Kann keine Programme mehr starten und Konsole wahrscheinlich gelsöcht

#1 Hey,
ich habe ein Problem. Eben als ich am PC war war alles noch in Ordnung doch auf einmal hat er rumgespackt und habe ihn neu gestartet. Als ich mich in mein Profil einloggen wollte hat er die Programme wie AntiVir o.ä nicht mehr gestartet. Ich dachte es wäre ein Bug aber mein "Schwager" kennt sich mit sowas aus und meinte das es vielleicht ein Wurm wäre, wollte euch aber nach einem Rat fragen. Rundll32.exe wurde gelöscht, deswegen kann ich auch nix in der Systemsteuerung machen. Die cmd so wie die registery kann ich ncith mehr starten. Exe´n kann ich auch nicht mehr starten...dann kommt immer "öffnen mit...". Aus dem Grund kann ich auch kein Hijackthis FileLog posten.

Ich bitte euch um schnellstmögliche Hilfe.
Vielen Dank

mfg
chixz

#2 Hallo chixz

Versuche einen Onlinescan mit Bitdefender:
http://virus-protect.org/onlinescan.html

Eventuell im abgesicherten Modus.


Gruss Swiss

#3 Danke für deine Hilfe aber das Problem ist das ich nicht den Internet Explorer öffnen kann sondern nur Firefox. Bei "Panda" kann man einen Virenscan online machen aber ich muss dafür eig Plugin Installieren aber das geht nicht. Gibt es vielleich eine andere Lösung?

mfg
chixz

edit: die systemwiederherstellung kann ich auch leider nicht machen...

#4 Hallo chixz !
Das klingt ja gar nicht gut!
Probiere ob Du Hijackthis (Executable Version) einfach mal im normal-Modus umbenennst in z.B. Kickdas.com.Alternativ mal die Alte Version probieren (V1.99) Die wird noch mit weniger Systemabfragen (Signaturen) gestartet ( hat mir selbst schon mal geholfen)
Link 1.99.
http://www.win-tipps-tweaks.de/forum/downloads-16.html
Momentan fällt mir aber auch nichts Besseres ein !
Wir brauchen hier wenigstens ein Log.

#5 Dankesehr, das klingt zwar schön und gut aber mein Problem ist das ich plötzlich kein WinRar mehr habe und es auch nciht mehr insallieren kann, da uch keine Executablen dateien öffnen kann... hat vielleich noch einer eine lösung

mfg
chixz

#6 Die Exe Dateien kannst Du bestimmt nicht öffnen, weil die Einträge in der Registry durch die Schadware verändert worden sind (für die Dateizuordnungen).Probiere es umzubenennen in XYProgramm.com (und nicht mehrXYProgramm.exe)-Dann doppelclicken!-Hat schon bei einigen funktioniert.Es ist nur erstmal zur Überbrückung=Notlösung

#7 Danke das hat mir sehr geholfen das mit dem umbennen auch wenn es schon vorher erwähnt wurde und ich es nciht verstanden habe also ihr seid echt top und finde gut das ihr helft....soviel dazu

Der Hijackthis Log :

Logfile of HijackThis v1.99.1
Scan saved at 20:50:07, on 25.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\VMware\VMware Workstation\vmware-authd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\ich\Desktop\hijackthis_199\HijackThis.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Internet Security Class - {A75E294E-C047-4D29-B07E-37B792881BEF} - C:\WINDOWS\AutoUpdateWin31.dll
O2 - BHO: (no name) - {D00795DE-958B-4687-A5B7-CAB53F608658} - (no file)
O2 - BHO: (no name) - {E211D880-0505-4607-BE80-B46C6B5777E4} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [vmware-tray] C:\Programme\VMware\VMware Workstation\vmware-tray.exe
O4 - HKLM\..\Run: [VMware hqtray] "C:\Programme\VMware\VMware Workstation\hqtray.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /F "C:\WINDOWS\TEMP\E_S188.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Secure] C:\WINDOWS\WindowsUpdates.exe
O4 - HKLM\..\Run: [soundmix] C:\WINDOWS\system32\soundmix.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - Startup: Mobiola Video Studio.lnk = C:\Programme\Mobiola Video Studio\MobiolaStudio.exe
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxerdrv.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E45B1C7-9C75-4C49-A579-C5066105717F}: NameServer = 212.19.48.14
O17 - HKLM\System\CCS\Services\Tcpip\..\{F2467A10-7534-42A7-98C7-8B1DA472E93F}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0E45B1C7-9C75-4C49-A579-C5066105717F}: NameServer = 212.19.48.14
O17 - HKLM\System\CS2\Services\Tcpip\..\{0E45B1C7-9C75-4C49-A579-C5066105717F}: NameServer = 212.19.48.14
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe (file missing)
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: Steganos VPN Starter Service (SVPNStarter) - Unknown owner - C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: VMware Agent Service (ufad-ws60) - Unknown owner - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe" -d "C:\Programme\VMware\VMware Workstation\\" -s ufad-p2v.xml (file missing)
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe


Könnt mir ja vllt weiterhelfen

#8 ...und weil's so schön war, gleich nochmal das selbe mit Combofix probieren!!
...damit die Moderatoren einen Überblick vom "Urzustand" der Infizierung haben !

#9 Hallo chixz

mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: Internet Security Class - {A75E294E-C047-4D29-B07E-37B792881BEF} - C:\WINDOWS\AutoUpdateWin31.dll

O4 - HKLM\..\Run: [Secure] C:\WINDOWS\WindowsUpdates.exe

O4 - HKLM\..\Run: [soundmix] C:\WINDOWS\system32\soundmix.exe

O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\mssrv32.exe (file missing)

«
wende combofix an , warnmeldung wegklicken + poste hier den report (eventuell die combofix.exe umbenennen)
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Das ist er ^^


ComboFix 08-07-24.6 - ich 2008-07-25 22:52:23.1 - NTFSx86

ausgeführt von:: C:\Dokumente und Einstellungen\ich\Desktop\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ShoppingReport
C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ShoppingReport\cs\Config.xml
C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs
C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs
C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip
C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml
C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml
C:\Dokumente und Einstellungen\ich\Anwendungsdaten\ShoppingReport\cs\res1\WhiteList.dbs
C:\Dokumente und Einstellungen\ich\Anwendungsdaten\WeatherDPA
C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\ShoppingReport
C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\ShoppingReport\cs\Config.xml
C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs
C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs
C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip
C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml
C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml
C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\ShoppingReport\cs\res1\WhiteList.dbs
C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\ShoppingReport
C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\ShoppingReport\cs\Config.xml
C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs
C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs
C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip
C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml
C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml
C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\ShoppingReport\cs\res1\WhiteList.dbs
C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\WeatherDPA
C:\Programme\bifrost\server.exe
C:\Programme\ShoppingReport
C:\Programme\windows
C:\Programme\windows\klog.dat
C:\WINDOWS\ie.exe
C:\WINDOWS\system32\dllcache\zipexr.dll
C:\WINDOWS\system32\explorer.dll
C:\WINDOWS\system32\iexplore.exe
C:\WINDOWS\system32\moviemk.exe
C:\WINDOWS\system32\sysinfo.exe
C:\WINDOWS\system32\winhelp.exe
C:\WINDOWS\system32\wordpad.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MSUPDATE
-------\Legacy_NTNDIS
-------\Service_msupdate
-------\Service_ntndis


((((((((((((((((((((((( Dateien erstellt von 2008-06-25 bis 2008-07-25 ))))))))))))))))))))))))))))))
.

2008-07-25 20:48 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-07-25 20:47 . 2008-07-25 20:47 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2008-07-25 20:47 . 2008-07-25 20:47 <DIR> d-------- C:\Programme\Panda Security
2008-07-24 19:32 . 2008-07-24 19:32 <DIR> d-------- C:\Programme\thriXXX
2008-07-24 15:27 . 2008-07-24 15:27 11 --a------ C:\WINDOWS\system\DID.DRV
2008-07-24 15:27 . 2008-07-24 15:27 3 --a------ C:\WINDOWS\system\BBR.DRV
2008-07-20 23:32 . 2008-07-20 23:46 <DIR> d-------- C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\Desperate Housewives
2008-07-20 23:32 . 2008-07-20 23:32 <DIR> d-------- C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\Desperate Housewives
2008-07-20 23:32 . 2008-07-20 23:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Desperate Housewives
2008-07-20 23:32 . 2008-07-20 23:32 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-07-20 23:27 . 2008-07-20 23:27 <DIR> d-------- C:\Programme\Buena Vista Games
2008-07-20 23:26 . 2008-07-20 23:26 <DIR> d-------- C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\InstallShield
2008-07-20 23:26 . 2008-07-20 23:32 1,040 --a------ C:\WINDOWS\disney.ini
2008-07-20 23:26 . 2008-07-20 23:26 186 --a------ C:\WINDOWS\disneysy.ini
2008-07-20 21:53 . 2008-07-20 22:19 <DIR> d-------- C:\Dokumente und Einstellungen\steffi\OngameNetwork
2008-07-20 18:11 . 2008-07-20 18:12 <DIR> d-------- C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\Universal Boxing Manager
2008-07-20 18:06 . 2008-07-20 18:06 <DIR> d-------- C:\Programme\trend
2008-07-20 18:05 . 2008-07-20 18:06 <DIR> d-------- C:\WINDOWS\uninstall\Regina Halmichs Boxmanager
2008-07-20 18:05 . 2008-07-20 18:05 <DIR> d-------- C:\WINDOWS\uninstall
2008-07-20 18:05 . 2008-07-20 18:11 122 --a------ C:\WINDOWS\odbc_merge.INI
2008-07-20 18:03 . 2000-08-19 20:29 268,048 --a------ C:\WINDOWS\system32\dxtmeta2.dll
2008-07-20 17:50 . 2008-07-20 17:50 <DIR> d-------- C:\Programme\DAEMON Tools Lite
2008-07-20 16:35 . 2008-07-20 16:35 <DIR> d-------- C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\DAEMON Tools
2008-07-20 16:35 . 2008-07-20 16:36 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-07-18 16:52 . 2008-07-18 17:08 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logox.4.0
2008-07-18 16:52 . 2008-07-18 16:52 159,744 --a------ C:\WINDOWS\LgxSetup.exe
2008-07-17 17:17 . 2008-07-25 22:52 <DIR> d-------- C:\Programme\Bifrost
2008-07-16 14:25 . 2008-07-16 14:25 <DIR> d-------- C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\CyberLink
2008-07-14 19:34 . 2008-07-14 19:34 32,768 --a------ C:\WINDOWS\AutoUpdateWin33.exe
2008-07-13 20:16 . 2007-09-25 15:40 73,728 --a------ C:\WINDOWS\system32\PrxerDrv.dll
2008-07-13 20:16 . 2007-02-28 16:56 61,440 --a------ C:\WINDOWS\system32\PrxerNsp.dll
2008-07-11 16:59 . 2008-07-11 16:59 16 --a------ C:\WINDOWS\popcinfo.dat
2008-07-11 16:47 . 2008-07-11 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Zylom
2008-07-07 16:53 . 2008-07-07 16:53 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-07-07 16:52 . 2008-07-07 16:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2008-07-06 03:59 . 2008-07-06 04:07 <DIR> d-------- C:\Programme\VirtualDJ
2008-07-06 03:06 . 2008-07-06 03:06 <DIR> d-------- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Wireshark
2008-07-06 03:05 . 2008-07-06 03:05 <DIR> d-------- C:\Programme\WinPcap
2008-07-06 03:04 . 2008-07-06 03:05 <DIR> d-------- C:\Programme\Wireshark
2008-07-03 20:56 . 2008-07-03 20:56 <DIR> d-------- C:\Programme\LPS
2008-07-03 17:08 . 2008-07-03 17:08 <DIR> d-------- C:\Programme\Hex-Editor MX
2008-07-03 13:18 . 2008-07-03 12:52 1,503 --a------ C:\WINDOWS\system32\Paint.lnk
2008-07-01 20:25 . 2008-07-01 20:25 <DIR> d-------- C:\Dokumente und Einstellungen\ich\Anwendungsdaten\QIP
2008-07-01 17:43 . 2008-07-01 17:45 <DIR> d-------- C:\Programme\Mobiola Video Studio
2008-06-25 11:29 . 2008-06-25 11:29 <DIR> d-------- C:\Programme\AB-Tools.com

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-25 21:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\VMware
2008-07-25 20:59 51,159,840 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-07-25 20:59 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-25 20:58 --------- d-----w C:\Dokumente und Einstellungen\ich\Anwendungsdaten\VMware
2008-07-25 20:56 686,180 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-25 17:57 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\VMware
2008-07-24 21:06 --------- d-----w C:\Dokumente und Einstellungen\steffi\Anwendungsdaten\VMware
2008-07-24 13:15 --------- d-----w C:\Programme\Cain
2008-07-24 00:24 --------- d-----w C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\VMware
2008-07-20 21:27 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-19 14:36 --------- d-----w C:\Programme\ICQLite
2008-07-18 14:25 --------- d-----w C:\Programme\Steam
2008-07-11 14:47 --------- d-----w C:\Programme\Zylom Games
2008-07-03 19:00 --------- d-----w C:\Programme\QIP
2008-07-03 18:59 --------- d-----w C:\Programme\Advanced Port Scanner
2008-06-30 18:32 29,852 ----a-w C:\Dokumente und Einstellungen\ich\server.exe
2008-06-24 12:34 --------- d-----w C:\Programme\ICQ6Toolbar
2008-06-24 12:34 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-06-22 11:29 --------- d-----w C:\Programme\PhotoScape
2008-06-20 12:49 --------- d-----w C:\Programme\Lavalys
2008-06-20 12:18 --------- d-----w C:\Programme\epson
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-19 14:28 --------- d-----w C:\Programme\Illustrate
2008-06-19 14:27 --------- d-----w C:\Programme\Visual Basic 6.0 Runtime&Steuerelemente
2008-06-19 14:27 --------- d-----w C:\Programme\MIKSOFT
2008-06-19 14:26 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-06-19 14:26 290,816 ------w C:\WINDOWS\Setup1.exe
2008-06-15 13:49 737,280 ----a-w C:\WINDOWS\iun6002.exe
2008-06-15 13:49 --------- d-----w C:\Programme\Codec Pack - All In 1
2008-06-15 13:44 --------- d-----w C:\Programme\AviSynth 2.5
2008-06-15 13:44 --------- d-----w C:\Programme\AutoGK
2008-06-15 13:43 --------- d-----w C:\Programme\Gabest
2008-06-14 20:06 --------- d-----w C:\Dokumente und Einstellungen\rudiger\Anwendungsdaten\Winamp
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-13 12:32 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-06-10 16:56 --------- d-----w C:\Programme\AL-Software
2008-06-01 11:13 --------- d-----w C:\Dokumente und Einstellungen\ich\Anwendungsdaten\Ahead
2008-05-28 14:14 --------- d-----w C:\Programme\MEGLO
2008-05-23 19:01 1,486,997 ----a-w C:\WINDOWS\ICQ2.exe
2008-05-16 16:12 77,312 ----a-w C:\WINDOWS\dialupass.exe
2008-05-16 16:12 59,904 ----a-w C:\WINDOWS\mspass.exe
2008-05-16 16:12 52,736 ----a-w C:\WINDOWS\pspv.exe
2008-05-16 16:12 47,104 ----a-w C:\WINDOWS\mailpv.exe
2008-05-16 16:12 37,888 ----a-w C:\WINDOWS\netpass.exe
2008-05-09 21:58 245,760 ----a-w C:\WINDOWS\ICQ1.exe
2008-03-29 05:10 22,040 ----a-w C:\Dokumente und Einstellungen\ich\Anwendungsdaten\build.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" [2008-05-17 15:03 154880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 17:40 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2006-01-07 02:36 81920]
"vmware-tray"="C:\Programme\VMware\VMware Workstation\vmware-tray.exe" [2008-03-03 20:10 72240]
"VMware hqtray"="C:\Programme\VMware\VMware Workstation\hqtray.exe" [2008-03-03 20:10 55856]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 16:37 266497]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 01:06 487424]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 20:33 57344]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 12:15 3144800]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-07-07 16:52 185896]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"<NO NAME>"= 0

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= "C:\PROGRA~1\DVDREG~1\DVDShell.dll" [2004-10-09 16:18 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"SENTINEL"= snti386.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 12:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2008-02-21 20:36 57344 C:\Programme\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-01-28 12:43 2097488 C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2008-03-28 20:11 1271032 c:\Programme\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 02:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\FlashFXP\\FlashFXP.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Steam\\steamapps\\best_player_16\\counter-strike\\hl.exe"=
"C:\\Programme\\Steam\\steamapps\\best_player_16\\ricochet\\hl.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - PAVBOOT
.
Inhalt des "geplante Tasks" Ordners
"2008-07-25 21:00:02 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
"2008-07-25 13:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

Notify-WgaLogon - (no file)
MSConfigStartUp-ICQ - C:\Programme\ICQ6\ICQ.exe
MSConfigStartUp-SandboxieControl - C:\Programme\Sandboxie\SbieCtrl.exe


.
------- Zus„tzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://start.icq.com/
R0 -: HKCU-Main,SearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
R0 -: HKLM-Main,Start Page = hxxp://alice.aol.de
R1 -: HKCU-Internet Connection Wizard,ShellNext = iexplore
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
O8 -: Nach Microsoft E&xel exportieren - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O17 -: HKLM\CCS\Interface\{0E45B1C7-9C75-4C49-A579-C5066105717F}: NameServer = 212.19.48.14
O17 -: HKLM\CCS\Interface\{F2467A10-7534-42A7-98C7-8B1DA472E93F}: NameServer = 192.168.2.1


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-25 22:57:50
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="\??\C:\Programme\CyberLink\PowerDVD\000.fcl"
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Sony\SonicStage\SSAAD.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-25 23:12:23 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-07-25 21:12:02

Pre-Run: 699,867,136 Bytes frei
Post-Run: 788,770,816 Bytes frei

271 --- E O F --- 2008-07-13 18:21:04


Ich hab ihn zur sicherheit gepostet weil alles wieder okay ist ^^ Alles wieder TOP. Ich danke euch wirklich und ihr seid echt gut, nicht jeder macht sich die arbeit anderer zu helfen, schön zu wissen das es solche menschen noch gibt *TOP* Wie gesagt, falls ihr was entdeckt dann einfach in den threat schreiben

*respekt*

mfg
chixz

#11 Nein, warte erstmal was die Moderatoren sagen, es kommt häufig vor, dass bei vielen nur die Spitze des Eisberges entfernt wird.--ggf. bekommst Du noch einige Anweisungen ob da nochwas zu bereinigen ist!! Ansonsten kann es passieren, dass Du das Zeug bald wieder drauf hast!!

#12 Hallo chixz

Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\AutoUpdateWin33.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> HIER KOMPLETT kopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Da ist die auswertung...

http://www.virustotal.com/de/analisis/d98356800022db111b66984fb5a00995

mfg
chixz

#14 Hallo chixz

1.
lösche also: C:\WINDOWS\AutoUpdateWin33.exe
+
leere den Papierkorb

2.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"
__________
MfG Sabina

rund um die PC-Sicherheit