Desktop Hintergrund "Warning! Spyware detected on..." lässt sich nicht entfernen

#0
02.08.2008, 10:43
...neu hier

Beiträge: 2
#1 Hallo!

Ich habe seit gestern Nachmittag wie einige andere vor mir das Problem, dass mein Desktop Hintergrund jetzt blau ist mit dem typisch gelb-blauen Kästchen "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer."

Aktuelles AntiVir (freeware) und ZoneAlarm (freeware) waren installiert.

Es versuchten ab gestern dann 3 Programme auf das Internet zuzugreifen, was ich mit ZoneAlarm verhinderte:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cnifmlax\yjsfmtcd.exe


C:\WINDOWS\system32\kjelyfaf.exe


C:\WINDOWS\system32\lphcjhvj0eaee.exe

Alle 3 Dateien von 1.8.2008 um 16:38.

Habe den Luke Filewalker von Antivir laufen lassen, welcher dann zu einem kompletten Systemabsturz führte und einem Rechner, der immer wieder bootete, es nicht schaffte und es immer wieder neu versuchte.
Ganz ausschalten führte dann zum Booten, aber AntiVir hat dann gegen Ende des Bootens eine Datei bemängelt (MalWare, irgendwas mit vbs oder so), deren Zugriff verweigert, Windows hat dann das Fehlen der Datei bemängelt, das Booten dauert insgesamt lange und die Dateien versuchten wieder, auf das Internet zuzugreifen.

Habe dann in diesem schönen Forum gestöbert und den Cleaner so laufen lassen wie hier geschildert:
http://virus-protect.org/cleanup.html

HijackThis und datfindbat habe ich auch wie beschrieben laufen lassen.

Habe dann die 3 oben in den Bildern genannten Dateien auf einen Stick gesichert und dann von der Festplatte gelöscht.
Daraufhin beim Booten keine Antivir Fehlermeldung mehr, keine Windows Fehlermeldung, aber der Desktop Hintergrund ist noch da und das Booten erscheint mir immer noch langsamer. AntiVirs Luke Filewalker läuft durch, AdAware findet auch nichts kritisches, SpyHunter hilft auch nicht wirklich.

Jetzt meine Frage: Wie bekomme ich den Desktop Hintergrund wieder hin? Was ist sonst noch fehlerhaft?

Mit Eigenschaften-> Anzeige kann ich keinen anderen einstellen.
Hatte einen Hinweis im Forum gefunden:

gehe in die Registry
Start-->Ausfuehren--> regedit

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1\
FriendlyName" = "Warning homepage" <--loeschen
"Source" = "C:\WINDOWS\warnhp.html" <--loeschen

besitze aber das Verzeichnis 1 nicht und in meinem Verzeichnis 0 nicht die beiden Zeilen.

Mein HiJacklog und mein datfindbat log sehen so aus:

Logfile of HijackThis v1.99.1
Scan saved at 11:09:13, on 02.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Power Manager\PM.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
E:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://smartsurfer.web.de/client/redirect/?version=3.1.1
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1131133898218
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1131141627218
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {BF5F3A70-4ECD-446A-A4EE-68AE66C1CC79} (MoreUploadX) - http://www.photo-dose.de/Upload/PhotoDoseUploadX.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://ips.poi.de/ips-opdata/95434711/activex/IPSUploader.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: chkdb - {3F993984-D995-3A87-6DD4-016AF1FDF988} - C:\Programme\ytnfn\chkdb.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


datfindbat (Der Vorfall war m.E. am 1.8.2008 um 16:38)

Datentr„ger in Laufwerk C: ist N00618
Volumeseriennummer: 1CE5-BD18

Verzeichnis von c:\

02.08.2008 11:10 0 dirdat.txt
02.08.2008 11:02 467.914.752 hiberfil.sys
02.08.2008 11:02 704.643.072 pagefile.sys
19 Datei(en) 1.172.865.361 Bytes
0 Verzeichnis(se), 14.507.851.776 Bytes frei
Datentr„ger in Laufwerk C: ist N00618
Volumeseriennummer: 1CE5-BD18

Verzeichnis von C:\WINDOWS\system32

02.08.2008 11:04 1.158 wpa.dbl
02.08.2008 11:04 358.382 vsconfig.xml
01.08.2008 23:47 60.928 blphcjhvj0eaee.scr
01.08.2008 23:46 90.838 phcjhvj0eaee.bmp

2112 Datei(en) 478.292.894 Bytes
0 Verzeichnis(se), 14.507.843.584 Bytes frei
Datentr„ger in Laufwerk C: ist N00618
Volumeseriennummer: 1CE5-BD18

Verzeichnis von C:\WINDOWS

02.08.2008 11:04 0 0.log
02.08.2008 11:03 4.066 ModemLog_Motorola SM56 Data Fax

Modem.txt
02.08.2008 11:03 1.985.637 WindowsUpdate.log
02.08.2008 11:03 159 wiadebug.log
02.08.2008 11:03 50 wiaservc.log
02.08.2008 11:02 2.048 bootstat.dat
02.08.2008 11:01 32.634 SchedLgU.Txt
02.08.2008 11:01 131.106 setupapi.log
01.08.2008 23:21 12.862 EPISMG00.SWB
325 Datei(en) 34.719.996 Bytes
0 Verzeichnis(se), 14.507.851.776 Bytes frei
Datentr„ger in Laufwerk C: ist N00618
Volumeseriennummer: 1CE5-BD18

Verzeichnis von C:\DOKUME~1\BJRNFR~1\LOKALE~1\Temp

02.08.2008 11:09 173 jusched.log
1 Datei(en) 173 Bytes
0 Verzeichnis(se), 14.507.851.776 Bytes frei


Herzlichen Dank!!!
Dieser Beitrag wurde am 02.08.2008 um 11:18 Uhr von anti-spy editiert.
Seitenanfang Seitenende
02.08.2008, 11:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo anti-spy

«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programme\Enigma Software Group\SpyHunter\SpyHunter3.exe

O21 - SSODL: chkdb - {3F993984-D995-3A87-6DD4-016AF1FDF988} - C:\Programme\ytnfn\chkdb.dll
««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\WINDOWS\system32\lphcjhvj0eaee.exe
C:\WINDOWS\system32\kjelyfaf.exe
C:\WINDOWS\system32\blphcjhvj0eaee.scr
C:\WINDOWS\system32\phcjhvj0eaee.bmp
Folders to delete:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cnifmlax
C:\Programme\Enigma Software Group
C:\Programme\ytnfn
schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
Klicke: Execute
bestätige, dass der Rechner neu gestartet wird - klicke "yes"

««
wende smitfraudfix an - Option 1 , dann Option 2 (zur Reinigung)
http://virus-protect.org/artikel/tools/smitfrautfix.html
Der Hintergrund wird nun MS-Blau sein ;)

«
scanne mit Malwarebytes, lasse alles entfernen, was gefunden wird + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

«
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
02.08.2008, 16:45
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo Sabina

Herzlichen Dank für die schnelle und professionelle Hilfe!

Scheint alles wieder roger in Kambodscha zu sein.

Hier der Malwarebytes-report:

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1015
Windows 5.1.2600 Service Pack 2

15:57:35 02.08.2008
mbam-log-8-2-2008 (15-57-35).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 122396
Laufzeit: 1 hour(s), 36 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\uninstall (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\[Name]\Lokale Einstellungen\Temp\.tt15.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\[Name]\Desktop\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\[Name]\Desktop\explorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
------------------------------------------------------------------------------
Hier der combofix-report:

ComboFix 08-08-01.04 - [Name] 2008-08-02 16:04:36.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.160 [GMT 2:00]
ausgeführt von:: E:\anti spyware\combofix\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\lsprst7.dll
C:\WINDOWS\system32\ssprs.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-02 bis 2008-08-02 ))))))))))))))))))))))))))))))
.

2008-08-02 14:16 . 2008-08-02 14:16 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-02 14:16 . 2008-08-02 14:16 <DIR> d-------- C:\Dokumente und Einstellungen\[Name]Anwendungsdaten\Malwarebytes
2008-08-02 14:16 . 2008-08-02 14:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-02 14:16 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-02 14:16 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-02 13:39 . 2008-08-02 13:52 2,814 --a------ C:\WINDOWS\system32\tmp.reg
2008-08-02 01:32 . 2008-08-02 01:32 <DIR> d-------- C:\Programme\Lavasoft
2008-08-02 01:32 . 2008-08-02 01:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-02 01:31 . 2008-08-02 01:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-02 01:05 . 2008-08-02 01:05 <DIR> d-------- C:\Dokumente und Einstellungen\[Name]\Phone Browser
2008-08-02 01:05 . 2008-08-02 01:05 <DIR> d-------- C:\Dokumente und Einstellungen\[Name]\Phone Browser
2008-08-01 23:35 . 2008-08-01 23:35 <DIR> d-------- C:\Programme\CleanUp!
2008-07-16 17:14 . 2008-08-02 16:10 2,263,072 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-07-16 17:14 . 2008-08-02 13:47 26,876 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-16 17:10 . 2008-07-16 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-01 17:54 2,115,072 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2008-08-01 15:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-07-09 07:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe
2008-07-09 07:05 54,672 ----a-w C:\WINDOWS\system32\vsutil_loc0407.dll
2008-07-09 07:05 42,384 ----a-w C:\WINDOWS\zllsputility_loc0407.dll
2008-07-09 07:05 21,904 ----a-w C:\WINDOWS\system32\imsinstall_loc0407.dll
2008-07-09 07:05 17,808 ----a-w C:\WINDOWS\system32\imslsp_install_loc0407.dll
2008-07-09 07:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll
2008-06-29 10:28 --------- d-----w C:\Programme\Nokia
2008-06-29 08:40 --------- d-----w C:\Dokumente und Einstellungen\[Name]\Anwendungsdaten\PC Suite
2008-06-29 07:02 --------- d-----w C:\Dokumente und Einstellungen\[Name]\Anwendungsdaten\PC Suite
2008-06-29 07:02 --------- d-----w C:\Dokumente und Einstellungen\[Name]\Anwendungsdaten\Nokia Multimedia Player
2008-06-29 07:01 --------- d-----w C:\Dokumente und Einstellungen\[Name]\Anwendungsdaten\Nokia
2008-06-29 06:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2008-06-29 06:45 --------- d-----w C:\Programme\Gemeinsame Dateien\PCSuite
2008-06-29 06:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Nokia
2008-06-29 06:44 --------- d-----w C:\Programme\PC Connectivity Solution
2008-06-29 06:44 --------- d-----w C:\Programme\DIFX
2008-06-29 06:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-06-20 17:36 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-02 15:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-25 14:14 78,584 ----a-w C:\Dokumente und Einstellungen\[Name]\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-11 09:31 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-05-11 09:31 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-05-11 09:31 116,472 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-21 15:08 25,600 ----a-w C:\Dokumente und Einstellungen\[Name]\usbsermptxp.sys
2007-10-21 15:08 25,600 ----a-w C:\Dokumente und Einstellungen\[Name]\usbsermptxp.sys
2007-10-21 15:08 22,768 ----a-w C:\Dokumente und Einstellungen\[Name]\usbsermpt.sys
2007-10-21 15:08 22,768 ----a-w C:\Dokumente und Einstellungen\[Name]\usbsermpt.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-22 21:15 344064]
"PowerManager"="C:\Programme\Power Manager\PM.exe" [2005-08-19 09:11 163840]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 07:57 266497]
"EPSON Stylus DX4200 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE" [2005-03-07 21:00 98304]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 15:10 271360]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 09:05 919016]
"SoundMan"="SOUNDMAN.EXE" [2005-08-01 08:28 77824 C:\WINDOWS\SOUNDMAN.EXE]
"SMSERIAL"="sm56hlpr.exe" [2005-08-01 08:28 544768 C:\WINDOWS\sm56hlpr.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 10:17 1241088]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2005-11-11 09:53:13 49254]
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-09-29 12:15:47 110592]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-17 07:30]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-18 07:57]
R3 EKBfltr;ENE Keyboard Controller;C:\WINDOWS\system32\DRIVERS\EKBfltr.sys [2005-08-01 08:29]
S2 PIEUsb;Single Frame Film Scanner;C:\WINDOWS\system32\Drivers\usbscan.sys [2004-08-03 23:58]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
*Newly Created Service* - WINIO
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-Yahoo! Pager - C:\Programme\Yahoo!\Messenger\ypager.exe
HKLM-Explorer_Run-3BsbJR1jSF - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cnifmlax\yjsfmtcd.exe


.
------- Zusätzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = https://login.yahoo.com/config/mail?.intl=de
R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://smartsurfer.web.de/client/redirect/?version=3.1.1
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 -: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} - hxxp://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\IPSUploader.inf
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\IPSUploader.ocx

O16 -: {BF5F3A70-4ECD-446A-A4EE-68AE66C1CC79} - hxxp://www.photo-dose.de/Upload/PhotoDoseUploadX.cab
C:\WINDOWS\Downloaded Program Files\MoreUploadX.ocx

O16 -: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} - hxxp://ips.poi.de/ips-opdata/95434711/activex/IPSUploader.cab
C:\WINDOWS\Downloaded Program Files\IPSUploader.inf
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\Downloaded Program Files\IPSUploader.ocx


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-02 16:10:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-02 16:13:59
ComboFix-quarantined-files.txt 2008-08-02 14:13:52

Pre-Run: 19 Verzeichnis(se), 14,391,988,224 Bytes frei
Post-Run: 22 Verzeichnis(se), 15,011,028,992 Bytes frei

144 --- E O F --- 2008-07-11 06:24:22
Seitenanfang Seitenende
02.08.2008, 16:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 sehr chic ;)
ich finde auch nichts mehr, wenn es noch Probs geben sollte, melde dich.

p.s:
Registry:
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001 - in 0 ändern
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.08.2008, 21:51
...neu hier

Beiträge: 2
#5 Hallo, ich habe im Prinzip dasselbe Problem.
Bei mir hat das heute angefangen und bisher hat es auch noch keien direkten negativen Einflüsse gegeben.

Luke Filewalker hat mir bloß die Warnung vor mehreren Trofanern gegebn und eineige Dateien als gefährlich eingestuft. Die habe ich gelöscht, aber habe keine Probleme mit dem Start von Windows bekommen.
Das einzige ist, dass ichdiesen Hintergrund nicht ändern kann, weil mir die Systemsteuerung keine Möglichkeit gibt auf das Hintergundbild und den screensaver zuzugreifen.
Habe antivir laufen lassen udn jetzt Hijackthis, kann nur mit der Auswertung von HiJackThis nix anfangen:

der Logfile sieht so aus:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:50:52, on 17.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\RunDll32.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\j2re1.4.2_05\bin\jucheck.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\PROGRA~1\iLinc\Client77\bin\llpush.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\lphcjvkj0eef9.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\mozilla.org\Mozilla\Mozilla.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\PROGRA~1\MI3AA1~1\wcescomm.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\MLT1100\sp532.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\Macromed\Shockwave 10\PostUpdate.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\cidaemon.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.111.10:3128;http=192.168.111.10:3128;https=192.168.111.10:3128;socks=192.168.111.10:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NI.UERSU_9999_N91S2009] "C:\Dokumente und Einstellungen\Chef\Desktop\ErrorSafeGermanNewReleaseInstall.exe" -nag
O4 - HKLM\..\Run: [ScheduleSync.Siemens.SmartSync.5.2.exe] C:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LLPush] C:\PROGRA~1\iLinc\Client77\bin\llpush.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [lphcjvkj0eef9] C:\WINDOWS\system32\lphcjvkj0eef9.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\mozilla.org\Mozilla\Mozilla.exe" -turbo
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MI3AA1~1\wcescomm.exe"
O4 - HKCU\..\RunOnce: [SWHelper] "C:\WINDOWS\system32\Macromed\Shockwave 10\PostUpdate.exe" 1011016
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: MLT PageWorks Pro 1100 Drucker-Tools.lnk = C:\Programme\MLT1100\sp532.exe
O4 - Global Startup: raid_tool.exe.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O4 - Global Startup: TK-Suite Client.lnk = ?
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://192.168.111.10:3128/ken2000.html
O15 - Trusted Zone: http://*.netucate.net
O16 - DPF: {03A89EFD-E023-7700-A22D-45F77558EB4C} (ILINCInstall77 Class) - https://cs2.netucate.net/Campus/download/ilinci77.dll
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://www.midasplayer.com/midasa.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136931549671
O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 10957 bytes

Ich hoffe, dass mir irgendjemand helfen kann.

Gruss
Andreas
Seitenanfang Seitenende
17.08.2008, 23:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo herrbaer

1.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

O4 - HKLM\..\Run: [NI.UERSU_9999_N91S2009] "C:\Dokumente und Einstellungen\Chef\Desktop\ErrorSafeGermanNewReleaseInstall.exe" -nag

O4 - HKLM\..\Run: [LLPush] C:\PROGRA~1\iLinc\Client77\bin\llpush.exe

O4 - HKLM\..\Run: [lphcjvkj0eef9] C:\WINDOWS\system32\lphcjvkj0eef9.exe

O14 - IERESET.INF: START_PAGE_URL=http://192.168.111.10:3128/ken2000.html

O15 - Trusted Zone: http://*.netucate.net

O16 - DPF: {03A89EFD-E023-7700-A22D-45F77558EB4C} (ILINCInstall77 Class) - https://cs2.netucate.net/Campus/download/ilinci77.dll

O16 - DPF: {BD11A280-2E73-11CF-B6CF-00AA00A74DAE} - file://C:\Info_sex4.cab

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

setze nur ein Häkchen in: "Automatically disable any rootkits found"
Das Häkchen "Scan for Rootkits" sollte angehakt sein.

kopiere in das weisse Feld:

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Chef\Desktop\ErrorSafeGermanNewReleaseInstall.exe
C:\WINDOWS\system32\lphcjvkj0eef9.exe
C:\WINDOWS\system32\ntos.exe
Folders to delete:
C:\WINDOWS\system32\wsnpoem
schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
Klicke: Execute
bestätige, dass der Rechner neu gestartet wird - klicke "yes"

3.
sdfix
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag

4.
lade combofix, Warnmeldung wegklicken + poste den report
http://virus-protect.org/artikel/tools/combofix.html

--------

wir werden diese Verseuchung hier abarbeiten , falls du sensible Daten auf dem rechner hast - formatiere sofort , nicht reinigen + ändere alle Passworte
http://virus-protect.org/artikel/spyware/wsnpoem-remove.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.08.2008, 00:49
...neu hier

Beiträge: 2
#7 Super!
Danke!
Das sieht ja wieder so aus wie vorher.

Erstmal die reports:

SDFix:


SDFix: Version 1.216
Run by Chef on 18.08.2008 at 00:29

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File
Restoring Default Desktop Wallpaper

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\SYSTEM32\PHCJVK~1.BMP - Deleted
C:\DOKUME~1\Chef\LOKALE~1\Temp\.tt10.tmp - Deleted
C:\DOKUME~1\Chef\LOKALE~1\Temp\.tt3.tmp - Deleted
C:\DOKUME~1\Chef\LOKALE~1\Temp\.tt9.tmp - Deleted
C:\WINDOWS\system32\a.exe - Deleted



Folder C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.redtube.com - Removed


Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-18 00:35:37
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s0"=dword:e611f802
"s1"=dword:3749f635
"s2"=dword:2fe14b57
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:fe,71,bc,a5,db,32,b7,f1,b4,1c,3a,9a,d0,30,34,17,4f,4e,a9,db,f5,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:fe,71,bc,a5,db,32,b7,f1,b4,1c,3a,9a,d0,30,34,17,4f,4e,a9,db,f5,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:fe,71,bc,a5,db,32,b7,f1,b4,1c,3a,9a,d0,30,34,17,4f,4e,a9,db,f5,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\KEN!\\kentbcli.exe"="C:\\Programme\\KEN!\\kentbcli.exe:*:Enabled:kentbcli"
"C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"="C:\\Programme\\Yahoo!\\Messenger\\YPager.exe:*:Enabled:Yahoo! Messenger"
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Programme\\ViaVoice\\Bin\\engine.exe"="C:\\Programme\\ViaVoice\\Bin\\engine.exe:*:Enabled:IBM ViaVoice © Speech Recognition"
"C:\\Programme\\Microsoft Office\\Office10\\WINWORD.EXE"="C:\\Programme\\Microsoft Office\\Office10\\WINWORD.EXE:*:Enabled:Microsoft Word"
"C:\\Programme\\linguatec\\Fachvokabularverwaltung Recht\\Bin\\vo_pe.exe"="C:\\Programme\\linguatec\\Fachvokabularverwaltung Recht\\Bin\\vo_pe.exe:*:Enabled:Fachvokabularverwaltung"
"C:\\Programme\\ViaVoice\\Bin\\speechbar.exe"="C:\\Programme\\ViaVoice\\Bin\\speechbar.exe:*:Enabled:speechbar"
"C:\\Programme\\ViaVoice\\Bin\\smart.exe"="C:\\Programme\\ViaVoice\\Bin\\smart.exe:*:Enabled:smart"
"C:\\Programme\\ViaVoice\\Bin\\navcentral.exe"="C:\\Programme\\ViaVoice\\Bin\\navcentral.exe:*:Enabled:navcentral"
"C:\\Programme\\ViaVoice\\Bin\\userwiz.exe"="C:\\Programme\\ViaVoice\\Bin\\userwiz.exe:*:Enabled:userwiz"
"C:\\Programme\\ViaVoice\\Bin\\ewiz.exe"="C:\\Programme\\ViaVoice\\Bin\\ewiz.exe:*:Enabled:ewiz"
"C:\\Programme\\ViaVoice\\Bin\\recowizard.exe"="C:\\Programme\\ViaVoice\\Bin\\recowizard.exe:*:Enabled:recowizard"
"C:\\Programme\\ViaVoice\\Bin\\options.exe"="C:\\Programme\\ViaVoice\\Bin\\options.exe:*:Enabled:options"
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"="C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client"
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"
"C:\\Programme\\BitZip\\bitzip.exe"="C:\\Programme\\BitZip\\bitzip.exe:*:Enabled:bitzip"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe"="C:\\Programme\\Microsoft ActiveSync\\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager"
"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"="C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager"
"C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"="C:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 12 Mar 2006 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"

Finished!



Hier der report von combofix:
ComboFix 08-08-17.03 - Chef 2008-08-18 0:42:55.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.199 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Chef\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\2U9S7WNY\www.inter-focus.cn
C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.inter-focus.cn
C:\Dokumente und Einstellungen\Chef\UserData
C:\Dokumente und Einstellungen\Chef\UserData\1JJVTP8E\oWindowsUpdate[1].xml
C:\Dokumente und Einstellungen\Chef\UserData\FEOFJTWT\exeITSJSNsess[1].xml
C:\Dokumente und Einstellungen\Chef\UserData\index.dat
C:\Dokumente und Einstellungen\Chef\UserData\QDXMN6T0\exeITSJSNsess[1].xml

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-17 bis 2008-08-17 ))))))))))))))))))))))))))))))
.

2008-08-18 00:28 . 2008-08-18 00:28 578,560 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-08-18 00:25 . 2008-08-18 00:25 <DIR> d-------- C:\WINDOWS\ERUNT
2008-08-17 23:06 . 2008-08-17 23:06 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-08-17 22:48 . 2008-08-17 22:49 <DIR> d-------- C:\Programme\CleanUp!
2008-08-17 21:40 . 2008-08-17 21:40 <DIR> d-------- C:\Programme\Trend Micro
2008-08-17 20:43 . 2008-08-17 20:43 <DIR> d-------- C:\Programme\SpywareBlaster
2008-08-17 20:43 . 2008-08-17 20:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-15 21:15 . 2008-08-18 00:38 <DIR> d-------- C:\SDFix
2008-07-29 19:23 . 2008-07-29 19:23 <DIR> d-------- C:\Programme\Apple Software Update
2008-07-22 14:33 . 2008-08-18 00:39 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-22 14:33 . 2008-07-22 14:33 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-17 22:39 --------- d-----w C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\OpenOffice.org2
2008-08-17 18:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-07-11 23:25 --------- d-----w C:\Programme\Schmerzensgeld CD
2007-10-30 19:29 2,293,712 ----a-w C:\Programme\FLV PlayerFCSetup.exe
2002-07-22 10:05 557,328 ----a-w C:\Programme\Gemeinsame Dateien\dao360.dll
2001-11-22 13:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-10-06 15:16 49152]
"Mozilla Quick Launch"="C:\Programme\mozilla.org\Mozilla\Mozilla.exe" [2004-06-16 11:18 100752]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:58 1667584]
"Yahoo! Pager"="C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" [2007-06-07 14:08 4670968]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-04-01 18:35 3587120]
"H/PC Connection Agent"="C:\PROGRA~1\MI3AA1~1\wcescomm.exe" [2006-06-21 01:00 1211176]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SWHelper"="C:\WINDOWS\system32\Macromed\Shockwave 10\PostUpdate.exe" [2007-12-14 16:14 53248]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-10-06 15:16 5058560]
"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 12:50 155648]
"EM_EXEC"="C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2002-07-01 10:50 28672]
"KEN Taskbar Client"="C:\Programme\KEN!\kentbcli.exe" [2005-03-07 14:32 167936]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe" [2004-06-03 23:05 32881]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-02-23 21:17 180269]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]
"ScheduleSync.Siemens.SmartSync.5.2.exe"="C:\Programme\Mobile Phone Manager\SmartSync\ScheduleSync.exe" [2004-08-27 14:17 45056]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 11:09 63712]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-02-01 00:13 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 14:10 267048]
"nwiz"="nwiz.exe" [2003-10-06 15:16 741376 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\Chef\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 15:41:28 393216]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Dienst-Manager.lnk - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 17:23:32 74308]
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2004-01-27 15:15:53 169472]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]
MLT PageWorks Pro 1100 Drucker-Tools.lnk - C:\Programme\MLT1100\sp532.exe [2005-06-30 18:36:45 1048576]
raid_tool.exe.lnk - C:\Programme\VIA\RAID\raid_tool.exe [2004-01-26 16:45:11 561152]
TK-Suite Client.lnk - C:\Programme\AGFEO\Tk-Suite-Basic\tools\ctimon.exe [2005-06-29 14:24:12 1515520]
WinZip Quick Pick.lnk - C:\Programme\WinZip\WZQKPICK.EXE [2004-07-26 00:43:04 118784]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\KEN!\\kentbcli.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\ViaVoice\\Bin\\engine.exe"=
"C:\\Programme\\Microsoft Office\\Office10\\WINWORD.EXE"=
"C:\\Programme\\linguatec\\Fachvokabularverwaltung Recht\\Bin\\vo_pe.exe"=
"C:\\Programme\\ViaVoice\\Bin\\speechbar.exe"=
"C:\\Programme\\ViaVoice\\Bin\\smart.exe"=
"C:\\Programme\\ViaVoice\\Bin\\navcentral.exe"=
"C:\\Programme\\ViaVoice\\Bin\\userwiz.exe"=
"C:\\Programme\\ViaVoice\\Bin\\ewiz.exe"=
"C:\\Programme\\ViaVoice\\Bin\\recowizard.exe"=
"C:\\Programme\\ViaVoice\\Bin\\options.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5100:TCP"= 5100:TCP:yahoo webcam
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-01-21 18:11]
R0 viasraid;viasraid;C:\WINDOWS\system32\DRIVERS\viasraid.sys [2003-08-05 08:14]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-05-09 13:15]
R2 KEN Client Service;AVM KEN Klient;C:\Programme\KEN!\KENCLI.EXE [2005-03-07 14:28]
R2 ndc;AVM KEN CAPI;C:\WINDOWS\system32\Drivers\ndc.sys [2002-08-21 05:58]
S3 siusbmod;siusbmod;C:\WINDOWS\system32\DRIVERS\siusbmod.sys [2004-07-08 11:40]

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-08-15 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-updateMgr - C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
HKLM-Run-NI.UERSU_9999_N91S2009 - C:\Dokumente und Einstellungen\Chef\Desktop\ErrorSafeGermanNewReleaseInstall.exe
HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Chef\Anwendungsdaten\Mozilla\Firefox\Profiles\5ct37dcu.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://192.168.111.10:3128/ken2000.html


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-18 00:45:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-18 0:47:54
ComboFix-quarantined-files.txt 2008-08-17 22:47:11

Pre-Run: 29 Verzeichnis(se), 51,231,748,096 Bytes frei
Post-Run: 32 Verzeichnis(se), 51,532,627,968 Bytes frei

141


Man...ich könnte vor lauter Freude hier Blumensträuße verschicken.

danke für die schnelle und verständliche professiopnelle Hilfe!

Gruß
Herrbaer
Seitenanfang Seitenende
18.08.2008, 10:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo herrbaer

1.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

2.
entferne auch alles vom Avenger

3.
C:\SDFix\backups - löschen

4..
scanne mit Malwarebytes (Tiefenscan im abgesicherten Modus) ´poste hier den report
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.08.2008, 10:22
...neu hier

Beiträge: 2
#9 Hi, ich hab am Laptop meiner Freundin auch das Problem und hab ihr versprochen mich drum zu kümmern. Leider hab ich keine ahnung was ich mit Hijackthis löschen muss, wär super wenn ihr mir auch helfen könntet.

Hier die Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:43:06, on 20.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Launch Manager\LaunchAp.exe
C:\Programme\Launch Manager\HotkeyApp.exe
C:\Programme\Launch Manager\OSD.exe
C:\Programme\Launch Manager\Wbutton.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Gemeinsame Dateien\AOL\1177098581\ee\AOLSoftware.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\lphc78kj0endv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Launchy\Launchy.exe
C:\Programme\Olympus\DeviceDetector\DM1Service.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
D:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.live.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aldi-sued.de/fotoservice/index.html
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: MSN Toolbar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Programme\MSN\Toolbar\3.0.0311.0\msneshellx.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: MSN Toolbar - {1E61ED7C-7CB8-49d6-B9E9-AB4C880C8414} - C:\Programme\MSN\Toolbar\3.0.0311.0\msneshellx.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LaunchAp] "C:\Programme\Launch Manager\LaunchAp.exe"
O4 - HKLM\..\Run: [HotkeyApp] "C:\Programme\Launch Manager\HotkeyApp.exe"
O4 - HKLM\..\Run: [CtrlVol] "C:\Programme\Launch Manager\CtrlVol.exe"
O4 - HKLM\..\Run: [LMgrOSD] "C:\Programme\Launch Manager\OSD.exe"
O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /F "C:\WINDOWS\TEMP\E_S81.tmp" /EF "HKLM"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1177098581\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [lphc78kj0endv] C:\WINDOWS\system32\lphc78kj0endv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [DW6] "C:\Programme\The Weather Channel FW\Desktop\DesktopWeather.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Device Detector 3.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Directrec Configuration Tool.lnk = C:\Programme\Olympus\DeviceDetector\DirectrecConfig.exe
O4 - Global Startup: Launchy.lnk = C:\Programme\Launchy\Launchy.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152203635296
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CDF3798-2738-401D-B84F-0D79938A07B9}: NameServer = 192.168.66.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{1CDF3798-2738-401D-B84F-0D79938A07B9}: NameServer = 192.168.66.254
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: DM1Service - OLYMPUS IMAGING CORP. - C:\Programme\Olympus\DeviceDetector\DM1Service.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Desktop Manager 5.6.711.24354 (GoogleDesktopManager-112407-114954) - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 12229 bytes
Seitenanfang Seitenende
20.08.2008, 12:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Hallo Domian

1.
wende cleaner an + lösche alle temporären Dateien
http://www.ccleaner.de/?protecus.de

2.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der als zu "fixen" (löschen) empfohlen wurde) - keine anderen !!
und wähle fix checked.

Zitat

O4 - HKLM\..\Run: [lphc78kj0endv] C:\WINDOWS\system32\lphc78kj0endv.exe
3.
lösche:
C:\WINDOWS\system32\lphc78kj0endv.exe

4.
scanne mit Malwarebytes, lasse alles löschen, was gefunden wird
http://virus-protect.org/artikel/tools/malwarebytes.html

5.
wende combofix an + poste den report hier
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
20.08.2008, 15:41
...neu hier

Beiträge: 2
#11 Super, danke, danke, danke! Läuft scheinbar alles wieder virenfrei.

Leider hat sich die Festplatte an meinem PC scheinbar für immer verabschiedet, deshalb hatts leider sehr lange gedauert.

Hier noch die Logfile von combofix:

ComboFix 08-08-18.05 - Sonnie 2008-08-20 15:14:42.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.116 [GMT 2:00]
ausgeführt von:: F:\Sonnie special\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\UserData
C:\Dokumente und Einstellungen\Administrator\UserData\index.dat
C:\Dokumente und Einstellungen\Administrator\UserData\UDQ34ZID\oWindowsUpdate[1].xml
C:\Dokumente und Einstellungen\Default User\UserData
C:\Dokumente und Einstellungen\Default User\UserData\index.dat
C:\Dokumente und Einstellungen\Default User\UserData\UDQ34ZID\oWindowsUpdate[1].xml
C:\Dokumente und Einstellungen\Sonnie\UserData
C:\Dokumente und Einstellungen\Sonnie\UserData\index.dat
C:\Dokumente und Einstellungen\Sonnie\UserData\UDQ34ZID\oWindowsUpdate[1].xml
C:\WINDOWS\system32\config\systemprofile\UserData
C:\WINDOWS\system32\config\systemprofile\UserData\index.dat
C:\WINDOWS\system32\config\systemprofile\UserData\UDQ34ZID\oWindowsUpdate[1].xml

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-20 bis 2008-08-20 ))))))))))))))))))))))))))))))
.

2008-08-20 13:22 . 2008-08-20 13:22 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-20 13:22 . 2008-08-20 13:22 <DIR> d-------- C:\Dokumente und Einstellungen\Sonnie\Anwendungsdaten\Malwarebytes
2008-08-20 13:22 . 2008-08-20 13:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-20 13:22 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-20 13:22 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-20 12:59 . 2008-08-20 12:59 <DIR> d-------- C:\Programme\CCleaner
2008-08-20 11:54 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-08-20 11:53 . 2008-08-20 11:53 <DIR> d-------- C:\Programme\Panda Security
2008-08-13 23:54 . 2008-05-01 16:30 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-04 20:15 . 2008-08-04 20:15 <DIR> d-------- C:\My Videos
2008-07-21 12:16 . 2008-07-21 12:16 <DIR> d-------- C:\Programme\Microsoft Silverlight

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-20 13:12 --------- d-----w C:\Dokumente und Einstellungen\Sonnie\Anwendungsdaten\Launchy
2008-08-19 21:21 --------- d-----w C:\Programme\Trillian
2008-08-19 20:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-07-24 20:48 --------- d-----w C:\Programme\BitTorrent
2008-07-12 21:36 --------- d-----w C:\Programme\Java
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 672,768 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 16:54 --------- d-----w C:\Programme\ABBYY FineReader 6.0 Sprint
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 15:05 70,376 ----a-w C:\Dokumente und Einstellungen\Sonnie\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-09-13 10:49 0 ----a-w C:\Dokumente und Einstellungen\Sonnie\Anwendungsdaten\wklnhst.dat
2006-07-07 07:13 8 --sh--r C:\WINDOWS\system32\B63ACF7CE3.sys
2006-07-07 07:13 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-24 14:00 15360]
"AOLMIcon"="C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe" [2006-05-16 13:46 699392]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-05-09 15:58 94208]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-07 21:38 68856]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2007-09-12 19:33 2560000]
"DW6"="C:\Programme\The Weather Channel FW\Desktop\DesktopWeather.exe" [2008-06-10 16:18 785520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 13:34 64512]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-07-19 11:09 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-07-19 11:06 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-07-19 11:10 114688]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 14:42 70952]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
"LaunchAp"="C:\Programme\Launch Manager\LaunchAp.exe" [2005-07-25 13:36 32768]
"HotkeyApp"="C:\Programme\Launch Manager\HotkeyApp.exe" [2006-07-17 10:48 65536]
"CtrlVol"="C:\Programme\Launch Manager\CtrlVol.exe" [2003-09-16 14:28 20480]
"LMgrOSD"="C:\Programme\Launch Manager\OSD.exe" [2005-03-16 13:52 204800]
"Wbutton"="C:\Programme\Launch Manager\Wbutton.exe" [2006-07-10 19:02 86016]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-07-14 14:06 798810]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 23:06 266497]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-28 23:20 6731312]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1177098581\ee\AOLSoftware.exe" [2006-11-17 15:16 50736]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-11-14 23:43 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-11-15 13:11 267048]
"Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-07-11 20:13 29744]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-07-11 20:51 185896]
"SkyTel"="SkyTel.EXE" [2006-05-16 18:04 2879488 C:\WINDOWS\SkyTel.exe]
"SMSERIAL"="sm56hlpr.exe" [2005-09-16 21:01 557056 C:\WINDOWS\sm56hlpr.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-07-06 21:00 16251904 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"msacm.mpegacm"= mpegacm.acm
"msacm.ulmp3acm"= ulmp3acm.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\AOL 9.0\\AOL.exe"=
"C:\\Programme\\AOL 9.0\\WAOL.exe"=
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe"=
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\NetMeeting\\Conf.exe"=
"C:\\Programme\\InterVideo\\DVD7\\WinDVD.exe"=
"C:\\Programme\\InterVideo\\MediaOne Gallery\\mediaone.exe"=
"C:\\Dokumente und Einstellungen\\Sonnie\\Eigene Dateien\\Miranda IM\\miranda32.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\1177098581\\ee\\aolsoftware.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Dokumente und Einstellungen\\Sonnie\\Eigene Dateien\\Miranda IM Sonnie\\miranda32.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\WS_FTP\\WS_FTP95.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8371:TCP"= 8371:TCP:Client Tcp Port
"8371:UDP"= 8371:UDP:Client Udp Port

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 17:24]
R1 Hotkey;Hotkey;C:\WINDOWS\system32\drivers\Hotkey.sys [2003-04-28 11:27]
S1 Wbutton;Wbutton;C:\WINDOWS\system32\drivers\Wbutton.sys []
S3 GoogleDesktopManager-112407-114954;Google Desktop Manager 5.6.711.24354;C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe [2007-07-11 20:13]
S3 PinnacleMicroTV;Pinnacle Systems MicroTV Device;C:\WINDOWS\system32\DRIVERS\MicroTV.sys [2006-04-19 10:57]
S3 uxddrv;Dynamically loaded UxdDrv;e:\Diagnose\Wstpro\uxddrv.sys []
.
Inhalt des "geplante Tasks" Ordners

2007-08-04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2007-08-29 14:57]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

WebBrowser-{604BC32A-9680-40D1-9AC6-E06B23A1BA4C} - (no file)
HKCU-Run-DW4 - (no file)
HKLM-Run-NWEReboot - (no file)


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Sonnie\Anwendungsdaten\Mozilla\Firefox\Profiles\gf10tzhy.default\
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npbittorrent.dll
FF -: plugin - C:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-20 15:22:58
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Olympus\DeviceDetector\DM1Service.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
C:\Programme\Launchy\Launchy.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-20 15:33:16 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-20 13:33:02

Pre-Run: 5,126,701,056 Bytes frei
Post-Run: 7,344,574,464 Bytes frei

193 --- E O F --- 2008-08-13 22:03:51
Seitenanfang Seitenende
20.08.2008, 19:12
...neu hier

Beiträge: 5
#12 Hallo!
Habe dasselbe Problem wie meine Vorredner!
Blauer Hintergrund mit dem Gelb-Blauen Kästchen und dem Hinweis "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer."

Ich weiß ehrlichgesagt GAR NICHT was zu tun ist, ich denke mal das ihr so ein Hijack-Log-Dings-Da braucht ?!?!?

Danke schonmal vielmals im Vorraus!!!

HIER DAS HIJACK LOGFILE:

Code

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 7:52:43 μμ, on 20/8/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\lphc72nj0evb1.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\SAGEM\CONN-X SAGEM Fast 800\dslmon.exe
C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.netscape.com/home/winsearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.in.gr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.netscape.com/home/winsearch200.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.netscape.com/keyword/%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Συνδέσεις
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [lphc72nj0evb1] C:\WINDOWS\system32\lphc72nj0evb1.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} (AxisMediaControl Class) - http://62.174.220.115/activex/AMC.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://www.hellascams.gr/activex2120_243/AxisCamControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2FBC977-E668-4584-A58B-4F6F830A4ED0}: NameServer = 195.170.0.1 195.170.2.2
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 6284 bytes
Und was muss ich jetzt tun?!? :-)
Danke nochmals!!!
Seitenanfang Seitenende
21.08.2008, 00:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Hallo Domian

ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

wenn es noch Probleme gibt - melde dich
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.08.2008, 00:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Hallo Andrikos

««
wende cleaner an + lösche alle temporären Dateien
http://www.ccleaner.de/?protecus.de

««
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Συνδέσεις -> fixe das nur, falls du nicht weisst, was es ist.... - für mich ist es "Griechisch"

O4 - HKLM\..\Run: [lphc72nj0evb1] C:\WINDOWS\system32\lphc72nj0evb1.exe
««
scanne mit Malwarebytes, lasse alles löschen, was gefunden wird
http://virus-protect.org/artikel/tools/malwarebytes.html

««
wende combofix an + poste den report hier
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.08.2008, 15:34
...neu hier

Beiträge: 5
#15 Hallo Sabina,

danke für die schnelle Hilfe...
Hab alles ausgeführt, wie oben beschrieben, wahrscheinlich muss ich nun combofix entfernen mit "ausführen" combofix/U oder?

HIER DER COMBOFIX REPORT:

Code

ComboFix 08-08-19.06 - STAYROS 2008-08-21 16:15:36.1 - [color=red][b]FAT32[/b][/color]x86
Microsoft Windows XP Professional  5.1.2600.2.1253.1.1032.18.478 [GMT 3:00]
Running from: C:\Documents and Settings\STAYROS\Επιφάνεια εργασίας\ComboFix.exe
* Created a new restore point

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\STAYROS\Επιφάνεια εργασίας\files.exe
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\system32\mdm.exe

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_sysrest.sys


(((((((((((((((((((((((((   Files Created from 2008-07-21 to 2008-08-21  )))))))))))))))))))))))))))))))
.

2008-08-21 16:17 . 2008-08-21 16:17    1,104    --a------    C:\WINDOWS\system32\history.aaw
2008-08-20 19:17 . 2008-08-20 19:17    <DIR>    d--------    C:\Program Files\Trend Micro
2008-08-20 18:57 . 2008-08-20 18:57    <DIR>    d--------    C:\Program Files\Malwarebytes' Anti-Malware
2008-08-20 18:57 . 2008-08-20 18:58    <DIR>    d--------    C:\Documents and Settings\STAYROS\Application Data\Malwarebytes
2008-08-20 18:57 . 2008-08-20 18:57    <DIR>    d--------    C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-08-20 18:57 . 2008-08-17 15:01    38,472    --a------    C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-20 18:57 . 2008-08-17 15:01    17,144    --a------    C:\WINDOWS\system32\drivers\mbam.sys
2008-08-20 18:55 . 2008-08-20 18:55    1,463,521    --a------    C:\SDFix.exe
2008-08-19 19:43 . 2008-08-19 19:43    <DIR>    d--------    C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-08-19 19:30 . 2008-08-19 19:30    <DIR>    d--------    C:\Program Files\Anti-Spy.Info
2008-08-19 19:30 . 2008-08-19 19:30    <DIR>    d--------    C:\Documents and Settings\All Users\Application Data\AntiSpyInfo
2008-08-15 21:55 . 2008-08-15 21:56    <DIR>    d--------    C:\Documents and Settings\STAYROS\Application Data\DivX
2008-08-15 14:57 . 2008-07-23 19:50    43,528    ---------    C:\WINDOWS\system32\drivers\PxHelp20.sys
2008-08-15 14:57 . 2008-07-23 19:50    9,336    ---------    C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-08-15 14:56 . 2008-08-15 14:56    <DIR>    d--------    C:\Program Files\DivX
2008-07-25 11:36 . 2008-07-25 11:36    524,288    --a------    C:\WINDOWS\system32\DivXsm.exe
2008-07-25 11:36 . 2008-07-25 11:36    4,816    --a------    C:\WINDOWS\system32\divxsm.tlb
2008-07-23 19:50 . 2008-07-23 19:50    3,596,288    --a------    C:\WINDOWS\system32\qt-dx331.dll
2008-07-23 19:48 . 2008-07-23 19:48    1,044,480    --a------    C:\WINDOWS\system32\libdivx.dll
2008-07-23 19:48 . 2008-07-23 19:48    200,704    --a------    C:\WINDOWS\system32\ssldivx.dll
2008-07-23 19:47 . 2008-07-23 19:47    634,880    --a------    C:\WINDOWS\system32\divxdec.ax
2008-07-23 19:47 . 2008-07-23 19:47    352,401    --a------    C:\WINDOWS\system32\DivXMedia.ax
2008-07-23 19:47 . 2008-07-23 19:47    416    --a------    C:\WINDOWS\system32\dtu100.dll.manifest
2008-07-23 19:47 . 2008-07-23 19:47    416    --a------    C:\WINDOWS\system32\dpl100.dll.manifest
2008-07-23 19:46 . 2008-07-23 19:46    12,288    --a------    C:\WINDOWS\system32\DivXWMPExtType.dll

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-23 16:50    9,464    ------w    C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-07-23 16:50    129,784    ------w    C:\WINDOWS\system32\pxafs.dll
2008-07-23 16:50    120,056    ------w    C:\WINDOWS\system32\pxcpyi64.exe
2008-07-23 16:50    118,520    ------w    C:\WINDOWS\system32\pxinsi64.exe
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LDM"="C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-03-19 23:35 67128]
"NVIEW"="nview.dll" [2003-01-23 11:27 823365 C:\WINDOWS\system32\nview.dll]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Advanced Tools Check"="C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE" [2002-08-26 22:35 79480]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb12.exe" [2005-03-08 07:42 176128]
"HP Software Update"="C:\Program Files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2008-04-23 23:07 579584]
"QuickTime Task"="C:\Program Files\QuickTime\qttask.exe" [2006-04-09 22:50 77824]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03 36975]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-09-04 03:45 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [2007-10-24 16:03 219136]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.UYVY"= vvlcodec.dll
"VIDC.YUY2"= vvlcodec.dll
"VIDC.JPEG"= JPEGCODE.DLL
"VIDC.MPEG"= JPEGCODE.DLL

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders    msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Προγράμματα^Εκκίνηση^Adobe Gamma Loader.exe.lnk]
path=C:\Documents and Settings\All Users\Start Menu\Προγράμματα\Εκκίνηση\Adobe Gamma Loader.exe.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2006-04-09 22:50 77824 C:\Program Files\QuickTime\qttask.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Program Files\\Hewlett-Packard\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Program Files\\Grisoft\\AVG Free\\avginet.exe"=
"C:\\Program Files\\Grisoft\\AVG Free\\avgamsvr.exe"=
"C:\\Program Files\\Grisoft\\AVG Free\\avgcc.exe"=
"C:\\Program Files\\Grisoft\\AVG Free\\avgemc.exe"=
"C:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Program Files\\ICQLite\\ICQLite.exe"=

R2 A4SII300;A4SII300;C:\WINDOWS\system32\drivers\A4SII300.SYS [1998-02-26 15:10]
R3 e4usbaw;USB ADSL2 WAN Adapter;C:\WINDOWS\system32\DRIVERS\e4usbaw.sys [2006-05-04 18:50]
S2 IKANLOADER2;General Purpose USB Driver (e4ldr.sys);C:\WINDOWS\system32\Drivers\e4ldr.sys [2006-03-02 19:25]
S3 PIXMCV;JVC Communication PIX-MCV Driver;C:\WINDOWS\system32\Drivers\pixmcvc.sys [2002-09-28 08:08]
S3 PIXMCVA;JVC PIX-MCV Audio Capture;C:\WINDOWS\system32\Drivers\pixmcva.sys [2002-10-03 22:53]
S3 PIXMCVV;JVC PIX-MCV Video Capture;C:\WINDOWS\system32\Drivers\pixmcvv.sys [2002-11-28 04:16]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c3d13ec0-6241-11dc-84e1-ce2108718b75}]
\Shell\Auto\command - F:\bittorrent.exe e
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bittorrent.exe e
.
Contents of the 'Scheduled Tasks' folder

2006-01-21 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Program Files\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 02:29]
.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-Instant Access - EGACCESS4_1064.dll


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\STAYROS\Application Data\Mozilla\Firefox\Profiles\ac5wkiuo.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-21 16:19:12
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\SAGEM\CONN-X SAGEM Fast 800\dslmon.exe
C:\Program Files\Common Files\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
.
**************************************************************************
.
Completion time: 2008-08-21 16:20:49 - machine was rebooted
ComboFix-quarantined-files.txt  2008-08-21 13:20:48

Pre-Run: 16 Κατάλογοι 14,265,122,816 διαθέσιμα byte
Post-Run: 23 ‰˜«αΆ¦š¦  14,393,737,216 › ˜Ÿβ© £˜ byte

159
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: