system von trojaner befallen!

#0
17.07.2008, 23:25
Member

Beiträge: 28
#1 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:55: VIRUS ALERT!, on 17.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Agnitum\OUTPOS~2\acs.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\Agnitum\OUTPOS~2\op_mon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\gui\Desktop\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = xxxo.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = xxxxgo.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = xxx.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xxxgo.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = xxgo.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = xxx.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = xxxxx.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: QXK Olive - {4561EA3D-3CF2-4630-960F-EB36F485A198} - C:\WINDOWS\kgxmotapdkx.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [C-Media Speaker Configuration] G:\Xp-2K-Me\drv\Setup.exe /SPEAKER
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~2\op_mon.exe /tray /noservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - xxxx:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall Pro\ie_bar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - xxxx.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0362EFAC-E404-453B-BCDD-82BED459433B}: NameServer = 217.237.150.115 217.237.151.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{0362EFAC-E404-453B-BCDD-82BED459433B}: NameServer = 217.237.150.115 217.237.151.205
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~2\wl_hook.dll c:\progra~1\kasper~1\kasper~1.0\adialhk.dll
O21 - SSODL: evgratsm - {15A6826C-9637-4EFA-8BA9-CF4094562F3D} - C:\WINDOWS\evgratsm.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~2\acs.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

hier die ganzen kaspersky anti-vir berichte:
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\Windows\Sys61.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\Windows\Sys62.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\Windows\Sys64.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\WINDOWS\Sys1.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\WINDOWS\Sys2.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\WINDOWS\Sys4.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218598.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218599.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218600.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218618.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\Programme\PCHealthCenter\1.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\Programme\PCHealthCenter\2.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\Programme\PCHealthCenter\4.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP214\A0218733.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP214\A0218734.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP214\A0218735.exe


quarantäne-bericht von kaspersky:
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\Programme\PCHealthCenter\1.exe 31,5 KB 17.07.2008 03:29: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218600.exe 30 KB 17.07.2008 02:11: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP214\A0218734.exe 31 KB 17.07.2008 03:37: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP214\A0218735.exe 30 KB 17.07.2008 03:37: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\Programme\PCHealthCenter\4.exe 30 KB 17.07.2008 03:29: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218598.exe 31,5 KB 17.07.2008 02:11: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218599.exe 31 KB 17.07.2008 02:11: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\WINDOWS\Sys4.exe 30 KB 17.07.2008 01:41: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP214\A0218733.exe 31,5 KB 17.07.2008 03:37: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218618.exe 30 KB 17.07.2008 02:11: VIRUS ALERT!
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\Programme\PCHealthCenter\2.exe 31 KB 17.07.2008 03:29: VIRUS ALERT!




back-up bericht von kaspersky:
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\Windows\Sys62.exe 31 KB
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\Windows\Sys61.exe 31,5 KB
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\WINDOWS\Sys2.exe 31 KB
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\WINDOWS\Sys1.exe 31,5 KB
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\Windows\Sys64.exe 30 KB


ich selber habe mal den hijackthislog im internet auswerten lasen und 2 verdächtige einträge entfernt aber mir wär es lieber wenn ihr nochmal für mich drüber schaut.


spyware bericht:

17.07.2008 01:30:46 Verweigert (based on user decision) value "Start Page" (new data: "xxx://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2") geändert in Browser page!
17.07.2008 01:30:54 Verweigert (based on user decision) value "evgratsm" (new data: "{0AEB1D2E-3B1C-49C4-8784-8318EDFB0620}") hinzugefügt in Shell services!
17.07.2008 01:31:02 Verweigert (based on Spybot-S&D scan) value "kvxqmtre" (new data: "{4ADD52F8-38E5-4104-9F9D-FA4DBCD9EE30}") hinzugefügt in Shell services!
17.07.2008 01:31:10 Verweigert (based on user decision) value "{4561EA3D-3CF2-4630-960F-EB36F485A198}" (new data: "") hinzugefügt in Browser Helper Object!
17.07.2008 01:32:22 Verweigert (based on user decision) value "Start Page" (new data: "xxxx/softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2") geändert in Browser page!
17.07.2008 01:33:16 Verweigert (based on user decision) value "evgratsm" (new data: "{F155B826-744A-4014-9E6B-13D6EA548529}") hinzugefügt in Shell services!
17.07.2008 01:33:27 Encountered and terminated VistaAntivirus2008 in C:\Programme\VAV\vav.exe!
17.07.2008 01:35:04 Verweigert (based on user decision) value "{4561EA3D-3CF2-4630-960F-EB36F485A198}" (new data: "") hinzugefügt in Browser Helper Object!
17.07.2008 01:36:10 Verweigert (based on user decision) value "Start Page" (new data: "http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2") geändert in Browser page!
17.07.2008 01:38:07 Verweigert (based on user decision) value "Start Page" (new data: "http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2") geändert in Browser page!
17.07.2008 01:39:11 Verweigert (based on user decision) value "evgratsm" (new data: "{4584FF10-FF41-4FF3-9D94-08B7D5F51E8E}") hinzugefügt in Shell services!
17.07.2008 01:39:21 Verweigert (based on user decision) value "evgratsm" (new data: "{5203CCDC-6A2D-4EB5-9275-C85FEB1ECB43}") hinzugefügt in Shell services!
17.07.2008 01:39:31 Verweigert (based on user decision) value "evgratsm" (new data: "{73C477CA-8AA7-43D9-8A32-A839861EB94C}") hinzugefügt in Shell services!
17.07.2008 01:39:47 Verweigert (based on user decision) value "evgratsm" (new data: "{8C35FABA-EF08-45E5-B8DB-4C7F6B70E16E}") hinzugefügt in Shell services!
17.07.2008 01:39:57 Verweigert (based on user decision) value "evgratsm" (new data: "{D35D6403-2A84-4919-8387-2FD092B5D091}") hinzugefügt in Shell services!
17.07.2008 01:40:21 Verweigert (based on user decision) value "evgratsm" (new data: "{26EE4699-6DDD-4C99-88F7-6BC50EAB9502}") hinzugefügt in Shell services!
17.07.2008 01:40:36 Verweigert (based on user decision) value "evgratsm" (new data: "{2B5E1C4D-A1DD-4568-B81A-FE694922D896}") hinzugefügt in Shell services!
17.07.2008 01:40:57 Verweigert (based on user decision) value "evgratsm" (new data: "{39AC75C3-4A33-482D-8ABD-AFEA1744F243}") hinzugefügt in Shell services!
17.07.2008 01:42:25 Verweigert (based on user decision) value "evgratsm" (new data: "{F575779B-7347-4176-B793-9751A9E647AC}") hinzugefügt in Shell services!
17.07.2008 01:42:51 Verweigert (based on user decision) value "evgratsm" (new data: "{37DA2971-A223-46EE-8E45-23B39A46C8C9}") hinzugefügt in Shell services!
17.07.2008 01:43:07 Verweigert (based on user decision) value "evgratsm" (new data: "{DBB1935D-453D-4F3A-8A22-FE36E6514042}") hinzugefügt in Shell services!
17.07.2008 01:43:26 Verweigert (based on user decision) value "evgratsm" (new data: "{BD285446-9C13-42F2-9F70-AEB051F10D7E}") hinzugefügt in Shell services!
17.07.2008 01:45:05 Verweigert (based on user decision) value "evgratsm" (new data: "{2D0C4BA9-9149-48BF-BEB0-52BFC20607D6}") hinzugefügt in Shell services!
17.07.2008 01:46:08 Verweigert (based on user decision) value "evgratsm" (new data: "{D3F95DBF-390C-4638-8FB4-ED017F13CCDB}") hinzugefügt in Shell services!
17.07.2008 01:48:15 Verweigert (based on user decision) value "evgratsm" (new data: "{4CCD4A07-5473-429E-8239-8F23697ACF15}") hinzugefügt in Shell services!
17.07.2008 01:49:46 Verweigert (based on user decision) value "evgratsm" (new data: "{15A6826C-9637-4EFA-8BA9-CF4094562F3D}") hinzugefügt in Shell services!
17.07.2008 01:58:59 Verweigert (based on user decision) value "evgratsm" (new data: "{15A6826C-9637-4EFA-8BA9-CF4094562F3D}") hinzugefügt in Shell services!
17.07.2008 11:45:26 Erlaubt (based on user decision) value "{4561EA3D-3CF2-4630-960F-EB36F485A198}" (new data: "") gelöscht in Browser Helper Object!



ich selber habe mal den hijackthislog aim internet auswerten lasen und 2 verdächtige einträge entfernt aber mir wär e slieber wnen ihr nochmal für mich drüber schaut.

nach dem befall,hat sich der trojaner in meinem system breitgemacht .seit dem werden einige teile in dem startmenü nicht mehr angeziegt. unter anderem auch die sytemwiederherstellung ,suche,ausführen,arbeitsplatz usw.firefox lässt sich auch nicht mehr öffnen!

alles sehr deprmierend..;)

ich hoffe ihr könnt mir weiterhelfen...DANKE!!
Dieser Beitrag wurde am 19.07.2008 um 10:48 Uhr von hellsy editiert.
Seitenanfang Seitenende
18.07.2008, 14:35
Moderator

Beiträge: 5694
#2 Hallo hellsy

>>
cleaner anwenden
http://www.virus-protect.org/ccleaner.html


>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei

Zitat

O2 - BHO: QXK Olive - {4561EA3D-3CF2-4630-960F-EB36F485A198} - C:\WINDOWS\kgxmotapdkx.dll

O21 - SSODL: evgratsm - {15A6826C-9637-4EFA-8BA9-CF4094562F3D} - C:\WINDOWS\evgratsm.dll
und wähle fix checked.

>>
Scanne mit Malwarebytes und poste das Log:
http://www.virus-protect.org/artikel/tools/malwarebytes.html

>>
wende Combofix an - Warnmeldung wegklicken + poste den report
http://virus-protect.org/artikel/tools/combofix.html


Gruss Swiss
Seitenanfang Seitenende
19.07.2008, 10:44
Member

Themenstarter

Beiträge: 28
#3 hallo zusammen!

erstmal danke für die schnelle und kompetente hilfe;)


hier da smaleware_log:
mbam-log-7-19-2008 (02-07-31).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|I:\|)
Objekte gescannt: 108417
Scan Dauer: 1 hour(s), 26 minute(s), 18 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 1
Infizierte Registrierungsschlüssel: 25
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 11
Infizierte Verzeichnisse: 2
Infizierte Dateien: 20

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\evgratsm.dll (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\VAV (Rogue.VistaAntivirus2008) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0aeb1d2e-3b1c-49c4-8784-8318edfb0620} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{26ee4699-6ddd-4c99-88f7-6bc50eab9502} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{28ec14cb-45b2-445f-baad-46d390a53b16} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2b5e1c4d-a1dd-4568-b81a-fe694922d896} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2d0c4ba9-9149-48bf-beb0-52bfc20607d6} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{37da2971-a223-46ee-8e45-23b39a46c8c9} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{39ac75c3-4a33-482d-8abd-afea1744f243} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4584ff10-ff41-4ff3-9d94-08b7d5f51e8e} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4ccd4a07-5473-429e-8239-8f23697acf15} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5203ccdc-6a2d-4eb5-9275-c85feb1ecb43} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{5e7e5d9c-c14a-4c3d-8b67-52b08e145f36} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{73c477ca-8aa7-43d9-8a32-a839861eb94c} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8c35faba-ef08-45e5-b8db-4c7f6b70e16e} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{bd285446-9c13-42f2-9f70-aeb051f10d7e} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c4c1ac7c-3b20-452c-9fb8-c042959b12c9} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d35d6403-2a84-4919-8387-2fd092b5d091} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d3f95dbf-390c-4638-8fb4-ed017f13ccdb} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{dbb1935d-453d-4f3a-8a22-fe36e6514042} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f155b826-744a-4014-9e6b-13d6ea548529} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f575779b-7347-4176-b793-9751a9e647ac} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{47dc420a-cd6f-47c5-8dc7-ad6dc7c9c048} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4561ea3d-3cf2-4630-960f-eb36f485a198} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4561ea3d-3cf2-4630-960f-eb36f485a198} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\evgratsm (Trojan.FakeAlert) -> No action taken.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (55375-645-8348766-23079) -> No action taken.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Programme\PCHealthCenter (Trojan.Fakealert) -> No action taken.
C:\Programme\VAV (Rogue.VistaAntivirus2008) -> No action taken.

Infizierte Dateien:
C:\Programme\PCHealthCenter\3.exe (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\5.exe (Rogue.Installer) -> No action taken.
C:\Programme\VAV\vav.cpl (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218601.exe (Trojan.Fakealert) -> No action taken.
C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218614.exe (Adware.Agent) -> No action taken.
C:\WINDOWS\ewkb.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Sys3.exe (Trojan.Fakealert) -> No action taken.
C:\WINDOWS\system32\vav.cpl (Trojan.FakeAlert) -> No action taken.
C:\Programme\PCHealthCenter\0.exe (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\0.gif (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\1.gif (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\2.gif (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\3.gif (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\sc.html (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\sex1.ico (Trojan.Fakealert) -> No action taken.
C:\Programme\PCHealthCenter\sex2.ico (Trojan.Fakealert) -> No action taken.
C:\WINDOWS\evgratsm.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\agpqlrfm.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\kgxmotapdkx.dll (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\gui\Anwendungsdaten\TmpRecentIcons\Vista Antivirus 2008.lnk (Rogue.Link) -> No action taken.



eckard's System Scanner v20071014.68
Run by gui on 2008-07-19 11:03:38
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
40: 2008-07-19 09:03:46 UTC - RP216 - Deckard's System Scanner Restore Point
39: 2008-07-18 09:20:30 UTC - RP215 - Systemprüfpunkt
38: 2008-07-17 01:01:16 UTC - RP214 - Software Distribution Service 3.0
37: 2008-07-16 21:39:06 UTC - RP213 - Agnitum Outpost Firewall Restore Point: install
36: 2008-07-16 18:42:31 UTC - RP212 - Systemprüfpunkt


-- First Restore Point --
1: 2008-05-27 11:10:37 UTC - RP177 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.



-- HijackThis -------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:05:04, on 19.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Agnitum\OUTPOS~2\acs.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\Agnitum\OUTPOS~2\op_mon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\gui\Desktop\dss.exe
C:\DOKUME~1\gui\Desktop\HIJACK~1\gui.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = xx.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = xxgo.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xxmicrosoft.com/fwlink/?LinkId=54896
xxxxx.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = xxxmicrosoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = xxx.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4561EA3D-3CF2-4630-960F-EB36F485A198} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [C-Media Speaker Configuration] G:\Xp-2K-Me\drv\Setup.exe /SPEAKER
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~2\op_mon.exe /tray /noservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel -xxx\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall Pro\ie_bar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - xxCQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object)/de/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0362EFAC-E404-453B-BCDD-82BED459433B}: NameServer = 217.237.150.115 217.237.151.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{0362EFAC-E404-453B-BCDD-82BED459433B}: NameServer = 217.237.150.115 217.237.151.205
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~2\wl_hook.dll c:\progra~1\kasper~1\kasper~1.0\adialhk.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~2\acs.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6495 bytes

-- HijackThis Fixed Entries (C:\DOKUME~1\gui\Desktop\HIJACK~1\backups\) --------

backup-20080622-134127-449 O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
backup-20080717-120044-695 O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~2\acs.exe
backup-20080718-235534-145 O21 - SSODL: evgratsm - {15A6826C-9637-4EFA-8BA9-CF4094562F3D} - C:\WINDOWS\evgratsm.dll
backup-20080718-235702-858 O21 - SSODL: evgratsm - {89E93F50-260F-4E68-9F6E-C4DE1C14A2E8} - C:\WINDOWS\evgratsm.dll
backup-20080718-235810-602 O21 - SSODL: evgratsm - {1C856045-5DC6-46EC-90E9-7469821AE02B} - C:\WINDOWS\evgratsm.dll
backup-20080719-001253-354 O21 - SSODL: evgratsm - {375E34AD-7712-4A33-9107-60DAB715AAE3} - C:\WINDOWS\evgratsm.dll

-- File Associations -----------------------------------------------------------

[COLOR=red].reg - regfile - shell\open\command - regedit.exe "%1" %*[/COLOR]


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 SiSkp - c:\windows\system32\drivers\srvkp.sys <Not Verified; Silicon Integrated Systems Corporation; SiS (R) WindowsXP Display Manager>
R3 AgereSoftModem (Agere Systems Soft Modem) - c:\windows\system32\drivers\agrsm.sys <Not Verified; Agere Systems; Agere SoftModem Driver>
R3 SiS315 - c:\windows\system32\drivers\sisgrp.sys <Not Verified; Silicon Integrated Systems Corporation; SiS (R) Compatible Super VGA Miniport Driver for Windows XP>

S3 EverestDriver (Lavalys EVEREST Kernel Driver) - c:\programme\lavalys\everest home edition\kerneld.wnt
S3 FLASHSYS - c:\windows\system32\drivers\flashsys.sys
S3 GMSIPCI - g:\install\gmsipci.sys (file missing)
S3 WEBNTACCESS - c:\windows\system32\ntaccess.sys <Not Verified; Your Corporation; Your Product Name>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 acssrv (Agnitum Client Security Service) - c:\progra~1\agnitum\outpos~2\acs.exe <Not Verified; Agnitum Ltd.; Agnitum Outpost Service>


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Scheduled Tasks -------------------------------------------------------------

2008-05-23 17:38:49 378 --a------ C:\WINDOWS\Tasks\1-Klick-Wartung.job


-- Files created between 2008-06-19 and 2008-07-19 -----------------------------

2008-07-19 00:08:00 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-18 11:23:26 0 d-------- C:\WINDOWS\Sun
2008-07-16 23:47:47 0 d-------- C:\Dokumente und Einstellungen\All Users\Application Data
2008-07-16 23:47:47 0 d-------- C:\Dokumente und Einstellungen\All Users\Application Data\Agnitum
2008-07-16 23:38:57 0 d-------- C:\WINDOWS\system32\Filt
2008-07-13 19:17:00 0 d-------- C:\Programme\Java
2008-07-13 19:13:56 0 d-------- C:\Programme\Gemeinsame Dateien\Java
2008-07-13 17:54:45 0 d-------- C:\Programme\GNU
2008-07-13 11:29:14 0 d-------- C:\Programme\DivX
2008-07-09 02:03:12 96966 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-07-09 02:03:11 88774 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-07-09 02:02:25 0 d-------- C:\Programme\Kaspersky Lab
2008-07-09 02:02:22 29216 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-07-09 02:02:22 6046240 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-07-05 02:02:52 49152 --a------ C:\WINDOWS\system32\ChCfg.exe
2008-07-05 02:01:35 0 d-------- C:\Programme\Realtek AC97
2008-07-05 02:01:34 10528768 --a------ C:\WINDOWS\system32\RTLCPL.exe <Not Verified; Realtek Semiconductor Corp.; Realtek Audio Sound Effect Manager>
2008-07-05 02:01:30 147456 --a------ C:\WINDOWS\system32\RtlCPAPI.dll <Not Verified; ; RtlCPAPI Module>
2008-07-03 12:34:35 0 d-------- C:\Programme\Lavalys
2008-07-02 00:24:36 0 d-------- C:\Programme\ICQ6
2008-06-22 20:19:03 0 d-------- C:\WINDOWS\system32\Kaspersky Lab


-- Find3M Report ---------------------------------------------------------------

2008-07-19 00:14:18 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\Malwarebytes
2008-07-18 11:23:25 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\Sun
2008-07-18 01:13:54 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\uTorrent
2008-07-18 00:14:41 0 d-------- C:\Programme\Gemeinsame Dateien\Agnitum Shared
2008-07-17 01:28:37 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\TmpRecentIcons
2008-07-17 01:26:48 0 d-------- C:\Programme\PeerGuardian2
2008-07-16 23:42:10 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\Agnitum
2008-07-16 23:38:57 0 d-------- C:\Programme\Agnitum
2008-07-14 00:13:28 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\LimeWire
2008-07-13 19:13:56 0 d-------- C:\Programme\Gemeinsame Dateien
2008-07-13 11:50:18 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\DivX
2008-07-09 02:24:10 0 d-------- C:\Programme\Gemeinsame Dateien\G DATA
2008-07-09 02:24:10 0 d-------- C:\Programme\G DATA AntiVirus Trial
2008-07-05 02:01:00 0 d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2008-07-02 00:45:22 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\ICQ
2008-07-02 00:45:08 0 d--h----- C:\Programme\InstallShield Installation Information
2008-06-22 20:28:56 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\Mozilla
2008-06-16 01:34:11 319498 --a------ C:\WINDOWS\system32\perfh007.dat
2008-06-16 01:34:11 49000 --a------ C:\WINDOWS\system32\perfc007.dat
2008-06-11 02:07:20 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-06-11 02:03:26 196608 --a------ C:\WINDOWS\system32\dtu100.dll <Not Verified; DivX, Inc.; DivX, Inc. dtu100>
2008-06-11 02:03:26 81920 --a------ C:\WINDOWS\system32\dpl100.dll <Not Verified; DivX, Inc.; DivX, Inc. dpl100>
2008-06-11 02:03:20 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll <Not Verified; DivX, Inc.; DivX?>
2008-06-11 02:03:20 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll <Not Verified; DivX, Inc.; DivX®>
2008-06-11 02:03:20 815104 --a------ C:\WINDOWS\system32\divx_xx0a.dll <Not Verified; DivX, Inc.; DivX®>
2008-06-11 02:03:20 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll <Not Verified; DivX, Inc.; DivX®>
2008-06-11 02:03:18 683520 --a------ C:\WINDOWS\system32\DivX.dll <Not Verified; DivX, Inc.; DivX®>
2008-05-23 12:01:55 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\Media Player Classic
2008-05-23 11:42:48 0 d-------- C:\Programme\K-Lite Codec Pack
2008-05-23 11:42:41 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\Real
2008-05-23 00:18:54 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-20 22:16:51 0 d-------- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\Auslogics
2008-05-20 22:16:41 0 d-------- C:\Programme\Auslogics
2008-04-23 01:37:28 1144 --a------ C:\WINDOWS\mozver.dat
2008-04-23 00:25:10 0 --a------ C:\WINDOWS\nsreg.dat
2008-04-22 22:12:29 62 --ahs---- C:\Dokumente und Einstellungen\gui\Anwendungsdaten\desktop.ini
2008-04-22 21:29:45 0 -rahs---- C:\MSDOS.SYS
2008-04-22 21:29:45 0 -rahs---- C:\IO.SYS
2008-04-22 21:29:45 0 --a------ C:\CONFIG.SYS
2008-04-22 21:29:45 0 --a------ C:\AUTOEXEC.BAT
2008-04-22 21:25:21 21740 --a------ C:\WINDOWS\system32\emptyregdb.dat


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4561EA3D-3CF2-4630-960F-EB36F485A198}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HTpatch"="C:\WINDOWS\htpatch.exe" [19.12.2002 10:40]
"AGRSMMSG"="AGRSMMSG.exe" [20.12.2002 07:07 C:\WINDOWS\AGRSMMSG.exe]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 22:16]
"SoundMan"="SOUNDMAN.EXE" [16.04.2007 15:28 C:\WINDOWS\soundman.exe]
"C-Media Speaker Configuration"="G:\Xp-2K-Me\drv\Setup.exe" []
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [28.06.2007 12:51]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [10.06.2008 04:27]
"OutpostMonitor"="C:\PROGRA~1\Agnitum\OUTPOS~2\op_mon.exe" [05.12.2007 11:57]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [31.12.2002 14:00]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [07.07.2008 09:42]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [18.10.2007 11:34]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=0 (0x0)
"DisableRegistryTools"=0 (0x0)
"NoDispCPL"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStartMenuMorePrograms"=0 (0x0)
"StartMenuLogOff"=0 (0x0)
"NoToolbarCustomize"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=c:\progra~1\agnitum\outpos~2\wl_hook.dll c:\progra~1\kasper~1\kasper~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" -minimize
"LiveMonitor"=C:\Programme\MSI\Live Update 2\LMonitor.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp




-- Hosts -----------------------------------------------------------------------

127.0.0.1 xxx.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 xx.008k.com
127.0.0.1 008k.com
127.0.0.1 xx.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 xx.032439.com
127.0.0.1 032439.com

8784 more entries in hosts file.


-- End of Deckard's System Scanner: finished at 2008-07-19 11:06:44 ------------



die Startmenüeinträge sind wieder da!wass mich nur gewundert hat,dass kaspesky die ganzen Einträge schon mal gelöscht und diese dann doch wieder aufgetaucht sind.einer der 2 genannten registryeinbträge,den ich über hijack löschen sollte,ging nur mit diesem malewaretool zu löschen.
combofix lief leider nicht bei mir,deswegen habe ich die andere methode für die erstellung des combo-logs vorgezogen.


nette grüßchen,der hellsy;)
Dieser Beitrag wurde am 19.07.2008 um 11:16 Uhr von hellsy editiert.
Seitenanfang Seitenende
19.07.2008, 11:26
Moderator

Beiträge: 5694
#4 Hallo hellsy

Du hast bei malwarebytes das gefudene nicht löschen lasen am Schluss:

Zitat

-> No action taken.
Lass Malwarebytes nochmals laufen und lass das gefundene löschen.

Wieso funktionierte Combofix nicht?

Gruss Swiss
Seitenanfang Seitenende
19.07.2008, 12:49
Member

Themenstarter

Beiträge: 28
#5 doch,doch!nur die ganze maleware war im quarantäne ordner,die ich aber eben alle gelöscht habe.hab auch malware nochmal durchlaufen lassen,mit einem sauberen ergebnis;)

warum combofix nicht funktioniert hat wüsste ich auch ganz gerne mal.

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 965
Windows 5.1.2600 Service Pack 2

12:47:12 19.07.2008
mbam-log-7-19-2008 (12-47-12).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|I:\|)
Objekte gescannt: 108752
Scan Dauer: 23 minute(s), 50 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)
Seitenanfang Seitenende
19.07.2008, 12:59
Moderator

Beiträge: 5694
#6 hellsy

>>
Versuch Combofix noch einmal anzuwenden.

>>
Dannach mach einen Onlinescan mit Bitdefender:
http://virus-protect.org/onlinescan.html

>>
Kannst du Windowsupdate durchführen? Wie siehts aus im Startmenu, wird alles angezeigt?


>>
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)


VIRUS ALERT!


in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

Gruss Swiss

Für mich:

Zitat

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoStartMenuMorePrograms"=0 (0x0)
"StartMenuLogOff"=0 (0x0)
"NoToolbarCustomize"=0 (0x0)
Für mich:
Dieser Beitrag wurde am 19.07.2008 um 13:05 Uhr von Tonstudio editiert.
Seitenanfang Seitenende
19.07.2008, 13:04
Member

Beiträge: 202
#7 Hallo bevor du weitere reinigungs versuche unternimmst deaktiviere erst den resident tea timer von spybot search and destroy oder deinstalliere spybot erst mal.

der resident tea timer soll veränderungen am system verhindern und blockiert teilweise auch reinigungsversuche

Also erst den tea timer deaktivieren oder deinstallieren dann noch mal von vorne

eventuelll ist der auch für da nicht funktionieren von combofix verantwortlisch
Seitenanfang Seitenende
19.07.2008, 13:06
Moderator

Beiträge: 5694
#8 Hallo Audipower

Vielen Dank für dein Input, habe ich glatt übersehen. Es reicht wenn der Teatimer deaktiviert wird.

Gruss Swiss
Seitenanfang Seitenende
19.07.2008, 13:08
Member

Beiträge: 202
#9 keine ursache passiert jedem einmal

(deinstallieren wahr nur ein rat weil es möglisch währe das spybot manipuliert wurde und deswegen nicht mehr korrekt arbeitet )
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: