Trojaner, TR/CryptX

#1 Hallo erstmal !

Ich habe ein riesengrosses Problem und bitte um Hilfe ...
Beim entpacken einer Win.rar-Datei (PC-SPIEL), habe ich mir den Trojaner
TR/Crypt.XPACK.Gen eingefangen.
Mein AntiVir findet ihn, kann ihn aber nich löschen.
Immer wenn ich es probiere, taucht er wieder neu auf...
Ich hab das Gefühl das er mir die Fesplatte völlig zerschrottet.
Wenn ich die Startleiste aufrufe, zeigt er mir keine Programme, keinen Arbeitsplatz und auch keine Systemsteuerung an.
Ich komme auch nicht mehr in den Taskmanager rein.
Bin total deprimiert und würde mich sehr freuen, wenn mir jemand helfen könnte ...

Gruss Nils

Hier der log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:44: VIRUS ALERT!, on 06.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Dokumente und Einstellungen\°\Desktop\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Antivirus 2008\Antivirus-2008.exe
C:\Programme\VAV\vav.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\as2008xp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Opera\opera.exe
C:\Dokumente und Einstellungen\°\Desktop\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = //softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
O2 - BHO: (no name) - {1163CEEB-7C80-4F41-BD2B-A8653949421F} - C:\WINDOWS\system32\vtUooNEV.dll (file missing)
O2 - BHO: ColorUtility module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\services\services.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: {a6bb7c80-aebe-a069-e6c4-9c18017f1a78} - {87a1f710-81c9-4c6e-960a-ebea08c7bb6a} - C:\WINDOWS\system32\ogzsib.dll
O2 - BHO: (no name) - {9F1CD7D2-D4BD-4241-9331-68C1C64DB723} - C:\WINDOWS\system32\awtqrppq.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: QXK Olive - {DBEF65C0-913F-49C4-82FD-7EB478B30FB5} - C:\WINDOWS\wnlmdakqsrg.dll
O3 - Toolbar: CleanMyPC Toolbar - {04164EC4-1E48-4279-818E-3721931E7636} - C:\Programme\CleanMyPC Popup Blocker\CleanBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: bgrqfetx - {0448CEDF-E4D9-49B6-A3CF-1D7AA90C0177} - C:\WINDOWS\bgrqfetx.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
O4 - HKLM\..\Run: [ypops] C:\Programme\Mypops\ypops.exe
O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Dokumente und Einstellungen\°\Desktop\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [BM23fc9641] Rundll32.exe "C:\WINDOWS\system32\uhkqkwro.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [Antivirus-2008.exe] C:\Programme\Antivirus 2008\Antivirus-2008.exe
O4 - HKCU\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - HKCU\..\Run: [s9201] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\as2008xp.exe" /autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: vtUooNEV - vtUooNEV.dll (file missing)
O21 - SSODL: tfnslopk - {42A5CF46-9886-4FAA-93E0-A41910C9E744} - C:\WINDOWS\tfnslopk.dll
O21 - SSODL: xokvrpwg - {52B5164C-31EE-4642-8E45-B6994AB13F8F} - C:\WINDOWS\xokvrpwg.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 5667 bytes

#2 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ://softwarereferral./jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: (no name) - {1163CEEB-7C80-4F41-BD2B-A8653949421F} - C:\WINDOWS\system32\vtUooNEV.dll (file missing)

O2 - BHO: ColorUtility module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\services\services.dll

O2 - BHO: {a6bb7c80-aebe-a069-e6c4-9c18017f1a78} - {87a1f710-81c9-4c6e-960a-ebea08c7bb6a} - C:\WINDOWS\system32\ogzsib.dll

O2 - BHO: (no name) - {9F1CD7D2-D4BD-4241-9331-68C1C64DB723} - C:\WINDOWS\system32\awtqrppq.dll (file missing)

O2 - BHO: QXK Olive - {DBEF65C0-913F-49C4-82FD-7EB478B30FB5} - C:\WINDOWS\wnlmdakqsrg.dll

O3 - Toolbar: bgrqfetx - {0448CEDF-E4D9-49B6-A3CF-1D7AA90C0177} - C:\WINDOWS\bgrqfetx.dll

O4 - HKLM\..\Run: [ypops] C:\Programme\Mypops\ypops.exe

O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe

O4 - HKLM\..\Run: [BM23fc9641] Rundll32.exe "C:\WINDOWS\system32\uhkqkwro.dll",s

O4 - HKCU\..\Run: [Antivirus-2008.exe] C:\Programme\Antivirus 2008\Antivirus-2008.exe

O4 - HKCU\..\Run: [Antivirus] C:\Programme\VAV\vav.exe

O4 - HKCU\..\Run: [s9201] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\as2008xp.exe" /autorun

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O20 - Winlogon Notify: vtUooNEV - vtUooNEV.dll (file missing)

O21 - SSODL: tfnslopk - {42A5CF46-9886-4FAA-93E0-A41910C9E744} - C:\WINDOWS\tfnslopk.dll

O21 - SSODL: xokvrpwg - {52B5164C-31EE-4642-8E45-B6994AB13F8F} - C:\WINDOWS\xokvrpwg.dll

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Malwarebytes Anti-Malware
Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”> "Schnell Scan durchfuehren" .
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Nehme als Update Spiegel >>It-mate.co.uk
Malwarebytes Anti-Malware kann man nachher behalten !

ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !

zusammen mit ein neuen log von HijackThis
__________
MfG Argus

#3 Hi !
Erstma ein herzliches Dankeschön, für die schnelle Hilfe!

Hier ist der Scanbericht von Maylwarebytes :

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1012
Windows 5.1.2600 Service Pack 2

17:36:21 06.08.2008
mbam-log-8-6-2008 (17-36-21).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 36881
Laufzeit: 9 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 20
Infizierte Verzeichnisse: 5
Infizierte Dateien: 41

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\xokvrpwg.dll (Trojan.Zlob) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\colorutility.colorutility (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\colorutility.colorutility.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{8b8df25f-2c47-4473-8e1c-7f54ac7ef481} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\VAV (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\antivirus 2008 (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm23fc9641 (Trojan.Agent) -> Delete on reboot.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2) Good: (http://www.google.com/) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (55274-641-2096227-23574) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispAppearancePage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\PCHealthCenter (Trojan.Fakealert) -> Quarantined and deleted successfully.
C:\Programme\Antivirus 2008 (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\Programme\Antivirus 2008\Infected (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\Programme\Antivirus 2008\Suspicious (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\Programme\VAV (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully.

Infizierte Dateien:



und hier der Combofix log:

ComboFix 08-08-06.04 - ° 2008-08-06 17:46:27.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.70 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\°\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\°\Startmenü\Programme\Antivirus 2008
C:\Dokumente und Einstellungen\°\Startmenü\Programme\Antivirus 2008\Antivirus-2008.lnk
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\as2008xp.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080805215118237.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080805220249150.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080805222431189.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080805225819856.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080806010449404.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080806034027636.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080806165744164.log
C:\WINDOWS\bgrqfetx.dll
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\ecwrfhbl.ini
C:\WINDOWS\system32\qpprqtwa.ini
C:\WINDOWS\system32\qpprqtwa.ini2
C:\WINDOWS\tfnslopk.dll
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-06 bis 2008-08-06 ))))))))))))))))))))))))))))))
.

2008-08-06 17:23 . 2008-08-06 17:23 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-06 17:23 . 2008-08-06 17:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-06 17:23 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-06 17:23 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-05 22:41 . 2008-08-05 22:41 <DIR> d-------- C:\Programme\Trend Micro
2008-08-05 22:40 . 2008-08-05 22:40 <DIR> d-------- C:\Programme\Unlocker
2008-08-05 22:10 . 2008-08-05 22:10 <DIR> d-------- C:\Programme\Avira
2008-08-05 22:10 . 2008-08-05 22:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-05 21:54 . 2008-08-05 21:54 1,103,796 --a------ C:\Run.exe
2008-08-05 21:50 . 2008-08-06 17:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\services
2008-08-05 21:47 . 2008-08-06 18:13 86,016 --a------ C:\WINDOWS\lnvegaow.exe
2008-08-05 19:38 . 2008-08-05 19:38 <DIR> d-------- C:\Programme\VID_0E8F&PID_0012
2008-08-05 19:38 . 2008-08-05 19:38 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-08-05 01:01 . 2008-08-05 01:01 <DIR> d-------- C:\Programme\Mypops
2008-08-05 00:16 . 2008-08-05 00:16 <DIR> d-------- C:\Programme\DNA
2008-08-05 00:16 . 2008-08-05 00:16 <DIR> d-------- C:\Programme\BitTorrent
2008-08-04 23:51 . 2008-08-04 23:51 <DIR> d-------- C:\Programme\UseNeXT
2008-08-04 22:31 . 2004-08-04 00:57 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-08-04 04:43 . 2008-08-04 04:43 <DIR> d-------- C:\Program Files
2008-08-04 04:43 . 2006-08-17 02:46 139,264 --a------ C:\WINDOWS\NeoUninstall.exe
2008-08-04 04:43 . 2008-08-04 04:43 26 --a------ C:\WINDOWS\neosetup.INI
2008-08-04 04:33 . 2008-08-04 04:33 <DIR> d-------- C:\MI2SAVES
2008-08-04 04:33 . 2008-08-04 04:33 512 --a------ C:\IFACDMI2.CFG
2008-08-04 04:25 . 2008-08-04 04:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-08-04 04:11 . 2008-08-04 04:11 <DIR> d-------- C:\MONKEYIS
2008-08-04 04:11 . 2008-08-04 04:11 512 --a------ C:\IFACDDMO.CFG
2008-08-04 02:20 . 2008-08-04 02:20 <DIR> d-------- C:\Programme\CleanMyPC Popup Blocker
2008-08-04 01:05 . 2008-08-04 01:05 <DIR> d-------- C:\Programme\Netscape
2008-08-04 00:51 . 2006-12-15 03:09 49,265 --a------ C:\WINDOWS\system32\jpicpl32.cpl
2008-08-03 23:57 . 2008-08-03 23:57 40 --a------ C:\WINDOWS\system32\d3d9prs.dat
2008-08-03 23:56 . 2008-08-03 23:56 <DIR> d-------- C:\Programme\GrandBilliards
2008-08-03 23:56 . 2008-08-03 23:56 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-08-03 23:01 . 2008-08-04 02:48 <DIR> d-------- C:\Programme\Java
2008-08-03 22:19 . 2008-08-03 22:19 1,495,112 --a------ C:\Programme\install_flash_player.exe
2008-08-03 21:18 . 2008-08-03 21:18 <DIR> d-------- C:\WINDOWS\Sun
2008-08-03 21:17 . 2008-08-03 21:17 7,333,664 --a------ C:\Programme\Firefox Setup 3.0.1.exe
2008-08-03 21:17 . 2008-08-03 21:17 0 --a------ C:\WINDOWS\nsreg.dat
2008-08-03 19:46 . 2008-08-04 15:29 <DIR> d-------- C:\Programme\Google
2008-08-03 19:39 . 2008-08-03 19:39 <DIR> d-------- C:\Programme\PacificPoker
2008-08-03 19:37 . 2008-08-03 19:47 <DIR> d-------- C:\Programme\QIP
2008-08-03 19:37 . 2008-08-03 19:37 2,144,226 --a------ C:\Programme\QIP_8070_neu_Jeak-Edition.exe
2008-08-03 19:31 . 2008-08-04 03:01 <DIR> d-------- C:\Programme\Opera
2008-08-03 19:31 . 2008-08-03 19:31 8,833,480 --a------ C:\Programme\Opera_9.51_International_Setup.exe
2008-08-03 19:29 . 2007-02-07 22:05 17,264 --a------ C:\WINDOWS\suecmdial.dll
2008-08-03 19:26 . 2008-08-03 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen�
2008-08-03 19:18 . 2008-08-03 19:27 316,640 --a------ C:\WINDOWS\WMSysPr9.prx
2008-08-03 19:11 . 2008-08-03 19:11 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-03 19:05 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002281_.tmp
2008-08-03 19:04 . 2004-08-03 22:42 15,872 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-08-03 19:00 . 2008-08-03 19:16 <DIR> d-------- C:\WINDOWS\EHome
2008-08-03 18:55 . 2008-08-03 18:55 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Alice
2008-08-03 18:55 . 2008-08-03 18:55 <DIR> d-------- C:\Programme\Alice
2008-08-03 18:55 . 2008-08-03 18:55 111 --a------ C:\WINDOWS\telephon.ini
2008-08-03 18:50 . 2001-08-18 04:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-08-03 18:50 . 2001-08-18 04:22 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-08-03 18:50 . 2001-08-17 14:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-08-03 18:50 . 2001-08-17 14:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2008-07-25 17:54 . 2008-07-25 17:54 <DIR> d-------- C:\btwdmdrvinstaller5.3.8
2008-07-25 17:32 . 2008-07-25 17:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2008-07-25 17:32 . 2008-07-25 17:32 <DIR> d-------- C:\Medion
2008-07-25 17:32 . 2004-04-23 12:24 5,099,520 --a------ C:\WINDOWS\system32\nvoglnt.dll
2008-07-25 17:32 . 2004-04-23 12:24 4,130,560 --a------ C:\WINDOWS\system32\nv4_disp.dll
2008-07-25 17:32 . 2004-04-23 12:24 3,756,032 --a------ C:\WINDOWS\system32\nvcpl.dll
2008-07-25 17:32 . 2004-04-23 12:24 2,167,552 --a------ C:\WINDOWS\system32\drivers\nv4_mini.sys
2008-07-25 17:32 . 2004-04-23 12:24 114,755 --a------ C:\WINDOWS\system32\nvsvc32.exe
2008-07-25 17:32 . 2004-04-23 12:24 46,080 --a------ C:\WINDOWS\system32\nvmctray.dll
2008-07-25 17:32 . 2004-04-23 12:24 38,400 --a------ C:\WINDOWS\system32\nvwddi.dll
2008-07-25 17:32 . 2004-04-23 12:24 32,256 --a------ C:\WINDOWS\system32\nvcodins.dll
2008-07-25 17:32 . 2004-04-23 12:24 32,256 --a------ C:\WINDOWS\system32\nvcod.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-03 23:42 303 ----a-w C:\Programme\operadef6.ini
2008-07-25 15:56 371,349 ----a-w C:\WINDOWS\system32\drivers\BT848.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:58 1667584]
"BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-08-05 00:16 341824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2004-04-23 12:24 3756032]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 03:23 75520]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]
"nwiz"="nwiz.exe" [2004-04-23 12:24 831488 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispSettingPage"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Opera\\opera.exe"=
"C:\\Programme\\DNA\\btdna.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=

R2 BT848;Conexant's BtPCI WDM Video Capture;C:\WINDOWS\system32\DRIVERS\BT848.sys [2008-07-25 17:56]
S3 atirage;atirage;C:\WINDOWS\system32\DRIVERS\atiragem.sys [2001-08-18 05:19]
S3 G200;G200;C:\WINDOWS\system32\DRIVERS\G200m.sys [2001-08-18 05:33]
S3 NtApm;Herkömmlicher NT APM-Schnittstellentreiber;C:\WINDOWS\system32\DRIVERS\NtApm.sys [2001-08-18 12:00]
S3 PCX500;Cisco drahtloser LAN-Adaptertreiber;C:\WINDOWS\system32\DRIVERS\pcx500.sys [2004-08-03 22:06]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\System32\drivers\PDNMp50.sys [2006-11-28 22:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\System32\drivers\PDNSp50.sys [2006-11-28 22:46]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-UnlockerAssistant - C:\Dokumente und Einstellungen\°\Desktop\Unlocker\UnlockerAssistant.exe
Notify-vtUooNEV - vtUooNEV.dll


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\°\Anwendungsdaten\Mozilla\Firefox\Profiles\jmczkz37.default\


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-06 17:50:32
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-06 17:54:44 - PC wurde neu gestartet [ø]
ComboFix-quarantined-files.txt 2008-08-06 15:54:31

Pre-Run: 3,955,671,040 Bytes frei
Post-Run: 4,442,202,112 Bytes frei

166



und hier der Hijackthis log :


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:57:58, on 06.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\DNA\btdna.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Opera\opera.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: CleanMyPC Toolbar - {04164EC4-1E48-4279-818E-3721931E7636} - C:\Programme\CleanMyPC Popup Blocker\CleanBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{680B2570-178A-4517-894E-94122736216C}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 3946 bytes


WOW!
Ich kann es kaum glauben mein PC scheint wieder funktionstüchtig zu sein ...
Vielen vielen Dank Für deine Hilfe Arnold!

#4 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Update Malwarebytes und scanne nochmal und wenn etwas gefunden wird,Entferen poste das log
__________
MfG Argus

#5 Malware hat nichts mehr gefunden.

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1012
Windows 5.1.2600 Service Pack 2

18:41:48 06.08.2008
mbam-log-8-6-2008 (18-41-48).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 36778
Laufzeit: 6 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)



ComboFix gelöscht..
Hab jetzt nochmal AntiVir updaten lassen und sonst ist nur Java noch ein älteres...

Gruss Nils

#6 Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1012

Bei mir

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1031

Starte Malwarebytes Anti-malware klicke auf den Reiter "Update"
Nehme als Update Spiegel >>It-mate.co.uk
Klicke "Suche nach Aktualisierungen"
Nachher nochmal scannen
__________
MfG Argus

#7 Ok hab update gemacht, sonst ist soweit alles aufm neuesten Stand.
Scan nochmal durch...
Danke
Gruss Nils

Siehe da..
Er hat doch noch etwas gefunden:

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 37316
Laufzeit: 5 minute(s), 52 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\bgrqfetx.bwpr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\bgrqfetx.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\lnvegaow.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

#8 Benutze CrapCleaner
http://virus-protect.org/CCleaner

Systemwiederherstellung
Info:
http://virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung -->
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren

Download Java Runtime Environment (JRE) 6u7 zum Desktop

Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Die aeltere Versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Schliesse alle Programme auch dein Webbrowser
Installiere jetzt vom Desktop aus ---> jre-6u7-windows-i586-p.exe

Alles gute

ps:und wenn du wieder was runterlädst erst mit dein Up-to-date Virenscanner scannen
__________
MfG Argus