Home » Spyware & Browser Hijacker Support Forum » Virus Alert in der Taskleiste!!! » Themenansicht

Virus Alert in der Taskleiste!!!
#0
21.07.2008, 16:28
Ascot123
...neu hier

Beiträge: 4
#1 brauche dringend Hilfe.
Seit heute morgen erscheint rechts in der Taskleiste Virus Alert.
Habe mich bereits in Foren umgeschaut und verschiedene Möglichkeiten ausprobiert!
Hijack, CCleaner, Spayfalcon und kapserskyfilterlist.ini habe ich bereits ohne Erfolg getestet.

Zur Veranschaulichung postet ich euch hier mal meinen Hijack log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:02:30, on 21.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: qndsfmao - {F4A52746-813B-4276-A8D7-E2ABD0C8C8A8} - C:\WINDOWS\qndsfmao.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Belkin Wireless G Desktop Card Client Utility.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{30D0E965-97AD-4A6B-ADC8-919686192C76}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{343CA631-4FA1-4539-B5EA-258EE4318248}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{B04FB769-5DB1-4C7A-8147-4F7AB752932C}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4E6D130-3702-4357-B3C8-B348AEC8F44B}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDA4733A-9B41-462D-AF26-AEC0F7E7B0BA}: NameServer = 85.255.114.34,85.255.112.9
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.34 85.255.112.9
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.34 85.255.112.9
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.34 85.255.112.9
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O21 - SSODL: evgratsm - {7289E2D0-D765-471B-AC79-F293D5286662} - C:\WINDOWS\evgratsm.dll
O21 - SSODL: kvxqmtre - {007C9518-B379-45AD-89FE-964F6241B54A} - C:\WINDOWS\kvxqmtre.dll
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 5746 bytes


SmitFraudFix v. 2.330
rapport log :

SmitFraudFix v2.330

Scan done at 16:04:18,85, 21.07.2008
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\virus\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\kgxmotaptbp.dll deleted.
C:\WINDOWS\qndsfmao.dll deleted.
C:\WINDOWS\evgratsm.dll deleted.
C:\WINDOWS\kvxqmtre.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{30D0E965-97AD-4A6B-ADC8-919686192C76}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CCS\Services\Tcpip\..\{30D0E965-97AD-4A6B-ADC8-919686192C76}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CCS\Services\Tcpip\..\{343CA631-4FA1-4539-B5EA-258EE4318248}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{343CA631-4FA1-4539-B5EA-258EE4318248}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CCS\Services\Tcpip\..\{8B3C6E82-7661-4014-B4F7-54A301BA4EF7}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{B04FB769-5DB1-4C7A-8147-4F7AB752932C}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C4E6D130-3702-4357-B3C8-B348AEC8F44B}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C4E6D130-3702-4357-B3C8-B348AEC8F44B}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CDA4733A-9B41-462D-AF26-AEC0F7E7B0BA}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CCS\Services\Tcpip\..\{CDA4733A-9B41-462D-AF26-AEC0F7E7B0BA}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CCS\Services\Tcpip\..\{F14692E4-57AE-4825-BA96-23F9FE5AD649}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\..\{30D0E965-97AD-4A6B-ADC8-919686192C76}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\..\{30D0E965-97AD-4A6B-ADC8-919686192C76}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\..\{343CA631-4FA1-4539-B5EA-258EE4318248}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{343CA631-4FA1-4539-B5EA-258EE4318248}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8B3C6E82-7661-4014-B4F7-54A301BA4EF7}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B04FB769-5DB1-4C7A-8147-4F7AB752932C}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C4E6D130-3702-4357-B3C8-B348AEC8F44B}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C4E6D130-3702-4357-B3C8-B348AEC8F44B}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CDA4733A-9B41-462D-AF26-AEC0F7E7B0BA}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\..\{CDA4733A-9B41-462D-AF26-AEC0F7E7B0BA}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F14692E4-57AE-4825-BA96-23F9FE5AD649}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\..\{30D0E965-97AD-4A6B-ADC8-919686192C76}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\..\{30D0E965-97AD-4A6B-ADC8-919686192C76}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\..\{343CA631-4FA1-4539-B5EA-258EE4318248}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{343CA631-4FA1-4539-B5EA-258EE4318248}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\..\{8B3C6E82-7661-4014-B4F7-54A301BA4EF7}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{B04FB769-5DB1-4C7A-8147-4F7AB752932C}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C4E6D130-3702-4357-B3C8-B348AEC8F44B}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C4E6D130-3702-4357-B3C8-B348AEC8F44B}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CDA4733A-9B41-462D-AF26-AEC0F7E7B0BA}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\..\{CDA4733A-9B41-462D-AF26-AEC0F7E7B0BA}: NameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F14692E4-57AE-4825-BA96-23F9FE5AD649}: DhcpNameServer=85.255.114.34,85.255.112.9
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.114.34 85.255.112.9
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.114.34 85.255.112.9
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.114.34 85.255.112.9


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
Seitenanfang Seitenende
21.07.2008, 16:52
raman
Moderator

Beiträge: 7805
#2 Hallo Ascot123,

Arbeite bitte noch die Punkte 1-3 aus diesem Thread ab:
http://board.protecus.de/t23187.htm

Allerdings ist bei dir schon so zu sehen, das du einen DNS Changer hast, welcher u.a. Rootkitfunktionalitaet besitzt und deine "Anfragen ins Internet" auf einen Boesen DNS Server leitet, der dich was weiss ich wwohin schicken koennte.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.07.2008, 17:34
Ascot123
...neu hier

Themenstarter

Beiträge: 4
#3 Danke für die schnelle Antwort.
Genügt bei Malewarebytes der Qickscan?
Die Posts kommen in ca, 1er Stunde.
Seitenanfang Seitenende
21.07.2008, 17:44
raman
Moderator

Beiträge: 7805
#4 Komplett waere besser, aber quickscan reicht auch erstmal. Lasse alle funde bereinigen...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.07.2008, 17:58
Ascot123
...neu hier

Themenstarter

Beiträge: 4
#5 So habe Schritt 1 bis 3 ausgefüht.

Hier der Log von Combofix:

ComboFix 08-07-20.A0 - Administrator 2008-07-21 17:33:37.1 - NTFSx86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.237 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\fhhklnnn.ini
C:\WINDOWS\system32\fhhklnnn.ini2
C:\WINDOWS\system32\msiesetup.exe
C:\WINDOWS\system32\nnnlkhhf.dll
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\qoMcdCRI.dll
C:\WINDOWS\system32\WanPacket.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-06-21 bis 2008-07-21 ))))))))))))))))))))))))))))))
.

2008-07-21 17:39 . 2008-07-21 17:39 <DIR> d-------- C:\Dokumente und Einstellungen\Gast!\Anwendungsdaten\Malwarebytes
2008-07-21 17:06 . 2008-07-21 17:06 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-21 17:06 . 2008-07-21 17:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-21 17:06 . 2008-07-21 17:06 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-07-21 17:06 . 2008-07-20 20:21 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-21 17:06 . 2008-07-20 20:21 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-21 16:07 . 2008-07-21 16:08 <DIR> d-------- C:\Programme\CCleaner
2008-07-21 16:04 . 2008-07-21 16:04 1,910 --a------ C:\WINDOWS\system32\tmp.reg
2008-07-21 16:00 . 2008-07-21 16:00 <DIR> d-------- C:\Programme\Trend Micro
2008-07-20 00:59 . 2008-07-20 00:59 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-20 00:59 . 2008-07-20 00:59 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-21 15:40 25,070,112 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-07-21 15:39 987,680 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-07-21 15:03 99,836 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-07-21 15:03 344,048 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-21 14:46 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-07-12 13:06 --------- d-----w C:\Dokumente und Einstellungen\Gast!\Anwendungsdaten\ICQ
2008-06-20 17:36 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-29 17:13 96,966 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-05-29 17:13 88,774 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-05-29 17:13 112,144 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-23 04:16 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-03-21 19:18 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-10-28 17:25 94208]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-10 04:06 7311360]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-10 04:06 86016]
"Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 09:57 143360]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 04:23 75520]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 12:51 218376]
"nwiz"="nwiz.exe" [2005-12-10 04:06 1519616 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Sitecom WLAN Client Utility.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Sitecom WLAN Client Utility.lnk
backup=C:\WINDOWS\pss\Sitecom WLAN Client Utility.lnkCommon Startup
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\Programme
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\Programme\1&1
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\Programme\1&1\1&1 EasyLogin

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C:\Programme\1&1\1&1 EasyLogin\EasyLogin.exe]
1&1 EasyLogin HIDE [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Control Center]
--a------ 2005-09-16 15:57 1668096 C:\Programme\ASUS\WLAN Card Utilities\Center.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Meine Traffic]
--a------ 2004-11-22 15:00 343552 C:\PROGRA~1\MT\MT.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 18:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2006-01-24 21:23 7094272 C:\Programme\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-08-01 17:32 155648 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 16:17 159744 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-06-08 21:23 1259000 D:\Steam\steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"D:\\Steam\\SteamApps\\lunikoff15\\counter-strike\\hl.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"67:UDP"= 67:UDP;)HCP Discovery Service

R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\system32\ASNDIS5.SYS [2002-09-09 20:54]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
S3 Belkin700F;Belkin Wireless G Desktop Card Service v7;C:\WINDOWS\system32\DRIVERS\BLKWGDv7.sys [2006-10-19 11:44]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 04:12]
S3 PEEK5;PEEK5 Protocol Driver;C:\DOKUME~1\Gast!\Desktop\AIRCRA~1.1-W\AIRCRA~1.1\bin\PEEK5.SYS []
S3 pfsvgae;pfsvgae;C:\DOKUME~1\Thomas\LOKALE~1\Temp\pfsvgae.sys []
S3 SjyPkt;SjyPkt;C:\WINDOWS\System32\Drivers\SjyPkt.sys [2002-10-02 10:57]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

MSConfigStartUp-AVGCtrl - C:\Programme\AVPersonal\AVGNT.EXE
MSConfigStartUp-BDAgent - C:\Programme\Softwin\BitDefender10\bdagent.exe
MSConfigStartUp-BDMCon - C:\Programme\Softwin\BitDefender10\bdmcon.exe
MSConfigStartUp-BearShare - C:\Programme\BearShare\BearShare.exe
MSConfigStartUp-ICQ Lite - C:\Programme\ICQLite\ICQLite.exe
MSConfigStartUp-SmcService - C:\PROGRA~1\Sygate\SPF\smc.exe


.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-21 17:39:15
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ASWLSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ASWL2K.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Belkin\PCI F5D700F\Wireless Utility\Belkinwcui.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-21 17:43:43 - machine was rebooted [Gast!]
ComboFix-quarantined-files.txt 2008-07-21 15:43:33

Pre-Run: 14 Verzeichnis(se), 15,487,156,224 Bytes frei
Post-Run: 16 Verzeichnis(se), 16,869,347,328 Bytes frei

164 --- E O F --- 2008-07-09 08:12:04




Die Meldung Virus Alert ist jtzt weg und der PC funktioniert wieder. Es wird wieder alles angezeigt.

Wars das oder muss ich noch etwas anderes machen?
Seitenanfang Seitenende
21.07.2008, 18:26
raman
Moderator

Beiträge: 7805
#6 Ich denke das passt, aber poste trotzdem bitte noch ein aktuelles Hijackthis log.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
21.07.2008, 18:31
Ascot123
...neu hier

Themenstarter

Beiträge: 4
#7 Alles klar.
Ich lasse gerade mit Malewarebytes nen Langen Scan durchlaufen.
Wenn das fertig ist werde ich dir den Hijack Post schicken.

Ich danke dir schon mal fuer alles.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1