9A9-44B1-AB98-EDC594D238B6} - C:\WINDOWS\System32\ljJCsttr.dll

O2 - BHO: (no name) - {D184B1A9-9657-4675-BC56-531C646B155D} - C:\WINDOWS\System32\ciadminh.dll (file missing)

O2 - BHO: QXK Olive - {E859DCC4-2549-4667-9E0D-CBCB6F2FCC78} - C:\WINDOWS\kgqfweltbnk.dll

O2 - BHO: (no name) - {FE25B053-8FC8-4771-8EC8-F1F500216339} - C:\WINDOWS\System32\opnkjjKe.dll (file missing)

O3 - Toolbar: nqgpedlr - {6374A4B4-45BA-4718-9972-E56A8912ED9E} - C:\WINDOWS\nqgpedlr.dll

O4 - HKLM\..\Run: [3c8608fb] rundll32.exe "C:\WINDOWS\System32\qsppnvvq.dll",b

O20 - Winlogon Notify: ljJCsttr - C:\WINDOWS\SYSTEM32\ljJCsttr.dll

O22 - SharedTaskScheduler: OLE Module - {203B1C4D9-BC71-8916-38AD-9DEA5D213614} - (no file)

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{28220052-D9A9-44B1-AB98-EDC594D238B6}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E859DCC4-2549-4667-9E0D-CBCB6F2FCC78}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{6374A4B4-45BA-4718-9972-E56A8912ED9E}"=-
[-HKEY_CLASSES_ROOT\clsid\{6374a4b4-45ba-4718-9972-e56a8912ed9e}]
[-HKEY_CLASSES_ROOT\nqgpedlr.1]
[-HKEY_CLASSES_ROOT\TypeLib\{9C84F3E1-BE66-4AC6-85ED-FB0913344C5E}]
[-HKEY_CLASSES_ROOT\nqgpedlr]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"3c8608fb"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{28220052-D9A9-44B1-AB98-EDC594D238B6}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ljJCsttr]

File::
C:\WINDOWS\system32\qvvnppsq.ini
C:\WINDOWS\system32\qsppnvvq.dll
C:\WINDOWS\system32\ljJCsttr.dll
C:\WINDOWS\kgqfweltbnk.dll
C:\WINDOWS\okmdepgb.dll
C:\WINDOWS\axrfgvek.dll
C:\WINDOWS\nqgpedlr.dll
C:\WINDOWS\mrvtdpqe.exe
C:\Dokumente und Einstellungen\Administrator\schosst.exe

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

««

poste das neue Log von Combofix

------------------------------------

3.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

4.
scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.07.2008, 21:55
...neu hier

Themenstarter

Beiträge: 4
#4 Hi,

habe combofix nochmals ausgeführt mit dem angenlegten script-file.

Das log sieht jetzt so aus:
ComboFix 08-07-04.6 - Administrator 2008-07-06 21:28:10.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.280 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\Dokumente und Einstellungen\Administrator\schosst.exe
C:\WINDOWS\axrfgvek.dll
C:\WINDOWS\kgqfweltbnk.dll
C:\WINDOWS\mrvtdpqe.exe
C:\WINDOWS\nqgpedlr.dll
C:\WINDOWS\okmdepgb.dll
C:\WINDOWS\system32\ljJCsttr.dll
C:\WINDOWS\system32\qsppnvvq.dll
C:\WINDOWS\system32\qvvnppsq.ini
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\schosst.exe
C:\WINDOWS\axrfgvek.dll
C:\WINDOWS\kgqfweltbnk.dll
C:\WINDOWS\mrvtdpqe.exe
C:\WINDOWS\nqgpedlr.dll
C:\WINDOWS\okmdepgb.dll
C:\WINDOWS\system32\CMSrAcdd.ini
C:\WINDOWS\system32\CMSrAcdd.ini2
C:\WINDOWS\system32\ddcArSMC.dll
C:\WINDOWS\system32\ivbqnqcr.ini
C:\WINDOWS\system32\ljJCsttr.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\olsbvgmg.ini
C:\WINDOWS\system32\qvvnppsq.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-06 bis 2008-07-06 ))))))))))))))))))))))))))))))
.

2008-07-06 21:22 . 2008-07-06 21:22 89,088 --a------ C:\WINDOWS\system32\rcqnqbvi.dll
2008-07-06 21:22 . 2008-07-06 21:22 12,862 --a------ C:\WINDOWS\EPISMG00.SWB
2008-07-05 18:21 . 2008-07-05 18:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-07-05 17:47 . 2008-07-05 17:47 <DIR> d-------- C:\Programme\Yahoo!
2008-07-05 17:47 . 2008-07-05 17:47 <DIR> d-------- C:\Programme\CCleaner
2008-07-05 17:21 . 2008-07-05 17:21 <DIR> d-------- C:\AntiVir PersonalEdition Classic

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-03 19:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Acronis
2008-06-05 20:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2004-04-30 15:21 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-07-05_18.09.02.23 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-05 16:00:45 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-07-06 20:20:20 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-07-05 16:00:45 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-07-06 20:20:20 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-07-05 16:00:45 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-07-06 20:20:20 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2008-03-30 09:21:49 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-07-05 16:08:18 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-03-30 09:21:49 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-07-05 16:08:18 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-03-30 09:21:49 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-07-05 16:08:18 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-03-30 09:21:49 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-07-05 16:08:18 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D184B1A9-9657-4675-BC56-531C646B155D}]
C:\WINDOWS\System32\ciadminh.dll [BU]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FE25B053-8FC8-4771-8EC8-F1F500216339}]
C:\WINDOWS\System32\opnkjjKe.dll [BU]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-03-24 10:04 3309568]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"EPSON Stylus C84 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" [2003-05-27 05:08 99840]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2003-12-13 02:50 33792]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2004-03-24 10:04 46080]
"AWatch"="C:\Programme\FRITZ!DSL\Awatch.exe" [2001-11-16 15:31 548864]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 15:47 57344]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-19 22:11 262401]
"Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-08-27 20:22 90112]
"nwiz"="nwiz.exe" [2004-03-24 10:04 782336 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 12:43 13312]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"MSACM.CEGSM"= mobilev.acm

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgntmgr.sys [2008-04-19 22:11]
R0 c2scsi;c2scsi;C:\WINDOWS\System32\DRIVERS\c2scsi.sys [2002-09-26 23:16]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-04-19 22:11]
R2 AVMPORT;AVMPORT;C:\WINDOWS\System32\drivers\avmport.sys [2001-10-23 01:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmndsl.sys [2001-12-06 02:00]
R3 AVMWAN;AVM NDIS WAN CAPI Treiber;C:\WINDOWS\System32\DRIVERS\avmwan.sys [2001-12-06 02:00]
R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\System32\DRIVERS\fdslbase.sys [2001-12-06 02:00]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\System32\DRIVERS\NETFWDSL.SYS [2001-12-05 11:52]
S3 Ip6FwHlp;IPv6-Internetverbindungsfirewall;C:\WINDOWS\System32\svchost.exe [2001-08-18 12:00]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\System32\DRIVERS\NETFRITZ.SYS [2001-11-09 14:51]

.
- - - - ORPHANS REMOVED - - - -

BHO-{915B0C35-5DD9-4DF5-8025-54B2483C57D8} - C:\WINDOWS\System32\ddcArSMC.dll
Toolbar-ID - (no file)


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-06 21:31:01
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-06 21:33:11 - machine was rebooted [Administrator]
ComboFix-quarantined-files.txt 2008-07-06 19:33:09
ComboFix2.txt 2008-07-05 16:09:23

8 Verzeichnis(se), 16,162,185,216 Bytes frei
10 Verzeichnis(se), 16,156,135,424 Bytes frei

131




Besten Dank,
Gruß Jens
Seitenanfang Seitenende
06.07.2008, 22:29
Member

Beiträge: 11
#5 Guten Abend allen noch anwesenden.

Hat jemand schon mal das problem mit dem Virus alert gehabt, dass nach ca 12 sekunden nichts mehr zu schalten und walten geht?
Wie kann man da etwas installieren bzw. irgendwelche programme starten?
Gibt es da jemand, der mir mal ein Trick veraten könnte?
Habe selbst schon den ganzen Sonntag damit verbracht, um in diversen Foren zu lesen.
Mein Problem gab es aber bei keinem?
Vielen Dank im voraus, falls ich doch noch unerwartet Hilfe bekomme.
Seitenanfang Seitenende
06.07.2008, 23:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo kochi71

1.
erstelle eine neue cfscript.txt, dann wieder auf Combofix ziehen

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D184B1A9-9657-4675-BC56-531C646B155D}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FE25B053-8FC8-4771-8EC8-F1F500216339}]

File::
C:\WINDOWS\System32\ddcArSMC.dll
C:\WINDOWS\System32\ciadminh.dll
C:\WINDOWS\system32\rcqnqbvi.dll
««
scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.07.2008, 23:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hallo wosein

Zitat

Hat jemand schon mal das problem mit dem Virus alert gehabt, dass nach ca 12 sekunden nichts mehr zu schalten und walten geht?
Wie kann man da etwas installieren bzw. irgendwelche programme starten?
Gibt es da jemand, der mir mal ein Trick veraten könnte?
mache eine Systemwiederherstellung (am besten im abgesicherten Modus) - da müsste es klappen

«
<oder , auch im abgesicherten Modus

Cleaner anwenden + die temp-Dateien alle löschen
http://www.ccleaner.de/?protecus.de

rvaxo anwenden
http://virus-protect.org/artikel/tools/rvaxo.html

Combofix anwenden , das Log abspeichern und dann hier posten
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.07.2008, 23:42
Member

Beiträge: 11
#8 Vielen Dank für die flotte Antwort Sabina,
Systemwiederherstellung im abg. Modus geht nicht und die anderen Programme kann ich nicht installieren. Das Notebook (IBM ThinkPad T22) was betroffen ist, ist nicht online. Wenn ich das Teil hochfahre kann ich nur kurz etwas machen. Dann ist vom desktop alles weg und ich kann nichts mehr bewegen. Später kommt dann noch diese komische Vista scann, der mir sagt wieviel Infizierte sachen ich haben und soll nach einen Aktivierungscode online gehen.
Zwischenzeitlich habe ich versucht, XP neu zu installieren. Das konnte aber auch nichts ändern. Ob das dann von mir richtig war.
Oder gib es eine andere möglichkeit, um von der Platte noch paar daten zu retten? Dannach kann man ja bestimmt formatieren.

Schöne Grüße mario
Seitenanfang Seitenende
07.07.2008, 00:54
Member

Beiträge: 325
#9 Hallo wosein!
Funktioniert der abgesicherte Modus überhaupt ??
Wenn bei Dir im abgesicherten Modus nichts mehr zu installieren geht, versuche mal Dir die "alte" Version von Hijackthis (V1.99) zu besorgen, das ist noch eine "nur" -exe Version und keine "Install"-exe -Version. Vielleicht kannst Du mit der, im abgesicherten Modus Dir erstmal ein Logfile erstellen, was Du hier posten kannst, damit die Moderatoren vielleicht mal einen Ansatzpunkt haben.
Download HJT 1.99:
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip
Seitenanfang Seitenende
07.07.2008, 11:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo wosein

laden, entpacken + der Registry zufügen + PC neustarten in den abgesicherten modus, dort alle anderen Proggies anwenden:
http://users.telenet.be/bluepatchy/miekiemoes/tools/VArestorepolicies.zip

der tip mit dem hijackthis ist gut, versuche es mal ;)
poste dann hier den Report
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip

«
windowsscan laden, falls du XP hast, vistascan laden, falls du vista installiert hast
http://www.paules-pc-infothek.de/grafiken/mopao/WindowsScan.zip
http://www.paules-pc-infothek.de/grafiken/mopao/VistaScan.zip
http://virus-protect.org/artikel/tools/windowsscan.html

«
andere Möglichkeit: Comboscan (ergibt 2 logs)
http://deckard.geekstogo.com/dss.exe
http://virus-protect.org/artikel/tools/comboscan.html

»
oder: systemscan + log hier posten
http://www.suspectfile.com/systemscan/
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.07.2008, 20:21
Member

Beiträge: 11
#11 HAllo liebe Helfer, ihr habt euch sehr viel mühe mit mir gegeben. dafür möcht ich mich recht herzlich bedanken. Das ganze war mir dann doch noch ein wenig kopliziert und aufwendig. Ich konnte in der kurzen Zeit die mir das System lies (ca. 12 sek), das TuneUp starten. Als es offen war, konnte man mitr dem arbeiten. Der Destop war dann schon leer. So konnte ich über den Shredder doch auf die Festplatte zugreifen und die Daten, die für mich wichtig waren auf extern kopieren. Also beim TuneUp Shredder auf Dateien und dann hinzufügen gehen. So kommt man dann auf die Festplatte. Beim Outlook war es das gleiche. Jetzt soll es mit Formatieren von Grund auf Neu gearbeitet werden. Wenn ich das System neu formatiere, wird wohl alles weg sein. Das hoffe ich .

Nochmals vielen Dank
mario
Seitenanfang Seitenende
07.07.2008, 20:37
Member

Beiträge: 325
#12 ...versuch doch trotzdem nochmal mit dem Hijackthis ein Log zu erstellen,bevor Du die Flinte in's Korn wirfst (habe Dir PN's geschickt), vielleicht kann damit nicht nur Dir sondern auch anderen Usern geholfen werden,-und Du erfährst obendrein warum Dein PC abgeschmiert ist-Das geht hier manchmal schneller als man denkt, dass einem geholfen wird !-Aber das mußt letztendlich Du selber wissen !
Seitenanfang Seitenende
07.07.2008, 21:10
Member

Beiträge: 11
#13 HAllo ihr vielen helfer.
also ich hab es doch noch mal versucht, so ein log zu erstellen. Ich hoffe, dass es richtig gemacht wurde.


Logfile of HijackThis v1.99.1
Scan saved at 21:58: VIRUS ALERT!, on 07/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\Sierra Wireless Inc\3G Watcher\WaHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\rewi Bausoftware\rewi-Zentrale\rewi_termine.exe
C:\Programme\mobile PhoneTools\WatchDog.exe
C:\WINDOWS\system32\tp4mon.exe
C:\WINDOWS\system32\TMController.exe
C:\Programme\VAV\vav.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\sunrise\m2Update\m2Update.exe
C:\Programme\TuneUp Utilities 2006\Integrator.exe
C:\Programme\SparVoip\SparVoip.exe
C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe
C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\SURECOM\SURECOM 802.11g WLAN USB Adapter\Installer\WINXP\EP9001-g-3A.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\TuneUp Utilities 2006\Undelete.exe
C:\Programme\TuneUp Utilities 2006\Shredder.exe
E:\06 Software\Sicherheit\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1;eumex.ip
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O3 - Toolbar: nqgpedlr - {CAE4B16A-4FF4-44D9-8D85-39A4F7E576FA} - C:\WINDOWS\nqgpedlr.dll
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [WatcherHelper] "C:\Programme\Sierra Wireless Inc\3G Watcher\WaHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ALDI_NORD_FotoSuite_Download] "C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [REWI Terminüberwachung] C:\Programme\rewi Bausoftware\rewi-Zentrale\rewi_termine.exe start
O4 - HKLM\..\Run: [WatchDog] C:\Programme\mobile PhoneTools\WatchDog.exe
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [TMController] C:\WINDOWS\system32\TMController.exe
O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [m2Update] C:\Programme\sunrise\m2Update\m2Update.exe /tray
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SparVoip] "C:\Programme\SparVoip\SparVoip.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EP9001-g.lnk = C:\Programme\SURECOM\SURECOM 802.11g WLAN USB Adapter\Installer\WINXP\EP9001-g-3A.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Buero\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\npjpi150_08.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ThinkPad-Software - Aktualisierung - {D1A4DEBD-C2EE-449f-B9FB-E8409F9A0BC5} - C:\Programme\Lenovo\PkgMgr\\PkgMgr.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0713E8D2-850A-101B-AFC0-4210102A8DA7} (Microsoft ProgressBar Control, version 5.0 (SP2)) - http://download.mcafee.com/molbin/Shared/ComCtl32/6,0,80,22/ComCtl32.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {9522589E-57B9-46C5-9A77-1F1C1CCBE550} (F-Secure Online Scanner 2.1 (CD version)) - file://D:\ols\connect\fscax.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9B17FE0E-51F2-4692-8B32-8EFB805FC0E7} (HPObjectInstaller Class) - http://h30155.www3.hp.com/ediags/dd/install/guidedsolutions.cab
O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab
O16 - DPF: {E4CF4E86-D0DC-4864-8F0E-4F6EA2526334} (UI File Upload Control) - https://img.web.de/v/smartdrive/activex/v2/web_de_osupload_2002.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/obj/NpFv415.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{020D013B-95AD-47BC-A30C-F79BF817799C}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{029001E0-2BE4-4F56-88FA-08419DE3A737}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{06FD24CF-4BA4-4E8D-B952-D4ABB173CD82}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{3A12024C-6B00-4F45-A5A1-B01247CAED87}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{4E38DB5B-1175-44E7-9CBA-243552FAFA58}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{61C49928-CCA3-4898-A245-CC2D28877108}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{6313F109-FC35-45FC-9788-A34264C2FBDE}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A574BCE-EC38-43BF-BFBF-EEDDF5987AEC}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FE67626-0C90-4454-8C63-34547AC76881}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\..\{E1CA4AF5-5956-46E1-9585-C7FD18E6246B}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.100 85.255.112.100
O17 - HKLM\System\CS1\Services\Tcpip\..\{020D013B-95AD-47BC-A30C-F79BF817799C}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.100 85.255.112.100
O17 - HKLM\System\CS2\Services\Tcpip\..\{020D013B-95AD-47BC-A30C-F79BF817799C}: NameServer = 85.255.115.100,85.255.112.100
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.100 85.255.112.100
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: axrfgvek - {15D058C2-581F-4387-A706-0C936405448E} - C:\WINDOWS\axrfgvek.dll
O21 - SSODL: okmdepgb - {99658ABB-A53D-478A-AF53-F557BF1969DE} - C:\WINDOWS\okmdepgb.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: SecurStar DCPP 3.81+ Service (DCPP2Svc) - Unknown owner - C:\Programme\DriveCrypt Plus Pack\DCPP2Svc.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - Unknown owner - c:\programme\mcafee.com\agent\mcdetect.exe (file missing)
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - Unknown owner - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe (file missing)
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe (file missing)
O23 - Service: Microsoft Windows DNS Manager - Unknown owner - C:\WINDOWS\System32\dllcache\windmns.exe (file missing)
O23 - Service: Microsoft Windows TCP Ack Timing - Unknown owner - C:\WINDOWS\System32\dllcache\wintcpack.exe (file missing)
O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
Seitenanfang Seitenende
07.07.2008, 21:19
Member

Beiträge: 325
#14 ...na bitte prima gemacht, die VAV.exe und vieles andere ist im Spiel, warten, die Chancen stehen nicht schlecht dass Dir geholfen wird, die Moderatoren sagen Dir gleich was genau zu fixen oder (zu machen) ist.Ich 'hab schon einiges endeckt!
Seitenanfang Seitenende
07.07.2008, 21:29
Member

Beiträge: 11
#15 Klingt ja gannzzzzz einfach. Ich warte dann natürlich.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: