Problem "Warning - Spyware detected..."

#1 Hi - habe nun auch dieses Problem! Ich habe glaube ich bereits alle Einträge zu diesem Thema gelesen und alles soweit schon "vorbereitet" (wie beim Fernsehkoch...)

1. CCleaner
2. ComboFix (Logfile verfügbar)
3. HighjackThis
4. HJT Log in euer fantastisches Tool gestellt
5. Die festgestellten Dinge gefixed (war nur ein "?")
6. HJT Scan nochmals durchlaufen lassen und ins Tool gestellt --> alles im Grün-Gelben Bereich
7 Registry gechecked ("Override Antivir" oder so war auf Null, den anderen Eintrag "disablecad" gabs nicht)

Aktuelles HJT Log kommt hiernach, denn ich glaube, ganz ohne Eure Hilfe gehts wohl doch nicht? :-)
Ich lese nämlich immer wieder von OTmoveIT...oder so ähnlich...augenscheinlich muss ich noch irgendwelche Standarddateien wieder herstellen....

Köönt Ihr mir helfen? Was muß ich jetzt noch tun?

Danke im Voraus...und hier der aktuellste HJT Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:27:03, on 20.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Wireless Network Utility\RtWLan.exe
C:\Programme\HP\hpcoretech\comp\hptskmgr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Wireless Network Utility.lnk = C:\Programme\Wireless Network Utility\RtWLan.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1198697782873
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198710340706
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--
End of file - 4661 bytes



VIELEN DANK !

#2 Was für ein Tool? du meinst http://www.hijackthis.de/ ?

Zitat

HJT Log in euer fantastisches Tool gestellt

Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet
Klicke “Einstellungen“ haacke an “ Beende Inter Explorer während des Löschvorgangs “
Waehle bei Reiter “Scanner”> "Quick Scan durchfuehren" .
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Nehme als Update Spiegel >>It-mate.co.uk
Malwarebytes Anti-Malware kann man nachher behalten !
__________
MfG Argus

#3 Danke für die späte und schnelle Antwort!!

JA - mit dem Tool meine ich das HiJack-Analys-Tool.

MBAM hat super funktioniert - 3 infizierte dateien erfolgreich entfernt (3x HiJack. Wallpaper..)

hier das log:

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1073
Windows 5.1.2600 Service Pack 2

22:59:33 20.08.2008
mbam-log-08-20-2008 (22-59-33).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 39905
Laufzeit: 3 minute(s), 15 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

#4 Poste mal das log von Combofix
__________
MfG Argus

#5 Log Combofix (ist aber das Log vom scan vor Highjack...soll ich ein ComboFix nochmal drüber laufen lassen?)

ComboFix 08-08-19.03 - Adriana 2008-08-20 21:50:52.1 - NTFSx86
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\rhccqdj0ej7n
C:\Dokumente und Einstellungen\Adriana\Cookies\adriana@asn.advolution[2].txt
C:\Dokumente und Einstellungen\Adriana\Cookies\adriana@de.ebayrtm[2].txt
C:\Dokumente und Einstellungen\Adriana\Cookies\adriana@hotbar[2].txt
C:\Dokumente und Einstellungen\Adriana\Cookies\adriana@suchelove[2].txt
C:\Dokumente und Einstellungen\Adriana\Cookies\adriana@www.addserver[2].txt
C:\Dokumente und Einstellungen\Adriana\Cookies\hizy.dat
C:\Dokumente und Einstellungen\Adriana\Cookies\pocinosesy._sy
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\How to Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\License Agreement.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Register Antivirus XP 2008.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Antivirus XP 2008\Uninstall.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\XPSecurityCenter
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\XPSecurityCenter\Uninstall.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\XPSecurityCenter\XPSecurityCenter.lnk
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\DelSelf.bat
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\phc9qdj0ej7n.bmp
C:\WINDOWS\system32\wsnpoem
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\video.dll

.
((((((((((((((((((((((((( Files Created from 2008-07-20 to 2008-08-20 )))))))))))))))))))))))))))))))
.

2008-08-20 21:39 . 2008-08-20 21:39 <DIR> d-------- C:\Programme\CCleaner
2008-08-20 18:25 . 2008-08-20 18:25 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-08-20 18:12 . 2007-12-26 19:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-08-20 18:12 . 2007-12-26 19:00 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen�
2008-08-20 18:12 . 2007-12-26 19:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-08-20 18:12 . 2007-12-26 19:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-08-20 18:12 . 2007-12-26 19:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-08-20 18:12 . 2007-12-26 19:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-08-20 18:12 . 2008-08-20 18:59 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-08-20 18:12 . 2008-08-20 18:25 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-08-15 22:12 . 2008-08-15 22:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hewlett-Packard
2008-08-15 22:12 . 2007-01-05 14:07 327,680 -ra------ C:\WINDOWS\system32\hppepr02.dll
2008-08-15 22:12 . 2008-08-15 22:12 3,648 --a------ C:\WINDOWS\hpbvnstp.his
2008-08-15 22:12 . 2008-08-15 22:12 1,100 --a------ C:\WINDOWS\hpbvnstp.ini
2008-08-15 22:12 . 2008-08-15 22:13 659 --a------ C:\WINDOWS\hpbvspst.his
2008-08-15 22:12 . 2008-08-15 22:13 318 --a------ C:\WINDOWS\hpbvspst.ini
2008-08-15 22:11 . 2006-09-06 15:42 237,568 -ra------ C:\WINDOWS\system32\hppapr02.dll
2008-08-15 22:11 . 2007-01-05 14:07 188,416 -ra------ C:\WINDOWS\system32\hppcew02.dll
2008-08-15 22:11 . 2007-04-12 14:46 23,968 -ra------ C:\WINDOWS\system32\drivers\hpfxgen.sys
2008-08-15 22:11 . 2007-04-12 14:46 16,288 -ra------ C:\WINDOWS\system32\drivers\hpfxbulk.sys
2008-08-15 22:11 . 2006-09-06 15:41 600 -ra------ C:\WINDOWS\system32\hppapr02.dat
2008-08-15 21:12 . 2001-08-23 14:00 4,224 --a------ C:\WINDOWS\system32\drivers\beep.sys
2008-08-15 21:12 . 2001-08-23 14:00 4,224 --a--c--- C:\WINDOWS\system32\dllcache\beep.sys
2008-08-15 20:37 . 2008-05-01 16:30 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-15 20:32 . 2008-08-15 20:32 <DIR> d-------- C:\Programme\Avira
2008-08-13 08:37 . 2008-08-13 08:37 14,947 --a------ C:\WINDOWS\system32\cebywizam._dl
2008-08-12 16:18 . 2008-08-12 16:18 <DIR> d-------- C:\Dokumente und Einstellungen\Adriana\Microsoft.VC80.CRT
2008-08-12 16:18 . 2008-08-12 16:18 <DIR> d-------- C:\Dokumente und Einstellungen\Adriana\data
2008-08-12 16:18 . 2007-12-28 20:10 598,528 --a------ C:\Dokumente und Einstellungen\Adriana\htmlayout.dll
2008-08-12 16:18 . 2008-08-12 16:18 102,400 --a------ C:\Dokumente und Einstellungen\Adriana\unzip32.dll
2008-08-12 16:18 . 2006-12-22 02:07 86,070 --a------ C:\Dokumente und Einstellungen\Adriana\pthreadVC2.dll
2008-08-12 16:18 . 2008-08-12 16:18 18,769 --a------ C:\Programme\Gemeinsame Dateien\agapawycar.pif
2008-08-12 16:18 . 2008-08-12 16:18 18,469 --a------ C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\avom.pif
2008-08-12 16:18 . 2008-08-12 16:18 18,246 --a------ C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\xutak.vbs
2008-08-12 16:18 . 2008-08-12 16:18 17,897 --a------ C:\WINDOWS\system32\dotu.reg
2008-08-12 16:18 . 2008-08-12 16:18 17,779 --a------ C:\WINDOWS\system32\oxekabukiq.bin
2008-08-12 16:18 . 2008-08-12 16:18 16,257 --a------ C:\WINDOWS\system32\zobumicyl.bin
2008-08-12 16:18 . 2008-08-12 16:18 16,135 --a------ C:\WINDOWS\system32\ebebydafo.com
2008-08-12 16:18 . 2008-08-12 16:18 15,637 --a------ C:\WINDOWS\afeta.dat
2008-08-12 16:18 . 2008-08-12 16:18 15,110 --a------ C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\tyga.dat
2008-08-12 16:18 . 2008-08-12 16:18 14,545 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\batugy.dll
2008-08-12 16:18 . 2008-08-12 16:18 12,779 --a------ C:\WINDOWS\system32\warudofop.ban
2008-08-12 16:18 . 2008-08-12 16:18 12,606 --a------ C:\WINDOWS\dufynef.lib
2008-08-12 16:18 . 2008-08-12 16:18 12,516 --a------ C:\Programme\Gemeinsame Dateien\iceh.com
2008-08-12 16:18 . 2008-08-12 16:18 11,723 --a------ C:\WINDOWS\system32\kosynevys.db
2008-08-12 16:18 . 2008-08-12 16:18 11,680 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xipexaxobo.reg
2008-08-12 16:18 . 2008-08-12 16:18 10,701 --a------ C:\WINDOWS\ronyfa.bin
2008-08-12 16:18 . 2008-08-12 16:18 10,669 --a------ C:\WINDOWS\olyhyhogu.db
2008-08-07 14:29 . 2008-08-07 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\WEB.DE
2008-08-07 14:28 . 2008-08-07 14:28 <DIR> d-------- C:\Programme\WEB.DE
2008-08-07 14:28 . 2008-08-07 14:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WEB.DE
2008-08-07 14:28 . 2008-04-01 13:03 90,112 --a------ C:\WINDOWS\system32\UIWEBMON.DLL
2008-08-04 16:10 . 2008-08-04 16:10 20,336 --a------ C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\GDIPFONTCACHEV1.DAT

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-15 18:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-12 14:18 10,349 ----a-w C:\Programme\Gemeinsame Dateien\jozagura.inf
2008-07-19 09:42 --------- d-----w C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\InterVideo
2008-07-15 05:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-06-27 12:12 21,035 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2008-06-27 12:12 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-27 12:12 --------- d-----w C:\Programme\Wireless Network Utility
2008-06-27 12:12 --------- d-----w C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\InstallShield
2008-06-21 12:59 --------- d-----w C:\Programme\IEEE 802.11b WLAN Utility(USB)
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StorageGuard"="C:\Programme\VERITAS Software\Update Manager\sgtray.exe" [2002-06-18 01:01 155648]
"TPKMAPHELPER"="C:\Programme\ThinkPad\Utilities\TpKmapAp.exe" [2007-01-09 17:28 868352]
"TPHOTKEY"="C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-10-02 11:19 94208]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-06-24 15:34 126976]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-06-24 15:33 561152]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 09:38 241664]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-27 09:53 88363 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispBackgroundPage"= 1 (0x1)
"NoDispScrSavPage"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-06 00:45 28672 C:\WINDOWS\system32\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 21:16 24576 C:\WINDOWS\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Jos37.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\NetMeeting\\conf.exe"=

R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2006-11-15 16:23]
S0 Jos37;Jos37;C:\WINDOWS\system32\Drivers\Jos37.sys []
S3 HPFXBULK;HPFXBULK;C:\WINDOWS\system32\drivers\hpfxbulk.sys [2007-04-12 14:46]
S3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187B.sys [2007-06-01 07:06]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f612a580-6d4f-11dd-b1ba-000124b3c2bc}]
\Shell\AutoRun\command - E:\Menu.exe
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-XP SecurityCenter - C:\Dokumente und Einstellungen\Adriana\XPSecurityCenter.exe
HKLM-Run-lphc9qdj0ej7n - C:\WINDOWS\system32\lphc9qdj0ej7n.exe
HKLM-Run-SMrhccqdj0ej7n - C:\Programme\rhccqdj0ej7n\rhccqdj0ej7n.exe


.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com
R0 -: HKLM-Main,Start Page = hxxp://www.google.com
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

O16 -: {2DAD3559-2923-4935-AD49-B673D2539944} - hxxp://www-307.ibm.com/pc/support/acpir.cab
C:\WINDOWS\Downloaded Program Files\acpir.inf
C:\WINDOWS\System32\capicom.dll
C:\WINDOWS\Downloaded Program Files\acpir2.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-20 21:55:24
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\tphklock.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\TpKmpSvc.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\Lenovo\PkgMgr\HOTKEY_1\TpScrex.exe
C:\Programme\Wireless Network Utility\RtWLan.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2008-08-20 21:58:16 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-20 19:58:08

Pre-Run: 7 Verzeichnis(se), 70,320,836,608 Bytes frei
Post-Run: 9 Verzeichnis(se), 70,337,097,728 Bytes frei

202 --- E O F --- 2008-08-15 19:25:03

#6 Virustotal
Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\cebywizam._dl
C:\Programme\Gemeinsame Dateien\agapawycar.pif
C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\xutak.vbs

Note: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Und Berichte
__________
MfG Argus

#7 cebywizam 0/36 0%
agapawycar dito
xutac dito

ist das gut oder eher schlecht?

#8 Weiss man noch was am 2008-08-12 um 16:18 installiert wurde?
__________
MfG Argus

#9 Hallo Caarsten !
Das hattest Du auch drauf,

Zitat

C:\WINDOWS\system32\ntos.exe

- bedeutet nichts Gutes wenn Du sensible Daten auf dem PC drauf hast, glaube es ist ein Backdoor, wenn ich mich nicht irre ??
Aber warte mal ab was der Mod dazu sagt !

#10 Leider nicht - das Ereignisprotokoll gibt nichts her und in der Liste der installierten Software sehe ich nur das Installationsdatum von Securitypatches nicht aber bei allgemeinen Appliaktionen.....gibts noch eine andere Möglichkeit herauszubekommen, welche Instalklationen zu einem bestimmten Zeitpunkt vorgenommen wurden?

Ansonsten bin ich mit meinem Latein am Ende.....allerdings sieht ansonsten jetzt alles SEHR gut aus!

#11 Hallo Caarsten

Avenger
http://virus-protect.org/artikel/tools/avenger.html

setze ein Häkchen in: "Automatically disable any rootkits found"
Das Häkchen "Scan for Rootkits" sollte angehakt sein.
kopiere in das weisse Feld:

Zitat

Drivers to disable:
Jos37.sys
Drivers to delete:
Jos37.sys
registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Jos37.sys
Files to delete:
C:\WINDOWS\system32\cebywizam._dl
C:\WINDOWS\system32\dotu.reg
C:\WINDOWS\system32\oxekabukiq.bin
C:\WINDOWS\system32\zobumicyl.bin
C:\WINDOWS\system32\ebebydafo.com
C:\WINDOWS\system32\kosynevys.db
C:\WINDOWS\system32\warudofop.ban
C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\avom.pif
C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\xutak.vbs
C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\tyga.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\batugy.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xipexaxobo.reg
C:\WINDOWS\dufynef.lib
C:\WINDOWS\ronyfa.bin
C:\WINDOWS\afeta.dat
C:\WINDOWS\olyhyhogu.db
C:\Programme\Gemeinsame Dateien\jozagura.inf
C:\Programme\Gemeinsame Dateien\iceh.com
C:\Programme\Gemeinsame Dateien\agapawycar.pif

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
Klicke: Execute
bestätige, dass der Rechner neu gestartet wird - klicke "yes"


nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Hallo Provisitor - Danke für deinen Hinweis!

Allerdings ist das Log vom ComboFix noch vor dem HichJackThis scan erstellt worden...ich weiss nicht genau, wo du den Eintrag gesehen hast, jedenfalls sehen alle bisherigen scans (HJT, MBAM) gut aus.
Ich hoffe, das wars jetzt auch!

Bin auf die Antwort von Arnold gespannt...

#13 Hallo Caarsten

ich hab dir ein Avenger-Log erstellt - wende es an + poste den report nach neustart

dann poste gleich noch ein neues Log von Combofix hinterher
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hi Sabina - Danke für das Avenger-Log - hat nicht gleich geklappt. Ein kleiner Doppelpunkt in der ersten Zeile..... :-) ...aber nun:

******************************************************
AVENGER REPORT


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Thu Aug 21 00:43:16 2008

00:43:16: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open driver "Jos37.sys"
Disablement of driver "Jos37.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\Jos37.sys" not found!
Deletion of driver "Jos37.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Jos37.sys" deleted successfully.
File "C:\WINDOWS\system32\cebywizam._dl" deleted successfully.
File "C:\WINDOWS\system32\dotu.reg" deleted successfully.
File "C:\WINDOWS\system32\oxekabukiq.bin" deleted successfully.
File "C:\WINDOWS\system32\zobumicyl.bin" deleted successfully.
File "C:\WINDOWS\system32\ebebydafo.com" deleted successfully.
File "C:\WINDOWS\system32\kosynevys.db" deleted successfully.
File "C:\WINDOWS\system32\warudofop.ban" deleted successfully.
File "C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\avom.pif" deleted successfully.
File "C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\xutak.vbs" deleted successfully.
File "C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\tyga.dat" deleted successfully.
File "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\batugy.dll" deleted successfully.
File "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\xipexaxobo.reg" deleted successfully.
File "C:\WINDOWS\dufynef.lib" deleted successfully.
File "C:\WINDOWS\ronyfa.bin" deleted successfully.
File "C:\WINDOWS\afeta.dat" deleted successfully.
File "C:\WINDOWS\olyhyhogu.db" deleted successfully.
File "C:\Programme\Gemeinsame Dateien\jozagura.inf" deleted successfully.
File "C:\Programme\Gemeinsame Dateien\iceh.com" deleted successfully.
File "C:\Programme\Gemeinsame Dateien\agapawycar.pif" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.



************************************************

AKTUELLER COMBOFIX REPORT
ComboFix 08-08-19.03 - Adriana 2008-08-21 0:49:27.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.658 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Adriana\Desktop\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-07-20 bis 2008-08-20 ))))))))))))))))))))))))))))))
.

2008-08-21 00:38 . 2008-08-21 00:38 <DIR> d-------- C:\WINDOWS\LastGood
2008-08-21 00:02 . 2008-08-21 00:02 <DIR> d-------- C:\WINDOWS\system32\de
2008-08-21 00:02 . 2008-08-21 00:02 <DIR> d-------- C:\WINDOWS\l2schemas
2008-08-20 23:53 . 2008-08-21 00:10 2,675 --a------ C:\WINDOWS\imsins.BAK
2008-08-20 23:39 . 2008-04-14 04:22 1,306,624 --------- C:\WINDOWS\system32\msxml6.dll
2008-08-20 23:38 . 2008-04-14 04:22 786,432 -----c--- C:\WINDOWS\system32\dllcache\migrate.exe
2008-08-20 22:52 . 2008-08-20 22:52 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-20 22:52 . 2008-08-20 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-20 22:52 . 2008-08-20 22:52 <DIR> d-------- C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\Malwarebytes
2008-08-20 22:52 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-20 22:52 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-20 22:04 . 2008-08-20 22:04 <DIR> d-------- C:\Program Files
2008-08-20 18:25 . 2008-08-20 18:25 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-08-20 18:12 . 2007-12-26 19:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-08-20 18:12 . 2007-12-26 19:00 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-08-20 18:12 . 2007-12-26 19:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-08-20 18:12 . 2008-08-21 00:51 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-08-20 18:12 . 2007-12-26 19:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-08-20 18:12 . 2007-12-26 19:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-08-20 18:12 . 2008-08-20 18:59 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-08-20 18:12 . 2008-08-20 18:25 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-08-15 22:12 . 2008-08-15 22:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hewlett-Packard
2008-08-15 22:12 . 2007-01-05 14:07 327,680 -ra------ C:\WINDOWS\system32\hppepr02.dll
2008-08-15 22:12 . 2008-08-15 22:12 3,648 --a------ C:\WINDOWS\hpbvnstp.his
2008-08-15 22:12 . 2008-08-15 22:12 1,100 --a------ C:\WINDOWS\hpbvnstp.ini
2008-08-15 22:12 . 2008-08-15 22:13 659 --a------ C:\WINDOWS\hpbvspst.his
2008-08-15 22:12 . 2008-08-15 22:13 318 --a------ C:\WINDOWS\hpbvspst.ini
2008-08-15 22:11 . 2006-09-06 15:42 237,568 -ra------ C:\WINDOWS\system32\hppapr02.dll
2008-08-15 22:11 . 2007-01-05 14:07 188,416 -ra------ C:\WINDOWS\system32\hppcew02.dll
2008-08-15 22:11 . 2007-04-12 14:46 23,968 -ra------ C:\WINDOWS\system32\drivers\hpfxgen.sys
2008-08-15 22:11 . 2007-04-12 14:46 16,288 -ra------ C:\WINDOWS\system32\drivers\hpfxbulk.sys
2008-08-15 22:11 . 2006-09-06 15:41 600 -ra------ C:\WINDOWS\system32\hppapr02.dat
2008-08-15 21:12 . 2001-08-23 14:00 4,224 --a------ C:\WINDOWS\system32\drivers\beep.sys
2008-08-15 21:12 . 2001-08-23 14:00 4,224 --a--c--- C:\WINDOWS\system32\dllcache\beep.sys
2008-08-15 20:37 . 2008-05-01 16:34 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-15 20:32 . 2008-08-15 20:32 <DIR> d-------- C:\Programme\Avira
2008-08-13 20:40 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-12 16:18 . 2008-08-12 16:18 <DIR> d-------- C:\Dokumente und Einstellungen\Adriana\Microsoft.VC80.CRT
2008-08-12 16:18 . 2008-08-12 16:18 <DIR> d-------- C:\Dokumente und Einstellungen\Adriana\data
2008-08-12 16:18 . 2007-12-28 20:10 598,528 --a------ C:\Dokumente und Einstellungen\Adriana\htmlayout.dll
2008-08-12 16:18 . 2008-08-12 16:18 102,400 --a------ C:\Dokumente und Einstellungen\Adriana\unzip32.dll

???????????????????????????????????????????????????????????????????????
2008-08-12 16:18 . 2006-12-22 02:07 86,070 --a------ C:\Dokumente und Einstellungen\Adriana\pthreadVC2.dll
http://ca.com/at/securityadvisor/pest/pest.aspx?id=453125466
WinReanimator - Rogue Security Software

Zitat

%program_files%\winreanimator\winreanimator.dll
%program_files%\winreanimator\unzip32.dll
%program_files%\winreanimator\pthreadvc2.dll
%program_files%\winreanimator\microsoft.vc80.crt\msvcr80.dll
%program_files%\winreanimator\microsoft.vc80.crt\msvcp80.dll
%windows%\huzami.dll
%program_files%\winreanimator\htmlayout.dll
%program_files%\winreanimator\microsoft.vc80.crt\msvcm80.dll

2008-08-07 14:29 . 2008-08-07 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\WEB.DE
2008-08-07 14:28 . 2008-08-07 14:28 <DIR> d-------- C:\Programme\WEB.DE
2008-08-07 14:28 . 2008-08-07 14:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WEB.DE
2008-08-07 14:28 . 2008-04-01 13:03 90,112 --a------ C:\WINDOWS\system32\UIWEBMON.DLL
2008-08-04 16:10 . 2008-08-04 16:10 20,336 --a------ C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\GDIPFONTCACHEV1.DAT

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-15 18:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-19 09:42 --------- d-----w C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\InterVideo
2008-07-15 05:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-27 12:12 21,035 ----a-w C:\WINDOWS\system32\drivers\AegisP.sys
2008-06-27 12:12 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-27 12:12 --------- d-----w C:\Programme\Wireless Network Utility
2008-06-27 12:12 --------- d-----w C:\Dokumente und Einstellungen\Adriana\Anwendungsdaten\InstallShield
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-21 12:59 --------- d-----w C:\Programme\IEEE 802.11b WLAN Utility(USB)
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StorageGuard"="C:\Programme\VERITAS Software\Update Manager\sgtray.exe" [2002-06-18 01:01 155648]
"TPKMAPHELPER"="C:\Programme\ThinkPad\Utilities\TpKmapAp.exe" [2007-01-09 17:28 868352]
"TPHOTKEY"="C:\PROGRA~1\Lenovo\PkgMgr\HOTKEY\TPHKMGR.exe" [2006-10-02 11:19 94208]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-06-24 15:34 126976]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-06-24 15:33 561152]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 09:38 241664]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 14:28 266497]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-27 09:53 88363 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 04:22 15360]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]
Wireless Network Utility.lnk - C:\Programme\Wireless Network Utility\RtWLan.exe [2008-06-27 14:12:16 794624]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispBackgroundPage"= 1 (0x1)
"NoDispScrSavPage"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tpfnf2]
2005-07-06 00:45 28672 C:\WINDOWS\system32\notifyf2.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2005-11-30 21:16 24576 C:\WINDOWS\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\NetMeeting\\conf.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 EAPPkt;Realtek EAPPkt Protocol;C:\WINDOWS\system32\DRIVERS\EAPPkt.sys [2006-11-15 16:23]
S0 Jos37;Jos37;C:\WINDOWS\system32\Drivers\Jos37.sys []
S3 HPFXBULK;HPFXBULK;C:\WINDOWS\system32\drivers\hpfxbulk.sys [2007-04-12 14:46]
S3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187B.sys [2007-06-01 07:06]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f612a580-6d4f-11dd-b1ba-000124b3c2bc}]
\Shell\AutoRun\command - E:\Menu.exe

*Newly Created Service* - CATCHME
.
.
------- Zusätzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com
R0 -: HKLM-Main,Start Page = hxxp://www.google.com
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-21 00:51:28
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\tphklock.dll
.
Zeit der Fertigstellung: 2008-08-21 0:52:34
ComboFix-quarantined-files.txt 2008-08-20 22:52:31

Pre-Run: 9 Verzeichnis(se), 68,729,044,992 Bytes frei
Post-Run: 11 Verzeichnis(se), 68,720,881,664 Bytes frei

152 --- E O F --- 2008-08-15 19:25:03

#15 ««
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag

------------

««
http://virus-protect.org/artikel/tools/regsearch.html

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Jos37

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit