Virus Alert! Festplatten werden nicht mehr angezeigt....

Thema ist geschlossen!
Thema ist geschlossen!
#0
05.08.2008, 12:57
Member

Beiträge: 12
#1 Hallo,ich bin neu hier! Ich habe den Virus Alert eingefangen. Virus Alert steht neben der Uhr rechts. Die Popups und die Programme die sich automatisch installiert haben, habe ich wieder wegbekommen. Aber ich kann immer noch nicht auf meine Festplatten C und D zugreifen. Ausserdem kann ich weder den Taskmanager noch die Systemsteurung noch die Eingabeaufforderung benutzen. Es kommt dann immer: " wurde vom systemadministrator deaktiviert"

Wenn ich auf die Windows-Start Leiste drücke ist die Spalte Programme ebenfalls weg sowie noch ein paar andere Dinge. Naja ich hoffe ihr könnt mir ein bisschen helfen. Ich hab nen HiJackThis logfile gemacht den ich hier mal reinstelle.

Ich muss noch anmerken dass ich einige Programme wie Anti Mailware oder spybot sowie smitfraud nicht ausführen lassen kann. Keine Ahnung warum,die installprogramme werden einfach nicht geöffnet..... danke schonmal für eure hilfe.




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:53: VIRUS ALERT!, on 05.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Microsoft Windows OneCare Live\OcHealthMon.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe
C:\Programme\Microsoft Windows OneCare Live\winss.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Poker Heaven\poker.exe
C:\Programme\Poker Heaven\browserhost.exe
C:\Programme\Poker Heaven\poker.exe
C:\PROGRA~1\MOZILLA.ORG\SEAMON~1\SEAMON~1.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {72F1F4C5-FB59-4149-88A9-A2558DC75BF4} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {FBF85A20-FF88-4C46-90FB-B023E5C4ECA0} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: (no name) - {BE19C4CA-A1DB-4BDD-8CC0-EB2E37C7110A} - (no file)
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.09\RivaTuner.exe" /S
O4 - HKLM\..\Run: [OneCareUI] "C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE12\EXCEL.EXE/3000
O9 - Extra button: Bingo Day - {003E07C0-CA63-4be3-BD0A-A60B64102C97} - C:\Bingo\Bingo Day\casino.exe
O9 - Extra 'Tools' menuitem: Bingo Day - {003E07C0-CA63-4be3-BD0A-A60B64102C97} - C:\Bingo\Bingo Day\casino.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: hgGARJax - hgGARJax.dll (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

--
End of file - 10892 bytes
Seitenanfang Seitenende
05.08.2008, 13:38
Moderator

Beiträge: 5694
#2 Hallo acer66

>>
Lass folgende Dateien, falls diese Dir nicht bekannt sind bei www.virustotal.com/de prüfen und poste das Ergebniss:
C:\Programme\Poker Heaven\poker.exe
C:\Programme\Poker Heaven\browserhost.exe


>>
cleaner anwenden
http://www.virus-protect.org/CCleaner.html


>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h**p://search.bearshare.com/sidebar.html?src=ssb

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: (no name) - {72F1F4C5-FB59-4149-88A9-A2558DC75BF4} - (no file)

O2 - BHO: (no name) - {FBF85A20-FF88-4C46-90FB-B023E5C4ECA0} - (no file)

O3 - Toolbar: (no name) - {BE19C4CA-A1DB-4BDD-8CC0-EB2E37C7110A} - (no file)

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O20 - Winlogon Notify: hgGARJax - hgGARJax.dll (file missing
und wähle fix checked.

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
http://virus-protect.org/artikel/tools/malwarebytes.html


>>
Versuche Combofix anzuwenden - Warnmeldung wegklicken + poste den report
http://virus-protect.org/artikel/tools/combofix.html


Gruss Swiss
Seitenanfang Seitenende
05.08.2008, 15:24
Member

Themenstarter

Beiträge: 12
#3 Hallo Swiss! Die genannten Programme Poker Heaven sind mir bekannt.

Habe die o.g. Dateien gefixed.

Leider kann ich Malwarebytes nicht starten. Der Installer lässt sich nicht ausführen.

Combofix kann ich nicht downloaden. Hier mal ein neuer Logfile nach dem fixen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:22: VIRUS ALERT!, on 05.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Microsoft Windows OneCare Live\OcHealthMon.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe
C:\Programme\Microsoft Windows OneCare Live\winss.exe
C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\LVComsX.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\PROGRA~1\MOZILLA.ORG\SEAMON~1\SEAMON~1.EXE

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.09\RivaTuner.exe" /S
O4 - HKLM\..\Run: [OneCareUI] "C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) -
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab57213.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://signin3.valueactive.com/Register/Branding/olr3313/OCX/v1018/flashax.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

--
End of file - 9791 bytes
Seitenanfang Seitenende
05.08.2008, 16:23
Moderator

Beiträge: 5694
#4 acer66

Sieht schon besser aus.

>>
Verusche einen Onlinescan mit Bitdefender:
http://www.virus-protect.org/artikel/tools/bitdefender.html

>>
Dannach sdfix im abgesicherten Modus und poste das Log:
http://www.virus-protect.org/artikel/tools/sdfix.html

Gruss Swiss
Seitenanfang Seitenende
05.08.2008, 16:57
Member

Themenstarter

Beiträge: 12
#5 Hallo swiss das logfile vom sd fix


catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-05 16:49:32
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\vmdesched.sys]
@="driver"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\vmdesched.sys]
@="driver"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BTHPORT\Parameters\Keys\004005605654]
"001b526bc95e"=hex:52,b9,4f,82,fb,5c,48,1f,2d,28,a2,9c,08,5b,bb,3d
"0015b9145a0d"=hex:f6,51,62,d5,38,9f,cc,41,58,1c,6b,d9,0c,88,6d,76
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\clbdriver]
"type"=dword:00000001
"start"=dword:00000001
"imagepath"=str(2):"\??\globalroot\systemroot\system32\drivers\vmdesched.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:36,6d,6b,4a,50,52,f5,d6,4c,c2,8f,34,17,67,ce,b9,9d,46,ea,ea,3b,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,cf,2c,5a,07,75,70,6b,a4,6b,a8,21,58,31,6e,76,a3,11,..
"khjeh"=hex:be,d1,6a,b0,e4,e4,b4,cf,b8,33,99,9f,42,39,7c,2c,e9,f0,cf,a9,b8,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:7a,ca,09,a1,83,d7,5a,03,1c,6c,2e,26,47,07,6c,ef,61,31,f0,d8,35,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Minimal\vmdesched.sys]
@="driver"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\Network\vmdesched.sys]
@="driver"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\004005605654]
"001b526bc95e"=hex:52,b9,4f,82,fb,5c,48,1f,2d,28,a2,9c,08,5b,bb,3d
"0015b9145a0d"=hex:f6,51,62,d5,38,9f,cc,41,58,1c,6b,d9,0c,88,6d,76
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\clbdriver]
"type"=dword:00000001
"start"=dword:00000001
"imagepath"=str(2):"\??\globalroot\systemroot\system32\drivers\vmdesched.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:36,6d,6b,4a,50,52,f5,d6,4c,c2,8f,34,17,67,ce,b9,9d,46,ea,ea,3b,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,cf,2c,5a,07,75,70,6b,a4,6b,a8,21,58,31,6e,76,a3,11,..
"khjeh"=hex:be,d1,6a,b0,e4,e4,b4,cf,b8,33,99,9f,42,39,7c,2c,e9,f0,cf,a9,b8,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:7a,ca,09,a1,83,d7,5a,03,1c,6c,2e,26,47,07,6c,ef,61,31,f0,d8,35,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vmdesched.sys]
@="driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vmdesched.sys]
@="driver"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\004005605654]
"001b526bc95e"=hex:52,b9,4f,82,fb,5c,48,1f,2d,28,a2,9c,08,5b,bb,3d
"0015b9145a0d"=hex:f6,51,62,d5,38,9f,cc,41,58,1c,6b,d9,0c,88,6d,76
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\clbdriver]
"type"=dword:00000001
"start"=dword:00000001
"imagepath"=str(2):"\??\globalroot\systemroot\system32\drivers\vmdesched.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:36,6d,6b,4a,50,52,f5,d6,4c,c2,8f,34,17,67,ce,b9,9d,46,ea,ea,3b,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,cf,2c,5a,07,75,70,6b,a4,6b,a8,21,58,31,6e,76,a3,11,..
"khjeh"=hex:be,d1,6a,b0,e4,e4,b4,cf,b8,33,99,9f,42,39,7c,2c,e9,f0,cf,a9,b8,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:7a,ca,09,a1,83,d7,5a,03,1c,6c,2e,26,47,07,6c,ef,61,31,f0,d8,35,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\SafeBoot\Minimal\vmdesched.sys]
@="driver"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Control\SafeBoot\Network\vmdesched.sys]
@="driver"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\004005605654]
"001b526bc95e"=hex:52,b9,4f,82,fb,5c,48,1f,2d,28,a2,9c,08,5b,bb,3d
"0015b9145a0d"=hex:f6,51,62,d5,38,9f,cc,41,58,1c,6b,d9,0c,88,6d,76
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\clbdriver]
"type"=dword:00000001
"start"=dword:00000001
"imagepath"=str(2):"\??\globalroot\systemroot\system32\drivers\vmdesched.sys"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:36,6d,6b,4a,50,52,f5,d6,4c,c2,8f,34,17,67,ce,b9,9d,46,ea,ea,3b,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,cf,2c,5a,07,75,70,6b,a4,6b,a8,21,58,31,6e,76,a3,11,..
"khjeh"=hex:be,d1,6a,b0,e4,e4,b4,cf,b8,33,99,9f,42,39,7c,2c,e9,f0,cf,a9,b8,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:7a,ca,09,a1,83,d7,5a,03,1c,6c,2e,26,47,07,6c,ef,61,31,f0,d8,35,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\clbImageData]
"affid"="42"
"subid"="1"
"control"=hex:1a,00,15,13,07,11,18,1f,14,0a,49,09,4b,1a,09,50,11,e5,f5
"prov"="10010"
"googleadserver"="pagead2.googlesyndication.com"
"flagged"=dword:00000001

scanning hidden files ...

C:\WINDOWS\$hf_mig$\KB902400\SP2QFE\clbcatex.dll 110080 bytes executable
C:\WINDOWS\$hf_mig$\KB902400\SP2QFE\clbcatq.dll 498688 bytes executable
C:\WINDOWS\system32\clb.dll 11264 bytes executable
C:\WINDOWS\system32\clbcatex.dll 110080 bytes executable
C:\WINDOWS\system32\clbcatq.dll 498688 bytes executable
C:\WINDOWS\system32\cdosys.dll 34816 bytes executable
C:\WINDOWS\system32\clbinit.dll 7652 bytes
C:\WINDOWS\system32\dllcache\clb.dll 11264 bytes executable
C:\WINDOWS\system32\dllcache\clbcatex.dll 110080 bytes executable
C:\WINDOWS\system32\dllcache\clbcatq.dll 498688 bytes executable
C:\WINDOWS\system32\drivers\vmdesched.sys 10752 bytes executable
C:\WINDOWS\$NtUninstallKB902400$\clbcatex.dll 110080 bytes executable
C:\WINDOWS\$NtUninstallKB902400$\clbcatq.dll 501248 bytes executable

scan completed successfully
hidden processes: 0
hidden services: 1
hidden files: 13
Seitenanfang Seitenende
05.08.2008, 17:28
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Windows Installer: welche Version wird benutzt
Start>Ausfuehren tippe/Kopiere rein: msiexec OK
Und berichte
__________
MfG Argus
Seitenanfang Seitenende
05.08.2008, 17:41
Member

Themenstarter

Beiträge: 12
#7 So ich habe im abgesicherten Modus combo fix benutzen können. Und bin tierisch happy,weil jetzt der system alert weg ist und ich auf alles wieder zugriff habe ;)

Hier mal das log file:

ComboFix 08-08-04.06 - Administrator 2008-08-05 17:14:31.1 - NTFSx86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1234 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\AntiSpywareExpert
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\cccMlnpo.ini
C:\WINDOWS\system32\cccMlnpo.ini2
C:\WINDOWS\system32\clbdll.dll
C:\WINDOWS\system32\clbdll.old
C:\WINDOWS\system32\clbinit.dll
C:\WINDOWS\system32\drivers\clbdriver.sys
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\ohandrmg.ini
C:\WINDOWS\system32\pewcsfvf.ini
C:\WINDOWS\system32\WyxEdcdd.ini
C:\WINDOWS\system32\WyxEdcdd.ini2
C:\WINDOWS\system32\xhyslkgl.ini

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CLBDRIVER


((((((((((((((((((((((( Dateien erstellt von 2008-07-05 bis 2008-08-05 ))))))))))))))))))))))))))))))
.

2008-08-05 16:48 . 2008-08-05 13:27 <DIR> d-------- C:\SDFix
2008-08-05 16:30 . 2008-08-05 17:03 1,891 --a------ C:\WINDOWS\imsins.BAK
2008-08-05 13:17 . 2008-08-05 13:17 <DIR> d-------- C:\Programme\CCleaner
2008-08-05 11:52 . 2008-08-05 11:52 <DIR> d-------- C:\Programme\Trend Micro
2008-08-04 20:28 . 2008-08-04 20:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microgaming
2008-08-04 20:28 . 2008-08-04 20:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MGS
2008-08-04 20:27 . 2008-08-04 20:27 <DIR> d-------- C:\WINDOWS\system32\FlashAX
2008-08-04 20:27 . 2008-08-04 20:27 <DIR> d-------- C:\MicroGaming
2008-08-01 18:04 . 2008-08-01 18:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2008-08-01 18:00 . 2008-08-01 18:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-07-31 19:04 . 2008-07-31 19:04 <DIR> d-------- C:\Programme\Avira
2008-07-31 19:04 . 2008-07-31 19:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-31 17:05 . 2008-07-31 17:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-07-31 17:05 . 2008-07-31 17:05 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-07-31 17:05 . 2008-05-29 09:28 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-07-31 17:04 . 2008-07-31 17:05 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-07-31 17:00 . 2008-07-31 17:00 <DIR> d-------- C:\Programme\ClearProg
2008-07-31 14:56 . 2008-07-31 14:56 268 --ah----- C:\sqmdata19.sqm
2008-07-31 14:56 . 2008-07-31 14:56 244 --ah----- C:\sqmnoopt19.sqm
2008-07-31 14:45 . 2008-07-31 14:45 268 --ah----- C:\sqmdata18.sqm
2008-07-31 14:45 . 2008-07-31 14:45 244 --ah----- C:\sqmnoopt18.sqm
2008-07-31 14:39 . 2008-07-31 14:39 268 --ah----- C:\sqmdata17.sqm
2008-07-31 14:39 . 2008-07-31 14:39 244 --ah----- C:\sqmnoopt17.sqm
2008-07-31 14:24 . 2008-07-31 14:24 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-07-31 14:24 . 2008-07-31 14:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-07-31 14:21 . 2008-07-31 14:21 268 --ah----- C:\sqmdata16.sqm
2008-07-31 14:21 . 2008-07-31 14:21 244 --ah----- C:\sqmnoopt16.sqm
2008-07-31 14:07 . 2008-07-31 17:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-07-31 13:44 . 2008-07-31 13:44 <DIR> d-------- C:\!KillBox
2008-07-31 13:39 . 2008-07-31 13:41 <DIR> d-------- C:\Programme\RegCleaner
2008-07-31 13:15 . 2008-07-31 13:15 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
2008-07-31 12:52 . 2008-07-31 12:52 <DIR> d-------- C:\Programme\Enigma Software Group
2008-07-31 12:48 . 2008-07-31 12:48 268 --ah----- C:\sqmdata15.sqm
2008-07-31 12:48 . 2008-07-31 12:48 244 --ah----- C:\sqmnoopt15.sqm
2008-07-31 12:22 . 2008-07-31 12:22 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-07-31 12:22 . 2008-07-31 12:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-31 11:55 . 2008-07-31 11:55 268 --ah----- C:\sqmdata14.sqm
2008-07-31 11:55 . 2008-07-31 11:55 244 --ah----- C:\sqmnoopt14.sqm
2008-07-30 18:32 . 2008-07-30 18:32 268 --ah----- C:\sqmdata13.sqm
2008-07-30 18:32 . 2008-07-30 18:32 244 --ah----- C:\sqmnoopt13.sqm
2008-07-30 18:12 . 2008-07-30 18:12 268 --ah----- C:\sqmdata12.sqm
2008-07-30 18:12 . 2008-07-30 18:12 244 --ah----- C:\sqmnoopt12.sqm
2008-07-30 17:57 . 2008-08-01 17:56 3,282 --a------ C:\WINDOWS\system32\tmp.reg
2008-07-30 17:46 . 2008-07-30 17:46 268 --ah----- C:\sqmdata11.sqm
2008-07-30 17:46 . 2008-07-30 17:46 244 --ah----- C:\sqmnoopt11.sqm
2008-07-30 17:41 . 2008-07-30 17:41 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-07-30 17:38 . 2008-07-30 17:38 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-07-30 17:37 . 2008-07-30 17:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-07-30 17:37 . 2008-07-30 17:37 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-07-30 17:37 . 2008-07-30 17:37 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-07-30 17:37 . 2008-07-31 13:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-07-30 17:37 . 2008-07-30 17:41 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-07-30 17:32 . 2008-07-30 17:32 268 --ah----- C:\sqmdata10.sqm
2008-07-30 17:32 . 2008-07-30 17:32 244 --ah----- C:\sqmnoopt10.sqm
2008-07-30 14:08 . 2008-07-30 14:08 268 --ah----- C:\sqmdata09.sqm
2008-07-30 14:08 . 2008-07-30 14:08 244 --ah----- C:\sqmnoopt09.sqm
2008-07-30 13:49 . 2008-07-30 13:49 268 --ah----- C:\sqmdata08.sqm
2008-07-30 13:49 . 2008-07-30 13:49 244 --ah----- C:\sqmnoopt08.sqm
2008-07-30 13:40 . 2008-07-30 13:40 268 --ah----- C:\sqmdata07.sqm
2008-07-30 13:40 . 2008-07-30 13:40 244 --ah----- C:\sqmnoopt07.sqm
2008-07-30 13:34 . 2008-07-30 13:34 268 --ah----- C:\sqmdata06.sqm
2008-07-30 13:34 . 2008-07-30 13:34 244 --ah----- C:\sqmnoopt06.sqm
2008-07-30 13:29 . 2007-11-27 22:56 116,416 --a------ C:\WINDOWS\system32\drivers\msfwhlpr.sys
2008-07-30 13:29 . 2007-11-27 22:56 91,328 --a------ C:\WINDOWS\system32\drivers\msfwdrv.sys
2008-07-30 13:27 . 2008-07-30 13:27 <DIR> d-------- C:\WINDOWS\system32\bits
2008-07-30 13:27 . 2008-05-15 16:15 53,168 --a------ C:\WINDOWS\system32\drivers\MpFilter.sys
2008-07-30 13:26 . 2007-03-29 14:58 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx4.dll
2008-07-30 13:26 . 2007-03-29 14:58 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll
2008-07-30 13:22 . 2008-08-05 11:04 <DIR> d-------- C:\Programme\Microsoft Windows OneCare Live
2008-07-30 12:59 . 2008-07-30 12:59 268 --ah----- C:\sqmdata05.sqm
2008-07-30 12:59 . 2008-07-30 12:59 244 --ah----- C:\sqmnoopt05.sqm
2008-07-29 22:05 . 2008-07-29 22:05 268 --ah----- C:\sqmdata04.sqm
2008-07-29 22:05 . 2008-07-29 22:05 244 --ah----- C:\sqmnoopt04.sqm
2008-07-29 21:06 . 2008-07-29 21:06 268 --ah----- C:\sqmdata03.sqm
2008-07-29 21:06 . 2008-07-29 21:06 244 --ah----- C:\sqmnoopt03.sqm
2008-07-29 20:51 . 2008-07-29 20:51 268 --ah----- C:\sqmdata02.sqm
2008-07-29 20:51 . 2008-07-29 20:51 244 --ah----- C:\sqmnoopt02.sqm
2008-07-29 20:45 . 2004-08-04 14:00 4,224 --a------ C:\WINDOWS\system32\beep.sys
2008-07-25 09:23 . 2008-08-05 13:22 <DIR> d-------- C:\Bingo
2008-07-12 14:31 . 2008-07-26 12:37 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-12 14:31 . 2008-07-12 14:31 1,409 --a------ C:\WINDOWS\QTFont.for
2008-07-09 20:45 . 2008-07-09 20:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pixelStorm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-05 15:20 196,608 ----a-w C:\WINDOWS\system32\drivers\nStandard.bin
2008-08-05 09:38 --------- d-----w C:\Programme\Poker Heaven
2008-07-31 10:35 --------- d-----w C:\Programme\BearShare
2008-07-29 18:36 --------- d-----w C:\Programme\ICQToolbar
2008-06-24 14:15 --------- d-----w C:\Programme\StarOffice7
2008-06-21 17:19 --------- d-----w C:\Programme\SpeedFan
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-16 20:52 --------- d-----w C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-06-16 20:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-06-15 19:16 --------- d-----w C:\Programme\Windows Live Toolbar
2008-06-15 19:16 --------- d-----w C:\Programme\Windows Live Favorites
2008-06-15 19:15 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-06-15 19:15 --------- d-----w C:\Programme\Windows Live
2008-06-14 17:57 273,024 ----a-w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 11:33 17,480 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-06-14 11:33 --------- d-----w C:\Programme\Hamachi
2008-05-18 16:59 142,205 ----a-w C:\WINDOWS\SeaMonkeyUninstall.exe
2008-05-18 16:58 114,688 ----a-w C:\WINDOWS\GREUninstall.exe
2008-05-18 09:48 294,912 ----a-w C:\WINDOWS\HideWin.exe
2007-07-19 17:08 25,600 ----a-w C:\Dokumente und Einstellungen\Ralf Mai\usbsermptxp.sys
2007-07-19 17:08 22,768 ----a-w C:\Dokumente und Einstellungen\Ralf Mai\usbsermpt.sys
2004-10-01 13:00 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"LogitechSoftwareUpdate"="C:\Programme\Logitech\Video\ManifestEngine.exe" [2005-01-18 17:07 196608]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2005-06-02 16:03 1957888]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteControl"="C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 17:35 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-02-23 16:55 377856]
"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-10-08 11:52 221184]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2005-01-18 17:47 458752]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2005-01-18 17:37 217088]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-15 00:34 98304]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE" [2006-06-15 12:36 229376]
"RivaTunerStartupDaemon"="C:\Programme\RivaTuner v2.09\RivaTuner.exe" [2008-04-28 20:25 2707456]
"OneCareUI"="C:\Programme\Microsoft Windows OneCare Live\winssnotify.exe" [2008-06-25 06:48 67112]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"Logitech Utility"="Logi_MwX.Exe" [2003-11-07 11:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 14:00 110592 C:\WINDOWS\system32\bthprops.cpl]
"RTHDCPL"="RTHDCPL.EXE" [2005-08-18 16:20 14820864 C:\WINDOWS\RTHDCPL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 13:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= DivXa32.acm
"msacm.l3codec"= L3codecp.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\OneCareMP]
@="Service"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"C:\\Program Files\\Codemasters\\Operation Flashpoint\\FlashpointResistance.exe"=
"C:\Programme\Ubisoft\Crytek\Far Cry\Bin32\FarCry.exe"= C:\Programme\Ubisoft\Crytek\Far Cry\Bin32\FarCry.exe:192.168.0.2/255.255.255.255:Enabled:Far Cry
"C:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Dokumente und Einstellungen\\Ralf Mai\\Desktop\\utorrent.exe"=
"C:\\Dokumente und Einstellungen\\Ralf Mai\\Eigene Dateien\\Eigene Musik\\bearhare\\BearShare.exe"=
"D:\\Programme\\KONAMI\\Pro Evolution Soccer 6\\PES6.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Hamachi\\hamachi.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R2 OcHealthMon;Windows Live OneCare Health Monitor;C:\Programme\Microsoft Windows OneCare Live\OcHealthMon.exe [2008-06-25 06:47]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
R2 X4HSX32Ex;X4HSX32Ex;C:\Programme\Metaboli Player\X4HSX32Ex.Sys [2007-11-14 11:30]
R3 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\system32\drivers\asusgsb.sys [2007-09-13 15:54]
R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2007-09-13 15:54]
S3 oflpydin;oflpydin;C:\DOKUME~1\RALFMA~1\LOKALE~1\Temp\oflpydin.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-07-31 17:05]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

ShellExecuteHooks-{FBF85A20-FF88-4C46-90FB-B023E5C4ECA0} - (no file)


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Ralf Mai\Anwendungsdaten\Mozilla\Firefox\Profiles\2lipv07q.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.daemon-search.com/startpage


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-05 17:21:01
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Microsoft Windows OneCare Live\Antivirus\MsMpEng.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Microsoft Windows OneCare Live\Firewall\msfwsvc.exe
C:\Programme\Microsoft Windows OneCare Live\winss.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Logitech\MouseWare\system\EM_EXEC.EXE
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-05 17:24:42 - PC wurde neu gestartet [Ralf Mai]
ComboFix-quarantined-files.txt 2008-08-05 15:24:37

Pre-Run: 16 Verzeichnis(se), 22,820,663,296 Bytes frei
Post-Run: 19 Verzeichnis(se), 23,051,210,752 Bytes frei

251 --- E O F --- 2008-07-31 15:14:31




Hallo Arnold die Windows Installer Version ist: V3.01.4000.1823

Muss ich jetzt noch irgendwas beachten oder so? Vielen Dank an das Forum und speziell an Swiss!
Dieser Beitrag wurde am 05.08.2008 um 17:44 Uhr von acer66 editiert.
Seitenanfang Seitenende
05.08.2008, 17:56
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Swiss macht hier auch weiter ;)
__________
MfG Argus
Seitenanfang Seitenende
05.08.2008, 17:58
Member

Themenstarter

Beiträge: 12
#9 Da jetzt auch das Programm Anti-Malware funktioniert hab ich damit auch mal gescannt und 2 infizierte Dateien gelöscht hier das logfile:

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1027
Windows 5.1.2600 Service Pack 2

17:54:17 2008-08-05
mbam-log-8-5-2008 (17-54-10).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 41205
Laufzeit: 6 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\{65de966d-11d1-4bb1-bf7e-b8a273514daf} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\fdkowvbp.bxqw (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
Seitenanfang Seitenende
05.08.2008, 18:26
Moderator

Beiträge: 5694
#10 acer6

Bist du sicher das diese gelöscht wurden?

Zitat

-> No action taken.
Lass zur Sicherheit nochmals Malwarebytes im Normalmodus laufen, lass das gefundene dann löschen.

>>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

>>
Mach einen Onlinescan mit Fsecure und poste das Ergebnis:
http://virus-protect.org/onlinescan.html

gruss Swiss
Seitenanfang Seitenende
05.08.2008, 19:51
Member

Themenstarter

Beiträge: 12
#11 Ja sind sicher gelöscht. Hatt ich nachhinein gemacht.

combofix hab ich erfolgreich entfernt.

F- Secure lass ich gerade drüberlaufen...



Logfile vom F-Secure:


Scanning Report
Tuesday, August 05, 2008 19:40:24 - 21:04:48

Computer name: TSB-024575F9BB7
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\
Result: 9 malware found
Backdoor.Win32.Hupigon (virus)

* System

Backdoor.Win32.Hupigon.dckd (virus)

* C:\RECYCLER\S-1-5-21-1123561945-308236825-839522115-1004\DC11\SWSC.EXE (Renamed & Submitted)
* C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\SMITFRAUDFIX\SWSC.EXE

Hoax.Win32.Renos (virus)

* System

Hoax.Win32.Renos.vaoz (virus)

* C:\RECYCLER\S-1-5-21-1123561945-308236825-839522115-1004\DC11\IEDFIX.EXE (Submitted)
* C:\DOKUMENTE UND EINSTELLUNGEN\ADMINISTRATOR\DESKTOP\SMITFRAUDFIX\IEDFIX.EXE

RiskTool.Win32.Reboot (spyware)

* System

Rogue:W32/IeDefender.CT (spyware)

* System

Tracking Cookie (spyware)

* System

Statistics
Scanned:

* Files: 44478
* System: 4322
* Not scanned: 7

Actions:

* Disinfected: 0
* Renamed: 1
* Deleted: 0
* None: 8
* Submitted: 2

Files not scanned:

* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

Options
Scanning engines:

* F-Secure USS: 2.30.0
* F-Secure Blacklight: 1.0.68
* F-Secure Hydra: 2.8.8110, 2008-08-05
* F-Secure Pegasus: 1.20.0, 2008-04-15
* F-Secure AVP: 7.0.171, 2008-08-05

Scanning options:

* Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
* Use Advanced heuristics
Vorgang in Online Scanner abgeschlossen.
Malware gefunden (9) und der Computer wurde bereinigt.

Copyright © 1998-2007 Product support |Send virus sample to F-Secure
Dieser Beitrag wurde am 05.08.2008 um 21:08 Uhr von acer66 editiert.
Seitenanfang Seitenende
06.08.2008, 12:08
Moderator

Beiträge: 5694
#12 Acer66

Wende sdfix im abgesicherten Modus an und poste das Log:
http://virus-protect.org/artikel/tools/sdfix.html

Gruss Swiss
Seitenanfang Seitenende
07.08.2008, 14:07
Member

Themenstarter

Beiträge: 12
#13

Zitat

Tonstudio postete
Acer66

Wende sdfix im abgesicherten Modus an und poste das Log:
http://virus-protect.org/artikel/tools/sdfix.html

Gruss Swiss
Hi Swiss,hier mein logfile vom sdfix!


catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-07 14:00:28
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:36,6d,6b,4a,50,52,f5,d6,4c,c2,8f,34,17,67,ce,b9,9d,46,ea,ea,3b,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,cf,2c,5a,07,75,70,6b,a4,6b,a8,21,58,31,6e,76,a3,11,..
"khjeh"=hex:be,d1,6a,b0,e4,e4,b4,cf,b8,33,99,9f,42,39,7c,2c,e9,f0,cf,a9,b8,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:7a,ca,09,a1,83,d7,5a,03,1c,6c,2e,26,47,07,6c,ef,61,31,f0,d8,35,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\004005605654]
"001b526bc95e"=hex:52,b9,4f,82,fb,5c,48,1f,2d,28,a2,9c,08,5b,bb,3d
"0015b9145a0d"=hex:f6,51,62,d5,38,9f,cc,41,58,1c,6b,d9,0c,88,6d,76
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:36,6d,6b,4a,50,52,f5,d6,4c,c2,8f,34,17,67,ce,b9,9d,46,ea,ea,3b,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,cf,2c,5a,07,75,70,6b,a4,6b,a8,21,58,31,6e,76,a3,11,..
"khjeh"=hex:be,d1,6a,b0,e4,e4,b4,cf,b8,33,99,9f,42,39,7c,2c,e9,f0,cf,a9,b8,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:7a,ca,09,a1,83,d7,5a,03,1c,6c,2e,26,47,07,6c,ef,61,31,f0,d8,35,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\004005605654]
"001b526bc95e"=hex:52,b9,4f,82,fb,5c,48,1f,2d,28,a2,9c,08,5b,bb,3d
"0015b9145a0d"=hex:f6,51,62,d5,38,9f,cc,41,58,1c,6b,d9,0c,88,6d,76
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:36,6d,6b,4a,50,52,f5,d6,4c,c2,8f,34,17,67,ce,b9,9d,46,ea,ea,3b,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,cf,2c,5a,07,75,70,6b,a4,6b,a8,21,58,31,6e,76,a3,11,..
"khjeh"=hex:be,d1,6a,b0,e4,e4,b4,cf,b8,33,99,9f,42,39,7c,2c,e9,f0,cf,a9,b8,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:7a,ca,09,a1,83,d7,5a,03,1c,6c,2e,26,47,07,6c,ef,61,31,f0,d8,35,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\004005605654]
"001b526bc95e"=hex:52,b9,4f,82,fb,5c,48,1f,2d,28,a2,9c,08,5b,bb,3d
"0015b9145a0d"=hex:f6,51,62,d5,38,9f,cc,41,58,1c,6b,d9,0c,88,6d,76
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:36,6d,6b,4a,50,52,f5,d6,4c,c2,8f,34,17,67,ce,b9,9d,46,ea,ea,3b,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,cf,2c,5a,07,75,70,6b,a4,6b,a8,21,58,31,6e,76,a3,11,..
"khjeh"=hex:be,d1,6a,b0,e4,e4,b4,cf,b8,33,99,9f,42,39,7c,2c,e9,f0,cf,a9,b8,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:7a,ca,09,a1,83,d7,5a,03,1c,6c,2e,26,47,07,6c,ef,61,31,f0,d8,35,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Seitenanfang Seitenende
07.08.2008, 20:00
Moderator

Beiträge: 5694
#14 acer66

Java
Dein Java software ist veraltet,
Download Java Runtime Environment (JRE) 6u7 zum Desktop:
http://dl8-cdn-01.sun.com/s/ESD44/JSCDL/jdk/6u7/jre-6u7-windows-i586-p-s.exe?e=1218132059341&h=f19959793ccc0fda6839a10cbc789612/&filename=jre-6u7-windows-i586-p-s.exe

Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Die aeltere Versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Schliesse alle Programme auch dein Webbrowser
Installiere jetzt vom Desktop aus ---> jre-6u7-windows-i586-p-s.exe

Hast du noch Probleme?

Gruss Swiss
Seitenanfang Seitenende
07.08.2008, 20:31
Member

Themenstarter

Beiträge: 12
#15 Hi,das mit der Java hab ich erledigt! Ich habe keine Probleme mehr! Müsste ja alles wieder in Ordnung sein! Super!
Seitenanfang Seitenende