Antispyware expert

#1 hallo an euch... bräuchte mal wieder eure hilfe...
habe heute den laptop einer freundin bekommen und wie ich sehe hat sie nen fetten virus drauf... es ist ein symbol in taskleiste bei der uhr unten. und werbung spamt er auch. das ding heißt anscheinend antispyware expert.
da sie hier auf dem laptop nix drauf hat an cleaner oder sonstiges müsste mir jemand helfen wie ich jetzt an´fangen muss am besten!! danke schon mal für eure hilfe...

)))
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*

#2 Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet
Klicke “Einstellungen“ haacke an “ Beende Inter Explorer während des Löschvorgangs “
Waehle bei Reiter “Scanner”> "Quick Scan durchfuehren" .
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Nehme als Update Spiegel >>It-mate.co.uk
Malwarebytes Anti-Malware kann man nachher behalten !

Download: Trend Micro Hijack This™
Doppelklick HJTInstall.exe und installiere das Tool in C:\Programme\Trend Micro\Hijack This
Am Ende steht auf dein Desktop eine verknüpfung

Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#3 sooo hier das erste:


Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1072
Windows 5.1.2600 Service Pack 2

19:05:00 20.08.2008
mbam-log-08-20-2008 (19-05-00).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 39022
Laufzeit: 8 minute(s), 10 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 16
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 2
Infizierte Dateien: 3

Infizierte Speicherprozesse:
C:\Programme\AntiSpywareExpert\ase.exe (Rogue.AntiSpywareExpert) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{1037b06c-84b7-4240-8d80-485810a0497d} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{1d4db7d1-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{1d4db7d3-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{54b287f9-fd90-4457-b65e-cb91560c021d} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{6e4c7afc-9915-4036-b7f9-8b3f1710788f} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{566dede9-9ed8-45da-9be6-9b2eeab17f49} (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{1d4db7d0-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{90b5a95a-afd5-4d11-b9bd-a69d53d22226} (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8109fd3d-d891-4f80-8339-50a4913ace6f} (Adware.Zango) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\AntiSpywareExpert (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MediaHoldings (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Mirar (Adware.Mirar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\PlayMP3 (Adware.PlayMP3Z) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\FBrowsingAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antispywareexpert (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\FBrowserAdvisor (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareExpert (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\regxpcom.exe (Trojan.FBrowsingAdvisor) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temp\SystemDoctor2006FreeInstall.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareExpert\ase.exe (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.







hier hijack:



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:48:03, on 20.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\vsnp2std.exe
C:\Programme\Lexmark 7100 Series\ezprint.exe
C:\Programme\SweetIM\Messenger\SweetIM.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R3 - URLSearchHook: SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: SweetIM Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe
O4 - HKLM\..\Run: [lxbxmon.exe] "C:\Programme\Lexmark 7100 Series\lxbxmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 7100 Series\ezprint.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1197473174639
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1197473010263
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=23100
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game12.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://gamenextde.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 6407 bytes
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*

#4 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
O2 - BHO: SWEETIE - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll
O4 - HKLM\..\Run: [SweetIM] C:\Programme\SweetIM\Messenger\SweetIM.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Entferne SweetIM von dein Rechner
__________
MfG Argus

#5 ok hab ich gemacht? ist es jetzt schon erledigt? den das symbol seh ich nicht mehr unten?
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*

#6 Hallo Levanael

wende Combofix an , klicke die Warnmeldung weg + poste hier den Report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 ok hab ich....






ComboFix 08-08-19.06 - Michael 2008-08-21 13:08:49.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.62 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Michael\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareExpert
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\AntiSpywareExpert\AntiSpywareExpert.lnk
C:\Dokumente und Einstellungen\Michael\Startmenü\Programme\PlayMP3z
C:\Dokumente und Einstellungen\Michael\Startmenü\Programme\PlayMP3z\Run PlayMP3z.lnk
C:\Programme\winupdates
C:\WINDOWS\system32\bszip.dll
E:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-21 bis 2008-08-21 ))))))))))))))))))))))))))))))
.

2008-08-20 23:10 . 2008-08-20 23:10 <DIR> d-------- C:\Programme\Avira
2008-08-20 23:10 . 2008-08-20 23:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-20 19:06 . 2008-08-20 19:06 <DIR> d-------- C:\Programme\Trend Micro
2008-08-20 18:54 . 2008-08-20 18:54 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-20 18:54 . 2008-08-20 18:54 <DIR> d-------- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Malwarebytes
2008-08-20 18:54 . 2008-08-20 18:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-20 18:54 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-20 18:54 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-20 18:35 . 2008-08-20 18:35 <DIR> d-------- C:\Programme\CCleaner
2008-08-20 15:15 . 2008-08-20 15:15 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-08-20 14:57 . 2006-11-30 15:58 61,536 -ra------ C:\WINDOWS\system32\drivers\se44bus.sys
2008-08-20 14:57 . 2006-11-30 15:58 5,872 -ra------ C:\WINDOWS\system32\drivers\se44whnt.sys
2008-08-20 14:57 . 2006-11-30 15:58 5,872 -ra------ C:\WINDOWS\system32\drivers\se44wh.sys
2008-08-20 14:56 . 2008-08-20 15:11 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-20 14:56 . 2008-08-20 15:11 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-18 16:31 . 2008-08-20 18:47 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-08-18 16:31 . 2008-08-20 18:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-18 15:26 . 2008-08-18 15:26 <DIR> d-------- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\TeamViewer
2008-08-18 15:20 . 2008-08-18 15:20 <DIR> d-------- C:\Programme\TeamViewer3
2008-08-18 15:19 . 2008-08-18 15:19 <DIR> d-------- C:\Dokumente und Einstellungen\Michael\temp
2008-08-15 20:06 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-08-15 19:56 . 2008-08-15 20:06 <DIR> d-------- C:\Programme\Java
2008-08-15 19:55 . 2008-08-15 19:55 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-08-11 14:54 . 2008-08-11 14:55 27,580,296 --a------ C:\Programme\AdbeRdr90_de_DE.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-20 19:59 --------- d-----w C:\Programme\SweetIM
2008-08-20 19:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-08-20 16:45 --------- d-----w C:\Programme\LimeWire
2008-08-17 11:29 --------- d-----w C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\LimeWire
2008-08-16 18:18 --------- d-----w C:\Programme\Windows Live
2008-08-16 18:11 --------- d-----w C:\Programme\Windows Live Toolbar
2008-08-16 18:05 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-15 19:16 3,989,780 ----a-w C:\Programme\OMD_-_Maid_of_Orleans.mp3
2008-08-15 19:15 3,691,041 ----a-w C:\Programme\Simon And Garfunkel - Mrs[1]. Robinson.mp3
2008-08-15 19:15 3,350,656 ----a-w C:\Programme\Art Garfunkel, Paul Simon, & James Taylor - What A Wonderful World.mp3
2008-08-15 19:15 2,980,929 ----a-w C:\Programme\Paul Simon And Art Garfunkel - The Sounds Of Silence.mp3
2008-08-11 13:13 5,819 ----a-w C:\Programme\pdf-logo.gif
2008-08-11 13:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-08-11 09:20 759,332 ----a-w C:\Programme\470.rar
2008-08-11 09:16 4,143,996 ----a-w C:\Programme\081-die_aerzte_-_lasse_redn-ministry.mp3
2008-07-17 10:18 --------- d-----w C:\Programme\Sun
2008-07-17 10:13 382,352 ----a-w C:\Programme\jre-6u7-windows-i586-p-iftw.exe
2008-07-17 09:54 4,898,144 ----a-w C:\Programme\LimeWireWin4183.exe
2008-07-16 20:54 3,195,213 ----a-w C:\Programme\Simon & Garfunkel - Scarborough Fair.mp3
2008-07-16 20:37 4,679,167 ----a-w C:\Programme\Omd_-_dream_of_me.mp3
2008-07-10 15:07 217,275 ----a-w C:\Programme\Katalog_2006_Neuhausen.pdf
2008-06-14 15:24 4,402,792 ----a-w C:\Programme\SweetImSetup.exe
2008-06-14 15:10 95,468,255 ----a-w C:\Programme\Schnuff.rar
2008-06-05 08:33 3,346,449 ----a-w C:\Programme\Kate_Ryan_-_Voyage_Voyage.mp3
2008-06-05 08:15 4,941,344 ----a-w C:\Programme\01-ich_hab_dich_lieb.rar
2008-05-23 12:50 8,278 -csh--w C:\Programme\AlbumArt_{A6DE8BE0-915A-4C7F-8BAC-354939D733D5}_Large.jpg
2008-05-23 12:50 8,278 --sh--w C:\Programme\Folder.jpg
2008-05-23 12:50 372 --sh--w C:\Programme\desktop.ini
2008-05-23 12:50 2,235 -csh--w C:\Programme\AlbumArtSmall.jpg
2008-05-23 12:50 2,235 -csh--w C:\Programme\AlbumArt_{A6DE8BE0-915A-4C7F-8BAC-354939D733D5}_Small.jpg
2008-05-09 11:12 28,353 ----a-w C:\Programme\index.php
2008-05-07 10:33 1,593,282 ----a-w C:\Programme\deutschland.pdf
2008-04-30 12:06 104,926 ----a-w C:\Programme\Freistellungsauftrag-NEU-301230.PDF
2008-03-16 16:27 14,613,912 ----a-w C:\Programme\Install_ICQ6.exe
2007-12-17 13:07 92,064 -c--a-w C:\Dokumente und Einstellungen\Michael\mqdmmdm.sys
2007-12-17 13:07 9,232 -c--a-w C:\Dokumente und Einstellungen\Michael\mqdmmdfl.sys
2007-12-17 13:07 79,328 -c--a-w C:\Dokumente und Einstellungen\Michael\mqdmserd.sys
2007-12-17 13:07 66,656 -c--a-w C:\Dokumente und Einstellungen\Michael\mqdmbus.sys
2007-12-17 13:07 6,208 -c--a-w C:\Dokumente und Einstellungen\Michael\mqdmcmnt.sys
2007-12-17 13:07 5,936 -c--a-w C:\Dokumente und Einstellungen\Michael\mqdmwhnt.sys
2007-12-17 13:07 4,048 -c--a-w C:\Dokumente und Einstellungen\Michael\mqdmcr.sys
2007-12-17 13:07 25,600 -c--a-w C:\Dokumente und Einstellungen\Michael\usbsermptxp.sys
2007-12-17 13:07 22,768 -c--a-w C:\Dokumente und Einstellungen\Michael\usbsermpt.sys
2007-12-13 07:03 32 -c--a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "C:\Programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2008-03-27 14:12 173368]

[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-16 17:37 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"snp2std"="C:\WINDOWS\vsnp2std.exe" [2006-07-10 10:33 675840]
"lxbxmon.exe"="C:\Programme\Lexmark 7100 Series\lxbxmon.exe" [2005-01-18 16:44 196608]
"EzPrint"="C:\Programme\Lexmark 7100 Series\ezprint.exe" [2004-09-17 19:24 61440]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\TeamViewer3\\TeamViewer.exe"=

S3 se44bus;Sony Ericsson Device 068 driver (WDM);C:\WINDOWS\system32\DRIVERS\se44bus.sys [2006-11-30 15:58]
S3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\WINDOWS\system32\DRIVERS\snp2sxp.sys [2006-08-04 08:30]
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

Toolbar-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\tisgcw2x.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://start.icq.com/
.
.
------- File Associations (Beta) -------
.
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-21 13:15:15
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\tsd32.dll
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-21 13:24:38 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-21 11:24:23

Pre-Run: 2,064,166,912 Bytes frei
Post-Run: 2,224,791,552 Bytes frei

174
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*

#8 Hallo Levanael

1.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

2.
mache einen Onlinescan mit Bitdefender + poste hier den Report
http://virus-protect.org/artikel/tools/bitdefender.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 er findet nichts.... ist jetzt alles ok?
__________
Wird mal wieder zeit für ein neues PC-Problem... *lool*

#10 ja, dann sollte wieder alles i.o. sein - falls es noch Probleme gibt, melde dich
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo,

ich hatte/ habe das gleiche Problem... und hab jetzt den Visusscan schon gemacht.... es schaut so aus als wäre jetzt wieder alles weg......
hoffe das stimmt auch............
Bin dankbar für jede Hilfe

das war mein Bericht:
Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1119
Windows 5.1.2600 Service Pack 2

06.09.2008 07:49:36
mbam-log-2008-09-06 (07-49-36).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 52155
Laufzeit: 16 minute(s), 34 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 16
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 6

Infizierte Speicherprozesse:
C:\Programme\AntiSpywareExpert\ase.exe (Rogue.AntiSpywareExpert) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{e71d5038-6cc1-4001-9323-f934af182048} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{e71d5038-6cc1-4001-9323-f934af182048} (Trojan.BHO.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\codecbho.codecplugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{33c053f6-5347-45d2-8ba8-a6e67f225cc2} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d2c5a0f0-e2b5-425a-9628-a59d5383d9a4} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{ef1af8c0-86cc-4740-80e3-a78cee452a35} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0db87c61-796b-4afd-9ae7-32d67672e1be} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0db87c61-796b-4afd-9ae7-32d67672e1be} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{2ad63520-a4b7-4a95-bf56-f138f7fb319e} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\codecbho.codecplugin.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\AntiSpywareExpert (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\CodecBHO.DLL (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\codecbho.xmldomdocumenteventssink (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\codecbho.xmldomdocumenteventssink.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\RichVideoCodec (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antispywareexpert (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\27674563188870479633929165273670 (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\RichVideoCodec (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareExpert (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.
C:\Programme\Antivirus 2009 (Rogue.Antivirus2008) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\wmidx32.dll (Trojan.BHO.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\CodecBHO.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\AntiSpywareExpert\ase.exe (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.
C:\Programme\Antivirus 2009\av2009.exe (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Sonja\Desktop\AntiSpywareExpert.lnk (Rogue.Antispyware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Sonja\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\AntiSpywareExpert.lnk (Rogue.Antispyware) -> Quarantined and deleted successfully.

#12 ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schließen und combofix.exe starten
Folge den Instruktionen in das Fenster
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert, ignorieren !

Download: Trend Micro Hijack This™
Doppelklick HJTInstall.exe und installiere das Tool in C:\Programme\Trend Micro\Hijack This
Am Ende steht auf dein Desktop eine verknüpfung

Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus

#13 hallo ihr da,


hab jetzt auch den mist drauf >>> Antispywareexpert

malwarebytes runtergeladen eben und nun scanne ich.. das dauert wohl noch was.

hoffe jemand ist da und kann mir gleich helfen



Mfg

#14 Special_art

Zum Helfen sind wie hier

Dann poste das Log von Malwarebytes. Dannach noch ein HJT_Log:
http://virus-protect.org/hjtkurz.html

Gruss Swiss

#15 Hallo Tonstudio..

ich habe alles nacheinander so gemacht wie ihr den leuten das hier erklärt habt.
nur bei Malwarebytes hat der rechner was gefunden. habe es dann entfernt.

dann halt noch mit combofix und bitdefender gescannt aber auch nichts gefunden..

nachdem ich mit malware die objekte entfernt habe und neugestartet habe war alles wieder o.k.


denke somit ist es runter von meinem rechner..


auch wenn ihr nicht da wart gestern um die uhrzeit habt ihr mir trotzdem geholfen

danke und macht weiter so