Probleme mit Viren und Trojanern

#0
21.08.2008, 10:25
...neu hier

Beiträge: 5
#1 Hallo, ihr seid meine letzte Rettung. Habe mich schon auf anderen Seiten versucht, aber mein Pc bekomme ich nicht sauber. Habe mir vor einigen Tagen einen Virus eingefangen. Es kamen immer Meldungen von Remove Antivirus 2008, Pc Privacy Cleaner usw. zum scan und kauf dieser Software. Weiter habe ich noch eine Meldung von Windows das die automatischen Updates deaktiviert sind, obwohl diese in den einstellungen aktiviert sind.De Vielleicht könnt ihr mir Helfen CCleaner habe ich ausgeführt. anbei noch smaud..combo fix geht irgenwie nicht. Ich bin Anfänger .hier ist mein highjackfiles Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:55:38, on 21.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\T-Online\DSL-Manager\DslMgr.exe
C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.13\AMVConverter\grab.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.13\MediaManager\grab.html
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .avi: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106920481828
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe

--SmitFraudFix v2.338

Scan done at 2:13:25,54, 21.08.2008
Run from C:\Dokumente und Einstellungen\Torsten Hirche\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\T-Online\DSL-Manager\DslMgr.exe
C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe
C:\Programme\CCleaner\CCleaner.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Torsten Hirche


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Torsten Hirche\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\TORSTE~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!



»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA Rhine II Fast Ethernet Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

Description: Sinus 1054 data #3 - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C63631E2-A5A4-4CCD-83C2-1FB047753A30}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{C99EF27A-579D-4B3E-9272-23F7B5BFF7AA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C63631E2-A5A4-4CCD-83C2-1FB047753A30}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C99EF27A-579D-4B3E-9272-23F7B5BFF7AA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E07B3D64-4269-4912-AEC6-A014247B34AA}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C63631E2-A5A4-4CCD-83C2-1FB047753A30}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C99EF27A-579D-4B3E-9272-23F7B5BFF7AA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C63631E2-A5A4-4CCD-83C2-1FB047753A30}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{C99EF27A-579D-4B3E-9272-23F7B5BFF7AA}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


[/b]
Seitenanfang Seitenende
21.08.2008, 11:05
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo Balou

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Wende Combofix an (Warnmeldung wegklicken) und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.08.2008, 14:17
...neu hier

Themenstarter

Beiträge: 5
#3 hallo Sabrina
hier das Logfile von Malware. combofix lässt sich nicht ausführen. Meldung
you can not rename combofix as combofix 1. Please use another name...
Proaktiver schutz von kapersky meldet "hidden install"
Vielen Dank für deine Mühe MfG voraus Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1075
Windows 5.1.2600 Service Pack 2

14:00:07 21.08.2008
mbam-log-08-21-2008 (14-00-05).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 147431
Laufzeit: 1 hour(s), 49 minute(s), 23 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 19
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 17

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\awtQJbXr.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\fccaxWNd.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{661778f7-cdda-4611-99b0-43245c7e971d} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\fccaxwnd (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{661778f7-cdda-4611-99b0-43245c7e971d} (Trojan.Vundo.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d4698964-c4e0-4ffc-a12c-dda17f5b43e2} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d4698964-c4e0-4ffc-a12c-dda17f5b43e2} (Trojan.Vundo.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\{65de966d-11d1-4bb1-bf7e-b8a273514daf} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\PCPrivacyCleaner (Rogue.PCPrivacyCleaner) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\AntiSpywareExpert (Rogue.AntiSpywareExpert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\vwsrfton.bmaf (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\vwsrfton.toolbar.1 (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{661778f7-cdda-4611-99b0-43245c7e971d} (Trojan.Vundo) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\awtqjbxr -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\awtqjbxr -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\fccaxWNd.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\awtQJbXr.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\rXbJQtwa.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\rXbJQtwa.ini2 (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\ejsqwdea.dll (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\aedwqsje.ini (Trojan.Vundo.H) -> No action taken.
C:\WINDOWS\system32\aedwqsje.ini2 (Trojan.Vundo.H) -> No action taken.
C:\Dokumente und Einstellungen\Heike Hirche\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y3UW7JFA\kb767887[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Heike Hirche\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ZSON7DP3\kb456456[1] (Trojan.Vundo.H) -> No action taken.
C:\System Volume Information\_restore{26F25519-1DC7-4E32-8312-A4F988E316A9}\RP419\A0169850.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{26F25519-1DC7-4E32-8312-A4F988E316A9}\RP419\A0169923.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hgGwWQhh.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\htwbpwwo.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\qzltsy.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken.
C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\Torsten Hirche\Anwendungsdaten\TmpRecentIcons\PCPrivacyCleaner.lnk (Rogue.Link) -> No action taken.
l"
Seitenanfang Seitenende
21.08.2008, 14:29
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Rechtsklick auf http://download.bleepingcomputer.com/sUBs/ComboFix.exe 'Speichern unter' auf dem Desktop.
__________
MfG Argus
Seitenanfang Seitenende
21.08.2008, 14:40
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 bevor du die Combofix wie beschrieben anwendest, lasse Malwarebytes alles gefundene entfernen
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
21.08.2008, 17:16
...neu hier

Themenstarter

Beiträge: 5
#6 Hallo Sabrina, die Nachricht mit der Malware konnte ich nicht meehr realiesieren, da lief Combofix schon. Es scheint, als ob mein Pc wieder so laüft wie vor der Virenattacke. MfG Balou ComboFix 08-08-19.06 - Torsten Hirche 2008-08-21 15:06:13.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.196 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Torsten Hirche\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Heike Hirche\Cookies\heike_hirche@ads.heias[1].txt
C:\Dokumente und Einstellungen\Heike Hirche\Cookies\heike_hirche@indextools[1].txt
C:\Dokumente und Einstellungen\Heike Hirche\Lokale Einstellungen\Temporary Internet Files\webex.ini
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\aedwqsje.ini
C:\WINDOWS\system32\aedwqsje.ini2
C:\WINDOWS\system32\aedwqsje.tmp
C:\WINDOWS\system32\awtQJbXr.dll
C:\WINDOWS\system32\ejsqwdea.dll
C:\WINDOWS\system32\fccaxWNd.dll
C:\WINDOWS\system32\hgGwWQhh.dll
C:\WINDOWS\system32\htwbpwwo.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\pvoypbno.ini
C:\WINDOWS\system32\qzltsy.dll
C:\WINDOWS\system32\rXbJQtwa.ini
C:\WINDOWS\system32\rXbJQtwa.ini2
C:\WINDOWS\system32\xyhqddmy.ini
C:\WINDOWS\system32\yufecwej.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-21 bis 2008-08-21 ))))))))))))))))))))))))))))))
.

2008-08-21 11:15 . 2008-08-21 11:16 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-21 11:15 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-21 11:15 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-21 02:13 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-08-21 02:13 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-08-21 02:13 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-08-21 02:13 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-08-21 02:13 . 2008-08-14 21:52 82,432 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-08-21 02:13 . 2008-08-18 12:19 82,432 --a------ C:\WINDOWS\system32\404Fix.exe
2008-08-21 02:13 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-08-21 02:13 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-08-21 02:13 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-08-21 02:10 . 2008-08-21 02:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-08-21 01:53 . 2008-08-21 01:53 <DIR> d-------- C:\Programme\Yahoo!
2008-08-21 01:53 . 2008-08-21 01:54 <DIR> d-------- C:\Programme\CCleaner
2008-08-21 01:04 . 2008-08-21 01:04 <DIR> d-------- C:\Programme\Trend Micro
2008-08-20 20:24 . 2008-08-20 20:24 <DIR> d-------- C:\Dokumente und Einstellungen\Torsten Hirche\Anwendungsdaten\Malwarebytes
2008-08-20 20:23 . 2008-08-20 20:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-20 17:54 . 2008-08-20 17:54 <DIR> d-------- C:\Dokumente und Einstellungen\Heike Hirche\Anwendungsdaten\TuneUp Software
2008-08-20 15:54 . 2008-08-20 15:54 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.TORSTENHIRCHE\Eigene Dateien
2008-08-20 15:50 . 2008-08-20 15:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.TORSTENHIRCHE\Vorlagen
2008-08-20 15:50 . 2007-09-25 19:24 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.TORSTENHIRCHE\Startmen
2008-08-20 15:50 . 2008-08-21 16:26 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.TORSTENHIRCHE\Lokale Einstellungen
2008-08-20 15:50 . 2008-08-20 15:50 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.TORSTENHIRCHE\Favoriten
2008-08-20 15:50 . 2008-08-20 15:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.TORSTENHIRCHE\Anwendungsdaten
2008-08-20 15:50 . 2008-08-20 15:54 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.TORSTENHIRCHE
2008-08-20 15:12 . 2008-08-21 02:23 3,680 --a------ C:\WINDOWS\system32\tmp.reg
2008-08-20 09:27 . 2008-08-20 12:55 <DIR> d-------- C:\Programme\Fighters
2008-08-20 09:27 . 2008-08-20 09:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Fighters
2008-08-20 09:01 . 2008-08-20 09:06 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-19 23:14 . 2008-08-19 23:14 <DIR> d-------- C:\Programme\Gemeinsame Dateien\BDElster
2008-08-19 20:02 . 2008-08-19 22:24 2,560 --a------ C:\WINDOWS\system32\drivers\mchInjDrv.sys
2008-08-18 11:00 . 2008-08-18 11:39 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-08-18 11:00 . 2008-08-18 11:39 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-08-18 10:48 . 2008-08-18 10:48 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-08-18 10:48 . 2008-08-21 09:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-18 10:48 . 2008-08-21 16:53 4,917,280 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-18 10:48 . 2008-08-21 16:49 66,380 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-18 10:48 . 2008-08-21 16:51 47,392 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-18 10:48 . 2008-08-21 16:49 5,396 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-08-18 09:43 . 2008-08-18 09:43 <DIR> d-------- C:\WINDOWS\DA15D5355E1D4076B5208571346D6238.TMP
2008-08-17 16:21 . 2008-08-19 17:31 <DIR> d-------- C:\Dokumente und Einstellungen\Torsten Hirche\Anwendungsdaten\skypePM
2008-08-17 14:34 . 2008-08-17 14:34 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2008-08-17 14:25 . 2008-08-17 14:25 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-08-17 14:25 . 2008-08-21 16:26 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-08-17 14:25 . 2008-08-17 14:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-08-17 14:25 . 2008-08-17 16:19 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator
2008-08-16 10:56 . 2008-08-16 10:56 303 --a------ C:\WINDOWS\ST6UNST.002
2008-08-16 10:15 . 2008-08-16 10:15 303 --a------ C:\WINDOWS\ST6UNST.001
2008-08-16 10:13 . 2008-08-16 10:13 303 --a------ C:\WINDOWS\ST6UNST.000
2008-08-15 20:49 . 2008-08-17 11:02 <DIR> d-------- C:\Dokumente und Einstellungen\Torsten Hirche\Anwendungsdaten\skypePM(2)
2008-08-05 21:04 . 2008-08-06 22:37 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-20 20:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-08-20 15:56 --------- d-----w C:\Dokumente und Einstellungen\Heike Hirche\Anwendungsdaten\Skype
2008-08-20 14:47 --------- d-----w C:\Dokumente und Einstellungen\Heike Hirche\Anwendungsdaten\skypePM
2008-08-19 22:18 --------- d-----w C:\Dokumente und Einstellungen\Torsten Hirche\Anwendungsdaten\Skype
2008-08-19 20:32 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-17 14:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-08-17 12:40 --------- d-----w C:\Programme\TuneUp Utilities 2007
2008-08-15 20:18 --------- d-----w C:\Programme\Ashampoo
2008-07-03 22:06 --------- d-----w C:\Dokumente und Einstellungen\Torsten Hirche\Anwendungsdaten\foobar2000
2008-07-02 19:14 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kodak
2008-06-26 22:42 --------- d-----w C:\Programme\Microsoft ActiveSync
2007-10-22 15:07 552,960 ----a-w C:\Programme\lame.exe
2005-12-17 20:47 6,464 ----a-w C:\Programme\ReadMe.txt
2005-09-03 11:56 37 ----a-w C:\Dokumente und Einstellungen\Torsten Hirche\getfile.dat
2003-02-28 11:32 11,776 ----a-w C:\WINDOWS\inf\dt1054dataoem_wxp.exe
2002-11-14 21:32 55,808 ----a-w C:\WINDOWS\inf\devcon1054data.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-23 19:42 68856]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-01-28 16:31 98304]
"AudioDeck"="C:\Programme\VIAudioi\SBADeck\ADeck.exe" [2004-09-30 08:44 7957504]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-03-24 11:04 3309568]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2004-03-24 11:04 3309568 C:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 mchInjDrv;madCodeHook DLL injection driver;C:\WINDOWS\system32\Drivers\mchInjDrv.sys [2008-08-19 22:24]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 01:58]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 14:28]
R3 SNP2STD;USB2.0 PC Camera (SNP2STD);C:\WINDOWS\system32\DRIVERS\snp2sxp.sys [2006-12-08 13:57]
R3 TDslMgrService;DSL-Manager;C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe [2007-11-26 15:50]
R3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2007-06-26 12:53]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [2007-09-12 18:24]
S3 efipsk;efipsk;C:\DOKUME~1\TORSTE~1\LOKALE~1\Temp\efipsk.sys []
S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys []
S3 teamviewervpn;TeamViewer VPN Adapter;C:\WINDOWS\system32\DRIVERS\teamviewervpn.sys [2008-01-25 11:12]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-08-15 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-26 21:08]
.
.
------- Zus„tzlicher Scan -------
.
O8 -: Add to AMV Converter... - C:\Programme\MP3 Player Utilities 4.13\AMVConverter\grab.html
O8 -: MediaManager tool grab multimedia file - C:\Programme\MP3 Player Utilities 4.13\MediaManager\grab.html
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-21 16:51:41
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\T-Online\DSL-Manager\DslMgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-21 17:01:14 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-21 15:01:05

Pre-Run: 9 Verzeichnis(se), 37,082,783,744 Bytes frei
Post-Run: 12 Verzeichnis(se), 37,467,250,688 Bytes frei

182 --- E O F --- 2008-07-09 19:41:50
Seitenanfang Seitenende
21.08.2008, 17:27
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#7 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

OTMoveIt.exe
Download OTMoveIt2 zum Desktop
Starte OTMoveIt und klicke den CleanUp! button
Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes
so wird von OTMoveIt2 automatisch alles an Tools entfernt, die zur Virenreinigung geladen wurden.
http://virus-protect.org/artikel/tools/otmoveIt.html
__________
MfG Argus
Seitenanfang Seitenende
21.08.2008, 17:31
...neu hier

Themenstarter

Beiträge: 5
#8 Ist jetzt alles wieder ok oder kann man noch was tun
Mfg Balou
Seitenanfang Seitenende
21.08.2008, 18:07
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#9 Es ist sehr wichtig dein System up-to-date zu halten
Und klicke nicht auf E-mails über Britney Spears und Paris Hilton ;)
__________
MfG Argus
Seitenanfang Seitenende
21.08.2008, 18:19
...neu hier

Themenstarter

Beiträge: 5
#10 Es ist echt super, daß ihr mir so verdammt schnell und unkompliziert geholfen habt. SUPER !!!!!!!! Vielen Dank MfG Balou
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: