Mein PC ist mit VIRUS ALERT befallen (glaube steckt mehr dahinter!!)

#0
11.07.2008, 15:57
...neu hier

Beiträge: 10
#1 Hallo,

mich hat es nach 7 Jahren auch erwischt...habe VIRUS ALERT!
Erstens dauert es ca. halbe Stunde bis der PC hochfährt und wenn er soweit ist, blockiert mir den ganzen Bildschirm ein Fenster mit Antivir2008 mit ähnlichem Logo wie Windows alles mögliche..Kein Zugriff auf Programme, Festplatten usw..es kommt immer wieder die Fehlermeldung "....wurde durch Administrator gesperrt". Rechts unten im Bildschirm steht anstatt Datum ganz gross VIRUS ALERT!

Ich habe es schon mit SmitFraudFix ausprobiert aber da stand immer "Zugriff verweigert"???

Wer kann mir da bitte weiterhelfen diesen dämlichen VIRUS zu beseitigen und paar Ratschläge zum Schutz vor Viren und Spyware im Internet machen??

Jetzt schon Vielen Dank an Alle!

Hier der Bericht von infizierten Dateien..
bisschen zu lang aber ich denke die kompenenten leute hier haben bestimmt Ahnung davon:


SmitFraudFix v2.329

Scan done at 21:01:09,90, 07.07.2008
Run from E:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\iSecurity.cpl FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\hakan


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\hakan\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\hakan\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\iSecurity\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="iSecurity.cpl"


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CS1\Services\Tcpip\..\{9D92F11C-A1F9-4774-A7F4-4E7B1458E8EE}: DhcpNameServer=212.29.39.1 195.138.36.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=212.29.39.1 195.138.36.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
Seitenanfang Seitenende
11.07.2008, 17:35
Member

Beiträge: 325
#2 Wie sieht Dein PC jetzt nach Smitfraudfix aus, würde mich auch mal interessieren !?

Die erfolgreichsten User mit diesem Virus haben mit CCleaner angefangen und die Temp-Dateien gelöscht.
-Dann Malwarebytes angewendet und damit alles gefundene auch angehakt und entfernt und danach den Log gepostet
http://virus-protect.org/artikel/tools/malwarebytes.html

-Danach Combofix angewendet und auch den Log gepostet:
http://virus-protect.org/artikel/tools/combofix.html

Dann hat sich ein Moderator die Log's angesehen, und noch ein paar Anweisungen gegeben. - und schwupps das Ding haste wieder los...
Seitenanfang Seitenende
11.07.2008, 18:28
...neu hier

Themenstarter

Beiträge: 10
#3 Also nach Smitfraudfix hat sich nichts geändert..ich denke, es lag einfach daran, weil das Programm überhaupt keinen Zugriff hatte bzw. wurde jeder Zugriff verweigert außer Temp-Dateien..??glaube ich...
Aber es hat bei mir nichts gebracht...leider.......
Ich habe relativ wenig Ahnung davon aber ich denke der PC ist auch mit Malware und Spyware infiziert!! (es sind doch verschiedene Viren oder???)
Seitenanfang Seitenende
11.07.2008, 18:53
Member

Beiträge: 325
#4 Dann abarbeiten wie oben beschrieben,das hat bei 99% der VIRUS ALERT geklappt. Wenn Malwarebytes im normalen nicht geht, dann im abgesicherten !
...möglichst Full-Scan --kann auch 45-60 min dauern (in der Regel)
und löschen der gefundenen Sachen nicht vergessen !!! sonst hast Du die 45 min vergeigt.
...fange aber wie oben beschrieben mit CCleaner an.
bin nach 21.00 wieder da
MfG Provisitor
Seitenanfang Seitenende
11.07.2008, 20:10
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Hallo CanLeon

«
du musst mit malwarebytes scannen (alles entfernen lassen,was gefunden wird)
wenn das erledigt ist:

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
14.07.2008, 16:32
...neu hier

Themenstarter

Beiträge: 10
#6

Zitat

Sabina postete
Hallo CanLeon

«
du musst mit malwarebytes scannen (alles entfernen lassen,was gefunden wird)
wenn das erledigt ist:

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
Hallo Sabina,

ich danke erstmal für die schnelle Antwort. Aber wie mach ich das Erste bloss? meine "mit malwarebytes scannen" und das in den klammern???
Sorry........
Seitenanfang Seitenende
14.07.2008, 16:36
Moderator

Beiträge: 5694
#7 Hallo CanLeon

Hier ist alles beschrieben:
http://virus-protect.org/artikel/tools/malwarebytes.html

Malwarebytes runterladen, installieren und scannen. Am Schluss musst du alles gefundene löschen.

>>
Danach Combofix, ist auch alles beschrieben hier:
http://virus-protect.org/artikel/tools/combofix.html
Seitenanfang Seitenende
14.07.2008, 18:11
...neu hier

Themenstarter

Beiträge: 10
#8 Danke Tonstudio und Sabina,

ich werd´s mal ausprobieren..

schreibe Euch morgen wieder..

MfG
Seitenanfang Seitenende
14.07.2008, 18:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 einfach das Proggie runterladen und anwenden ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.07.2008, 10:00
...neu hier

Themenstarter

Beiträge: 10
#10 Hallo,

endlich kam ich am WE dazu, Eure Vorschläge anzuwenden...
Hier der Bericht von combofix: Dahinter folgt der Bericht von Malware..

Danke für Eure Hilfe..


ComboFix 08-07-13.12 - hakan 2008-07-20 22:14:37.2 - NTFSx86
ausgeführt von:: E:\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\hakan\Desktop\Spyware-Secure trial.lnk
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\UltimateCleaner 2007
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\UltimateCleaner 2007\Register UltimateCleaner 2007.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\UltimateCleaner 2007\Start UltimateCleaner 2007.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\UltimateCleaner 2007\Uninstall UltimateCleaner 2007.lnk
C:\Dokumente und Einstellungen\hakan\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk
C:\Dokumente und Einstellungen\hakan\Anwendungsdaten\microsoft\internet explorer\quick launch\Start UltimateCleaner 2007.lnk
C:\Dokumente und Einstellungen\hakan\Anwendungsdaten\Ultimate Cleaner
C:\Dokumente und Einstellungen\hakan\Anwendungsdaten\Ultimate Cleaner\settings.dat
C:\Dokumente und Einstellungen\hakan\Desktop\antivirus-2008pro.lnk
C:\Dokumente und Einstellungen\hakan\Desktop\Ultimate Cleaner 2007.lnk
c:\Dokumente und Einstellungen\hakan\Lokale Einstellungen\Anwendungsdaten\ugsqmmi.dat
c:\dokumente und einstellungen\hakan\lokale einstellungen\anwendungsdaten\ugsqmmi.exe
C:\Dokumente und Einstellungen\hakan\Lokale Einstellungen\Anwendungsdaten\ugsqmmi_nav.dat
C:\Dokumente und Einstellungen\hakan\Lokale Einstellungen\Anwendungsdaten\ugsqmmi_navps.dat
C:\Dokumente und Einstellungen\hakan\Startmenü\Programme\Antivirus 2008 PRO
C:\Dokumente und Einstellungen\hakan\Startmenü\Programme\Antivirus 2008 PRO\antivirus-2008pro.lnk
C:\Dokumente und Einstellungen\hakan\Startmenü\Programme\PlayMP3z
C:\Dokumente und Einstellungen\hakan\Startmenü\Programme\PlayMP3z\Run PlayMP3z.lnk
C:\Dokumente und Einstellungen\hakan\Startmenü\Programme\Spyware-Secure
C:\Dokumente und Einstellungen\hakan\Startmenü\Programme\Spyware-Secure\Spyware-Secure trial.lnk
C:\Dokumente und Einstellungen\hakan\Startmenü\Programme\Spyware-Secure\Website.lnk
C:\iSecurity
C:\Programme\Antivirus 2008 PRO
C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe
C:\Programme\Antivirus 2008 PRO\vscan.tsi
C:\Programme\Antivirus 2008 PRO\zlib.dll
C:\Programme\iSecurity
C:\Programme\iSecurity\iSecurity.html
C:\Programme\iSecurity\v20\iSecurity.cpl
C:\Programme\myglobalsearch
C:\Programme\myglobalsearch\bar\1.bin\M9FFXTBR.JAR
C:\Programme\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFEST
C:\Programme\myglobalsearch\bar\1.bin\M9NTSTBR.JAR
C:\Programme\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFEST
C:\Programme\myglobalsearch\bar\1.bin\M9PLUGIN.DLL
C:\Programme\myglobalsearch\bar\1.bin\MGSBAR.DLL
C:\Programme\myglobalsearch\bar\1.bin\NPMYGLSH.DLL
C:\Programme\myglobalsearch\bar\Cache\0003802D
C:\Programme\myglobalsearch\bar\Cache\00DA5280.bin
C:\Programme\myglobalsearch\bar\Cache\00DA5455.bin
C:\Programme\myglobalsearch\bar\Cache\00DA559D.bin
C:\Programme\myglobalsearch\bar\Cache\files.ini
C:\Programme\myglobalsearch\bar\History\search
C:\Programme\myglobalsearch\bar\Settings\prevcfg.htm
C:\Programme\MyWay
C:\Programme\MyWay\myBar\History\search
C:\Programme\MyWay\myBar\Settings\prevcfg.htm
C:\Programme\PlayMP3z
C:\Programme\PlayMP3z\PlayMP3.exe
C:\Programme\PlayMP3z\uninstall.exe
C:\Programme\sprof
C:\Programme\sprof\sprof.exe
C:\Programme\Ultimate Cleaner
C:\Programme\Ultimate Cleaner\com\ucsecuredelete.dll
C:\Programme\Ultimate Cleaner\program.info
C:\Programme\Ultimate Cleaner\ucleaner.pkg
C:\Programme\Ultimate Cleaner\UltimateCleaner.db
C:\Programme\Ultimate Cleaner\UltimateCleaner.exe
C:\Programme\Ultimate Cleaner\Uninstall.exe
C:\Programme\winupdates
C:\SystemDefender.lnk
C:\WINDOWS\axrfgvek.dll
C:\WINDOWS\cookies.ini
C:\WINDOWS\eane.exe
C:\WINDOWS\mrvtdpqe.exe
C:\WINDOWS\NDNuninstall7_22.exe
C:\WINDOWS\NDNuninstall7_48.exe
C:\WINDOWS\okmdepgb.dll
C:\WINDOWS\smdat32a.sys
C:\WINDOWS\smdat32m.sys
C:\WINDOWS\system32\734914
C:\WINDOWS\system32\734914\734914.dll
C:\WINDOWS\system32\bntajyiy.ini
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\config\systemprofile\Desktop\SystemDefender.lnk
C:\WINDOWS\system32\dmdhjnim.dll
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\ISECUR~1.CPL
C:\WINDOWS\system32\iSecurity.cpl
C:\WINDOWS\system32\jhfbxmcy.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\minjhdmd.ini
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\qljuccql.ini
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\service.exe
C:\WINDOWS\system32\ssqRKdbx.dll
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\UpMedia
C:\WINDOWS\system32\vmxokmuj.ini
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\WinNB57.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\xbdKRqss.ini
C:\WINDOWS\system32\xbdKRqss.ini2
C:\WINDOWS\system32\yiyjatnb.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-06-20 bis 2008-07-20 ))))))))))))))))))))))))))))))
.

2008-07-17 16:19 . 2008-07-17 16:19 <DIR> d-------- C:\WINDOWS\resources
2008-07-07 20:41 . 2008-07-07 20:41 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-07-07 20:19 . 2008-07-07 21:16 3,184 --a------ C:\WINDOWS\system32\tmp.reg
2008-07-07 20:17 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-07-07 20:17 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-07-07 20:17 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-07-07 20:17 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-07-07 20:17 . 2008-07-02 13:33 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-07-07 20:17 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe
2008-07-07 20:17 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-07-07 20:17 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-07-07 20:17 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-07-07 20:14 . 2004-12-07 18:48 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-07-07 20:14 . 2004-12-07 18:44 <DIR> dr---c--- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-07-07 20:14 . 2004-12-07 18:44 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-07-07 20:14 . 2008-07-20 22:25 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-07-07 20:14 . 2004-12-07 18:44 <DIR> d----c--- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-07-07 20:14 . 2004-12-07 18:44 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-07-07 20:14 . 2008-03-07 20:50 <DIR> dr-h-c--- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-07-07 20:14 . 2008-07-07 20:14 <DIR> d----c--- C:\Dokumente und Einstellungen\Administrator
2008-07-04 20:32 . 2008-07-06 20:09 1,756 --a--c--- C:\Antivirus XP 2008.lnk
2008-07-04 20:19 . 2008-07-04 20:19 138,752 --a--c--- C:\tmp6639841.dll
2008-07-04 20:12 . 2008-07-20 22:11 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-04 20:12 . 2008-07-20 22:11 1,409 --a------ C:\WINDOWS\QTFont.for
2008-07-03 12:35 . 2008-07-03 12:35 28,800 --a------ C:\WINDOWS\system32\hgGyywVO.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-20 20:09 --------- d-----w C:\Programme\Spyware Doctor
2008-07-20 19:44 --------- dc--a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-20 19:24 --------- d-----w C:\Programme\WLAN Monitor
2008-07-20 18:38 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-07-06 19:05 --------- d-----w C:\Programme\NavigationAdvisor
2008-06-08 11:26 338,437 ----a-w C:\Programme\Bild 047.jpg
2008-06-04 08:07 --------- d-----w C:\Programme\Spyware-Secure
2008-06-03 16:37 --------- d-----w C:\Programme\McDonaldsDragons
2008-05-31 15:24 --------- d-----w C:\Programme\Realore
2008-05-28 09:50 --------- dc----w C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\PC Suite
2008-04-23 07:39 39,397 -c--a-w C:\Programme\default
2008-04-02 19:15 24,792,728 ----a-w C:\Programme\AdbeRdr812_de_DE.exe
2007-05-09 14:14 774,144 ----a-w C:\Programme\RngInterstitial.dll
2006-10-09 19:57 91,344 ----a-w C:\Dokumente und Einstellungen\hakan\Anwendungsdaten\errorsafefreeinstall_de[1].exe
2006-08-21 19:05 688,218 ----a-w C:\Programme\Glockenspiel_Dresdner_Zwinger_twelve_o_clock.ogg
2006-07-08 17:44 4,334,920 ----a-w C:\Programme\BSINSTALLDE.exe
2006-06-06 11:44 12,662,176 ----a-w C:\Programme\RealPlayer10-5GOLD.exe
2006-05-03 21:59 1,039,452 ----a-w C:\Programme\wrar351d.exe
2006-03-21 21:45 346,164 ----a-w C:\Programme\BSLITEINSTALL521.exe
2006-01-19 18:07 8,939,520 ----a-w C:\Programme\avwinsfx.exe
2006-01-17 18:49 1,867,906 ----a-w C:\Programme\eMule44b-v16-webcache.exe
2005-12-08 15:06 51,712 ----a-w C:\Programme\ButterflyOasis.exe
2004-12-16 21:29 56 --sh--r C:\WINDOWS\system32\B04AF1CD58.sys
2004-12-16 21:29 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5D72C2A4-9AC6-4727-A705-CEA1F0220B78}]
2008-07-03 12:35 28800 --a------ C:\WINDOWS\system32\hgGyywVO.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55 5674352]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-08 16:24 68856]
"AdobeUpdater"="C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 10:37 2321600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2005-09-28 18:12 1347584]
"KAVPersonal50"="C:\Programme\Steganos AntiVirus 7\kav.exe" [2004-09-13 14:12 122979]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43 7630848]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-06-06 13:46 180269]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-07-27 18:54 77824]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 16:10 271360]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 13:55 1103240]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"SoundMan"="SOUNDMAN.EXE" [2004-12-11 12:30 46592 C:\WINDOWS\SOUNDMAN.EXE]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 09:58 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 11:17 1241088]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2007-09-13 22:16:51 126136]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5D72C2A4-9AC6-4727-A705-CEA1F0220B78}"= "C:\WINDOWS\system32\hgGyywVO.dll" [2008-07-03 12:35 28800]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hgGyywVO]
2008-07-03 12:35 28800 C:\WINDOWS\system32\hgGyywVO.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
WinUpdate REG_SZ C:\Dokumente und Einstellungen\hakan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP4NO7CR\Rechnung[1].pdf.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe
"WhenUSave"="C:\Programme\Save\Save.exe"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background
"AntiSpyware7"="C:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"MPTBox"=C:\Programme\Canon\MultiPASS4\MPTBox.exe
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"BearFlix"="C:\Programme\BearFlix\BearFlix.exe" /pause
"zinit32"=C:\WINDOWS\ZInit32.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"New.net Startup"=rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s
"nwiz"=nwiz.exe /install
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\BearShare\\BearShare.exe"=
"C:\\Programme\\BearFlix\\bearflix.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Haufe\\iDesk\\iDeskService\\pythonw.exe"=

R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys [2004-08-10 10:18]
R2 accsvc;AccSys WiFi Component;C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2005-09-14 11:56]
R2 atjsgt;atjsgt;C:\WINDOWS\system32\DRIVERS\atjsgt.sys [2006-01-12 19:31]
R2 DatevPrintService;DATEV Druckservice;C:\DATEV\SYSTEM\PSNTSERV.EXE [2001-11-30 08:41]
R2 linsgt;linsgt;C:\WINDOWS\system32\DRIVERS\linsgt.sys [2006-01-12 19:31]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys []
S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe [2006-10-23 03:39]
S3 whfltr2k;WheelMouse USB Lower Filter Driver;C:\WINDOWS\system32\DRIVERS\whfltr2k.sys [2001-10-01 22:18]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\KIS7MEHRPLATZ.EXE

.
Inhalt des "geplante Tasks" Ordners
"2008-06-20 15:17:08 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-06-20 13:00:01 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
- - - - ORPHANS REMOVED - - - -

HKCU-RunServices-WinUpdate - C:\Dokumente und Einstellungen\hakan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP4NO7CR\Rechnung[1].pdf.exe
HKLM-Run-14df5ee6 - C:\WINDOWS\system32\yiyjatnb.dll
SSODL-PreBootCheck-{ae3a4636-c77d-4c68-8f49-6c9fbfe4ddd4} - (no file)


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-20 22:26:25
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\hgGyywVO.dll
.
Zeit der Fertigstellung: 2008-07-20 22:47:58
ComboFix-quarantined-files.txt 2008-07-20 20:46:46

23 Verzeichnis(se), 18,407,116,800 Bytes frei
27 Verzeichnis(se), 18,409,070,592 Bytes frei

283 --- E O F --- 2008-03-12 20:04:16


---------------------------------------------------------------------------

AB HIER DER BERICHT VON MALWAREBYTES:

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 930
Windows 5.1.2600 Service Pack 2

23:56:29 20.07.2008
mbam-log-7-20-2008 (23-56-29).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|)
Objekte gescannt: 170357
Scan Dauer: 50 minute(s), 31 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 26
Infizierte Registrierungswerte: 3
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 48

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\hgGyywVO.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{5d72c2a4-9ac6-4727-a705-cea1f0220b78} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5d72c2a4-9ac6-4727-a705-cea1f0220b78} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\hggyywvo (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\Interface\{a3b4ff8a-d3e7-4692-a9b6-971f62802310} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\myglobalsearchbar.settingsplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\myglobalsearchbar.settingsplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{37b85a2b-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{37b85a2b-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\myglobalsearchbar.toolbarplugin (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\myglobalsearchbar.toolbarplugin.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ef281620-a3a3-4f08-874f-d68cfc9b7945} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{37b85a2a-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{37b85a2c-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{127df9b4-d75d-44a6-af78-8c3a8ceb03db} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{df901432-1b9f-4f5b-9e56-301c553f9095} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a9aae1ab-9688-42c5-86f5-c12f6b9015ad} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{43382522-a846-46f4-ac57-1f71ae6e1086} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{572fb162-c0ba-4edf-8cff-e3846153b9b0} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{72a836d1-bc00-43c0-a941-17960e4fb842} (Adware.WhenUSave) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch (Adware.BookedSpace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\shellex\ContextMenuHandlers\UCSecureDelete (Rogue.Ultimate.Cleaner) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\ACM.DLL (Adware.WhenUSave) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{5d72c2a4-9ac6-4727-a705-cea1f0220b78} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\ShellBrowser\{37b85a29-692b-4205-9cad-2626e4993404} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Save (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\FBrowserAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Programme\Spyware-Secure (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\Programme\Spyware-Secure\resources (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\hgGyywVO.dll (Trojan.Vundo) -> Delete on reboot.
C:\Programme\Save\ACM.dll (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\regxpcom.exe (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe.vir (Rogue.Installer) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Programme\PlayMP3z\PlayMP3.exe.vir (Adware.Agent) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Programme\Ultimate Cleaner\UltimateCleaner.exe.vir (Rogue.Installer) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Programme\Ultimate Cleaner\com\ucsecuredelete.dll.vir (Rogue.UltimateCleaner) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\eane.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\dmdhjnim.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\service.exe.vir (Adware.Mirar) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\ssqRKdbx.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\yiyjatnb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\734914\734914.dll.vir (Trojan.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP612\A0378798.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP612\A0378799.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP614\A0383847.dll (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP615\A0385813.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP615\A0385816.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386843.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386846.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386854.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386856.dll (Rogue.UltimateCleaner) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386882.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386883.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386884.exe (Adware.Mirar) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386885.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386886.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{F458F4A6-2B51-4295-8FBA-0CD57D455634}\RP617\A0386894.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\Save\extra.exe (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Save\ffext.mod (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Save\save.db (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Save\Save.exe (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Save\save.htm (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Save\SaveUninst.exe (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Save\store.db (Adware.WhenUSave) -> Quarantined and deleted successfully.
C:\Programme\Spyware-Secure\config.s3db (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\Programme\Spyware-Secure\Gfx_de.bin (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\Programme\Spyware-Secure\language (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\Programme\Spyware-Secure\skin (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\Programme\Spyware-Secure\Spyware-Secure.url (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\Programme\Spyware-Secure\Spyware-Secure_trial.exe (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\Programme\Spyware-Secure\sqlite3.dll (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\Programme\Spyware-Secure\sws_translations.xml (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\Programme\Spyware-Secure\uninst.exe (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\Programme\Spyware-Secure\unrar.dll (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\Programme\Spyware-Secure\resources\malwaresDB_1-12 (Rogue.Spyware-Secure) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Desktop\Antivirus XP 2008.lnk (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\hakan\Desktop\Antivirus XP 2008.lnk (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
Dieser Beitrag wurde am 21.07.2008 um 10:04 Uhr von CanLeon editiert.
Seitenanfang Seitenende
21.07.2008, 11:19
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Hallo,CanLeon

1.
avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere in das weisse Feld:

Zitat

Files to delete:
C:\WINDOWS\system32\hgGyywVO.dll
C:\Antivirus XP 2008.lnk
C:\tmp6639841.dll
Folders to delete:
C:\Dokumente und Einstellungen\hakan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP4NO7CR
C:\Programme\Spyware-Secure
schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

---------------

2.
wende combofix neu an + poste den report hier
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 21.07.2008 um 11:23 Uhr von Sabina editiert.
Seitenanfang Seitenende
22.07.2008, 23:06
...neu hier

Themenstarter

Beiträge: 10
#12 Hallo Sabina,

hier der bericht von avenger und combofix..

danke nochmal für die hilfe...

MfG

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\hgGyywVO.dll" not found!
Deletion of file "C:\WINDOWS\system32\hgGyywVO.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Antivirus XP 2008.lnk" not found!
Deletion of file "C:\Antivirus XP 2008.lnk" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\tmp6639841.dll" not found!
Deletion of file "C:\tmp6639841.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\Dokumente und Einstellungen\hakan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP4NO7CR" not found!
Deletion of folder "C:\Dokumente und Einstellungen\hakan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP4NO7CR" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: folder "C:\Programme\Spyware-Secure" not found!
Deletion of folder "C:\Programme\Spyware-Secure" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.


---------------------------------------------------------------------------


ComboFix 08-07-21.2 - hakan 2008-07-22 22:31:29.4 - NTFSx86
ausgeführt von:: C:\Programme\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-06-22 bis 2008-07-22 ))))))))))))))))))))))))))))))
.

2008-07-22 21:43 . 2008-07-22 21:43 2,656,034 --a------ C:\Programme\ComboFix.exe
2008-07-20 22:58 . 2008-07-20 22:58 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-20 22:58 . 2008-07-20 22:58 <DIR> d-------- C:\Dokumente und Einstellungen\hakan\Anwendungsdaten\Malwarebytes
2008-07-20 22:58 . 2008-07-20 22:58 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-20 22:58 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-20 22:58 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-17 16:19 . 2008-07-17 16:19 <DIR> d-------- C:\WINDOWS\resources
2008-07-07 20:41 . 2008-07-07 20:41 552 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-07-07 20:19 . 2008-07-07 21:16 3,184 --a------ C:\WINDOWS\system32\tmp.reg
2008-07-07 20:17 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-07-07 20:17 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-07-07 20:17 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-07-07 20:17 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-07-07 20:17 . 2008-07-02 13:33 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-07-07 20:17 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe
2008-07-07 20:17 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-07-07 20:17 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-07-07 20:17 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-07-07 20:14 . 2004-12-07 18:48 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-07-07 20:14 . 2004-12-07 18:44 <DIR> dr---c--- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-07-07 20:14 . 2004-12-07 18:44 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-07-07 20:14 . 2008-07-22 22:38 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-07-07 20:14 . 2004-12-07 18:44 <DIR> d----c--- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-07-07 20:14 . 2004-12-07 18:44 <DIR> d--h-c--- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-07-07 20:14 . 2008-03-07 20:50 <DIR> dr-h-c--- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-07-07 20:14 . 2008-07-07 20:14 <DIR> d----c--- C:\Dokumente und Einstellungen\Administrator
2008-07-04 20:12 . 2008-07-22 22:23 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-04 20:12 . 2008-07-21 00:02 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-22 20:26 --------- dc--a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-22 20:23 --------- d-----w C:\Programme\WLAN Monitor
2008-07-22 19:34 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-07-20 20:09 --------- d-----w C:\Programme\Spyware Doctor
2008-07-06 19:05 --------- d-----w C:\Programme\NavigationAdvisor
2008-06-08 11:26 338,437 ----a-w C:\Programme\Bild 047.jpg
2008-06-03 16:37 --------- d-----w C:\Programme\McDonaldsDragons
2008-05-31 15:24 --------- d-----w C:\Programme\Realore
2008-05-28 09:50 --------- dc----w C:\Dokumente und Einstellungen\Gast\Anwendungsdaten\PC Suite
2008-04-23 07:39 39,397 -c--a-w C:\Programme\default
2008-04-02 19:15 24,792,728 ----a-w C:\Programme\AdbeRdr812_de_DE.exe
2007-05-09 14:14 774,144 ----a-w C:\Programme\RngInterstitial.dll
2006-10-09 19:57 91,344 ----a-w C:\Dokumente und Einstellungen\hakan\Anwendungsdaten\errorsafefreeinstall_de[1].exe
2006-08-21 19:05 688,218 ----a-w C:\Programme\Glockenspiel_Dresdner_Zwinger_twelve_o_clock.ogg
2006-07-08 17:44 4,334,920 ----a-w C:\Programme\BSINSTALLDE.exe
2006-06-06 11:44 12,662,176 ----a-w C:\Programme\RealPlayer10-5GOLD.exe
2006-05-03 21:59 1,039,452 ----a-w C:\Programme\wrar351d.exe
2006-03-21 21:45 346,164 ----a-w C:\Programme\BSLITEINSTALL521.exe
2006-01-19 18:07 8,939,520 ----a-w C:\Programme\avwinsfx.exe
2006-01-17 18:49 1,867,906 ----a-w C:\Programme\eMule44b-v16-webcache.exe
2005-12-08 15:06 51,712 ----a-w C:\Programme\ButterflyOasis.exe
2004-12-16 21:29 56 --sh--r C:\WINDOWS\system32\B04AF1CD58.sys
2004-12-16 21:29 1,682 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 13:55 5674352]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-08 16:24 68856]
"AdobeUpdater"="C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 10:37 2321600]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2005-09-28 18:12 1347584]
"KAVPersonal50"="C:\Programme\Steganos AntiVirus 7\kav.exe" [2004-09-13 14:12 122979]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43 7630848]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-06-06 13:46 180269]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-07-27 18:54 77824]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 16:10 271360]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 13:55 1103240]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"SoundMan"="SOUNDMAN.EXE" [2004-12-11 12:30 46592 C:\WINDOWS\SOUNDMAN.EXE]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 09:58 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 11:17 1241088]

C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2007-09-13 22:16:51 126136]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
WinUpdate REG_SZ C:\Dokumente und Einstellungen\hakan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP4NO7CR\Rechnung[1].pdf.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" /background
"AntiSpyware7"="C:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"MPTBox"=C:\Programme\Canon\MultiPASS4\MPTBox.exe
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"BearFlix"="C:\Programme\BearFlix\BearFlix.exe" /pause
"zinit32"=C:\WINDOWS\ZInit32.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"New.net Startup"=rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s
"nwiz"=nwiz.exe /install
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"SweetIM"=C:\Programme\Macrogaming\SweetIM\SweetIM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\BearShare\\BearShare.exe"=
"C:\\Programme\\BearFlix\\bearflix.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Haufe\\iDesk\\iDeskService\\pythonw.exe"=

R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys [2004-08-10 10:18]
R2 accsvc;AccSys WiFi Component;C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2005-09-14 11:56]
R2 atjsgt;atjsgt;C:\WINDOWS\system32\DRIVERS\atjsgt.sys [2006-01-12 19:31]
R2 DatevPrintService;DATEV Druckservice;C:\DATEV\SYSTEM\PSNTSERV.EXE [2001-11-30 08:41]
R2 linsgt;linsgt;C:\WINDOWS\system32\DRIVERS\linsgt.sys [2006-01-12 19:31]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys []
S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe [2006-10-23 03:39]
S3 whfltr2k;WheelMouse USB Lower Filter Driver;C:\WINDOWS\system32\DRIVERS\whfltr2k.sys [2001-10-01 22:18]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\setupSNK.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-06-20 15:17:08 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-06-20 13:00:01 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://google.de/
R0 -: HKCU-Main,Search Page = hxxp://www.google.com
R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie
R0 -: HKLM-Main,Start Page = hxxp://de.yahoo.com
R0 -: HKLM-Main,Window Title = Arcor AG & Co. KG
R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-22 22:39:01
Windows 5.1.2600 Service Pack 2 NTFS

detected NTDLL code modification:
ZwClose

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-22 22:59:13
ComboFix-quarantined-files.txt 2008-07-22 20:58:51
ComboFix2.txt 2008-07-22 20:07:44
ComboFix3.txt 2008-07-20 20:48:02

Pre-Run: 24 Verzeichnis(se), 18,384,883,712 Bytes frei
Post-Run: 28 Verzeichnis(se), 18,374,361,088 Bytes frei

170 --- E O F --- 2008-03-12 20:04:16
Seitenanfang Seitenende
23.07.2008, 00:22
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Hallo,CanLeon

«
kopiere in den Avenger

Zitat

Files to delete:
C:\Dokumente und Einstellungen\hakan\Anwendungsdaten\errorsafefreeinstall_de[1].exe
2.
poste dieses Log
http://virus-protect.org/lsa.html

3.
poste das log von regstuf
http://virus-protect.org/registry_stuff.html

-----------------------------------------------------------------


ist für mich

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

WinUpdate REG_SZ C:\Dokumente und Einstellungen\hakan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP4NO7CR\Rechnung[1].pdf.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
23.07.2008, 13:47
...neu hier

Themenstarter

Beiträge: 10
#14 Hallo Sabina,

soll ich das log im forum von CastleCops posten?? oder was meintest du?? wenn ja, muss ich mich da registrieren?? oder soll ich auf dieser Seite LSA.zip Datei runterladen und da irgendetwas machen??

sorry..
Seitenanfang Seitenende
23.07.2008, 14:54
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 nein, alles hier posten, einfach die zips ( LSA.zip und find_Stuff.zip ) runterladen, entpacken, anwenden + die Logs hier kopieren
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: