"Warning! Spyware detected on your computer!"

#0
27.08.2008, 16:22
...neu hier

Beiträge: 1
#16 Hallo Arnold,

habe das Problem 3 Tage auf dem PC gehabt und Dank Deiner Hilfe mit Malwarebytes` Anti-Malware innerhalb 15 Minuten beseitigen können.
Dabei hat der Scan noch 59 weitere Viren und Trojaner ermittelt und vernichtet, die von meinem Antivirenprogramm (Avira/Antivir) nicht gefunden wurden.
Hat hier "Malwarebytes" gemogelt?

Deine Empfehlung ist aber absolute Spitze.

Gruß El Jahwe
Dieser Beitrag wurde am 27.08.2008 um 16:44 Uhr von El Jahwe editiert.
Seitenanfang Seitenende
29.08.2008, 13:50
...neu hier

Beiträge: 10
#17 hallo!
meiner mutte rihr mann hat auch das selbe problem. und der pc fährt nur noch so hoch das auf dem desktop so ne warnung steht die angeblich von micosoft ist.
und die meisten sachen dir normal auf den desktop sind sind verschwunden.
es lässt sich auch kein cureit bis zum ende durchführen, davor schaltet der pc sich einfach immer von selber wieder aus. viele sachen lassen sich auch nicht installieren.

ich bin froh das ich das hijak hinbekommen habe ( hoffe ich zumindest)
da ich doch mich nicht sooo gut am pc auskenne. ich hoffe ihr könnt mir weiterhelfen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:46:27, on 29.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\khooker.exe
C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe
C:\Programme\T-Eumex KommunikationsCenter\sndml.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [strtfx] "C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe"
O4 - HKLM\..\Run: [sndml] "C:\Programme\T-Eumex KommunikationsCenter\sndml.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [DTVRemote] "C:\Programme\DTV\RemoteControl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HomeNet Control.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O4 - Global Startup: VideoJack Startcenter.lnk = C:\Programme\VideoJack\VJcenter.exe
O4 - Global Startup: VideoJackTimer.lnk = C:\Programme\VideoJack\VJTimer.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\Programme\Gemeinsame Dateien\WebSpeech.4.0\LgxIEBar.dll
O9 - Extra button: HP Intelligente Auswahl - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Programme\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6242 bytes
Seitenanfang Seitenende
29.08.2008, 14:39
Moderator

Beiträge: 5694
#18 Hallo hansilein

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei:

Zitat

O4 - Global Startup: VideoJack Startcenter.lnk = C:\Programme\VideoJack\VJcenter.exe
O4 - Global Startup: VideoJackTimer.lnk = C:\Programme\VideoJack\VJTimer.exe
und wähle fix checked.

Starte den Rechner neu.

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss
Seitenanfang Seitenende
29.08.2008, 15:18
...neu hier

Beiträge: 10
#19 hallo!
vielen dank für die schnelle antwort, punkt 1 ist erledigt
punkt 2 dauert etwas da der pc durch das alles extremst in zeitlupe läuft.
wollte schonmal deswegen den dritten punkt machen der ging bisher nicht, kam dann immer die meldung " ComboFix has detected the presence og rootkit activity and neets to reboot the machine" und dann startet der pc neu und das selbe spiel. hat das was zu sagen ?!
momentan läuft grade noch malewarebytes log kommt dann sofort.

gruß
sanne
Seitenanfang Seitenende
29.08.2008, 17:38
Moderator

Beiträge: 5694
#20 Hansilein

Mache einfach alles der Reihe nach. Malwarebytes braucht oft einige Stunden. Dannach mache Combofix.

Gruss Swiss
Seitenanfang Seitenende
29.08.2008, 20:42
...neu hier

Beiträge: 10
#21 huhu also, nachdem dann auch aufeinmal das antivir wie verrückt angeschlagen und alle möglichen trojaner, scriptviren usw gefunden hat hier die beiden log dateien. der pc lässt fast immernoch nichts zu und geht dann von selber wegen kritischem fehler aus .....


Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1093
Windows 5.1.2600 Service Pack 2

16:02:46 29.08.2008
mbam-log-08-29-2008 (16-02-36).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 189220
Laufzeit: 52 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 23
Infizierte Dateien: 35

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcal0j0etan (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\rhcal0j0etan (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\explorer.ico (Heuristics.Reserved.Word.Exploit) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Programme\rhcal0j0etan (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\rhcal0j0etan (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\rhcal0j0etan\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\rhcal0j0etan\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\rhcal0j0etan\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\rhcal0j0etan\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\rhcal0j0etan\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\rhcal0j0etan\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\rhcal0j0etan\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\rhcal0j0etan\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\rhcal0j0etan\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\rhcal0j0etan\Quarantine\Packages (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\hans\Anwendungsdaten\rhcal0j0etan (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\hans\Anwendungsdaten\rhcal0j0etan\Quarantine (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\hans\Anwendungsdaten\rhcal0j0etan\Quarantine\Autorun (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\hans\Anwendungsdaten\rhcal0j0etan\Quarantine\Autorun\HKCU (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\hans\Anwendungsdaten\rhcal0j0etan\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\hans\Anwendungsdaten\rhcal0j0etan\Quarantine\Autorun\HKLM (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\hans\Anwendungsdaten\rhcal0j0etan\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\hans\Anwendungsdaten\rhcal0j0etan\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\hans\Anwendungsdaten\rhcal0j0etan\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\hans\Anwendungsdaten\rhcal0j0etan\Quarantine\BrowserObjects (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\hans\Anwendungsdaten\rhcal0j0etan\Quarantine\Packages (Rogue.Multiple) -> No action taken.

Infizierte Dateien:
C:\Programme\rhcal0j0etan\database.dat (Rogue.Multiple) -> No action taken.
C:\Programme\rhcal0j0etan\license.txt (Rogue.Multiple) -> No action taken.
C:\Programme\rhcal0j0etan\MFC71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhcal0j0etan\MFC71ENU.DLL (Rogue.Multiple) -> No action taken.
C:\Programme\rhcal0j0etan\msvcp71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhcal0j0etan\msvcr71.dll (Rogue.Multiple) -> No action taken.
C:\Programme\rhcal0j0etan\rhcal0j0etan.exe (Rogue.Multiple) -> No action taken.
C:\Programme\rhcal0j0etan\rhcal0j0etan.exe.local (Rogue.Multiple) -> No action taken.
C:\Programme\rhcal0j0etan\Uninstall.exe (Rogue.Multiple) -> No action taken.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\phcel0j0etan.bmp (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\pphcel0j0etan.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\E.tmp (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\hans\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> No action taken.
C:\Dokumente und Einstellungen\TEMP\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\TEMP\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\TEMP\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\TEMP\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\TEMP\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\TEMP\Lokale Einstellungen\Temp\.ttA.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\TEMP\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\TEMP\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\hans\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\hans\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\hans\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\hans\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\hans\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> No action taken.
C:\WINDOWS\explorer.ico (Heuristics.Reserved.Word.Exploit) -> No action taken.
-----------------------------------------------------------------------------





Inhalt des "geplante Tasks" Ordners

2008-08-29 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-21 18:47]
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\Mozilla\Firefox\Profiles\ub6uxhft.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-29 20:29:27
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe
C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\taskmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-29 20:38:04 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-29 18:37:55

Pre-Run: 22 Verzeichnis(se), 23,314,743,296 Bytes frei
Post-Run: 25 Verzeichnis(se), 24,591,769,600 Bytes frei

164 --- E O F --- 2008-08-15 16:32:20
Seitenanfang Seitenende
29.08.2008, 21:05
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#22 @hansilein

Update Malwarebytes 'Anti-malware
Datenbank Version ist jetzt : 1096
Waehle bei Reiter “Scanner”> "Quick Scan durchfuehren" .
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen

Das Log von Combofix ist nicht komplett
__________
MfG Argus
Seitenanfang Seitenende
29.08.2008, 21:08
...neu hier

Beiträge: 10
#23 ok mache ich.

wie das ist nicht komplett. das ist alles was da stand *dummauswäschegugg*
dann mache ich das am besten auch nochmal


ok hier die ergebnisse:


also diesmal hat der malewarebytes nichts gefunden aber während dem scan ist wieder das antivir losgegangen und hat einmal ein scriptvirus und dann einen trojaner angezeigt.
hier nun hoffentlich das komplette log vom combofix, habs nochmal neu erstellt.
grüßle
sanne

ComboFix 08-08-28.06 - hans 2008-08-29 21:26:19.2 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\TEMP\Desktop\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-28 bis 2008-08-29 ))))))))))))))))))))))))))))))
.

2008-08-29 12:21 . 2008-08-29 12:21 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\TuneUp Software
2008-08-29 12:21 . 2008-08-29 12:21 361,728 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-08-29 12:21 . 2008-07-18 15:05 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-08-29 12:20 . 2008-08-29 12:21 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-08-29 12:20 . 2008-08-29 12:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-08-29 10:54 . 2008-08-29 10:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-29 10:34 . 2008-08-29 10:34 <DIR> d-------- C:\Programme\Avira
2008-08-29 10:34 . 2008-08-29 10:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-29 10:20 . 2008-08-29 10:20 <DIR> d-------- C:\Programme\Trend Micro
2008-08-29 10:11 . 2008-08-29 10:11 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-29 10:11 . 2008-08-29 10:11 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\Malwarebytes
2008-08-29 10:11 . 2008-08-29 10:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-29 10:11 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-29 10:11 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-29 10:10 . 2008-08-29 10:10 <DIR> d-------- C:\Programme\CCleaner
2008-08-28 17:16 . 2008-08-28 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\AdobeUM
2008-08-27 19:58 . 2008-08-29 17:06 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP\DoctorWeb
2008-08-27 17:35 . 2008-08-27 17:35 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-08-26 21:21 . 2008-08-27 19:09 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\HPAppData
2008-08-26 21:15 . 2003-07-04 15:09 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP\WINDOWS
2008-08-26 21:15 . 2002-09-17 05:46 <DIR> d--h----- C:\Dokumente und Einstellungen\TEMP\Vorlagen
2008-08-26 21:15 . 2002-09-17 06:39 <DIR> dr------- C:\Dokumente und Einstellungen\TEMP\Startmenü
2008-08-26 21:15 . 2002-09-17 06:39 <DIR> d--h----- C:\Dokumente und Einstellungen\TEMP\Netzwerkumgebung
2008-08-26 21:15 . 2002-09-17 06:39 <DIR> d--h----- C:\Dokumente und Einstellungen\TEMP\Lokale Einstellungen
2008-08-26 21:15 . 2008-08-26 21:18 <DIR> dr------- C:\Dokumente und Einstellungen\TEMP\Favoriten
2008-08-26 21:15 . 2008-08-26 21:18 <DIR> dr------- C:\Dokumente und Einstellungen\TEMP\Eigene Dateien
2008-08-26 21:15 . 2002-09-17 06:39 <DIR> d--h----- C:\Dokumente und Einstellungen\TEMP\Druckumgebung
2008-08-26 21:15 . 2003-07-04 15:10 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\InterTrust
2008-08-26 21:15 . 2008-08-29 16:03 <DIR> dr-h----- C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten
2008-08-26 21:15 . 2008-08-29 13:35 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP
2008-08-22 11:13 . 2008-08-22 11:22 <DIR> d-------- C:\Programme\Mozilla Thunderbird
2008-08-22 11:13 . 2008-08-22 11:13 <DIR> d-------- C:\Dokumente und Einstellungen\hans\Anwendungsdaten\Thunderbird
2008-08-15 18:12 . 2008-05-01 16:30 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-13 19:26 . 2008-08-13 19:26 18 --a------ C:\WINDOWS\xkalFREE2008.dat
2008-08-12 14:10 . 2008-08-12 14:10 <DIR> d-------- C:\Programme\OW

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-29 10:20 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-29 08:54 --------- d-----w C:\Programme\Lavasoft
2008-08-27 18:19 --------- d-----w C:\Programme\Gemeinsame Dateien\Marmiko Shared
2008-08-26 19:06 --------- d-----w C:\Dokumente und Einstellungen\hans\Anwendungsdaten\OpenOffice.org2
2008-08-25 19:51 --------- d-----w C:\Dokumente und Einstellungen\hans\Anwendungsdaten\HPAppData
2008-08-18 19:24 --------- d-----w C:\Programme\Info-Man 3.0
2008-07-25 12:01 --------- d-----w C:\Programme\homepage MAKER
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-13 08:07 --------- d-----w C:\Programme\Java
2008-07-08 15:35 --------- d-----w C:\Dokumente und Einstellungen\hans\Anwendungsdaten\AdobeUM
2008-07-08 15:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-30 16:08 --------- d-----w C:\Programme\Grips
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 15:38 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2006-05-01 10:54 150,176 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2005-03-03 17:09 21 ----a-w C:\Programme\AVPersonalAVWIN.INI
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiS Tray"="C:\WINDOWS\System32\sistray.EXE" [2002-11-17 10:36 303104]
"SiS KHooker"="C:\WINDOWS\System32\khooker.exe" [2002-09-24 01:50 290816]
"NeroCheck"="C:\WINDOWS\System32\NeroCheck.exe" [2001-07-09 21:50 155648]
"strtfx"="C:\Programme\T-Eumex KommunikationsCenter\strtfx.exe" [2003-10-10 15:05 24576]
"sndml"="C:\Programme\T-Eumex KommunikationsCenter\sndml.exe" [2003-10-09 16:00 32768]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 15:49 49152]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-09 15:42 180269]
"DTVRemote"="C:\Programme\DTV\RemoteControl.exe" [2006-09-21 15:51 73728]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

C:\Dokumente und Einstellungen\hans\Startmen\Programme\Autostart\
OpenOffice.org 2.1.lnk - C:\Programme\OpenOffice.org 2.1\program\quickstart.exe [2006-11-27 17:45:48 393216]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 03:38:16 29696]
CAPIControl.lnk - C:\Programme\Telekom\T-Eumex 520PC\Capictrl.exe [2004-04-26 13:06:12 278528]
HomeNet Control.lnk - C:\Programme\Telekom\T-Eumex 520PC\HNetCtrl.exe [2004-01-29 10:22:54 90112]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 19:28:24 258048]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-04 19:50:52 53248]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-18 05:05:56 65588]
Pinnacle Scheduler.lnk - C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe [2005-09-11 19:53:18 245760]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SMrhcal0j0etan"=C:\Programme\rhcal0j0etan\rhcal0j0etan.exe
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\RagTime Privat\\RagTime 5.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\Telekom\\T-Eumex 520PC\\HNetCtrl.exe"=
"C:\\Programme\\Namo\\WebEditor 6\\bin\\WebEditor.exe"=
"C:\\Programme\\homepage MAKER\\Express SE\\p3AppServ\\bin\\mysql\\bin\\mysqld.exe"=
"C:\\Programme\\homepage MAKER\\Express SE\\p3AppServ\\bin\\apache\\bin\\httpd.exe"=

R1 oreans32;oreans32;C:\WINDOWS\system32\drivers\oreans32.sys [2006-12-31 15:26]
R2 CAPI20;Eumex 620 LAN;C:\WINDOWS\system32\drivers\capi20.sys [2004-05-17 12:21]
R2 DETEWECP;Telekom CapiPort;C:\WINDOWS\system32\drivers\detewecp.sys [2003-03-19 13:36]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
R3 dtwmnic5;Telekom T-Eumex 520PC;C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys [2002-12-20 11:04]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys [2002-11-04 19:39]
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2006-11-07 01:00]
S3 HotSpotFSvc;Hotspot Manager;C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe []
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 09:14]
S3 TSMPacket;T-DSL Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-08-29 12:21]
S3 ulisa;Telekom ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys [2003-12-11 15:52]
S3 WinDSLp;%WinDSLp_Desc%;C:\WINDOWS\system32\DRIVERS\WinDSL.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners

2008-08-29 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-21 18:47]
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\Mozilla\Firefox\Profiles\ub6uxhft.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-29 21:32:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-29 21:36:19
ComboFix-quarantined-files.txt 2008-08-29 19:36:01
ComboFix2.txt 2008-08-29 18:38:05

Pre-Run: 22 Verzeichnis(se), 24,599,711,744 Bytes frei
Post-Run: 25 Verzeichnis(se), 24,586,031,104 Bytes frei

155 --- E O F --- 2008-08-15 16:32:20
Dieser Beitrag wurde am 29.08.2008 um 21:44 Uhr von hansilein editiert.
Seitenanfang Seitenende
29.08.2008, 23:23
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#24 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fix.reg mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SMrhcal0j0etan"=-
Doppelklick auf fix.reg und fuege es den registry zu
Rechner neu starten
__________
MfG Argus
Seitenanfang Seitenende
30.08.2008, 09:55
...neu hier

Beiträge: 10
#25 hallo, guten morgen!

also combofix ist gelöscht und die datei erstellt und der registry hinzugefügt

grüßli
sanne
Seitenanfang Seitenende
30.08.2008, 10:45
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#26 Noch nieh gesehen "C:\Dokumente und Einstellungen\TEMP\WINDOWS"
__________
MfG Argus
Seitenanfang Seitenende
30.08.2008, 10:56
...neu hier

Beiträge: 10
#27 öhmmm. irgendwie versteh ich grade nich was ich machen bzw schauen soll.
steh grade auf dem schlauch.
Seitenanfang Seitenende
30.08.2008, 11:38
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#28 Im log von Combofix steht Windows in C:\Dokumente und Einstellungen\TEMP\WINDOWS

Bei mir steht Windows auf C:\Windows
Also aufpassen mit Cleaner
__________
MfG Argus
Seitenanfang Seitenende
30.08.2008, 11:41
...neu hier

Beiträge: 10
#29 ach so, aber wie kann ich den mist nun losbekommen bzw was weiter machen. denn das da immernoch was is merke ich ohen ende wenn ich an dem pc bin. der lahmt ohne ende und stürzt bei scans immer ab
Seitenanfang Seitenende
30.08.2008, 11:45
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#30 datfindbat
Download datFindbat zum Desktop

Starte diese Batchdatei datfind.bat danach öffnet sich ein Notepad/Editor Fenster.
Kopiere den Inhalt bis auf 1 Monat im Thread

Manchmal befinden sich Dateien auf dem Rechner, die von Viren, Spyware oder Backdoors abgelegt wurden und welche ein Antivirenscanner nicht auf Anhieb findet. Deshalb haben wir diese bat-Datei erstellt, um genau nachprüfen zu können, was sich in Windows\System32\ , Downloaded Program Files\ , Windows\ und C:\ und den temporären Dateien befindet.
__________
MfG Argus
Seitenanfang Seitenende