seuftz... Virus Alert--Alarm.. :((

Thema ist geschlossen!
Thema ist geschlossen!
#0
15.07.2008, 09:13
Member
Avatar Levanael

Beiträge: 71
#1 sooo.. ich hoffe ihr könnt mir helfen.. ich habe gestern früh mir den grauenhaften virus alert geholt da ich was runtergeladen hatte.
ICH weiß auch es gibt ne menge treads deswegen und ich hab auch gestern den ganzen tag alleine rumgedoctert um das problem zu lösen.

Habe hier aus dem forum einige sachen getestet wie zum beispiel dass:
http://board.protecus.de/t33739.htm

aber das hat nicht wirklich was gebracht.. den wenn pc neustartet ist alles wieder wie vorher...

dann hat mir ein kumpel geholfen und mit mir schritt für schritt das durch gemacht:

http://siri.geekstogo.com/SmitfraudFix_De.php

das hat mir soweit geholfen das ich die ganzen Schei... programe wo da dabei waren mit spy usw wegbekommen habe.. und vieleicht auch ein wenig den virus alert keine ahnung...
Jetzt habe ich aber immer noch so ein komisches vista anti virus teil drauf.. das mich immer noch zu spamt und ich nicht wegbekomme! ich auch leider nicht mehr weiter weiß!!

ich habe mal hijack laufen lassen und sende euch das einfach mal.. vieleicht steigt jemand von euch durch!!


ach und nochwas.. mein anti vir programm hat einen trojaner gefunden und schlägt alarm.. allerdings kann ich nichts dagegen machen.. seis jetzt quarantäne, löschen oder sonstiges.. nichts nimmt er an.. immer wieder neue warnung... muss antivir ausmachen damit ich nicht dauernd diesen kasten vor der nase habe!

danke für Hilfe!!!!



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:48:31, on 15.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe
C:\Programme\VAV\vav.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\SecondLife\SecondLife.exe
C:\Programme\SecondLife\SLVoice.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - HKLM\..\Run: [68ed6feb] rundll32.exe "C:\WINDOWS\system32\xqyhbygv.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MySpaceIM] C:\Programme\MySpace\IM\MySpaceIM.exe
O4 - HKCU\..\Run: [antivirus-2008pro.exe] C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe
O4 - HKCU\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Dokumente und Einstellungen\Martin\Startmenü\Programme\IMVU\Run IMVU.lnk (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - {5EEAB327-2454-4A5D-AE0C-31E66E4A87BA} - C:\Programme\PicGrab\iestarter.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {5EEAB327-2454-4A5D-AE0C-31E66E4A87BA} - C:\Programme\PicGrab\iestarter.exe (file missing) (HKCU)
O9 - Extra button: PicGrab - {9C0C21E8-1390-43FB-9B3B-3FD6A4953160} - C:\Programme\PicGrab\iestarter.exe (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{265F22F2-4A94-47BE-93E0-34D802F3B3A3}: NameServer = 84.16.255.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{4BA39C74-1A00-45CF-9208-D09CC606F604}: NameServer = 84.16.255.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D91F289-26F8-47F5-8637-5811599BF6DD}: NameServer = 84.16.255.244
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7FE6747-22DE-4FDC-9E20-2E0456E171C6}: NameServer = 84.16.255.244
O17 - HKLM\System\CS1\Services\Tcpip\..\{265F22F2-4A94-47BE-93E0-34D802F3B3A3}: NameServer = 84.16.255.244
O17 - HKLM\System\CS2\Services\Tcpip\..\{265F22F2-4A94-47BE-93E0-34D802F3B3A3}: NameServer = 84.16.255.244
O17 - HKLM\System\CS3\Services\Tcpip\..\{265F22F2-4A94-47BE-93E0-34D802F3B3A3}: NameServer = 84.16.255.244
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: fsrpknov - {67D9D955-5E6E-4A78-A387-7B733A7028B2} - C:\WINDOWS\fsrpknov.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9280 bytes
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*
Dieser Beitrag wurde am 15.07.2008 um 09:16 Uhr von Levanael editiert.
Seitenanfang Seitenende
15.07.2008, 11:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo Levanael

«
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe

O4 - HKLM\..\Run: [68ed6feb] rundll32.exe "C:\WINDOWS\system32\xqyhbygv.dll",b

O4 - HKCU\..\Run: [antivirus-2008pro.exe] C:\Programme\Antivirus 2008 PRO\antivirus-2008pro.exe

O4 - HKCU\..\Run: [Antivirus] C:\Programme\VAV\vav.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000

O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)

O9 - Extra button: (no name) - {5EEAB327-2454-4A5D-AE0C-31E66E4A87BA} - C:\Programme\PicGrab\iestarter.exe (file missing) (HKCU)

O9 - Extra 'Tools' menuitem: &PicGrab starten - {5EEAB327-2454-4A5D-AE0C-31E66E4A87BA} - C:\Programme\PicGrab\iestarter.exe (file missing) (HKCU)

O9 - Extra button: PicGrab - {9C0C21E8-1390-43FB-9B3B-3FD6A4953160} - C:\Programme\PicGrab\iestarter.exe (file missing) (HKCU)

O21 - SSODL: fsrpknov - {67D9D955-5E6E-4A78-A387-7B733A7028B2} - C:\WINDOWS\fsrpknov.dll
««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\WINDOWS\fsrpknov.dll
C:\WINDOWS\system32\xqyhbygv.dll
C:\Dokumente und Einstellungen\%Username%\Desktop\antivirus-2008pro.lnk
C:\Dokumente und Einstellungen\%Username%\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus-2008pro.lnk
Folders to delete:
C:\Programme\VAV
C:\Programme\Antivirus 2008 PRO
C:\Dokumente und Einstellungen\%Username%\Startmenü\Programme\Antivirus 2008 PRO
schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

---------------------------------------------------------------------

«
scannen mit Malwarebytes und alles entfernen, was gefunden wird + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.07.2008, 12:55
Member

Themenstarter
Avatar Levanael

Beiträge: 71
#3 also das program ist noch genauso offen wie es endete bis zum logfile speichern.. habe noch nichts geklickt... muss ich den die augewählten sachen löschen?? die angezeigt werden?


dankee erstmal für die hilfe... also soweit hab ich alles.. hier der report von malwarebytes:



Malwarebytes' Anti-Malware 1.20
Datenbank Version: 951
Windows 5.1.2600 Service Pack 2

12:54:10 15.07.2008
mbam-log-7-15-2008 (12-54-03).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 182569
Scan Dauer: 40 minute(s), 59 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 2
Infizierte Registrierungsschlüssel: 27
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 5
Infizierte Dateien: 40

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\tuvSllKC.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jkkLCrrS.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59f1e93d-9e0d-4a87-8ec9-f0244a87b5a6} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{59f1e93d-9e0d-4a87-8ec9-f0244a87b5a6} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{1b44e59c-165c-4ee2-b3cd-4dfd348be123} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1b44e59c-165c-4ee2-b3cd-4dfd348be123} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\jkklcrrs (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{25560540-9571-4d7b-9389-0f166788785a} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{2eff3cf7-99c1-4c29-bc2b-68e057e22340} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{63d0ed2c-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{98d9753d-d73b-42d5-8c85-4469cda897ab} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{a6573479-9075-4a65-98a6-19fd29cf7374} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{38a7c9da-8db7-4d0f-a7b1-c4b1a305bddb} (Adware.MyWebSearch) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c838168a-5c0f-4311-8d4a-2654f82a38da} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c838168a-5c0f-4311-8d4a-2654f82a38da} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\VAV (Rogue.VistaAntivirus2008) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\antivirus 2008 pro (Rogue.Antivirus2008) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyGlobalSearch (Adware.BookedSpace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{1b44e59c-165c-4ee2-b3cd-4dfd348be123} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\fsrpknov (Trojan.FakeAlert) -> No action taken.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\tuvsllkc -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\tuvsllkc -> No action taken.

Infizierte Verzeichnisse:
C:\Programme\MyGlobalSearch (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyGlobalSearch\bar (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyGlobalSearch\bar\History (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyGlobalSearch\bar\Settings (Adware.MyWebSearch) -> No action taken.
C:\Programme\PCHealthCenter (Trojan.Fakealert) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\tuvSllKC.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\CKllSvut.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\CKllSvut.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jkkLCrrS.dll (Trojan.Vundo) -> No action taken.
C:\Programme\PCHealthCenter\2.exe (Trojan.Agent) -> No action taken.
C:\Programme\PCHealthCenter\4.exe (Trojan.Agent) -> No action taken.
C:\Programme\PCHealthCenter\5.exe (Rogue.Installer) -> No action taken.
C:\System Volume Information\_restore{45A5FFD6-14B1-4FE9-9DBE-576ECDAC9170}\RP10\A0002394.exe (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{45A5FFD6-14B1-4FE9-9DBE-576ECDAC9170}\RP10\A0002395.exe (Trojan.Agent) -> No action taken.
C:\System Volume Information\_restore{45A5FFD6-14B1-4FE9-9DBE-576ECDAC9170}\RP10\A0002542.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{45A5FFD6-14B1-4FE9-9DBE-576ECDAC9170}\RP10\A0002576.exe (Rogue.Installer) -> No action taken.
C:\System Volume Information\_restore{45A5FFD6-14B1-4FE9-9DBE-576ECDAC9170}\RP10\A0002583.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\efke.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Sys9.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\SysA.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\aubpwn.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\bcscuodf.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\biwahl.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\eixtcces.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ljJDVpMG.dll (Trojan.Vundo) -> No action taken.
D:\Launcher.exe (Trojan.FakeAlert) -> No action taken.
C:\Programme\MyGlobalSearch\bar\History\search (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyGlobalSearch\bar\Settings\settings.dat (Adware.MyWebSearch) -> No action taken.
C:\Programme\MyGlobalSearch\bar\Settings\settings.htm (Adware.MyWebSearch) -> No action taken.
C:\Programme\PCHealthCenter\0.exe (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\0.gif (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\1.exe (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\1.gif (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\2.gif (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\3.gif (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\sc.html (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\sex1.ico (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\sex2.ico (Trojan.Fakealert) -> No action taken.
C:\WINDOWS\system32\vav.cpl (Rogue.VistaAntivirus2008) -> No action taken.
C:\WINDOWS\Sys8.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\gpefaowr.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\sqvgnrpx.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> No action taken.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\TmpRecentIcons\antivirus-2008pro.lnk (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\TmpRecentIcons\Vista Antivirus 2008.lnk (Rogue.Link) -> No action taken.
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*
Seitenanfang Seitenende
15.07.2008, 13:30
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 natürlich alles löschen lassen !
dann poste das log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.07.2008, 13:41
Member

Themenstarter
Avatar Levanael

Beiträge: 71
#5 soo nun combofix



ComboFix 08-07-14.2 - Martin 2008-07-15 13:01:46.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.620 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Martin\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Anwendungsdaten\kggqm.dat
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Anwendungsdaten\kggqm_nav.dat
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Anwendungsdaten\kggqm_navps.dat
C:\Dokumente und Einstellungen\Martin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\Programme\myglobalsearch
C:\Programme\myglobalsearch\bar\History\search
C:\Programme\myglobalsearch\bar\Settings\settings.dat
C:\Programme\myglobalsearch\bar\Settings\settings.htm
C:\Programme\PCHealthCenter
C:\Programme\PCHealthCenter\0.exe
C:\Programme\PCHealthCenter\0.gif
C:\Programme\PCHealthCenter\1.exe
C:\Programme\PCHealthCenter\1.gif
C:\Programme\PCHealthCenter\2.exe
C:\Programme\PCHealthCenter\2.gif
C:\Programme\PCHealthCenter\3.gif
C:\Programme\PCHealthCenter\4.exe
C:\Programme\PCHealthCenter\5.exe
C:\Programme\PCHealthCenter\sex1.ico
C:\Programme\PCHealthCenter\sex2.ico
C:\WINDOWS\efke.exe
C:\WINDOWS\gpefaowr.exe
C:\WINDOWS\sqvgnrpx.dll
C:\WINDOWS\Sys8.exe
C:\WINDOWS\Sys9.exe
C:\WINDOWS\sysa.exe
C:\WINDOWS\system32\aubpwn.dll
C:\WINDOWS\system32\bcscuodf.dll
C:\WINDOWS\system32\biwahl.dll
C:\WINDOWS\system32\CKllSvut.ini
C:\WINDOWS\system32\CKllSvut.ini2
C:\WINDOWS\system32\eixtcces.dll
C:\WINDOWS\system32\jkkLCrrS.dll
C:\WINDOWS\system32\ljJDVpMG.dll
C:\WINDOWS\system32\mdm.exe
C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\system32\rpjlwhmt.ini
C:\WINDOWS\system32\vav.cpl
C:\WINDOWS\system32\vgybhyqx.ini

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IPRIP
-------\Service_Iprip


((((((((((((((((((((((( Dateien erstellt von 2008-06-15 bis 2008-07-15 ))))))))))))))))))))))))))))))
.

2008-07-15 12:11 . 2008-07-15 12:11 <DIR> d----c--- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Malwarebytes
2008-07-15 12:10 . 2008-07-15 12:10 <DIR> d----c--- C:\Programme\Malwarebytes' Anti-Malware
2008-07-15 12:10 . 2008-07-15 12:10 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-15 12:10 . 2008-07-07 17:35 34,296 --a--c--- C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-15 12:10 . 2008-07-07 17:35 17,144 --a--c--- C:\WINDOWS\system32\drivers\mbam.sys
2008-07-14 13:10 . 2008-07-14 13:47 2,572 --a--c--- C:\WINDOWS\system32\tmp.reg
2008-07-14 10:56 . 2008-07-14 10:56 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-07-14 10:20 . 2008-07-14 10:20 <DIR> d----c--- C:\Programme\Trend Micro
2008-07-14 08:42 . 2008-07-14 08:42 322,304 --a--c--- C:\WINDOWS\system32\tuvSllKC.dll
2008-07-03 18:50 . 2008-07-03 18:50 <DIR> d----c--- C:\Programme\concept design
2008-07-03 18:50 . 2008-07-03 18:51 <DIR> d----c--- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\concept design
2008-07-03 18:50 . 2008-07-03 18:50 693,765 --a--c--- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\unins000.exe
2008-07-03 18:50 . 2008-07-03 18:50 7,743 --a--c--- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\unins000.dat
2008-07-02 21:13 . 2008-07-14 17:45 4,194,708 --a--c--- C:\WINDOWS\pfirewall.log.old
2008-07-02 21:06 . 2005-04-13 16:54 331,184 -----c--- C:\WINDOWS\system32\difxapi.dll
2008-07-02 14:22 . 2008-07-02 14:22 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-07-02 12:23 . 2008-07-02 12:23 <DIR> d----c--- C:\Programme\Yahoo!
2008-06-30 21:22 . 2008-06-30 21:22 <DIR> d----c--- C:\Programme\MySpace
2008-06-30 21:22 . 2008-06-30 21:22 <DIR> d----c--- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\MySpace
2008-06-29 22:21 . 2008-06-29 22:21 <DIR> d----c--- C:\Programme\Avira
2008-06-29 22:21 . 2008-06-29 22:21 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-20 19:39 . 2008-06-20 19:39 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-16 21:33 . 2008-06-18 21:51 <DIR> d----c--- C:\Programme\AV VCS 3.0
2008-06-16 21:33 . 2002-12-10 09:11 6,852 --a--c--- C:\WINDOWS\system32\drivers\Vcs.sys
2008-06-16 17:56 . 2003-04-07 16:55 <DIR> d----c--- C:\AV VCS 3.0.74 full + serial + effect & skins
2008-06-16 16:00 . 2008-06-16 18:22 <DIR> d----c--- C:\Programme\AV Vcs 4.0 DIAMOND

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-15 07:42 157,664 -c--a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-07-14 22:52 --------- dc----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Yahoo!
2008-07-14 13:14 --------- dc----w C:\Programme\WarRock
2008-07-03 16:27 --------- dc----w C:\Programme\No23 Recorder
2008-07-03 00:24 --------- dc----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Skype
2008-07-02 22:22 --------- dc----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\skypePM
2008-07-02 19:07 --------- dc----w C:\Programme\VIA
2008-07-01 19:26 --------- dc----w C:\Programme\ICQToolbar
2008-06-25 09:02 --------- dc----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\SecondLife
2008-06-20 10:45 360,320 -c--a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 -c--a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 -c--a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-16 17:33 --------- dc----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\uTorrent
2008-06-14 17:57 273,024 -c----w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-13 21:36 --------- dc----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\ICQ
2008-06-12 07:05 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-06-12 06:56 --------- dc-h--w C:\Programme\InstallShield Installation Information
2008-06-12 06:56 --------- dc----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-06-09 13:23 --------- dc----w C:\Programme\ICQ6
2008-06-09 13:06 --------- dc----w C:\Programme\TuneUp Utilities 2008
2008-06-07 07:30 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-06-07 07:29 --------- dc----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-04 11:46 --------- dc----w C:\Programme\TeamViewer3
2008-06-04 11:45 --------- dc----w C:\Programme\DynGate
2008-06-02 23:36 --------- dc----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\teamspeak2
2008-05-30 08:41 --------- dc----w C:\Programme\Skype
2008-05-30 08:41 --------- dc----w C:\Programme\Gemeinsame Dateien\Skype
2008-05-30 08:41 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-05-18 16:19 --------- dc----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-18 16:17 --------- dc----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AdobeUM
2006-08-09 17:42 774,144 -c--a-w C:\Programme\RngInterstitial.dll
2004-04-07 19:30 88,840 -c--a-w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2003-05-23 12:29 105 -csh--w C:\Programme\desktop.ini
2003-05-03 19:27 2,745,595 -c--a-w C:\Dokumente und Einstellungen\Martin\TO4500tom_install.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59F1E93D-9E0D-4A87-8EC9-F0244A87B5A6}]
2008-07-14 08:42 322304 --a--c--- C:\WINDOWS\system32\tuvSllKC.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]
"MySpaceIM"="C:\Programme\MySpace\IM\MySpaceIM.exe" [2008-04-18 01:27 9117696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTStartup"="C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE" [2001-06-04 02:00 28672]
"Jet Detection"="C:\Programme\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [2001-04-20 15:52 28672]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"AudioDeck"="C:\Programme\VIA\VIAudioi\SBADeck\ADeck.exe" [2006-11-02 16:57 528384]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-10-23 23:18 443968]
"MySpaceIM"="C:\Programme\MySpace\IM\MySpaceIM.exe" [2008-04-18 01:27 9117696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ctmp3"= C:\WINDOWS\System32\ctmp3.acm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
"Skype"="C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
"ICQ"="C:\Programme\ICQ6\ICQ.exe" silent
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AudioDeck"=C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
"LVCOMSX"=C:\WINDOWS\System32\LVCOMSX.EXE
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"nwiz"=nwiz.exe /install
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
"NvCplDaemon"=RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\SecondLife\\SLVoice.exe"=
"C:\\Programme\\SecondLife\\SecondLife.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\NexonUS\\NGM\\NGM.exe"=
"C:\\Programme\\uTorrent\\utorrent.exe"=
"C:\\Programme\\Metin2_Germany\\metin2.bin"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\Games-Masters.com\\CABAL Online (Europe)\\launcher\\update\\ESTdnheadless.exe"=
"C:\\Programme\\Games-Masters.com\\CABAL Online (Europe)\\cabal.exe"=
"D:\\CABAL Online (Europe)\\launcher\\update\\ESTdnheadless.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\MySpace\\IM\\MySpaceIM.exe"=

R1 SSHDRV65;SSHDRV65;C:\WINDOWS\System32\drivers\SSHDRV65.sys [2006-10-22 15:42]
R1 SSHDRV85;SSHDRV85;C:\WINDOWS\System32\drivers\SSHDRV85.sys [2006-10-23 20:03]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
R2 Vcs;Vcs support;C:\WINDOWS\system32\Drivers\Vcs.sys [2002-12-10 09:11]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 13:13]
R3 TDSLAdapter;T-DSL-Adapter (T-Online);C:\WINDOWS\system32\DRIVERS\TDSLAdap.sys [2001-02-12 20:02]
S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys []
S1 DCxxMJPG;Pinnacle DC10plus, Motion-JPEG VideoIO Board;C:\WINDOWS\system32\drivers\DCxxMJPG.sys [2002-02-21 15:01]
S3 emu10kx;Creative EMU10K1/EMU10K2 Audio Driver (WDM);C:\WINDOWS\system32\drivers\e10kx2k.sys [2001-10-02 16:06]
S3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 13:14]
S3 k310bus;Sony Ericsson K310 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k310bus.sys [2006-03-10 14:03]
S3 k310mdfl;Sony Ericsson K310 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k310mdfl.sys [2006-03-10 14:03]
S3 k310mdm;Sony Ericsson K310 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\k310mdm.sys [2006-03-10 14:03]
S3 k310mgmt;Sony Ericsson K310 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\k310mgmt.sys [2006-03-10 14:03]
S3 k310obex;Sony Ericsson K310 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\k310obex.sys [2006-03-10 14:03]
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\drivers\mbamcatchme.sys [2008-07-07 17:35]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS []
S3 TDSLProtocol;T-DSL-Protocol (T-Online);C:\WINDOWS\system32\DRIVERS\TDSLProt.sys [2001-02-12 20:02]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-06-07 09:30]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-07-15 11:10:49 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
"2008-07-14 13:24:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
- - - - ORPHANS REMOVED - - - -

WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
SSODL-fsrpknov-{E536A18F-3165-47EC-8518-F660C7EBCF74} - C:\WINDOWS\fsrpknov.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-15 13:11:42
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTStartup = C:\Programme\Creative\SBAudigy\Program\CTEaxSpl.EXE /run?&2?????????????x??????s$????\?w? ?w???????w???w4???????.??w4???????4???TA?s4????????&2???6~??6~??????
??\???\???<???$???U?6
~??6~\???\???<?????`?????
??7~\???\??????s????\??????s\????&2?A??s?&2???7~???

Scanne versteckte Dateien...


**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\drivers\CDANTSRV.EXE
C:\WINDOWS\system32\CTSVCCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\snmp.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-15 13:27:46 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-15 11:26:41

13 Verzeichnis(se), 2,169,823,232 Bytes frei
17 Verzeichnis(se), 2,185,949,184 Bytes frei

242 --- E O F --- 2008-07-09 22:27:22
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*
Seitenanfang Seitenende
15.07.2008, 13:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 ««

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59F1E93D-9E0D-4A87-8EC9-F0244A87B5A6}]

File::
C:\WINDOWS\system32\tuvSllKC.dll
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



«
poste das neue Log von Combofix, was erstellt wird


------

2.
wende navilog an, Option 1 , dann Option 2
poste hier den report von Option 2
http://virus-protect.org/artikel/tools/navilog.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.07.2008, 14:44
Member

Themenstarter
Avatar Levanael

Beiträge: 71
#7 kurze frage bevor ich das mache... ich habe das jetzt wie beschrieben gemacht... allerdings ist das abgespeicherte bei mir NICHT auf dem desktop sondern ist unter eigene dateien drin?

ist das jetzt schlimm oder kann ich es da einfach rausziehn und auf combo fix draufziehn wie beschrieben?
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*
Seitenanfang Seitenende
15.07.2008, 15:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 auf dem desktop ist einfacher, aber versuche es mal, ich habe es so noch nicht ausprobiert...
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.07.2008, 15:53
Member

Themenstarter
Avatar Levanael

Beiträge: 71
#9 sooooooooo also habs einfach mal das so gemacht ob es funktioniert hat.. keine ahnung....

also was zumindest war als der pc hoch gefahren ist das ich eine fehlermeldung hatte... sie lautete:

Fehler beim Laden von C:\WINDOWS\system32\hcvygwai.dlll
Das angegebene Modul wurde nicht gefunden.



soll ich jetzt noch das mit navilog machen???????


sooooo hoffe habs richtig geschrieben... jetzt schick ich mal den neuen report und bin gespannt ob das funktioniert hat so!!



ComboFix 08-07-14.2 - Martin 2008-07-15 15:24:59.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.712 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Martin\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Martin\Eigene Dateien\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\WINDOWS\system32\tuvSllKC.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\CKllSvut.ini
C:\WINDOWS\system32\CKllSvut.ini2
C:\WINDOWS\system32\hcvygwai.dll
C:\WINDOWS\system32\iawgyvch.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-15 bis 2008-07-15 ))))))))))))))))))))))))))))))
.

2008-07-15 12:11 . 2008-07-15 12:11 <DIR> d----c--- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Malwarebytes
2008-07-15 12:10 . 2008-07-15 12:10 <DIR> d----c--- C:\Programme\Malwarebytes' Anti-Malware
2008-07-15 12:10 . 2008-07-15 12:10 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-15 12:10 . 2008-07-07 17:35 34,296 --a--c--- C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-15 12:10 . 2008-07-07 17:35 17,144 --a--c--- C:\WINDOWS\system32\drivers\mbam.sys
2008-07-14 13:10 . 2008-07-14 13:47 2,572 --a--c--- C:\WINDOWS\system32\tmp.reg
2008-07-14 10:56 . 2008-07-14 10:56 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-07-14 10:20 . 2008-07-14 10:20 <DIR> d----c--- C:\Programme\Trend Micro
2008-07-03 18:50 . 2008-07-03 18:50 <DIR> d----c--- C:\Programme\concept design
2008-07-03 18:50 . 2008-07-03 18:51 <DIR> d----c--- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\concept design
2008-07-03 18:50 . 2008-07-03 18:50 693,765 --a--c--- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\unins000.exe
2008-07-03 18:50 . 2008-07-03 18:50 7,743 --a--c--- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\unins000.dat
2008-07-02 21:13 . 2008-07-14 17:45 4,194,708 --a--c--- C:\WINDOWS\pfirewall.log.old
2008-07-02 21:06 . 2005-04-13 16:54 331,184 -----c--- C:\WINDOWS\system32\difxapi.dll
2008-07-02 14:22 . 2008-07-02 14:22 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-07-02 12:23 . 2008-07-02 12:23 <DIR> d----c--- C:\Programme\Yahoo!
2008-06-30 21:22 . 2008-06-30 21:22 <DIR> d----c--- C:\Programme\MySpace
2008-06-30 21:22 . 2008-06-30 21:22 <DIR> d----c--- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\MySpace
2008-06-29 22:21 . 2008-06-29 22:21 <DIR> d----c--- C:\Programme\Avira
2008-06-29 22:21 . 2008-06-29 22:21 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-20 19:39 . 2008-06-20 19:39 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-16 21:33 . 2008-06-18 21:51 <DIR> d----c--- C:\Programme\AV VCS 3.0
2008-06-16 21:33 . 2002-12-10 09:11 6,852 --a--c--- C:\WINDOWS\system32\drivers\Vcs.sys
2008-06-16 17:56 . 2003-04-07 16:55 <DIR> d----c--- C:\AV VCS 3.0.74 full + serial + effect & skins
2008-06-16 16:00 . 2008-06-16 18:22 <DIR> d----c--- C:\Programme\AV Vcs 4.0 DIAMOND
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*
Dieser Beitrag wurde am 15.07.2008 um 15:57 Uhr von Levanael editiert.
Seitenanfang Seitenende
15.07.2008, 17:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 wende navilog an, Option 1 , dann Option 2
poste hier den report von Option 2
http://virus-protect.org/artikel/tools/navilog.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.07.2008, 17:59
Member

Themenstarter
Avatar Levanael

Beiträge: 71
#11 soo hier von der nr. 2


Navipromo Removal version 3.6.0 started on 15.07.2008 at 17:54:26,40

Fix running from C:\Programme\navilog1
Actual User Account : "Martin"

Updated on 27.06.2008 at 23h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Automatic removal
with Catchme and GNS results


Cleanning stage done on Reboot


*** fsbl1.txt not found ***
(Check that Catchme found nothing in Search Mode)


*** Deleting with Backups GenericNaviSearch results ***

* Deletion in "C:\WINDOWS\System32" *


* Deletion in "C:\Dokumente und Einstellungen\Martin\lokale~1\anwend~1" *



*** Deleting folders in "C:\WINDOWS" ***


*** Deleting folders in "C:\Programme" ***


*** Deleting folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Deleting folders in "c:\dokume~1\alluse~1\startm~1\progra~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Martin\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Martin\lokale~1\anwend~1" ***


*** Deleting folders in "C:\Dokumente und Einstellungen\Martin\startm~1\progra~1" ***



*** Deleting files ***


*** Deleting temporary files ***

Cleaning of C:\WINDOWS\Temp done !
Cleaning of C:\Dokumente und Einstellungen\Martin\lokale~1\Temp done !

*** Complementary Search ***
(Search specific files)

1)Deletion with backups new Instant Access files:

2)Heuristic search and deletion with backups :


* In "C:\WINDOWS\system32" *


* In "C:\Dokumente und Einstellungen\Martin\lokale~1\anwend~1" *


*** Copy Registry to Safebackup folder ***

Backing up Registry done !

*** Cleaning Registry ***
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*
Seitenanfang Seitenende
15.07.2008, 18:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 ««
ComboFix entfernen

Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

------------------------

scanne mit Bitdefender (Online) , lasse alles entfernen, was gefunden wird + poste den report
http://virus-protect.org/artikel/tools/bitdefender.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.07.2008, 20:14
Member

Themenstarter
Avatar Levanael

Beiträge: 71
#13 alsoo hab das programm durchlaufen lassen....
ein report hab ich aber nicht....

aber es steht: No problems were found.

heißt das jetzt ich hab das teil besiegt???

darf ich mich freuen?? lol
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*
Seitenanfang Seitenende
15.07.2008, 22:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 ja, alles wieder o.k. oder kommen noch popups ?
scanne am besten noch mal mit malwarebytes im abgesicherten modus.
wenn es noch probleme gibt, melde dich
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
15.07.2008, 22:44
Member

Themenstarter
Avatar Levanael

Beiträge: 71
#15 ahhh geil.. danke dir Sabina...

alles ok.. kommt nix mehr.. die popups waren schons eit heute mittag weg.. aber jetzt ist alles weg.. sehe nix mehr was damit zu tun hat.. alles in ordnung wieder!!

danke dir... *ganz lieb knuddel*

warst mir ne mega hilfe..
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: