AntivirXP08 eingefangen

#0
08.08.2008, 20:18
Member

Beiträge: 30
#1 hallo zusammen.

hab mir heute AntivirXP08 eingefangen.

Den Ordner in Programme und auch den Eintrag in Software bin ich los.
Lasse gerade zum 2. mal Malwarebytes über mein System laufen.
Beim ersten Lauf über 90 Funde. Wurde alles gelöscht.
Bis jetzt keine neuen Funde. Trotzdem ist mein System weiterhin definitiv
zu langsam und ich hab das Gefühl ich bin den Dreck noch ncit los.
Viellecht hab ich auch noch was anderes aufm Rechner wer weiss.

Wenn der 2. Suchlauf durch ist poste ich mal den log wenn ich das hinbekomme.
Mache danach noch ComboFix und Hijackthis und poste das auch noch hier.

Hoffe mir kann jemand helfen mein System wieder clean zu bekommen.

Gruß

PH0ENlX


So hier der Log vom 2. Malware durchlauf.
Offenbar wurden doch noch 22 infizierte Dateien gefunden
und gelöscht. Als nächstes werden Combofix und Hijackthis folgen.


Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1032
Windows 5.1.2600 Service Pack 2

21:40:44 08.08.2008
mbam-log-8-8-2008 (21-40-44).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 169921
Laufzeit: 1 hour(s), 52 minute(s), 32 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 11
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhccqkj0e14j (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhccqkj0e14j (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\uninstall (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhccqkj0e14j (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.


Kann nur nicht unendlich den Post ziehen und darf ja nicht auf meinen eigenen Antworten :/
Dieser Beitrag wurde am 08.08.2008 um 21:43 Uhr von PH0ENlX editiert.
Seitenanfang Seitenende
08.08.2008, 22:15
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Poste mal das log von Combofix und Hijack This log
__________
MfG Argus
Seitenanfang Seitenende
08.08.2008, 22:34
Member

Themenstarter

Beiträge: 30
#3 Ach hi Arnold...so lieht man sich wieder ;) auf in Runde 3 ^^

Hier der ComboFix log


ComboFix 08-08-08.04 - Marcel Kretschmar 2008-08-08 21:57:01.6 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1570 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Marcel Kretschmar\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008
C:\kmd.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-07-08 bis 2008-08-08 ))))))))))))))))))))))))))))))
.

2008-08-08 13:48 . 2008-08-08 13:48 94,208 --a------ C:\WINDOWS\system32\khctsxih.exe
2008-08-08 11:57 . 2008-08-08 14:46 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-08 11:57 . 2008-08-08 11:57 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-08 11:40 . 2008-08-08 11:40 94,208 --a------ C:\WINDOWS\system32\avwhahkj.exe
2008-08-08 11:16 . 2008-08-08 11:16 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-08 11:16 . 2008-08-08 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Malwarebytes
2008-08-08 11:16 . 2008-08-08 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-08 11:16 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-08 11:16 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-08 10:17 . 2008-08-08 10:17 <DIR> d-------- C:\Programme\gpemwnd
2008-08-08 10:17 . 2008-08-08 10:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wvitqxkv
2008-08-08 09:53 . 2008-08-08 09:54 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\OnRez
2008-08-07 22:45 . 2008-08-07 22:45 24 --a------ C:\url_history.xml
2008-08-06 12:54 . 2008-08-06 12:54 <DIR> d-------- C:\Programme\Firebird
2008-08-06 12:54 . 2004-12-13 01:05 356,437 --a------ C:\WINDOWS\system32\GDS32.DLL
2008-08-06 10:02 . 2008-08-08 08:34 <DIR> d-------- C:\Programme\SpacialAudio
2008-08-06 09:59 . 2008-08-06 10:00 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\SAM
2008-07-23 15:49 . 2008-07-23 15:49 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\temp
2008-07-23 15:49 . 2008-07-23 15:49 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\TeamViewer
2008-07-19 17:52 . 2008-08-03 01:30 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\SecondLife
2008-07-17 19:44 . 2008-07-17 19:44 <DIR> d-------- C:\WINDOWS\Logs
2008-07-17 19:44 . 2008-05-30 14:11 3,850,760 --a------ C:\WINDOWS\system32\D3DX9_38.dll
2008-07-17 19:44 . 2008-05-30 14:11 1,491,992 --a------ C:\WINDOWS\system32\D3DCompiler_38.dll
2008-07-17 19:44 . 2008-05-30 14:19 507,400 --a------ C:\WINDOWS\system32\XAudio2_1.dll
2008-07-17 19:44 . 2008-05-30 14:11 467,984 --a------ C:\WINDOWS\system32\d3dx10_38.dll
2008-07-17 19:44 . 2008-05-30 14:18 238,088 --a------ C:\WINDOWS\system32\xactengine3_1.dll
2008-07-17 19:44 . 2008-05-30 14:17 65,032 --a------ C:\WINDOWS\system32\XAPOFX1_0.dll
2008-07-17 19:44 . 2008-05-30 14:17 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_4.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-08 17:10 704,512 ----a-w C:\WINDOWS\Internet Logs\xDB1C.tmp
2008-08-08 17:10 3,406,336 ----a-w C:\WINDOWS\Internet Logs\xDB1D.tmp
2008-08-08 11:11 79,782 ----a-w C:\WINDOWS\Internet Logs\Explorer_2nd_2008_08_08_13_09_46_small.dmp.zip
2008-08-08 11:01 --------- d-----w C:\Programme\WordToPDF
2008-08-08 05:09 --------- d-----w C:\Programme\DynDNS Updater
2008-08-07 21:37 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-07 07:12 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-08-06 16:49 53,136 ----a-w C:\WINDOWS\Internet Logs\SAMBC_2nd_2008_08_06_18_44_58_small.dmp.zip
2008-08-06 08:38 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Skype
2008-08-02 13:24 --------- d-----w C:\Programme\Google
2008-08-01 20:26 --------- d-----w C:\Programme\Teamspeak2_RC2
2008-07-04 08:42 --------- d-----w C:\Programme\DIFX
2008-07-04 08:41 --------- d-----w C:\Programme\Razer
2008-07-04 08:41 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\InstallShield
2008-06-22 10:25 --------- d-----w C:\Programme\Eraser
2008-06-21 18:25 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-06-21 18:22 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-06-21 18:22 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-06-21 18:22 --------- d-----w C:\Programme\OpenAL
2008-06-21 18:20 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-21 18:19 --------- d-----w C:\Programme\AGEIA Technologies
2008-06-12 06:32 351,286 ----a-w C:\WINDOWS\Internet Logs\firefox_2nd_2008_06_11_16_07_07_small.dmp.zip
2008-06-10 19:00 155,648 ----a-w C:\Programme\reschange.exe
2008-05-22 14:54 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-05-19 16:09 1,012,619 ----a-w C:\WINDOWS\Internet Logs\imsDebug.zip
2008-05-13 16:50 16,862,720 ----a-w C:\WINDOWS\RTHDCPL.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-01-30 18:23 1363968]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-06-03 18:56 1506544]
"DynDNS Updater"="C:\Programme\DynDNS Updater\DynDNS.exe" [2006-09-17 11:32 1352704]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"mntacthlp"="C:\WINDOWS\system32\avwhahkj.exe" [2008-08-08 11:40 94208]
"EnDb"="C:\WINDOWS\system32\khctsxih.exe" [2008-08-08 13:48 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gainward"="C:\Programme\XpertVision\TBPanel.exe" [2006-09-13 11:10 2154496]
"HotKey"="C:\Programme\HotKey\hotkey.exe" [2006-03-07 02:32 81920]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2007-12-20 01:04 1748992]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"Diamondback"="C:\Programme\Razer\Diamondback 3G\razerhid.exe" [2007-08-01 14:07 147456]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-13 18:50 16862720 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"ERqvnR50rL"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wvitqxkv\ihyfufap.exe" [2008-08-08 10:17 57344]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-21 17:55 77824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"AdmAplHlp"= {5BEE3CFF-1F15-D1CA-B8F7-08C2A803FFFF} - C:\Programme\gpemwnd\AdmAplHlp.dll [2008-08-08 10:17 118784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Programme\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 14:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.mjpg"= mcmjpg32.dll
"vidc.dmb1"= mcmjpg32.dll
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.YV12"= yv12vfw.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"EPSON Stylus DX4400 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SC7.tmp" /EF "HKCU"
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"Eraser"=C:\Programme\Eraser\eraser.exe -hide

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
"OODefragTray"=C:\WINDOWS\system32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Programme\\Ascaron Entertainment\\Sacred Underworld\\Sacred.exe"=
"C:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\BitComet\\BitComet.exe"=
"D:\\Programme\\Steam\\SteamApps\\ph0enlx\\counter-strike source\\hl2.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Dokumente und Einstellungen\\Marcel Kretschmar\\temp\\TeamViewer3\\TeamViewer.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8767:UDP"= 8767:UDP:TeamSpeak
"51234:TCP"= 51234:TCP:ts-2
"8245:TCP"= 8245:TCP;)ynDNS
"3128:TCP"= 3128:TCP:second life

R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-04-19 20:10]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe [2004-12-13 01:05]
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2007-07-10 08:37]
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2007-07-10 08:37]
R2 litsgt;litsgt;C:\WINDOWS\system32\DRIVERS\litsgt.sys [2007-08-07 11:03]
R2 tansgt;tansgt;C:\WINDOWS\system32\DRIVERS\tansgt.sys [2007-08-07 11:03]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe [2004-12-13 01:05]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 01:04]
R3 Razerlow;Diamondback 3G USB Filter Driver;C:\WINDOWS\system32\Drivers\DB3G.sys [2005-04-24 22:43]
S1 aiptektp;HyperPen;C:\WINDOWS\system32\DRIVERS\aiptektp.sys []
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2007-12-20 01:04]
S3 nenum13E;nenum13E;C:\DOKUME~1\MARCEL~1\LOKALE~1\Temp\nenum13E.sys []
S3 snpmi03;VideoCAM NB 300;C:\WINDOWS\system32\DRIVERS\snpmi03.sys [2004-01-12 18:06]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-16 11:36]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Mozilla\Firefox\Profiles\1lg2dpzm.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-08 22:12:35
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\LIBEAY32_0.9.6l.dll
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\avmwlanstick\WLanNetService.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Thunderbird-Tray\TBTray.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Razer\Diamondback 3G\razertra.exe
C:\PROGRA~1\HotKey\OSD.EXE
C:\Programme\Razer\Diamondback 3G\razerofa.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-08 22:30:03 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-08 20:28:20
ComboFix2.txt 2008-02-11 14:22:22

Pre-Run: 3,101,855,744 Bytes frei
Post-Run: 3,226,898,432 Bytes frei

211



Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:35:30, on 08.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wvitqxkv\ihyfufap.exe
C:\Programme\XpertVision\TBPanel.exe
C:\Programme\HotKey\hotkey.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Razer\Diamondback 3G\razerhid.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\DynDNS Updater\DynDNS.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\avwhahkj.exe
C:\Programme\Thunderbird-Tray\TBTray.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Razer\Diamondback 3G\razertra.exe
C:\PROGRA~1\HotKey\OSD.exe
C:\Programme\Razer\Diamondback 3G\razerofa.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\avwhahkj.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [HotKey] C:\Programme\HotKey\hotkey.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Diamondback] C:\Programme\Razer\Diamondback 3G\razerhid.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [DynDNS Updater] "C:\Programme\DynDNS Updater\DynDNS.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [mntacthlp] C:\WINDOWS\system32\avwhahkj.exe
O4 - HKCU\..\Run: [EnDb] C:\WINDOWS\system32\khctsxih.exe
O4 - HKLM\..\Policies\Explorer\Run: [ERqvnR50rL] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wvitqxkv\ihyfufap.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Alice.lnk = ?
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: TB-Tray.lnk = C:\Programme\Thunderbird-Tray\TBTray.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll/206 (file missing)
O9 - Extra button: Secret City - {D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - D:\PROGRA~1\SECRET~1\SECRET~1\SECRET~1.EXE (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206109055062
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F653A3B-9FAA-485A-BE18-F855852963C2}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{2F653A3B-9FAA-485A-BE18-F855852963C2}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS2\Services\Tcpip\..\{2F653A3B-9FAA-485A-BE18-F855852963C2}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O21 - SSODL: AdmAplHlp - {5BEE3CFF-1F15-D1CA-B8F7-08C2A803FFFF} - C:\Programme\gpemwnd\AdmAplHlp.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9300 bytes

Beim ausführen von Hijackthis kam folgende Meldung von der Windoof Firewall
Cannot stop sending. ---> Trojan-Spy.Win32.GreenScreen

Hatte heute auch schon ---> Trojan-Spy.HTMLBankfraud.dq
und ähnliches mit ner anderen Endung


Aso hatte ich vergessen. Mir geht es aufn Keks dass sich schon wieder
mein Desktop Bild verabschiedet hat. Nun steht da.

Warning! Spyware detected on your computer! Install an antivirus or
spyware remover to clean your computer.


AntivirXP08 bin ich definitiv noch nicht los. Hat sich wieder selbst installiert.
Hab grad auch aus heiterem Himmel nen Bluescreen bekommen.
So von wegen um Schaden vom PC abzuwenden und ich hatte rein gar nix gemacht.
Ich versteh das nicht. Kann mir bitte jemand helfen. Ich krieg sonst einen am Fön.
Ich kanns nicht haben wenn mein Rechner nicht vernünftig geht.
Dieser Beitrag wurde am 08.08.2008 um 23:23 Uhr von PH0ENlX editiert.
Seitenanfang Seitenende
08.08.2008, 23:35
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

O4 - HKCU\..\Run: [mntacthlp] C:\WINDOWS\system32\avwhahkj.exe
O4 - HKCU\..\Run: [EnDb] C:\WINDOWS\system32\khctsxih.exe
O4 - HKLM\..\Policies\Explorer\Run: [ERqvnR50rL] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wvitqxkv\ihyfufap.exe
O9 - Extra button: Secret City - {D401C3A2-12EF-4D1D-A086-F3AB10B565BF} - D:\PROGRA~1\SECRET~1\SECRET~1\SECRET~1.EXE (file missing)
O21 - SSODL: AdmAplHlp - {5BEE3CFF-1F15-D1CA-B8F7-08C2A803FFFF} - C:\Programme\gpemwnd\AdmAplHlp.dll
klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

cfscript
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

File::
C:\WINDOWS\system32\khctsxih.exe
C:\WINDOWS\system32\avwhahkj.exe
C:\Programme\gpemwnd

Folder::
C:\Programme\gpemwnd
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wvitqxkv

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"mntacthlp"=-
"EnDb"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"ERqvnR50rL"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"AdmAplHlp"=-
CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen


Combofix noch mal anwenden
poste dann nach neustart das neue Log
__________
MfG Argus
Seitenanfang Seitenende
09.08.2008, 01:53
Member

Themenstarter

Beiträge: 30
#5 So hier nun ComboFix Log.


ComboFix 08-08-08.04 - Marcel Kretschmar 2008-08-09 1:19:33.7 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1421 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Marcel Kretschmar\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Marcel Kretschmar\Desktop\cfscript.txt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]

FILE ::
C:\Programme\gpemwnd
C:\WINDOWS\system32\avwhahkj.exe
C:\WINDOWS\system32\khctsxih.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wvitqxkv
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wvitqxkv\ihyfufap.exe
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\rhccqkj0e14j
C:\Programme\gpemwnd
C:\Programme\gpemwnd\AdmAplHlp.dll
C:\WINDOWS\system32\avwhahkj.exe
C:\WINDOWS\system32\blphc9qkj0e14j.scr
C:\WINDOWS\system32\khctsxih.exe
C:\WINDOWS\system32\lphc9qkj0e14j.exe
C:\WINDOWS\system32\phc9qkj0e14j.bmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-08 bis 2008-08-08 ))))))))))))))))))))))))))))))
.

2008-08-08 22:56 . 2008-08-08 22:56 <DIR> d-------- C:\Programme\Foxit Software
2008-08-08 22:43 . 2008-08-08 22:43 86,016 --a------ C:\WINDOWS\system32\qfqlgbgb.exe
2008-08-08 11:57 . 2008-08-08 14:46 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-08 11:57 . 2008-08-08 11:57 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-08 11:16 . 2008-08-08 11:16 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-08 11:16 . 2008-08-08 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Malwarebytes
2008-08-08 11:16 . 2008-08-08 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-08 11:16 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-08 11:16 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-08 09:53 . 2008-08-08 09:54 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\OnRez
2008-08-07 22:45 . 2008-08-07 22:45 24 --a------ C:\url_history.xml
2008-08-06 12:54 . 2008-08-06 12:54 <DIR> d-------- C:\Programme\Firebird
2008-08-06 12:54 . 2004-12-13 01:05 356,437 --a------ C:\WINDOWS\system32\GDS32.DLL
2008-08-06 10:02 . 2008-08-08 08:34 <DIR> d-------- C:\Programme\SpacialAudio
2008-08-06 09:59 . 2008-08-06 10:00 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\SAM
2008-07-23 15:49 . 2008-07-23 15:49 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\temp
2008-07-23 15:49 . 2008-07-23 15:49 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\TeamViewer
2008-07-19 17:52 . 2008-08-03 01:30 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\SecondLife
2008-07-17 19:44 . 2008-07-17 19:44 <DIR> d-------- C:\WINDOWS\Logs
2008-07-17 19:44 . 2008-05-30 14:11 3,850,760 --a------ C:\WINDOWS\system32\D3DX9_38.dll
2008-07-17 19:44 . 2008-05-30 14:11 1,491,992 --a------ C:\WINDOWS\system32\D3DCompiler_38.dll
2008-07-17 19:44 . 2008-05-30 14:19 507,400 --a------ C:\WINDOWS\system32\XAudio2_1.dll
2008-07-17 19:44 . 2008-05-30 14:11 467,984 --a------ C:\WINDOWS\system32\d3dx10_38.dll
2008-07-17 19:44 . 2008-05-30 14:18 238,088 --a------ C:\WINDOWS\system32\xactengine3_1.dll
2008-07-17 19:44 . 2008-05-30 14:17 65,032 --a------ C:\WINDOWS\system32\XAPOFX1_0.dll
2008-07-17 19:44 . 2008-05-30 14:17 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_4.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-08 22:00 --------- d-----w C:\Programme\DynDNS Updater
2008-08-08 21:00 --------- d-----w C:\Programme\Astro Gemini Software
2008-08-08 20:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-08-08 17:10 704,512 ----a-w C:\WINDOWS\Internet Logs\xDB1C.tmp
2008-08-08 17:10 3,406,336 ----a-w C:\WINDOWS\Internet Logs\xDB1D.tmp
2008-08-08 11:11 79,782 ----a-w C:\WINDOWS\Internet Logs\Explorer_2nd_2008_08_08_13_09_46_small.dmp.zip
2008-08-08 11:01 --------- d-----w C:\Programme\WordToPDF
2008-08-07 21:37 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-07 07:12 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-08-06 16:49 53,136 ----a-w C:\WINDOWS\Internet Logs\SAMBC_2nd_2008_08_06_18_44_58_small.dmp.zip
2008-08-06 08:38 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Skype
2008-08-02 13:24 --------- d-----w C:\Programme\Google
2008-08-01 20:26 --------- d-----w C:\Programme\Teamspeak2_RC2
2008-07-04 08:42 --------- d-----w C:\Programme\DIFX
2008-07-04 08:41 --------- d-----w C:\Programme\Razer
2008-07-04 08:41 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\InstallShield
2008-06-22 10:25 --------- d-----w C:\Programme\Eraser
2008-06-21 18:25 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-06-21 18:22 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-06-21 18:22 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-06-21 18:22 --------- d-----w C:\Programme\OpenAL
2008-06-21 18:20 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-21 18:19 --------- d-----w C:\Programme\AGEIA Technologies
2008-06-12 06:32 351,286 ----a-w C:\WINDOWS\Internet Logs\firefox_2nd_2008_06_11_16_07_07_small.dmp.zip
2008-06-10 19:00 155,648 ----a-w C:\Programme\reschange.exe
2008-05-22 14:54 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-05-19 16:09 1,012,619 ----a-w C:\WINDOWS\Internet Logs\imsDebug.zip
2008-05-13 16:50 16,862,720 ----a-w C:\WINDOWS\RTHDCPL.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-01-30 18:23 1363968]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-06-03 18:56 1506544]
"DynDNS Updater"="C:\Programme\DynDNS Updater\DynDNS.exe" [2006-09-17 11:32 1352704]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"chksrv"="C:\WINDOWS\system32\qfqlgbgb.exe" [2008-08-08 22:43 86016]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gainward"="C:\Programme\XpertVision\TBPanel.exe" [2006-09-13 11:10 2154496]
"HotKey"="C:\Programme\HotKey\hotkey.exe" [2006-03-07 02:32 81920]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2007-12-20 01:04 1748992]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"Diamondback"="C:\Programme\Razer\Diamondback 3G\razerhid.exe" [2007-08-01 14:07 147456]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-13 18:50 16862720 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-21 17:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Programme\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 14:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.mjpg"= mcmjpg32.dll
"vidc.dmb1"= mcmjpg32.dll
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.YV12"= yv12vfw.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"EPSON Stylus DX4400 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SC7.tmp" /EF "HKCU"
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"Eraser"=C:\Programme\Eraser\eraser.exe -hide

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
"OODefragTray"=C:\WINDOWS\system32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Programme\\Ascaron Entertainment\\Sacred Underworld\\Sacred.exe"=
"C:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\BitComet\\BitComet.exe"=
"D:\\Programme\\Steam\\SteamApps\\ph0enlx\\counter-strike source\\hl2.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Dokumente und Einstellungen\\Marcel Kretschmar\\temp\\TeamViewer3\\TeamViewer.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8767:UDP"= 8767:UDP:TeamSpeak
"51234:TCP"= 51234:TCP:ts-2
"8245:TCP"= 8245:TCP;)ynDNS
"3128:TCP"= 3128:TCP:second life

R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-04-19 20:10]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe [2004-12-13 01:05]
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2007-07-10 08:37]
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2007-07-10 08:37]
R2 litsgt;litsgt;C:\WINDOWS\system32\DRIVERS\litsgt.sys [2007-08-07 11:03]
R2 tansgt;tansgt;C:\WINDOWS\system32\DRIVERS\tansgt.sys [2007-08-07 11:03]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe [2004-12-13 01:05]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 01:04]
R3 Razerlow;Diamondback 3G USB Filter Driver;C:\WINDOWS\system32\Drivers\DB3G.sys [2005-04-24 22:43]
S1 aiptektp;HyperPen;C:\WINDOWS\system32\DRIVERS\aiptektp.sys []
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2007-12-20 01:04]
S3 nenum13E;nenum13E;C:\DOKUME~1\MARCEL~1\LOKALE~1\Temp\nenum13E.sys []
S3 snpmi03;VideoCAM NB 300;C:\WINDOWS\system32\DRIVERS\snpmi03.sys [2004-01-12 18:06]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-16 11:36]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-SMrhccqkj0e14j - C:\Programme\rhccqkj0e14j\rhccqkj0e14j.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-09 01:31:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\LIBEAY32_0.9.6l.dll

Prozess: C:\WINDOWS\explorer.exe
-> C:\Programme\Stardock\ObjectDock\DockShellHook.dll
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\avmwlanstick\WLanNetService.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Thunderbird-Tray\TBTray.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Razer\Diamondback 3G\razertra.exe
C:\Programme\Razer\Diamondback 3G\razerofa.exe
C:\PROGRA~1\HotKey\OSD.EXE
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-09 1:48:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-08 23:46:49
ComboFix2.txt 2008-08-08 20:30:05
ComboFix3.txt 2008-02-11 14:22:22

Pre-Run: 3,240,824,832 Bytes frei
Post-Run: 3,221,463,040 Bytes frei

213


Hijackthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:52:18, on 09.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\XpertVision\TBPanel.exe
C:\Programme\HotKey\hotkey.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Razer\Diamondback 3G\razerhid.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\DynDNS Updater\DynDNS.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\qfqlgbgb.exe
C:\Programme\Thunderbird-Tray\TBTray.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Razer\Diamondback 3G\razertra.exe
C:\Programme\Razer\Diamondback 3G\razerofa.exe
C:\PROGRA~1\HotKey\OSD.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.2.1.2.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [HotKey] C:\Programme\HotKey\hotkey.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Diamondback] C:\Programme\Razer\Diamondback 3G\razerhid.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [DynDNS Updater] "C:\Programme\DynDNS Updater\DynDNS.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [chksrv] C:\WINDOWS\system32\qfqlgbgb.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] rundll32 advpack.dll,LaunchINFSection nlite.inf,nLiteReg (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Startup: Alice.lnk = ?
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: TB-Tray.lnk = C:\Programme\Thunderbird-Tray\TBTray.exe
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206109055062
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071219-1
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2F653A3B-9FAA-485A-BE18-F855852963C2}: NameServer = 213.191.74.11 213.191.92.82
O17 - HKLM\System\CS1\Services\Tcpip\..\{2F653A3B-9FAA-485A-BE18-F855852963C2}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8380 bytes

Erste Meldung die kam sobald ich die Verbindung zum Internet hergestellt hatte
nach ComboFix wieder mal die Windoof Firewall. Diesmal folgende Meldung.

---> Trojan-Clicker.Win32.Tiny.h
Dieser Beitrag wurde am 09.08.2008 um 01:56 Uhr von PH0ENlX editiert.
Seitenanfang Seitenende
09.08.2008, 02:02
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Lasse mal überprüfen C:\WINDOWS\system32\qfqlgbgb.exe bei http://www.virustotal.com/
__________
MfG Argus
Seitenanfang Seitenende
09.08.2008, 10:07
Member

Themenstarter

Beiträge: 30
#7 Heute morgen kam nach

Trojan-Clicker.Win32.Tiny.h

noch diese Meldung.

Trojan-Downloader.Win32.Agent.bq

sind also immer noch mindestens 2.



folgender Befund

Datei qfqlgbgb.exe empfangen 2008.08.09 10:08:08 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 5/36 (13.89%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.9.0 2008.08.08 -
AntiVir 7.8.1.19 2008.08.08 -
Authentium 5.1.0.4 2008.08.09 -
Avast 4.8.1195.0 2008.08.08 -
AVG 8.0.0.156 2008.08.08 Downloader.Swizzor
BitDefender 7.2 2008.08.09 -
CAT-QuickHeal 9.50 2008.08.08 -
ClamAV 0.93.1 2008.08.09 -
DrWeb 4.44.0.09170 2008.08.09 -
eSafe 7.0.17.0 2008.08.07 -
eTrust-Vet 31.6.6021 2008.08.08 -
Ewido 4.0 2008.08.08 -
F-Prot 4.4.4.56 2008.08.08 -
F-Secure 7.60.13501.0 2008.08.09 -
Fortinet 3.14.0.0 2008.08.09 W32/PolySmall.BP!tr
GData 2.0.7306.1023 2008.08.09 -
Ikarus T3.1.1.34.0 2008.08.09 -
K7AntiVirus 7.10.408 2008.08.08 -
Kaspersky 7.0.0.125 2008.08.09 -
McAfee 5357 2008.08.08 -
Microsoft 1.3807 2008.08.09 Trojan:Win32/Busky.EC
NOD32v2 3341 2008.08.08 a variant of Win32/TrojanDownloader.FakeAlert.BP
Norman 5.80.02 2008.08.08 -
Panda 9.0.0.4 2008.08.08 -
PCTools 4.4.2.0 2008.08.08 -
Prevx1 V2 2008.08.09 -
Rising 20.56.41.00 2008.08.08 -
Sophos 4.32.0 2008.08.09 Mal/EncPk-DG
Sunbelt 3.1.1538.1 2008.08.09 -
Symantec 10 2008.08.09 -
TheHacker 6.2.96.395 2008.08.08 -
TrendMicro 8.700.0.1004 2008.08.08 -
VBA32 3.12.8.3 2008.08.08 -
ViRobot 2008.8.8.1329 2008.08.08 -
VirusBuster 4.5.11.0 2008.08.08 -
Webwasher-Gateway 6.6.2 2008.08.09 -
Seitenanfang Seitenende
09.08.2008, 10:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Hallo PH0ENlX

erstelle eine neue cfscript.txt
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"chksrv"=-

File::
C:\WINDOWS\system32\qfqlgbgb.exe
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
09.08.2008, 10:18
Member

Themenstarter

Beiträge: 30
#9 dachte ich mir bereits das ich das nochmal machen muss ^^ danke
bericht folgt wenn fertig kann bisschen dauern aber is schonmal schneller als am anfang ;)
Seitenanfang Seitenende
09.08.2008, 10:21
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Scanne mit NOD32
Haacke an:YES, I accept the Terms Of Use.
Klicke : Start.
Klicke : Install.
Klicke : Start.
Jetzt wird der Scanner Initialisiert und ge-updatet
Haacke “Remove found threats” NICHT an,
Klicke : Scan.
Am Ende klicke den Reiter Details
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Oder via C:\Programme\EsetOnlineScanner\log.txt
__________
MfG Argus
Seitenanfang Seitenende
09.08.2008, 11:54
Member

Themenstarter

Beiträge: 30
#11 Hier erstmal der Log vom ComboFix

ComboFix 08-08-08.07 - Marcel Kretschmar 2008-08-09 10:22:49.8 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1566 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Marcel Kretschmar\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Marcel Kretschmar\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]

FILE ::
C:\WINDOWS\system32\qfqlgbgb.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\qfqlgbgb.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-09 bis 2008-08-09 ))))))))))))))))))))))))))))))
.

2008-08-09 02:08 . 2008-08-09 02:08 <DIR> d-------- C:\WINDOWS\ERUNT
2008-08-09 02:02 . 2008-08-09 02:11 <DIR> d-------- C:\SDFix
2008-08-08 22:56 . 2008-08-08 22:56 <DIR> d-------- C:\Programme\Foxit Software
2008-08-08 11:57 . 2008-08-08 14:46 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-08 11:57 . 2008-08-08 11:57 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-08 11:16 . 2008-08-08 11:16 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-08 11:16 . 2008-08-08 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Malwarebytes
2008-08-08 11:16 . 2008-08-08 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-08 11:16 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-08 11:16 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-08 09:53 . 2008-08-08 09:54 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\OnRez
2008-08-07 22:45 . 2008-08-07 22:45 24 --a------ C:\url_history.xml
2008-08-06 12:54 . 2008-08-06 12:54 <DIR> d-------- C:\Programme\Firebird
2008-08-06 12:54 . 2004-12-13 01:05 356,437 --a------ C:\WINDOWS\system32\GDS32.DLL
2008-08-06 10:02 . 2008-08-08 08:34 <DIR> d-------- C:\Programme\SpacialAudio
2008-08-06 09:59 . 2008-08-06 10:00 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\SAM
2008-07-23 15:49 . 2008-07-23 15:49 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\temp
2008-07-23 15:49 . 2008-07-23 15:49 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\TeamViewer
2008-07-19 17:52 . 2008-08-03 01:30 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\SecondLife
2008-07-17 19:44 . 2008-07-17 19:44 <DIR> d-------- C:\WINDOWS\Logs
2008-07-17 19:44 . 2008-05-30 14:11 3,850,760 --a------ C:\WINDOWS\system32\D3DX9_38.dll
2008-07-17 19:44 . 2008-05-30 14:11 1,491,992 --a------ C:\WINDOWS\system32\D3DCompiler_38.dll
2008-07-17 19:44 . 2008-05-30 14:19 507,400 --a------ C:\WINDOWS\system32\XAudio2_1.dll
2008-07-17 19:44 . 2008-05-30 14:11 467,984 --a------ C:\WINDOWS\system32\d3dx10_38.dll
2008-07-17 19:44 . 2008-05-30 14:18 238,088 --a------ C:\WINDOWS\system32\xactengine3_1.dll
2008-07-17 19:44 . 2008-05-30 14:17 65,032 --a------ C:\WINDOWS\system32\XAPOFX1_0.dll
2008-07-17 19:44 . 2008-05-30 14:17 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_4.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-08 22:00 --------- d-----w C:\Programme\DynDNS Updater
2008-08-08 21:00 --------- d-----w C:\Programme\Astro Gemini Software
2008-08-08 20:50 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-08-08 17:10 704,512 ----a-w C:\WINDOWS\Internet Logs\xDB1C.tmp
2008-08-08 17:10 3,406,336 ----a-w C:\WINDOWS\Internet Logs\xDB1D.tmp
2008-08-08 11:11 79,782 ----a-w C:\WINDOWS\Internet Logs\Explorer_2nd_2008_08_08_13_09_46_small.dmp.zip
2008-08-08 11:01 --------- d-----w C:\Programme\WordToPDF
2008-08-07 21:37 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-07 07:12 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-08-06 16:49 53,136 ----a-w C:\WINDOWS\Internet Logs\SAMBC_2nd_2008_08_06_18_44_58_small.dmp.zip
2008-08-06 08:38 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\Skype
2008-08-02 13:24 --------- d-----w C:\Programme\Google
2008-08-01 20:26 --------- d-----w C:\Programme\Teamspeak2_RC2
2008-07-04 08:42 --------- d-----w C:\Programme\DIFX
2008-07-04 08:41 --------- d-----w C:\Programme\Razer
2008-07-04 08:41 --------- d-----w C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\InstallShield
2008-06-22 10:25 --------- d-----w C:\Programme\Eraser
2008-06-21 18:25 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-06-21 18:22 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-06-21 18:22 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-06-21 18:22 --------- d-----w C:\Programme\OpenAL
2008-06-21 18:20 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-06-21 18:19 --------- d-----w C:\Programme\AGEIA Technologies
2008-06-12 06:32 351,286 ----a-w C:\WINDOWS\Internet Logs\firefox_2nd_2008_06_11_16_07_07_small.dmp.zip
2008-06-10 19:00 155,648 ----a-w C:\Programme\reschange.exe
2008-05-22 14:54 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-05-19 16:09 1,012,619 ----a-w C:\WINDOWS\Internet Logs\imsDebug.zip
2008-05-13 16:50 16,862,720 ----a-w C:\WINDOWS\RTHDCPL.exe
.

((((((((((((((((((((((((((((( snapshot@2008-08-08_22.26.54.89 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-08-07 14:27:05 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-08-09 00:08:46 569,344 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
+ 2008-08-09 00:08:47 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-08-07 14:27:05 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-08-09 00:08:42 569,344 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2008-08-09 00:08:42 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-01-30 18:23 1363968]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-06-03 18:56 1506544]
"DynDNS Updater"="C:\Programme\DynDNS Updater\DynDNS.exe" [2006-09-17 11:32 1352704]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Gainward"="C:\Programme\XpertVision\TBPanel.exe" [2006-09-13 11:10 2154496]
"HotKey"="C:\Programme\HotKey\hotkey.exe" [2006-03-07 02:32 81920]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2007-12-20 01:04 1748992]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"Diamondback"="C:\Programme\Razer\Diamondback 3G\razerhid.exe" [2007-08-01 14:07 147456]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-13 18:50 16862720 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-21 17:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Programme\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 14:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.mjpg"= mcmjpg32.dll
"vidc.dmb1"= mcmjpg32.dll
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.YV12"= yv12vfw.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
"EPSON Stylus DX4400 Series"=C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SC7.tmp" /EF "HKCU"
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"Eraser"=C:\Programme\Eraser\eraser.exe -hide

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"NeroFilterCheck"=C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
"OODefragTray"=C:\WINDOWS\system32\oodtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\SmartFTP Client\\SmartFTP.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Programme\\Ascaron Entertainment\\Sacred Underworld\\Sacred.exe"=
"C:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\BitComet\\BitComet.exe"=
"D:\\Programme\\Steam\\SteamApps\\ph0enlx\\counter-strike source\\hl2.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Dokumente und Einstellungen\\Marcel Kretschmar\\temp\\TeamViewer3\\TeamViewer.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8767:UDP"= 8767:UDP:TeamSpeak
"51234:TCP"= 51234:TCP:ts-2
"8245:TCP"= 8245:TCP;)ynDNS
"3128:TCP"= 3128:TCP:second life

R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2007-04-19 20:10]
R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe [2004-12-13 01:05]
R2 ithsgt;ithsgt;C:\WINDOWS\system32\DRIVERS\ithsgt.sys [2007-07-10 08:37]
R2 lilsgt;lilsgt;C:\WINDOWS\system32\DRIVERS\lilsgt.sys [2007-07-10 08:37]
R2 litsgt;litsgt;C:\WINDOWS\system32\DRIVERS\litsgt.sys [2007-08-07 11:03]
R2 tansgt;tansgt;C:\WINDOWS\system32\DRIVERS\tansgt.sys [2007-08-07 11:03]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe [2004-12-13 01:05]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 01:04]
R3 Razerlow;Diamondback 3G USB Filter Driver;C:\WINDOWS\system32\Drivers\DB3G.sys [2005-04-24 22:43]
S1 aiptektp;HyperPen;C:\WINDOWS\system32\DRIVERS\aiptektp.sys []
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2007-12-20 01:04]
S3 nenum13E;nenum13E;C:\DOKUME~1\MARCEL~1\LOKALE~1\Temp\nenum13E.sys []
S3 snpmi03;VideoCAM NB 300;C:\WINDOWS\system32\DRIVERS\snpmi03.sys [2004-01-12 18:06]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-16 11:36]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-09 11:24:17
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\LIBEAY32_0.9.6l.dll
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\Programme\avmwlanstick\WLanNetService.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Thunderbird-Tray\TBTray.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Razer\Diamondback 3G\razertra.exe
C:\Programme\Razer\Diamondback 3G\razerofa.exe
C:\PROGRA~1\HotKey\OSD.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-09 11:39:36 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-09 09:38:04
ComboFix2.txt 2008-08-08 23:48:34
ComboFix3.txt 2008-08-08 20:30:05
ComboFix4.txt 2008-02-11 14:22:22

Pre-Run: 3,108,585,472 Bytes frei
Post-Run: 3,094,880,256 Bytes frei

208


Der Scan wurde offenbar durchgeführt, aber der IE dann einfach geschlossen.
Nix mit Log oder Log Datei im Programme Ordner.
Dieser Beitrag wurde am 09.08.2008 um 15:27 Uhr von PH0ENlX editiert.
Seitenanfang Seitenende
09.08.2008, 18:05
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 Meckert dein Zonelab noch oder dein Windoof Firewall?
Wenn nicht
Systemwiederherstellung
Info:
http://virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung -->
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren
__________
MfG Argus
Seitenanfang Seitenende
10.08.2008, 23:55
Member

Themenstarter

Beiträge: 30
#13 mein system ist seit AntivirXP08 extrem langsam geworden.
hakt wo es nur geht. meldungen kommen keine mehr aber der
rechner muss zig mal neu gestartet werden und dann braucht er
gute 10 minuten bis er komplett im system ist. das ist doch nict normal.
mein pc kommt mir vor als hätte ich nen 386er. das dauert ewig. egal
ob beim booten oder im windows. er hakt bei jedem Schei... programm.
HILFE was kann ich machen damit er wieder normal läuft. so schnell
wie er auch soll ganz ohne haken. ich könnt heulen. will kein format c: machen[/b][/color] ;)

[color="red"][b]was bitte macht aus meinem pc ne lahme gurke? ich versteh das nicht mehr
programme hängen sich wegen dem scheiss auf ;)
Seitenanfang Seitenende
11.08.2008, 11:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 deinstalliere erst mal SUPERAntiSpyware.
dann
C:\Dokumente und Einstellungen\Marcel Kretschmar\Anwendungsdaten\OnRez - was ist das ? wozu dient das ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
11.08.2008, 19:30
Member

Themenstarter

Beiträge: 30
#15 OnRez ist das Browserfenster von Second Life.

Und das mit der Geschwindigkeit hat sich erledigt.
Mir hats im endeffekt gestern abend noch meine Registry zerschossen
und ich musste den Rechner zur Hälfte neu aufsetzen.
Hab die wichtigen Sachen auf die d Partition gerettet und dann die
c Partition gelöscht und formatiert und Windoof neu aufgespielt.
Rennt jetzt alles wieder wie nix ;) bin mit dem Nachinstallieren
soweit auch fast wieder fertig. Ich wunder mich nur das mein Internet
so langsam ist. Mein Anbieter sagt es läuft auf etwas mehr als 15Mbit.
Hier hab ich über Wlan nur 4 Mbit...normal sind bei mir eigentlich
11 - 13 Mbit. könnte das an einem fehlenden Netzwertreiber liegen?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: