Spyware detected on your Computer

#1 Hallo, ich hoffe ihr könnt mir helfen.
Habe ein ähnliches Problem wie viele andere Nutzer in diesem Forum:
Ich habe jetzt einen blauen Bildschirm mit gelbem Fenster in dem steht: Spyware detected on your Computer Pklease download Antivirussoftware etc. Außerdem kommt immer eine Meldung unten rechts Antivirus has found 1437 viruses on your Computer, allerdings ist es aufgrund der Aufmachung offensichtlich, dass diese Warnung nicht von XP stammt und ein anderes Programm dahinter steckt, ebenso wie die Aufforderung zum Kauf von Antivirussoftware per Kreditkarte.

Habe schonmal den HiJackThis scan laufen lassen, unten das Ergebnis. Vielen Dank für Eure Hilfe, WD

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:22:39, on 10.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\spools.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\lphc1amj0ejj3.exe
C:\Programme\rhc5amj0ejj3\rhc5amj0ejj3.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\pphc1amj0ejj3.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntosdetect.exe,C:\WINDOWS\system32\ntos.exe,
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\LocalService\Local Settings\Application Data\cftmon.exe
O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKLM\..\Run: [lphc1amj0ejj3] C:\WINDOWS\system32\lphc1amj0ejj3.exe
O4 - HKLM\..\Run: [SMrhc5amj0ejj3] C:\Programme\rhc5amj0ejj3\rhc5amj0ejj3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\Dramsch\Local Settings\Application Data\cftmon.exe
O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Firewall auto setup] C:\WINDOWS\TEMP\winlogon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160313714030
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Taskplaner (Schedule) - Unknown owner - C:\WINDOWS\system32\drivers\spools.exe

--
End of file - 5044 bytes

#2 Entferne mit CCleaner die Temp-Dateien.
Dann Malwarebytes anwenden und alles kritische fixen.
Danach nochmal Hijackthis -log.
Keine gefakten Fenster anclicken,es ist bei Dir die spools Exe die angemeckert wird.
Es kann vllt. sein dass einige User momentan nicht ins Netz kommen,- bei mir im Umkreis ist Kabel Deutschland-I-Net auch momentan tod.
Den Malwarebytes-log und den neuen von Hijackthis guckt sich bestimmt dann mal ein Moderator an.

#3 Malwarebytes' Anti-Malware 1.20
Datenbank Version: 937
Windows 5.1.2600 Service Pack 2

21:55:36 10.07.2008
mbam-log-7-10-2008 (21-55-26).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 72322
Scan Dauer: 57 minute(s), 58 second(s)

Infizierte Speicher Prozesse: 4
Infizierte Speicher Module: 6
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 9
Infizierte Datei Objekte der Registrierung: 5
Infizierte Verzeichnisse: 24
Infizierte Dateien: 49

Infizierte Speicher Prozesse:
C:\WINDOWS\system32\pphc1amj0ejj3.exe (Trojan.FakeAlert) -> No action taken.
C:\Programme\rhc5amj0ejj3\rhc5amj0ejj3.exe (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\drivers\spools.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\lphc1amj0ejj3.exe (Trojan.FakeAlert) -> No action taken.

Infizierte Speicher Module:
C:\WINDOWS\system32\ftpdll.dll (Trojan.Dropper) -> No action taken.
C:\Programme\rhc5amj0ejj3\rhc5amj0ejj3Skin.Dll (Rogue.AntivirusXP2008) -> No action taken.
C:\Programme\rhc5amj0ejj3\msvcp71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhc5amj0ejj3\MFC71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhc5amj0ejj3\msvcr71.dll (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\blphc1amj0ejj3.scr (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\schedule (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\schedule (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\schedule (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhc5amj0ejj3 (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autoload (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autoload (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ntuser (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ntuser (Trojan.Agent) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ntuser (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc1amj0ejj3 (Trojan.FakeAlert) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\firewall auto setup (Trojan.Agent) -> No action taken.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Backdoor.Bot) -> Data: c:\windows\system32\ntos.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntosdetect.exe,C:\WINDOWS\system32\ntos.exe,) Good: (userinit.exe) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Schedule\ImagePath (Hijack.Service) -> Bad: (C:\WINDOWS\system32\drivers\spools.exe) Good: (%SystemRoot%\System32\svchost.exe -k netsvcs) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\wsnpoem (Trojan.Agent) -> No action taken.
C:\Programme\rhc5amj0ejj3 (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3 (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Packages (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3 (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Packages (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhc5amj0ejj3\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\ftpdll.dll (Trojan.Dropper) -> No action taken.
C:\Programme\rhc5amj0ejj3\rhc5amj0ejj3Skin.Dll (Rogue.AntivirusXP2008) -> No action taken.
C:\WINDOWS\system32\pphc1amj0ejj3.exe (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\LocalService\ftpdll.dll (Trojan.Dropper) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\ftpdll.dll (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\wsnpoem\002CF9FA.uf (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\002D2261.uf (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\002D4B94.uf (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\002D7321.uf (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\002D9ACE.uf (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\002DE97A.uf (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\002E125F.uf (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\002E39DC.uf (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\002E614A.uf (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\002E9097.uf (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\002EBB51.uf (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\002EE436.uf (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\002F0C5F.uf (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\002F3563.uf (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\002F5EA5.uf (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll.cla (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\wsnpoem\video.dll (Trojan.Agent) -> No action taken.
C:\Programme\rhc5amj0ejj3\rhc5amj0ejj3.exe (Rogue.Multiple) -> No action taken.
C:\Programme\rhc5amj0ejj3\database.dat (Rogue.Multiple) -> No action taken.
C:\Programme\rhc5amj0ejj3\msvcp71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhc5amj0ejj3\MFC71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhc5amj0ejj3\MFC71ENU.DLL (Rogue.Multiple) -> No action taken.
C:\Programme\rhc5amj0ejj3\msvcr71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhc5amj0ejj3\license.txt (Rogue.Multiple) -> No action taken.
C:\Programme\rhc5amj0ejj3\rhc5amj0ejj3.exe.local (Rogue.Multiple) -> No action taken.
C:\Programme\rhc5amj0ejj3\Uninstall.exe (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\drivers\spools.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\phc1amj0ejj3.bmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\lphc1amj0ejj3.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\blphc1amj0ejj3.scr (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\ntos.exe (Backdoor.Bot) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk (Rogue.AntivirusXP2008) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> No action taken.
C:\WINDOWS\Temp\winlogon.exe (Trojan.Agent) -> No action taken.




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:33:13, on 10.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://deutsch.eazel.com/de/index.php?rvs=hompag&d=79919289
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160313714030
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

--
End of file - 3891 bytes

#4

Zitat

-> No action taken.

Du hast vergessen mit Malwarebytes zu fixen, da steht am Ende des Scans ein Button rechts (? oder irgendwo) unten (markiertes Beheben?/Entfernen?/löschen? o ä.)
...knapp 58 min verschenkt

#5 Hallo


Start -- Ausführen -- schreib rein: cmd
kopiere von hier aus rein:

sc stop Schedule

[klicke "enter"]

und warte ein bisschen, dann kopiere rein:

sc delete Schedule

[klicke "enter"]

Gruss Swiss

#6 Hallo WD

lasse von Malwarebytes alles gefundene entfernen
siehe (Info
http://virus-protect.org/artikel/spyware/drivers-spools.html

-----------------------------------------------------------

1.
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere in das weisse Feld:

Zitat

Folders to delete:
C:\WINDOWS\system32\wsnpoem
C:\Programme\rhc5amj0ejj3
C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\rhc5amj0ejj3
Files to delete:
C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\Dramsch\Local Settings\Application Data\cftmon.exe
C:\WINDOWS\system32\ftpdll.dll
C:\Dokumente und Einstellungen\LocalService\ftpdll.dll
C:\Dokumente und Einstellungen\Dramsch\ftpdll.dll
C:\WINDOWS\system32\phc1amj0ejj3.bmp
C:\WINDOWS\system32\lphc1amj0ejj3.exe
C:\WINDOWS\system32\blphc1amj0ejj3.scr
C:\WINDOWS\system32\pphc1amj0ejj3.exe
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\Temp\winlogon.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt1.tmp
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt3.tmp
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt2.tmp
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt5.tmp
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt4.tmp
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt7.tmp
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.tt9.tmp
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.ttB.tmp
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.ttD.tmp
C:\Dokumente und Einstellungen\Dramsch\Lokale Einstellungen\Temp\.ttF.tmp

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
Klicke: Execute
bestätige, dass der Rechner neu gestartet wird - klicke "yes"

-------------------------------------------------------------------

3.
sdfix
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)
gehe in den Ordner C:\SDFix
RunThis.bat doppelt klicken

+
poste hier den Report, der nach Neustart erscheint


4.
wende Combofix an - Warnmeldung wegklicken + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 SDFix: Version 1.204
Run by Dramsch on 11.07.2008 at 21:36

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\Temp\5EA5.tmp.lst - Deleted
C:\WINDOWS\Temp\6ACB.tmp.lst - Deleted
C:\WINDOWS\Temp\15B2.tmp.lst - Deleted
C:\WINDOWS\Temp\1ABF.tmp.lst - Deleted
C:\WINDOWS\Temp\36B2.tmp.lst - Deleted
C:\WINDOWS\Temp\4FD.tmp.lst - Deleted
C:\WINDOWS\Temp\4897.tmp.lst - Deleted
C:\WINDOWS\Temp\3D8C.tmp.lst - Deleted
C:\WINDOWS\Temp\7CFA.tmp.lst - Deleted
C:\WINDOWS\Temp\79BE.tmp.lst - Deleted
C:\WINDOWS\Temp\5A6A.tmp.lst - Deleted
C:\WINDOWS\Temp\4AC7.tmp.lst - Deleted
C:\WINDOWS\Temp\19C4.tmp.lst - Deleted
C:\WINDOWS\Temp\200A.tmp.lst - Deleted
C:\WINDOWS\Temp\3A07.tmp.lst - Deleted
C:\WINDOWS\Temp\30CD.tmp.lst - Deleted
C:\WINDOWS\Temp\63F2.tmp.lst - Deleted
C:\WINDOWS\Temp\1DB5.tmp.lst - Deleted
C:\WINDOWS\Temp\27D5.tmp.lst - Deleted
C:\WINDOWS\Temp\46EE.tmp.lst - Deleted
C:\WINDOWS\Temp\5581.tmp.lst - Deleted
C:\WINDOWS\Temp\65E5.tmp.lst - Deleted
C:\WINDOWS\Temp\4027.tmp.lst - Deleted
C:\WINDOWS\Temp\5AB8.tmp.lst - Deleted
C:\WINDOWS\Temp\55E8.tmp.lst - Deleted
C:\WINDOWS\Temp\4EBE.tmp.lst - Deleted
C:\WINDOWS\Temp\1CDD.tmp.lst - Deleted
C:\WINDOWS\Temp\31C8.tmp.lst - Deleted
C:\WINDOWS\Temp\7A9B.tmp.lst - Deleted
C:\WINDOWS\Temp\68AB.tmp.lst - Deleted
C:\WINDOWS\Temp\430A.tmp.lst - Deleted
C:\WINDOWS\Temp\4B24.tmp.lst - Deleted
C:\WINDOWS\Temp\77C4.tmp.lst - Deleted
C:\WINDOWS\Temp\4893.tmp.lst - Deleted
C:\WINDOWS\Temp\58D8.tmp.lst - Deleted
C:\WINDOWS\Temp\399B.tmp.lst - Deleted
C:\WINDOWS\Temp\1437.tmp.lst - Deleted
C:\WINDOWS\Temp\2DA1.tmp.lst - Deleted
C:\WINDOWS\Temp\34D1.tmp.lst - Deleted
C:\WINDOWS\Temp\14B9.tmp.lst - Deleted
C:\WINDOWS\Temp\5DAA.tmp.lst - Deleted
C:\WINDOWS\Temp\1DAA.tmp.lst - Deleted
C:\WINDOWS\Temp\5627.tmp.lst - Deleted
C:\WINDOWS\Temp\3469.tmp.lst - Deleted
C:\WINDOWS\Temp\2F9B.tmp.lst - Deleted
C:\WINDOWS\Temp\1AFE.tmp.lst - Deleted
C:\WINDOWS\Temp\1C5D.tmp.lst - Deleted
C:\WINDOWS\Temp\17BA.tmp.lst - Deleted
C:\WINDOWS\Temp\56E3.tmp.lst - Deleted
C:\WINDOWS\Temp\6567.tmp.lst - Deleted
C:\WINDOWS\Temp\67D3.tmp.lst - Deleted
C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt2D.tmp - Deleted
C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt2F.tmp - Deleted
C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt31.tmp - Deleted
C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt33.tmp - Deleted
C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt35.tmp - Deleted
C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt37.tmp - Deleted
C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt39.tmp - Deleted
C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt11.tmp - Deleted
C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt13.tmp - Deleted
C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt15.tmp - Deleted
C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt17.tmp - Deleted
C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt19.tmp - Deleted
C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt1B.tmp - Deleted
C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt1D.tmp - Deleted
C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt1F.tmp - Deleted
C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt21.tmp - Deleted
C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt23.tmp - Deleted
C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt25.tmp - Deleted
C:\DOKUME~1\Dramsch\LOKALE~1\Temp\.tt2B.tmp - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-11 21:42:20
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\SopCast\\SopCast.exe"="C:\\Programme\\SopCast\\SopCast.exe:*:Enabled:SopCast Main Application"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 22 Apr 2007 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Wed 22 Dec 2004 76,568 ..SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\Setup.exe"
Thu 13 Jan 2005 11,360 A.SHR --- "C:\Programme\Autodesk\Autodesk DWF Viewer\_Setupx.dll"
Wed 7 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\851ec77bad9deffe5a3e6f29ba9e9716\BIT1.tmp"
Sat 5 Jul 2008 580,672 A.SH. --- "C:\Dokumente und Einstellungen\Dramsch\Eigene Dateien\USB STICK\autorun.exe"
Sat 13 Nov 2004 37,376 ...H. --- "C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe"

Finished!






ComboFix 08-07-05.1 - Dramsch 2008-07-11 21:49:26.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.74 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Dramsch\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-06-11 bis 2008-07-11 ))))))))))))))))))))))))))))))
.

2008-07-11 21:33 . 2008-07-11 21:33 <DIR> d-------- C:\WINDOWS\ERUNT
2008-07-11 21:27 . 2008-07-09 11:52 <DIR> d-------- C:\SDFix
2008-07-10 22:38 . 2008-07-10 22:38 <DIR> d--hs---- C:\FOUND.002
2008-07-10 20:55 . 2008-07-10 20:55 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-10 20:55 . 2008-07-10 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\Malwarebytes
2008-07-10 20:55 . 2008-07-10 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-10 20:55 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-10 20:55 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-10 20:41 . 2008-07-10 20:41 <DIR> d-------- C:\Programme\CCleaner
2008-07-10 18:41 . 2008-07-10 18:41 <DIR> d-------- C:\Programme\Trend Micro
2008-07-10 18:02 . 2008-07-10 18:02 <DIR> d-------- C:\Programme\Avira
2008-07-10 18:02 . 2008-07-10 18:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-10 13:16 . 2008-07-10 13:16 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-07-07 11:44 . 2008-07-07 11:44 <DIR> d-------- C:\0c112799883dbf037cfef66acb
2008-07-06 14:45 . 2008-07-06 14:45 <DIR> d-------- C:\Programme\SopCast
2008-06-20 19:39 . 2008-06-20 19:39 247,296 --------- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 12:44 . 2008-06-20 12:44 138,368 --------- C:\WINDOWS\system32\dllcache\afd.sys
2008-06-11 15:33 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:39 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:14 1,293,312 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2008-04-17 10:52 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe
2007-06-12 17:57 19,000 ----a-w C:\Dokumente und Einstellungen\Dramsch\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 20:33 57344]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_05\bin\jusched.exe" [2005-08-26 18:14 36975]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\SopCast\\SopCast.exe"=

R3 trid3d;trid3d;C:\WINDOWS\system32\DRIVERS\trid3dm.sys [2001-08-01 00:27]

.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-RegistryMechanic - (no file)
HKLM-Run-NWEReboot - (no file)


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-11 21:51:43
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

C:\WINDOWS\EXPLORER.EXE [1208] 0xFFA53968

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-11 21:52:39
ComboFix-quarantined-files.txt 2008-07-11 19:52:32

17 Verzeichnis(se), 29,453,746,176 Bytes frei
24 Verzeichnis(se), 29,461,544,960 Bytes frei

96 --- E O F --- 2008-07-09 19:27:51

#8 ««
scanne mit Kaspersky - Virus Removal Tool - AVPTool - scanne bitte im abgesicherten Modus !
http://virus-protect.org/artikel/tools/kaspersky.html
poste dann hier den report (den teil, wo eventuell Viren angezeigt werden)
__________
MfG Sabina

rund um die PC-Sicherheit

#9 So das hat schon etwas gedauert aber war auch erfolgreich: hier der Report über infizierte Objekte, ist nun wieder alles ok?


Detected
--------
Status Object
------ ------
deleted: Trojan program Trojan-Spy.Win32.Zbot.dbf File: C:\System Volume Information\_restore{2708F7D5-E00C-4E5A-A85E-BDD11CD42FDD}\RP5\A0001008.exe
deleted: riskware not-a-virus:RiskTool.Win32.Reboot.f File: C:\Dokumente und Einstellungen\Dramsch\Desktop\SmitfraudFix.exe/SmitfraudFix\Reboot.exe
deleted: riskware not-a-virus:RiskTool.Win32.Reboot.f File: C:\Dokumente und Einstellungen\Dramsch\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe
deleted: riskware not-a-virus:RiskTool.Win32.Reboot.f File: C:\Dokumente und Einstellungen\Dramsch\Desktop\Navilog1.exe//file11
deleted: riskware not-a-virus:RiskTool.Win32.Reboot.f File: C:\System Volume Information\_restore{2708F7D5-E00C-4E5A-A85E-BDD11CD42FDD}\RP6\A0001143.exe/SmitfraudFix\Reboot.exe
deleted: riskware not-a-virus:RiskTool.Win32.Reboot.f File: C:\System Volume Information\_restore{2708F7D5-E00C-4E5A-A85E-BDD11CD42FDD}\RP6\A0001144.exe//file11
deleted: riskware not-a-virus:RiskTool.Win32.Reboot.f File: c:\system volume information\_restore{2708f7d5-e00c-4e5a-a85e-bdd11cd42fdd}\rp6\a0001143.exe
deleted: riskware not-a-virus:RiskTool.Win32.Reboot.f File: C:\System Volume Information\_restore{2708F7D5-E00C-4E5A-A85E-BDD11CD42FDD}\RP6\A0001144.exe

#10 Das sind lediglich Dateien von den benutzen Reinigungsprogramme welche hier angezeigt werden. Der Rest ist in der Wiederherstellung.

Mach dazu folgendes:

Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen.(also wieder aktivieren)

Gruss Swiss

#11

Zitat

System Volume Information\_restore

...sind Dateien die aus Deiner Systemwiederherstellung stammen. Es sind überreste von den Smitfraudfix Programm die ein Virenscaner anmeckert weil sie ähnliche Muster wie Viren in sich haben, sind aber nicht gefährlich.
Sollte sie der Virenscanner nicht beseitigt haben genügt auch ein Refresh der Systemwiederherstellung. Das aber nur machen wenn alles funktioniert, und Du sie nicht benötigst.--Aber immer hinterher gleich wieder aktivieren !!

-da war einer schneller

#12 Hallo WD
bis jetzt sieht es ganz gut aus.
Lade AVZ - scanne + poste den report
http://virus-protect.org/artikel/tools/avz.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 So das AVZ hat glaube ich nichts finden können:

AVZ Antiviral Toolkit log; AVZ version is 4.30
Scanning started at 13.07.2008 11:17:33
Database loaded: signatures - 175965, NN profile(s) - 2, microprograms of healing - 56, signature database released 12.07.2008 22:19
Heuristic microprograms loaded: 370
SPV microprograms loaded: 9
Digital signatures of system files loaded: 71502
Heuristic analyzer mode: Medium heuristics level
Healing mode: enabled
Windows version: 5.1.2600, Service Pack 2 ; AVZ is launched with administrator rights
System Restore: enabled
1. Searching for Rootkits and programs intercepting API functions
1.1 Searching for user-mode API hooks
Analysis: kernel32.dll, export table found in section .text
Analysis: ntdll.dll, export table found in section .text
Analysis: user32.dll, export table found in section .text
Analysis: advapi32.dll, export table found in section .text
Analysis: ws2_32.dll, export table found in section .text
Analysis: wininet.dll, export table found in section .text
Analysis: rasapi32.dll, export table found in section .text
Analysis: urlmon.dll, export table found in section .text
Analysis: netapi32.dll, export table found in section .text
1.2 Searching for kernel-mode API hooks
Driver loaded successfully
SDT found (RVA=082680)
Kernel ntoskrnl.exe found in memory at address 804D7000
SDT = 80559680
KiST = 804E26A8 (284)
Functions checked: 284, intercepted: 0, restored: 0
1.3 Checking IDT and SYSENTER
Analysis for CPU 1
Checking IDT and SYSENTER - complete
1.4 Searching for masking processes and drivers
Checking not performed: extended monitoring driver (AVZPM) is not installed
Driver loaded successfully
1.5 Checking of IRP handlers
Checking - complete
2. Scanning memory
Number of processes found: 23
Number of modules loaded: 251
Scanning memory - complete
3. Scanning disks
4. Checking Winsock Layered Service Provider (SPI/LSP)
LSP settings checked. No errors detected
5. Searching for keyboard/mouse/windows events hooks (Keyloggers, Trojan DLLs)
6. Searching for opened TCP/UDP ports used by malicious programs
Checking disabled by user
7. Heuristic system check
Checking - complete
8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Terminaldienste)
>> Services: potentially dangerous service allowed: SSDPSRV (SSDP-Suchdienst)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Services: potentially dangerous service allowed: RDSessMgr (Sitzungs-Manager für Remotedesktophilfe)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
Checking - complete
9. Troubleshooting wizard
Checking - complete
Files scanned: 69818, extracted from archives: 53700, malicious software found 0, suspicions - 0
Scanning finished at 13.07.2008 11:36:26
Time of scanning: 00:18:58
If you have a suspicion on presence of viruses or questions on the suspected objects,
you can address http://virusinfo.info conference

#14 ja, es ist alles wieder in Ordnung.
wenn es noch Probleme gibt, melde dich
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Ja Super vielmals Dank für Eure kompetente Hilfe. Das war echt spitze!!!