Virus Alert! Festplatten zwar erkannt aber nicht Angezeigt

#0
15.07.2008, 23:55
...neu hier

Beiträge: 2
#1 Guten Abend

Ich weiß nicht genau wo aber irgendwo hab ich beim Surfen im Internet wohl den Falschen link erwischt

Jedenfalls hatte ich ein paar secunden später über 100 ad und spyware progs
und unmengen an Viren auf dem rechner

Das meiste habe ich selber bereinigen können(ist ja nicht das erste mal)

Doch das was blieb ist das hartnäckigste

In der Taskleiste habe ich neben der Systemzeit Virus Alert stehen die ganze zeit öffnet sich ein fenster das mir weißmachen will das ich kein anti-vir programm habe und meine festplatten werden zwar erkannt und ich kann auch drauf zugreifen aber im Arbeitzplatz werden sie nicht angezeigt

hab mir Hijack gedownloadet

hier das LOG:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:53: VIRUS ALERT!, on 15.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Windows\Sys5.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\MSMSGS.EXE
D:\Games\World of Warcraft\Interface\x-char\Profiler.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
D:\Programme\Xfire\xfire.exe
D:\Programme\TuneUp Utilities 2008\Shredder.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: qndsfmao - {B55B076D-C6EA-4AB4-AAF8-E116D90B8051} - (no file)
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.15\AsRunHelp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Sys1.exe] C:\Windows\Sys1.exe
O4 - HKLM\..\RunOnce: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [StartXChar] D:\Games\World of Warcraft\Interface\x-char\Profiler.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Sys1.exe] C:\Windows\Sys1.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211029152069
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O21 - SSODL: kvxqmtre - {D2DE187A-205A-405E-9852-08F5D1A92E17} - (no file)
O21 - SSODL: evgratsm - {9D80DC96-CF31-4517-911D-FE7BA7C24A4E} - (no file)
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 7774 bytes


Danke schonmal im voraus


mfg Tea
Seitenanfang Seitenende
16.07.2008, 00:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo Tea

«
Spybot - Search & Destroy\TeaTimer.exe - kurzfristig deaktivieren

«
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://softwarereferral/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O3 - Toolbar: qndsfmao - {B55B076D-C6EA-4AB4-AAF8-E116D90B8051} - (no file)

O4 - HKLM\..\Run: [Sys1.exe] C:\Windows\Sys1.exe

O4 - HKCU\..\Run: [Sys1.exe] C:\Windows\Sys1.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O21 - SSODL: kvxqmtre - {D2DE187A-205A-405E-9852-08F5D1A92E17} - (no file)

O21 - SSODL: evgratsm - {9D80DC96-CF31-4517-911D-FE7BA7C24A4E} - (no file)
««
C:\Windows\Sys5.exe - löschen (vorher im Taskmanager deaktivieren)
falls noch vorhanden auch C:\Windows\Sys1.exe löschen

«
scannen mit Malwarebytes und alles entfernen lassen,was gefunden wird + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.07.2008, 01:14
...neu hier

Themenstarter

Beiträge: 2
#3 So...


Danke dir erstmal für deine wirklich schnell antwort

ich habe alles gemacht was du gesagt hast

doch eine C:\Windows\Sys5.exe - habe ich bei mir nicht gefunden
die datei C:\Windows\Sys1.exe - habe ich gelöscht
------------------------------------------------------------------------------------------------------------------------------------------
hier das log von Combofix:

ComboFix 08-07-14.2 - andre 2008-07-16 0:59:48.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1581 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\andre\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\PCHealthCenter
C:\Programme\PCHealthCenter\0.exe
C:\Programme\PCHealthCenter\0.gif
C:\Programme\PCHealthCenter\1.gif
C:\Programme\PCHealthCenter\2.gif
C:\Programme\PCHealthCenter\3.exe
C:\Programme\PCHealthCenter\3.gif
C:\Programme\PCHealthCenter\sex1.ico
C:\Programme\PCHealthCenter\sex2.ico
C:\Programme\VAV
C:\Programme\VAV\vav.cpl
C:\Programme\VAV\vav.ooo
C:\WINDOWS\egwp.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-15 bis 2008-07-15 ))))))))))))))))))))))))))))))
.

2008-07-16 00:57 . 2008-07-16 00:57 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-16 00:57 . 2008-07-16 00:57 <DIR> d-------- C:\Dokumente und Einstellungen\andre\Anwendungsdaten\Malwarebytes
2008-07-16 00:57 . 2008-07-16 00:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-16 00:57 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-16 00:57 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-16 00:41 . 2008-07-16 00:41 <DIR> d-------- C:\Programme\CCleaner
2008-07-15 23:00 . 2008-07-15 23:00 <DIR> d-------- C:\Programme\Trend Micro
2008-07-15 22:21 . 2008-07-15 22:22 <DIR> d-------- C:\Programme\RSDownloader 2.0
2008-07-15 21:59 . 2008-07-15 21:59 <DIR> d-------- C:\Programme\Lavasoft
2008-07-15 21:59 . 2008-07-15 22:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-07-15 19:28 . 2008-07-15 19:28 135 --a------ C:\WINDOWS\wininit.ini
2008-07-15 19:15 . 2008-07-15 19:15 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-07-15 19:15 . 2008-07-16 00:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-15 19:05 . 2008-07-15 19:05 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\AVM_Driver
2008-07-15 18:58 . 2008-05-06 16:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-07-15 18:58 . 2008-05-06 17:32 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-07-15 18:58 . 2008-05-06 17:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-07-15 18:58 . 2008-05-06 17:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-07-15 18:58 . 2008-05-06 17:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-07-15 18:58 . 2008-05-06 17:32 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-07-15 18:58 . 2008-05-06 17:32 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-07-15 18:58 . 2008-07-15 19:05 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-07-15 16:53 . 2008-07-15 12:45 102,400 --a------ C:\WINDOWS\agpqlrfm.exe
2008-07-15 16:50 . 2008-07-15 12:45 516,096 --a------ C:\WINDOWS\kgxmotaplmp.dll
2008-07-06 20:37 . 2008-07-06 20:37 640,957 --a------ C:\WINDOWS\unins000.exe
2008-07-06 20:37 . 2002-04-05 21:57 237,568 --a------ C:\WINDOWS\Matrix Code Emulator.scr
2008-07-06 20:37 . 2008-07-06 20:38 1,162 --a------ C:\WINDOWS\unins000.dat
2008-07-03 20:38 . 2008-07-03 20:38 <DIR> d-------- C:\Dokumente und Einstellungen\andre\.gwteambuilder
2008-06-27 15:57 . 2008-06-30 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\andre\Anwendungsdaten\OpenOffice.org2
2008-06-26 22:10 . 2008-06-26 22:10 42,320 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-06-22 15:18 . 2008-06-22 15:32 <DIR> d-------- C:\Programme\NeoSmart Technologies
2008-06-20 19:46 . 2008-06-20 19:46 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 19:46 . 2008-06-20 19:46 147,968 -----c--- C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 13:51 . 2008-06-20 13:51 361,600 -----c--- C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 13:40 . 2008-06-20 13:40 138,496 -----c--- C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 13:08 . 2008-06-20 13:08 225,856 -----c--- C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-19 17:21 . 2008-06-19 17:21 <DIR> d-------- C:\Programme\Windows Media Connect 2
2008-06-19 17:19 . 2008-06-19 17:20 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-06-17 18:48 . 2008-06-17 18:50 <DIR> d-------- C:\Dokumente und Einstellungen\andre\Anwendungsdaten\ICQ
2008-06-17 18:32 . 2008-06-17 18:32 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Xfire
2008-06-17 18:18 . 2008-07-15 13:25 136,888 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-06-17 18:18 . 2008-06-17 18:18 22,328 --a------ C:\Dokumente und Einstellungen\andre\Anwendungsdaten\PnkBstrK.sys
2008-06-17 18:17 . 2008-06-19 17:19 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-06-17 18:17 . 2008-07-15 13:25 111,928 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2008-06-17 18:17 . 2008-06-17 18:32 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2008-06-17 18:17 . 2008-06-17 18:17 311 --a------ C:\WINDOWS\game.ini
2008-06-17 18:05 . 2008-06-17 18:05 <DIR> d-------- C:\Programme\Activision
2008-06-17 18:03 . 2008-06-17 18:03 <DIR> d--hs---- C:\WINDOWS\ftpcache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-15 22:01 --------- d-----w C:\Dokumente und Einstellungen\andre\Anwendungsdaten\teamspeak2
2008-07-15 19:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-15 17:54 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-12 13:03 --------- d-----w C:\Programme\Java
2008-07-11 13:12 --------- d-----w C:\Dokumente und Einstellungen\andre\Anwendungsdaten\Xfire
2008-07-04 13:21 96,520 ----a-w C:\WINDOWS\system32\drivers\avgldx86.sys
2008-07-04 13:21 76,040 ----a-w C:\WINDOWS\system32\drivers\avgtdix.sys
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 11:47 --------- d-----w C:\Programme\Reference Assemblies
2008-06-10 11:47 --------- d-----w C:\Programme\MSBuild
2008-06-10 11:44 --------- d-----w C:\Programme\MSXML 6.0
2008-06-08 19:14 --------- d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire
2008-06-06 13:51 --------- d-----w C:\Dokumente und Einstellungen\andre\Anwendungsdaten\TuneUp Software
2008-06-06 13:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-06-02 20:21 --------- d-----w C:\Dokumente und Einstellungen\andre\Anwendungsdaten\DeepBurner
2008-05-27 17:25 --------- d-----w C:\Dokumente und Einstellungen\andre\Anwendungsdaten\Media Player Classic
2008-05-27 15:22 1,067,520 ----a-w C:\Dokumente und Einstellungen\andre\Profiler_update.exe
2008-05-24 00:30 --------- d-----w C:\Programme\K-Lite Codec Pack
2008-05-21 20:10 --------- d-----w C:\Programme\DIFX
2008-05-19 19:52 --------- d-----w C:\Dokumente und Einstellungen\andre\Anwendungsdaten\vlc
2008-05-19 15:55 --------- d-----w C:\Programme\AVG
2008-05-19 15:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg8
2008-05-18 18:27 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-05-17 13:12 --------- d-----w C:\Dokumente und Einstellungen\andre\Anwendungsdaten\Talkback
2008-05-17 12:58 --------- d-----w C:\Programme\avmwlanstick
2008-05-14 15:21 21 ----a-w C:\Programme\Gemeinsame Dateien\appop.log
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"MSMSGS"="C:\Programme\Messenger\MSMSGS.EXE" [2008-04-14 04:22 1695232]
"StartXChar"="D:\Games\World of Warcraft\Interface\x-char\Profiler.exe" [2008-04-26 14:51 1067520]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 09:42 2156368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-04 07:31 208952]
"PHIME2002ASync"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-29 14:00 455168]
"PHIME2002A"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-29 14:00 455168]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-12-18 15:34 868352]
"AsusStartupHelp"="C:\Programme\ASUS\AASP\1.00.15\AsRunHelp.exe" [2006-11-14 08:25 363008]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-04-19 06:26 7700480]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2006-07-31 02:02 1544192]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-07-04 15:21 1232152]
"nwiz"="nwiz.exe" [2007-04-19 06:26 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2007-04-19 06:26 86016 C:\WINDOWS\system32\nvmctray.dll]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.3iv2"= 3ivxVfWCodec.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.VP31"= vp31vfw.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"VIDC.XFR1"= xfcodec.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\AVG\\AVG8\\avgupd.exe"=
"C:\\Programme\\AVG\\AVG8\\avgemc.exe"=
"D:\\Programme\\Xfire\\xfire.exe"=
"D:\\Games\\World of Warcraft\\Repair.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Games\\CABAL\\launcher\\update\\ESTdnheadless.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"D:\\Games\\World of Warcraft p-server\\Repair.exe"=

R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-07-04 15:21]
R2 avg8emc;AVG8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-07-04 15:21]
R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-07-04 15:21]
R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-07-04 15:21]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 04:23]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-07-31 02:02]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-06-06 15:51]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]
\Shell\AutoRun\command - H:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3fca22a1-240f-11dd-908a-001e8c6fab75}]
\Shell\AutoRun\command - H:\pushinst.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-07-15 23:02:06 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- D:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-Sys1.exe - C:\Windows\Sys1.exe
HKLM-Run-Sys1.exe - C:\Windows\Sys1.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-16 01:02:27
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\avmwlanstick\WLanNetService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\Apache.exe
C:\Programme\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-16 1:04:16 - machine was rebooted [andre]
ComboFix-quarantined-files.txt 2008-07-15 23:03:42

8 Verzeichnis(se), 12,247,257,088 Bytes frei
11 Verzeichnis(se), 12,711,813,120 Bytes frei

207 --- E O F --- 2008-07-09 17:41:46


-------------------------------------------------------------------------------------------------------------------------------------------

und das von mbam:

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 930
Windows 5.1.2600 Service Pack 3

01:09:14 16.07.2008
mbam-log-7-16-2008 (01-09-14).txt

Scan Art: Schnell Scan
Objekte gescannt: 41243
Scan Dauer: 3 minute(s), 25 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (://softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2) Good: (http://www.google.com/) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\andre\Desktop\Vista Antivirus 2008.lnk (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully.


Die festplatten sind wieder da das popupfenster ist weg und das Virus Alert ist auch weg


Ich danke dir ganz doll für deine hilfe es scheint alles wieder normal zu laufen


mfg Tea
Seitenanfang Seitenende
16.07.2008, 01:21
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Hallo Tea

1.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\WINDOWS\agpqlrfm.exe
C:\WINDOWS\kgxmotaplmp.dll
C:\WINDOWS\unins000.exe
C:\WINDOWS\unins000.dat
schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

---------

dann sollte wieder alles o.k. sein
stelle , falls notwendig eine neue Startseite ein und scanne eventuell noch mal mit Malwarebytes im abgesicherten modus.

Wenn es noch Probleme geben sollte, melde dich
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende