Home » Spyware & Browser Hijacker Support Forum » Anti Spywareprogramm ist Virus » Themenansicht

Anti Spywareprogramm ist Virus
#0
27.08.2008, 22:28
Dasmo
Member

Beiträge: 104
#1 Hallo erstmal

Hab ein Problem mit einem Trojaner.
Hab letzte tage ein Spiel vom Kollegen bekommen und nach dem Entpacken wollte ich es installiernen.Da ging es los.Mein Spybot meldete aufeinmal nur noch irgentwelche zugriffe, mein Antivir hat auch angeschlagen und schnell zeigten sich auch die ersten veränderungen am pc.

Wie z.B. Unter Arbeitsplatz war meine Festplatte nicht mehr angezeigt.
Im Startmenü waren keinerlei Programme mehr zu sehen.
Und neben der Zeitanzeige stand "Virus Alert"
Und es Öffnete sich immer ein Antispyware programm was ich garnicht
installiert habe.

Habe die Programme wie in der Threat anleitung durchgeführt.
Die Festplatte wird wieder angezeigt und die anderen fehler sind wohl auch wieder ok aber mein Antivir meldet "Signatur des VBS-Scriptvirus VBS/Click.A"



Hier meine LOGs

COMBOFIX:

ComboFix 08-08-25.01 - Administrator 2008-08-26 18:59:33.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.725 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe\crc.dat
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Adobe\Manager.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\as2008xp.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP\LOG\20080825215831536.log
C:\WINDOWS\emwl.exe
C:\WINDOWS\system32\HOqtBJjl.ini
C:\WINDOWS\system32\HOqtBJjl.ini2
C:\WINDOWS\system32\jduqanim.dll
C:\WINDOWS\system32\limcxvhb.dll
C:\WINDOWS\system32\minaqudj.ini
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\pmnkKbya.dll
C:\WINDOWS\system32\ypudnh.dll

----- BITS: Eventuell infizierte Webseiten -----

http://hqsextube08.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-07-26 bis 2008-08-26 ))))))))))))))))))))))))))))))
.

2008-08-25 22:03 . 2008-08-25 22:03 71,168 --a------ C:\WINDOWS\system32\msvbcr40.dll
2008-08-25 21:58 . 2008-08-25 21:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\services
2008-08-25 21:56 . 2008-08-25 18:13 368,640 --a------ C:\WINDOWS\rodqgpvlndk.dll
2008-08-25 21:56 . 2008-08-25 18:13 233,472 --a------ C:\WINDOWS\pdoskegl.dll
2008-08-25 21:56 . 2008-08-25 18:13 188,416 --a------ C:\WINDOWS\rqbmvpso.dll
2008-08-25 21:56 . 2008-08-25 18:13 155,648 --a------ C:\WINDOWS\qalkfxor.dll
2008-08-25 21:56 . 2008-08-25 21:56 126,976 --a------ C:\WINDOWS\kx19538.dll
2008-08-25 21:56 . 2008-08-25 18:13 86,016 --a------ C:\WINDOWS\rvoelbxt.exe
2008-07-31 22:23 . 2004-05-10 13:14 118,272 --a------ C:\WINDOWS\system32\SX5363S.DLL
2008-07-31 22:23 . 2004-05-10 13:14 102,400 --a------ C:\WINDOWS\system32\RV32RTP.dll
2008-07-31 22:23 . 2004-05-10 13:15 40 --a------ C:\WINDOWS\system32\Sx5363.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-26 16:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-26 16:49 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-08-25 20:25 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-25 18:17 --------- d-----w C:\Programme\Ubisoft
2008-08-25 11:34 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\BitTorrent
2008-08-25 09:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-07-19 20:11 --------- d-----w C:\Programme\Microsoft Picture It! 10
2008-07-17 17:42 --------- d-----w C:\Programme\Google
2008-07-14 21:00 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-07-02 17:49 --------- d-----w C:\Programme\ICQ6
2008-07-02 17:49 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
2008-07-02 17:42 --------- d-----w C:\Programme\ICQLite
2008-06-30 20:39 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Hamachi
2008-06-12 19:28 107,832 -c--a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-06-05 04:48 54,192 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-05-22 16:56 87,608 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ezpinst.exe
2007-05-22 16:56 47,360 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.sys
.

------- Sigcheck -------

2004-11-11 14:00 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\system32\svchost.exe
2004-11-11 14:00 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\system32\dllcache\svchost.exe

2004-11-11 14:00 578560 56785fd5236d7b22cf471a6da9db46d8 C:\WINDOWS\system32\user32.dll
2004-11-11 14:00 578560 56785fd5236d7b22cf471a6da9db46d8 C:\WINDOWS\system32\dllcache\user32.dll

2004-11-11 14:00 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\system32\ws2_32.dll
2004-11-11 14:00 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\system32\dllcache\ws2_32.dll

2004-11-11 14:00 662016 b1a1da99c4a6ebfd59f86a453bf02f39 C:\WINDOWS\system32\wininet.dll
2004-11-11 14:00 662016 b1a1da99c4a6ebfd59f86a453bf02f39 C:\WINDOWS\system32\dllcache\wininet.dll

2004-11-11 14:00 359040 09eb23a4567bdd56d9580a059e616e23 C:\WINDOWS\system32\drivers\tcpip.sys

2004-11-11 14:00 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\system32\winlogon.exe
2004-11-11 14:00 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\system32\dllcache\winlogon.exe

2004-11-11 14:00 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\dllcache\ndis.sys
2004-11-11 14:00 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys

2004-11-11 14:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\dllcache\ip6fw.sys
2004-11-11 14:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys

2004-11-11 14:00 2059136 ce41fc4c06499a389d39b301879535fb C:\WINDOWS\system32\ntkrnlpa.exe

2004-11-11 14:00 2183296 dc888c9c4ca0eea7a3cb7e6b610f75c7 C:\WINDOWS\system32\ntoskrnl.exe

2004-11-11 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\explorer.exe
2004-11-11 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\system32\dllcache\explorer.exe

2004-11-11 14:00 108544 edb6b81761bd60f32f740bbc40afb676 C:\WINDOWS\system32\services.exe
2004-11-11 14:00 108544 edb6b81761bd60f32f740bbc40afb676 C:\WINDOWS\system32\dllcache\services.exe

2004-11-11 14:00 13312 183805eb05bca5a1e4aaaed4d2be3690 C:\WINDOWS\system32\lsass.exe
2004-11-11 14:00 13312 183805eb05bca5a1e4aaaed4d2be3690 C:\WINDOWS\system32\dllcache\lsass.exe

2004-11-11 14:00 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\system32\ctfmon.exe
2004-11-11 14:00 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\system32\dllcache\ctfmon.exe

2004-11-11 14:00 57856 54e7113a4bd696e430919bcaf5c65e06 C:\WINDOWS\system32\spoolsv.exe
2004-11-11 14:00 57856 54e7113a4bd696e430919bcaf5c65e06 C:\WINDOWS\system32\dllcache\spoolsv.exe

2004-11-11 14:00 111616 032ca12162e89e545356525554ea12a7 C:\WINDOWS\system32\wuauclt.exe
2004-11-11 14:00 111616 032ca12162e89e545356525554ea12a7 C:\WINDOWS\system32\dllcache\wuauclt.exe

2004-11-11 14:00 25088 d1e53dc57143f2584b1dd53b036c0633 C:\WINDOWS\system32\userinit.exe
2004-11-11 14:00 25088 d1e53dc57143f2584b1dd53b036c0633 C:\WINDOWS\system32\dllcache\userinit.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{883E162E-56D8-4AB3-85BE-F69B9FC89082}]
2008-08-25 18:13 368640 --a------ C:\WINDOWS\rodqgpvlndk.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 14:00 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-08-18 18:41 1832272]
"BitTorrent"="C:\Programme\BitTorrent\bittorrent.exe" [2007-09-08 01:01 43008]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-04-01 11:39 486856]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-07-17 19:41 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-21 10:22 327720]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24 286720]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-02-19 02:16 180269]
"snpstd"="C:\WINDOWS\vsnpstd.exe" [2003-12-31 18:39 40960]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 21:33 57344]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 12:46 46592 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"rqbmvpso"= {0F827232-DADB-4965-80B4-2674EBEFCD01} - C:\WINDOWS\rqbmvpso.dll [2008-08-25 18:13 188416]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
"Microsoft Works Update Detection"=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Spiele\\EA GAMES\\Battlefield Vietnam\\BfVietnam.exe"=
"C:\\Spiele\\EA GAMES\\Battlefield 2\\BF2ServerLauncher.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\Programme\\Hamachi\\hamachi.exe"=
"C:\\Programme\\Google\\Google Earth\\googleearth.exe"=
"C:\\Spiele\\Ubisoft\\Silent Hunter 4 Wolves of the Pacific\\sh4.exe"=
"C:\\Spiele\\EA GAMES\\Battlefield 2\\BF2.exe"=
"C:\\Spiele\\Firefly Studios\\CivCity Rom\\CivCity Rome.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Spiele\\Ubisoft\\IL-2 Sturmovik 1946\\il2fb.exe"=
"C:\\Programme\\Lavasoft\\Ad-Aware SE Personal\\Ad-Aware.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\amcap.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\Spiele\Gameforge4D\AirRivalsDe\Launcher.atm"= C:\Spiele\Gameforge4D\AirRivalsDe\Launcher.atm:Enabled:GameExe2
"C:\Spiele\Gameforge4D\AirRivalsDe\Res-Voip\SCVoIP.exe"= C:\Spiele\Gameforge4D\AirRivalsDe\Res-Voip\SCVoIP.exe:Enabled:GameVoIP

R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys [2005-05-05 21:38]
R2 LicCtrlService;LicCtrl Service;C:\WINDOWS\runservice.exe [2007-07-27 11:20]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 14:14]
R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-05-05 21:35]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 14:15]
S3 PDNETCTL;ProDyne MicroPPPoE;C:\WINDOWS\system32\DRIVERS\pdnetctl.sys [2005-09-07 23:09]
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

BHO-{CCC410B8-0CF7-4790-B5CB-0BC77D1548E2} - C:\WINDOWS\system32\ljJBtqOH.dll
ShellExecuteHooks-{74CE56FF-3469-47C0-93E1-D0CB8B203EA9} - C:\WINDOWS\system32\ljJBurqN.dll
Notify-ljJBurqN - ljJBurqN.dll


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ucbhph69.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-26 19:03:37
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-26 19:24:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-26 17:24:12

Pre-Run: 9 Verzeichnis(se), 15,020,363,776 Bytes frei
Post-Run: 12 Verzeichnis(se), 14,928,654,336 Bytes frei

190


HIJACK:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:59, on 27.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\runservice.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Hijackthis\HjT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/german/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.divx.com/divx/webplayerdemo/de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: QXK Olive - {883E162E-56D8-4AB3-85BE-F69B9FC89082} - C:\WINDOWS\rodqgpvlndk.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [ATICustomerCare] "C:\Programme\ATI\ATICustomerCare\ATICustomerCare.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA5AFF63-5E95-429D-83F9-1C1C2B15DF46}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: rqbmvpso - {0F827232-DADB-4965-80B4-2674EBEFCD01} - C:\WINDOWS\rqbmvpso.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 6995 bytes


UNINSTALL LOG:

Ad-Aware SE Personal
Adobe Flash Player 9 ActiveX
Adobe Flash Player Plugin
Adobe Reader 8 - Deutsch
Adobe® Photoshop® Album Starter Edition 3.0
AGEIA PhysX v7.07.09
AirRivalsDe 1.0.0.22
Alice-Installationsdateien entfernen
American McGee's Alice(tm)
Apple Software Update
Ashampoo Burning Studio 7
ATI - Software Uninstall Utility
ATI Catalyst Control Center
ATI Catalyst Registration
ATI Display Driver
ATI Parental Control & Encoder
Avira AntiVir PersonalEdition Classic
AVIVO Codecs
AVS DVDMenu Editor 1.0.0.5
AVS Video Tools 5.5
Battlefield 2(TM)
Battlefield Vietnam(TM)
BitTorrent 5.0.9
Call of Duty(R) 2
CCleaner (remove only)
CivCity
DH Driver Cleaner Professional Edition
DivX Codec
DivX Content Uploader
DivX Converter
DivX Player
DivX Web Player
Doom 3
EVEREST Home Edition v2.20
Fraps (remove only)
Google Earth
Google Toolbar for Firefox
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
Google Updater
Hamachi 1.0.2.5
HijackThis 2.0.2
HP Image Zone Express
ICQ6
IL-2 Sturmovik 1946
IrfanView (remove only)
Java 2 Runtime Environment Standard Edition 1.3.1_18
Java(TM) 6 Update 3
Java(TM) SE Runtime Environment 6 Update 1
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0
Microsoft Picture It! Foto 7.0
Microsoft Picture It! Foto Premium 10
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2005 Redistributable
Microsoft Word 2002
Microsoft Works 2003-Setup-Start
Microsoft Works 7.0
Microsoft Works Suite-Add-Ins für Microsoft Word
Mozilla Firefox (2.0.0.16)
MSVC80_x86
MUSICMATCH Jukebox
Nero Suite
New PowerCinema
PowerCinema
PowerDirector
PowerDVD
PunkBuster für Battlefield Vietnam
QuickTime
RealPlayer
Rome - Total War - Gold Edition
SHOUTcast Source DSP 1.9.0 (remove only)
Silent Hunter 4 Wolves of the Pacific
Sitecom USB EasyCam VP-001
Skype™ 3.5
Spybot - Search & Destroy
Spybot - Search & Destroy 1.5.2.20
Strategic Command 2 Blitzkrieg
TeamSpeak 2 RC2
Winamp (remove only)
Windows Installer 3.1 (KB893803)
Windows Media Format Runtime
WinRAR Archivierer


DATFIND:

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E89C-1000

Verzeichnis von C:\WINDOWS\system32

27.08.2008 19:48 1.209 mmf.sys
25.08.2008 22:04 0 e3bfd4d1-.txt
25.08.2008 22:03 71.168 msvbcr40.dll
25.08.2008 14:14 2.206 wpa.dbl
21.07.2008 06:50 206.512 FNTCACHE.DAT
12.06.2008 21:28 107.832 PnkBstrB.exe
18.05.2008 20:29 392.296 perfh009.dat
18.05.2008 20:29 58.596 perfc009.dat
18.05.2008 20:29 70.580 perfc007.dat
18.05.2008 20:29 405.118 perfh007.dat
18.05.2008 20:29 898.932 PerfStringBackup.INI
12.05.2008 17:56 397.312 ATIDEMGX.dll
12.05.2008 17:54 305.152 ati2dvag.dll
12.05.2008 17:53 307.200 atiiiexx.dll
12.05.2008 17:45 180.224 atipdlxx.dll
12.05.2008 17:45 139.264 Oemdspif.dll
12.05.2008 17:45 26.112 Ati2mdxx.exe
12.05.2008 17:45 43.520 ati2edxx.dll
12.05.2008 17:44 139.264 ati2evxx.dll
12.05.2008 17:43 540.672 ati2evxx.exe
12.05.2008 17:43 10.153.984 atioglx2.dll
12.05.2008 17:41 53.248 ATIDDC.DLL
12.05.2008 17:32 3.203.168 ati3duag.dll
12.05.2008 17:22 1.999.616 ativvaxx.dll
12.05.2008 17:22 3.107.788 ativva5x.dat
12.05.2008 17:22 887.724 ativva6x.dat
12.05.2008 17:09 47.104 amdpcom32.dll
12.05.2008 17:05 327.680 atikvmag.dll
12.05.2008 17:05 5.439.488 atioglxx.dll
12.05.2008 17:03 19.968 atiadlxx.dll
12.05.2008 17:03 17.408 atitvo32.dll
12.05.2008 17:02 241.664 atiok3x2.dll
12.05.2008 16:57 548.864 ati2cqag.dll
12.05.2008 10:49 593.920 ati2sgag.exe


Schonmal Danke im Vorraus
MFG Andi
Seitenanfang Seitenende
28.08.2008, 12:00
raman
Moderator

Beiträge: 7805
#2 Leiste bitte noch etwas mehr vorarbeit und teste folgendes bei Virustotal und poste die kompletten Ergebnisse, oder die Permanenten Links zu den Dateien...

2008-08-25 21:56 . 2008-08-25 18:13 368,640 --a------ C:\WINDOWS\rodqgpvlndk.dll
2008-08-25 21:56 . 2008-08-25 18:13 233,472 --a------ C:\WINDOWS\pdoskegl.dll
2008-08-25 21:56 . 2008-08-25 18:13 188,416 --a------ C:\WINDOWS\rqbmvpso.dll
2008-08-25 21:56 . 2008-08-25 18:13 155,648 --a------ C:\WINDOWS\qalkfxor.dll
2008-08-25 21:56 . 2008-08-25 21:56 126,976 --a------ C:\WINDOWS\kx19538.dll
2008-08-25 21:56 . 2008-08-25 18:13 86,016 --a------ C:\WINDOWS\rvoelbxt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
28.08.2008, 21:35
Dasmo
Member

Themenstarter

Beiträge: 104
#3 C:\WINDOWS\rodqgpvlndk.dll

Ergebnis:
MD5: 8c441c5d694d2dc47989526620ee487d
First received: 2008.08.26 07:10:52 (CET)
Datum 2008.08.26 07:10:52 (CET) [>2D]
Ergebnisse 11/36
Permalink: analisis/a6ebc4e87cdac9d3fbb7a199395d081b

C:\WINDOWS\pdoskegl.dll

Ergebnis:
MD5: 2cee506cf89dd568e0b6cd48953a0d47
First received: 2008.08.26 09:42:20 (CET)
Datum 2008.08.26 09:42:21 (CET) [>2D]
Ergebnisse 9/36
Permalink: analisis/a3273d036295da346e7d173bcb4d66d6

C:\WINDOWS\rqbmvpso.dll

Ergebnis:
MD5: f48e0d51fdca09f81795dd21eaa98baa
First received: 2008.08.26 12:33:31 (CET)
Datum 2008.08.26 14:44:29 (CET) [>2D]
Ergebnisse 7/35
Permalink: analisis/4a0cb04c12ad4e3b0fdc6a428bdd61ff

C:\WINDOWS\qalkfxor.dll

Ergebnis:
MD5: dc1dc08474aa2ba3e8b71f788e31830b
First received: 2008.08.26 10:12:42 (CET)
Datum 2008.08.26 10:12:43 (CET) [>2D]
Ergebnisse 6/36
Permalink: analisis/01a0e5e76dd454d64ffff37d964f3e7a

C:\WINDOWS\kx19538.dll

Ergebnis:
Datei kx19538.dll empfangen 2008.08.28 21:33:10 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 13/36 (36.12%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.29.0 2008.08.28 Win-Trojan/Xema.126976.C
AntiVir 7.8.1.23 2008.08.28 TR/BHO.Agent.NGR
Authentium 5.1.0.4 2008.08.28 -
Avast 4.8.1195.0 2008.08.28 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.08.28 BHO.FHD
BitDefender 7.2 2008.08.28 -
CAT-QuickHeal 9.50 2008.08.26 -
ClamAV 0.93.1 2008.08.28 -
DrWeb 4.44.0.09170 2008.08.28 -
eSafe 7.0.17.0 2008.08.28 -
eTrust-Vet 31.6.6054 2008.08.28 Win32/Pripecs.ALV
Ewido 4.0 2008.08.28 -
F-Prot 4.4.4.56 2008.08.28 -
F-Secure 7.60.13501.0 2008.08.28 Trojan-Downloader.Win32.Agent.adfi
Fortinet 3.14.0.0 2008.08.28 -
GData 19 2008.08.28 Trojan-Downloader.Win32.Agent.adfi
Ikarus T3.1.1.34.0 2008.08.28 Trojan.BHO.Agent.NGR
K7AntiVirus 7.10.428 2008.08.25 -
Kaspersky 7.0.0.125 2008.08.28 Trojan-Downloader.Win32.Agent.adfi
McAfee 5372 2008.08.28 -
Microsoft 1.3807 2008.08.25 -
NOD32v2 3397 2008.08.28 Win32/BHO.NGS
Norman 5.80.02 2008.08.28 -
Panda 9.0.0.4 2008.08.28 -
PCTools 4.4.2.0 2008.08.28 -
Prevx1 V2 2008.08.28 -
Rising 20.59.31.00 2008.08.28 -
Sophos 4.33.0 2008.08.28 -
Sunbelt 3.1.1582.1 2008.08.26 -
Symantec 10 2008.08.28 Trojan.Adclicker
TheHacker 6.3.0.6.064 2008.08.27 -
TrendMicro 8.700.0.1004 2008.08.28 -
VBA32 3.12.8.4 2008.08.28 Trojan-Downloader.Win32.Agent.adfi
ViRobot 2008.8.28.1353 2008.08.28 -
VirusBuster 4.5.11.0 2008.08.28 -
Webwasher-Gateway 6.6.2 2008.08.28 Trojan.BHO.Agent.NGR
weitere Informationen
File size: 126976 bytes
MD5...: 55130a6ddecc1299945a9bf9fe954b34
SHA1..: c94e94a8ce95739f265cbef9bd24e7d552b40eb5
SHA256: d31addf590c1b7f4e9141e237c0b7774edc9672165ce24cf5b29b8079f8b3ea8
SHA512: 2af45803616b7fc72f40690300eb50a4958a164c5062d03f26819cff663ca8c7
8b4934bcb2624b38c5269221f3ef947c971ecda04a76bb42c37b9afaf3f01bd5
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000b0e3
timedatestamp.....: 0x48ae5340 (Fri Aug 22 05:48:48 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x118fd 0x12000 6.54 9e87f0e8932284f62a5ab62fe06e8fa4
.rdata 0x13000 0x3380 0x4000 4.52 b87b1c1c7eaf888a9138bb57496465e4
.data 0x17000 0x48fd60 0x2000 1.69 2ac0cb93944b11b3995a187a5fac28ca
.rsrc 0x4a7000 0xaa0 0x1000 2.75 642c549d958e285c09da16eafbb1f3cf
.reloc 0x4a8000 0x4726 0x5000 2.11 f64c231e2dfdbb6f4e0bba88f874fc82

( 10 imports )
> WININET.dll: InternetOpenA, InternetCloseHandle, InternetReadFile, InternetOpenUrlA
> urlmon.dll: URLDownloadToFileA, ObtainUserAgentString, UrlMkSetSessionOption
> KERNEL32.dll: InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, InterlockedIncrement, InterlockedDecrement, MultiByteToWideChar, FreeLibrary, IsDBCSLeadByte, lstrcpynA, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, WideCharToMultiByte, lstrlenW, GetLastError, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, TerminateProcess, CloseHandle, Sleep, CreateMutexA, ReleaseMutex, lstrcpyW, lstrcatW, CreateProcessA, lstrcatA, LCMapStringW, LCMapStringA, LoadLibraryA, RtlUnwind, GetStringTypeW, GetStringTypeA, DisableThreadLibraryCalls, lstrcmpiA, lstrcpyA, lstrlenA, GetModuleFileNameA, ReadFile, IsBadCodePtr, FlushFileBuffers, RaiseException, SetUnhandledExceptionFilter, VirtualQuery, GetSystemInfo, VirtualProtect, SetFilePointer, GetCPInfo, GetTickCount, QueryPerformanceCounter, WriteFile, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, TlsAlloc, TlsGetValue, SetLastError, TlsFree, IsBadWritePtr, VirtualAlloc, GetOEMCP, IsBadReadPtr, SetStdHandle, HeapFree, HeapAlloc, HeapReAlloc, GetSystemTimeAsFileTime, GetCurrentThreadId, TlsSetValue, GetCommandLineA, ExitProcess, GetProcAddress, GetModuleHandleA, GetCurrentProcess, HeapSize, HeapDestroy, HeapCreate, VirtualFree, GetCurrentProcessId
> USER32.dll: KillTimer, CharNextA, SetTimer, wsprintfW, wsprintfA
> ADVAPI32.dll: RegEnumKeyExA, RegEnumKeyA, RegOpenKeyA, RegDeleteValueA, RegCreateKeyExA, RegQueryInfoKeyA, RegSetValueExA, RegDeleteKeyA, RegCloseKey, RegQueryValueExA, RegOpenKeyExA, RegCreateKeyA
> SHELL32.dll: ShellExecuteA, SHGetSpecialFolderPathA
> ole32.dll: CoTaskMemRealloc, CoCreateInstance, CoTaskMemFree, StringFromGUID2, CoTaskMemAlloc
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> SHLWAPI.dll: PathFindExtensionA
> COMCTL32.dll: InitCommonControlsEx

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

C:\WINDOWS\rvoelbxt.exe

Ergebnis:
MD5: 2ab8e4bc8db5a360966f272c07482b6a
First received: 2008.08.26 09:52:20 (CET)
Datum 2008.08.26 09:52:20 (CET) [>2D]
Ergebnisse 3/36
Permalink: analisis/b660a9f1ebf0e6fac97f616e6e32ff78
Seitenanfang Seitenende
31.08.2008, 17:29
Dasmo
Member

Themenstarter

Beiträge: 104
#4 Kann mir jetzt jemand helfen?
Seitenanfang Seitenende
31.08.2008, 17:47
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#5 Spybot S&D TeaTimer
Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
abstellen!
Starte dazu Spybot S&D,
klicke auf "Advanced mode" >"JA">"Tools">Menu> klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)

Download ResetTeaTimer
zum Desktop
Doppelklik ResetTeaTimer
Wenn dein Rechner wieder sauber ist kannst du TeaTimer wieder einschalten!
ResetTeaTimer nicht fuer Vista

CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet
Klicke “Einstellungen“ haacke an “ Beende Inter Explorer während des Löschvorgangs “
Waehle bei Reiter “Scanner”> "Quick Scan durchfuehren" .
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Nehme als Update Spiegel >>It-mate.co.uk
Malwarebytes Anti-Malware kann man nachher behalten !

ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schließen und combofix.exe starten
Folge den Instruktionen in das Fenster
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert, ignorieren !

zusammen mit ein neuen log von HijackThis
__________
MfG Argus
Seitenanfang Seitenende
02.09.2008, 19:54
Dasmo
Member

Themenstarter

Beiträge: 104
#6 MALEWAREBYTES


Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1104
Windows 5.1.2600 Service Pack 2

02.09.2008 19:32:59
mbam-log-2008-09-02 (19-32-59).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 40767
Laufzeit: 3 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


COMBOFIX

ComboFix 08-09-01.03 - Administrator 2008-09-02 19:34:40.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.714 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-02 bis 2008-09-02 ))))))))))))))))))))))))))))))
.

2008-09-01 06:45 . 2008-09-02 00:16 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-01 06:45 . 2008-09-02 00:16 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-30 22:13 . 2008-08-30 22:13 <DIR> d-------- C:\Programme\MSECache
2008-08-30 21:27 . 2008-08-30 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-08-27 19:45 . 2008-05-12 10:49 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-08-27 19:43 . 2008-08-27 19:43 <DIR> d-------- C:\ATI
2008-08-25 21:58 . 2008-09-01 07:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\services
2008-08-25 21:56 . 2008-08-25 21:56 126,976 --a------ C:\WINDOWS\kx19538.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-02 17:27 --------- d-----w C:\Programme\Malwarebytes' Anti-Malware
2008-08-31 17:04 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-31 17:03 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-08-31 15:56 --------- d-----w C:\Programme\Google
2008-08-31 15:56 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-08-30 17:38 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\BitTorrent
2008-08-29 19:15 --------- d-----w C:\Programme\ICQ6
2008-08-27 17:44 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-25 18:17 --------- d-----w C:\Programme\Ubisoft
2008-07-19 20:11 --------- d-----w C:\Programme\Microsoft Picture It! 10
2008-07-14 21:00 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-07-02 17:49 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
2008-07-02 17:42 --------- d-----w C:\Programme\ICQLite
2008-06-12 19:28 107,832 -c--a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-06-05 04:48 54,192 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-05-22 16:56 87,608 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ezpinst.exe
2007-05-22 16:56 47,360 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\pcouffin.sys
.

------- Sigcheck -------

2004-11-11 14:00 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\system32\svchost.exe
2004-11-11 14:00 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\system32\dllcache\svchost.exe

2004-11-11 14:00 578560 56785fd5236d7b22cf471a6da9db46d8 C:\WINDOWS\system32\user32.dll
2004-11-11 14:00 578560 56785fd5236d7b22cf471a6da9db46d8 C:\WINDOWS\system32\dllcache\user32.dll

2004-11-11 14:00 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\system32\ws2_32.dll
2004-11-11 14:00 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\system32\dllcache\ws2_32.dll

2004-11-11 14:00 662016 b1a1da99c4a6ebfd59f86a453bf02f39 C:\WINDOWS\system32\wininet.dll
2004-11-11 14:00 662016 b1a1da99c4a6ebfd59f86a453bf02f39 C:\WINDOWS\system32\dllcache\wininet.dll

2004-11-11 14:00 359040 09eb23a4567bdd56d9580a059e616e23 C:\WINDOWS\system32\drivers\tcpip.sys

2004-11-11 14:00 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\system32\winlogon.exe
2004-11-11 14:00 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\system32\dllcache\winlogon.exe

2004-11-11 14:00 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\dllcache\ndis.sys
2004-11-11 14:00 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys

2004-11-11 14:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\dllcache\ip6fw.sys
2004-11-11 14:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys

2004-11-11 14:00 2059136 ce41fc4c06499a389d39b301879535fb C:\WINDOWS\system32\ntkrnlpa.exe

2004-11-11 14:00 2183296 dc888c9c4ca0eea7a3cb7e6b610f75c7 C:\WINDOWS\system32\ntoskrnl.exe

2004-11-11 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\explorer.exe
2004-11-11 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\system32\dllcache\explorer.exe

2004-11-11 14:00 108544 edb6b81761bd60f32f740bbc40afb676 C:\WINDOWS\system32\services.exe
2004-11-11 14:00 108544 edb6b81761bd60f32f740bbc40afb676 C:\WINDOWS\system32\dllcache\services.exe

2004-11-11 14:00 13312 183805eb05bca5a1e4aaaed4d2be3690 C:\WINDOWS\system32\lsass.exe
2004-11-11 14:00 13312 183805eb05bca5a1e4aaaed4d2be3690 C:\WINDOWS\system32\dllcache\lsass.exe

2004-11-11 14:00 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\system32\ctfmon.exe
2004-11-11 14:00 15360 7ce20569925df6789c31799f0c538f29 C:\WINDOWS\system32\dllcache\ctfmon.exe

2004-11-11 14:00 57856 54e7113a4bd696e430919bcaf5c65e06 C:\WINDOWS\system32\spoolsv.exe
2004-11-11 14:00 57856 54e7113a4bd696e430919bcaf5c65e06 C:\WINDOWS\system32\dllcache\spoolsv.exe

2004-11-11 14:00 111616 032ca12162e89e545356525554ea12a7 C:\WINDOWS\system32\wuauclt.exe
2004-11-11 14:00 111616 032ca12162e89e545356525554ea12a7 C:\WINDOWS\system32\dllcache\wuauclt.exe

2004-11-11 14:00 25088 d1e53dc57143f2584b1dd53b036c0633 C:\WINDOWS\system32\userinit.exe
2004-11-11 14:00 25088 d1e53dc57143f2584b1dd53b036c0633 C:\WINDOWS\system32\dllcache\userinit.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 15360]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 286720]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-02-19 180269]
"snpstd"="C:\WINDOWS\vsnpstd.exe" [2003-12-31 40960]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 40048]
Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 734872]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
"Microsoft Works Update Detection"=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Spiele\\EA GAMES\\Battlefield Vietnam\\BfVietnam.exe"=
"C:\\Spiele\\EA GAMES\\Battlefield 2\\BF2ServerLauncher.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\Programme\\Hamachi\\hamachi.exe"=
"C:\\Programme\\Google\\Google Earth\\googleearth.exe"=
"C:\\Spiele\\Ubisoft\\Silent Hunter 4 Wolves of the Pacific\\sh4.exe"=
"C:\\Spiele\\EA GAMES\\Battlefield 2\\BF2.exe"=
"C:\\Spiele\\Firefly Studios\\CivCity Rom\\CivCity Rome.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Spiele\\Ubisoft\\IL-2 Sturmovik 1946\\il2fb.exe"=
"C:\\Programme\\Lavasoft\\Ad-Aware SE Personal\\Ad-Aware.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\WINDOWS\\amcap.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\Spiele\Gameforge4D\AirRivalsDe\Launcher.atm"= C:\Spiele\Gameforge4D\AirRivalsDe\Launcher.atm:Enabled:GameExe2
"C:\Spiele\Gameforge4D\AirRivalsDe\Res-Voip\SCVoIP.exe"= C:\Spiele\Gameforge4D\AirRivalsDe\Res-Voip\SCVoIP.exe:Enabled:GameVoIP

R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys [2005-05-05 15187]
R2 LicCtrlService;LicCtrl Service;C:\WINDOWS\runservice.exe [2007-07-27 2560]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 424704]
R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-05-05 15571]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 24288]
S3 PDNETCTL;ProDyne MicroPPPoE;C:\WINDOWS\system32\DRIVERS\pdnetctl.sys [2005-09-07 39936]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\ucbhph69.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-02 19:36:17
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-02 19:42:32
ComboFix-quarantined-files.txt 2008-09-02 17:42:30
ComboFix2.txt 2008-08-31 15:13:04

Pre-Run: 10 Verzeichnis(se), 13,715,423,232 Bytes frei
Post-Run: 13 Verzeichnis(se), 13,712,211,968 Bytes frei

148


HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:52, on 02.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\runservice.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\Hijackthis\HjT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.incredimail.com/german/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.divx.com/divx/webplayerdemo/de
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA5AFF63-5E95-429D-83F9-1C1C2B15DF46}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O24 - Desktop Component 0: Privacy Protection - (no file)

--
End of file - 5319 bytes
Seitenanfang Seitenende
02.09.2008, 20:14
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#7 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

O24 - Desktop Component 0: Privacy Protection - (no file)
Virustotal
Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\kx19538.dll
Note: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Und Berichte

EDIT
SDFix
Download SDFix zum Desktop

Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread
__________
MfG Argus
Seitenanfang Seitenende
04.09.2008, 19:40
Dasmo
Member

Themenstarter

Beiträge: 104
#8 Ergebnis datei Kx19538.dll

AhnLab-V3 2008.9.4.2 2008.09.04 Win-Trojan/Xema.126976.C
AntiVir 7.8.1.28 2008.09.04 TR/BHO.Agent.NGR
Authentium 5.1.0.4 2008.09.03 -
Avast 4.8.1195.0 2008.09.04 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.09.04 BHO.FHD
BitDefender 7.2 2008.09.04 Trojan.BHO.OCH
CAT-QuickHeal 9.50 2008.09.02 -
ClamAV 0.93.1 2008.09.04 -
DrWeb 4.44.0.09170 2008.09.04 Trojan.DownLoad.4210
eSafe 7.0.17.0 2008.09.03 -
eTrust-Vet 31.6.6069 2008.09.04 Win32/Pripecs.ALV
Ewido 4.0 2008.09.04 -
F-Prot 4.4.4.56 2008.09.03 -
F-Secure 8.0.14332.0 2008.09.04 Trojan-Downloader.Win32.Agent.adfi
Fortinet 3.14.0.0 2008.09.03 W32/Agent.ADFI!tr.dldr
GData 19 2008.09.04 Trojan-Downloader.Win32.Agent.adfi
Ikarus T3.1.1.34.0 2008.09.04 Trojan.BHO.Agent.NGR
K7AntiVirus 7.10.441 2008.09.04 Trojan-Downloader.Win32.Agent.adfi
Kaspersky 7.0.0.125 2008.09.04 Trojan-Downloader.Win32.Agent.adfi
McAfee 5377 2008.09.04 Generic.dx
Microsoft 1.3903 2008.09.04 Trojan:Win32/Startpage.CZ
NOD32v2 3415 2008.09.04 Win32/BHO.NGS
Norman 5.80.02 2008.09.04 W32/Agent.GYLW
Panda 9.0.0.4 2008.09.03 -
PCTools 4.4.2.0 2008.09.04 -
Prevx1 V2 2008.09.04 Cloaked Malware
Rising 20.60.31.00 2008.09.04 AdWare.Win32.Mnless.aie
Sophos 4.33.0 2008.09.04 -
Sunbelt 3.1.1606.1 2008.09.04 -
Symantec 10 2008.09.04 Trojan.Adclicker
TheHacker 6.3.0.8.072 2008.09.04 -
TrendMicro 8.700.0.1004 2008.09.04 -
ViRobot 2008.9.4.1363 2008.09.04 Trojan.Win32.Downloader.126976.I
VirusBuster 4.5.11.0 2008.09.04 -
Webwasher-Gateway 6.6.2 2008.09.04 Trojan.BHO.Agent.NGR
weitere Informationen
File size: 126976 bytes
MD5...: 55130a6ddecc1299945a9bf9fe954b34
SHA1..: c94e94a8ce95739f265cbef9bd24e7d552b40eb5
SHA256: d31addf590c1b7f4e9141e237c0b7774edc9672165ce24cf5b29b8079f8b3ea8
SHA512: 2af45803616b7fc72f40690300eb50a4958a164c5062d03f26819cff663ca8c7
8b4934bcb2624b38c5269221f3ef947c971ecda04a76bb42c37b9afaf3f01bd5
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000b0e3
timedatestamp.....: 0x48ae5340 (Fri Aug 22 05:48:48 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x118fd 0x12000 6.54 9e87f0e8932284f62a5ab62fe06e8fa4
.rdata 0x13000 0x3380 0x4000 4.52 b87b1c1c7eaf888a9138bb57496465e4
.data 0x17000 0x48fd60 0x2000 1.69 2ac0cb93944b11b3995a187a5fac28ca
.rsrc 0x4a7000 0xaa0 0x1000 2.75 642c549d958e285c09da16eafbb1f3cf
.reloc 0x4a8000 0x4726 0x5000 2.11 f64c231e2dfdbb6f4e0bba88f874fc82

( 10 imports )
> WININET.dll: InternetOpenA, InternetCloseHandle, InternetReadFile, InternetOpenUrlA
> urlmon.dll: URLDownloadToFileA, ObtainUserAgentString, UrlMkSetSessionOption
> KERNEL32.dll: InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, InterlockedIncrement, InterlockedDecrement, MultiByteToWideChar, FreeLibrary, IsDBCSLeadByte, lstrcpynA, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, WideCharToMultiByte, lstrlenW, GetLastError, InterlockedExchange, GetACP, GetLocaleInfoA, GetThreadLocale, GetVersionExA, TerminateProcess, CloseHandle, Sleep, CreateMutexA, ReleaseMutex, lstrcpyW, lstrcatW, CreateProcessA, lstrcatA, LCMapStringW, LCMapStringA, LoadLibraryA, RtlUnwind, GetStringTypeW, GetStringTypeA, DisableThreadLibraryCalls, lstrcmpiA, lstrcpyA, lstrlenA, GetModuleFileNameA, ReadFile, IsBadCodePtr, FlushFileBuffers, RaiseException, SetUnhandledExceptionFilter, VirtualQuery, GetSystemInfo, VirtualProtect, SetFilePointer, GetCPInfo, GetTickCount, QueryPerformanceCounter, WriteFile, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, TlsAlloc, TlsGetValue, SetLastError, TlsFree, IsBadWritePtr, VirtualAlloc, GetOEMCP, IsBadReadPtr, SetStdHandle, HeapFree, HeapAlloc, HeapReAlloc, GetSystemTimeAsFileTime, GetCurrentThreadId, TlsSetValue, GetCommandLineA, ExitProcess, GetProcAddress, GetModuleHandleA, GetCurrentProcess, HeapSize, HeapDestroy, HeapCreate, VirtualFree, GetCurrentProcessId
> USER32.dll: KillTimer, CharNextA, SetTimer, wsprintfW, wsprintfA
> ADVAPI32.dll: RegEnumKeyExA, RegEnumKeyA, RegOpenKeyA, RegDeleteValueA, RegCreateKeyExA, RegQueryInfoKeyA, RegSetValueExA, RegDeleteKeyA, RegCloseKey, RegQueryValueExA, RegOpenKeyExA, RegCreateKeyA
> SHELL32.dll: ShellExecuteA, SHGetSpecialFolderPathA
> ole32.dll: CoTaskMemRealloc, CoCreateInstance, CoTaskMemFree, StringFromGUID2, CoTaskMemAlloc
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> SHLWAPI.dll: PathFindExtensionA
> COMCTL32.dll: InitCommonControlsEx

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6527F4F20098B436F01D01ED7715BE00952740B1
Seitenanfang Seitenende
04.09.2008, 20:00
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#9 Malwarebytes Anti-Malware

Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme "
Klicke "Programm ausführen " unter FileASSASSIN
Suche C:\WINDOWS\kx19538.dll und klicke OK
Jetzt wird C:\WINDOWS\kx19538.dll entgültig entfernt

Und jetzt noch SDFix
__________
MfG Argus
Seitenanfang Seitenende
04.09.2008, 20:13
Dasmo
Member

Themenstarter

Beiträge: 104
#10 SDfix report:


SDFix: Version 1.221
Run by Administrator on 04.09.2008 at 19:47

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\Dokumente und Einstellungen\Administrator\Desktop\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-04 20:06:07
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:608723b2
"s2"=dword:512e704f
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:51,26,cc,b7,51,0b,8d,85,4f,01,9a,b8,57,0e,7a,16,cc,be,8d,57,09,..
"p0"="C:\Programme\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:cc,15,24,9c,0f,96,08,d1,4a,01,1c,cd,20,4c,40,b7,e6,19,2f,5d,18,..
"a0"=hex:20,01,00,00,ea,64,56,fa,f2,df,f1,34,76,83,26,a2,1a,41,b7,b2,cc,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:bb,a5,47,9c,64,2a,d4,0b,71,48,71,dd,d8,71,59,2c,69,dc,72,00,32,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:51,26,cc,b7,51,0b,8d,85,4f,01,9a,b8,57,0e,7a,16,cc,be,8d,57,09,..
"p0"="C:\Programme\DAEMON Tools Lite\"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"khjeh"=hex:cc,15,24,9c,0f,96,08,d1,4a,01,1c,cd,20,4c,40,b7,e6,19,2f,5d,18,..
"a0"=hex:20,01,00,00,ea,64,56,fa,f2,df,f1,34,76,83,26,a2,1a,41,b7,b2,cc,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:bb,a5,47,9c,64,2a,d4,0b,71,48,71,dd,d8,71,59,2c,69,dc,72,00,32,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Spiele\\EA GAMES\\Battlefield Vietnam\\BfVietnam.exe"="C:\\Spiele\\EA GAMES\\Battlefield Vietnam\\BfVietnam.exe:*:Enabled:Battlefield Vietnam"
"C:\\Spiele\\EA GAMES\\Battlefield 2\\BF2ServerLauncher.exe"="C:\\Spiele\\EA GAMES\\Battlefield 2\\BF2ServerLauncher.exe:*:Enabled:BF2-Standalone-Server starten"
"C:\\Programme\\BitTorrent\\bittorrent.exe"="C:\\Programme\\BitTorrent\\bittorrent.exe:*:Enabled:BitTorrent"
"C:\\Programme\\Hamachi\\hamachi.exe"="C:\\Programme\\Hamachi\\hamachi.exe:*:Enabled:Hamachi"
"C:\\Programme\\Google\\Google Earth\\googleearth.exe"="C:\\Programme\\Google\\Google Earth\\googleearth.exe:*:Enabled:Google Earth starten"
"C:\\Spiele\\Ubisoft\\Silent Hunter 4 Wolves of the Pacific\\sh4.exe"="C:\\Spiele\\Ubisoft\\Silent Hunter 4 Wolves of the Pacific\\sh4.exe:*:Enabled:Silent Hunter IV"
"C:\\Spiele\\EA GAMES\\Battlefield 2\\BF2.exe"="C:\\Spiele\\EA GAMES\\Battlefield 2\\BF2.exe:*:Enabled:BF2"
"C:\\Spiele\\Firefly Studios\\CivCity Rom\\CivCity Rome.exe"="C:\\Spiele\\Firefly Studios\\CivCity Rom\\CivCity Rome.exe:*:Enabled:CivCity Rome"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Spiele\\Ubisoft\\IL-2 Sturmovik 1946\\il2fb.exe"="C:\\Spiele\\Ubisoft\\IL-2 Sturmovik 1946\\il2fb.exe:*:Enabled:il2fb"
"C:\\Programme\\Lavasoft\\Ad-Aware SE Personal\\Ad-Aware.exe"="C:\\Programme\\Lavasoft\\Ad-Aware SE Personal\\Ad-Aware.exe:*:Enabled:Ad-Aware SE Personal"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\WINDOWS\\amcap.exe"="C:\\WINDOWS\\amcap.exe:*:Enabled:AMCap"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. The whole world can talk for free."
"C:\\Spiele\\Gameforge4D\\AirRivalsDe\\Launcher.atm"="C:\\Spiele\\Gameforge4D\\AirRivalsDe\\Launcher.atm:Enabled:GameExe2"
"C:\\Spiele\\Gameforge4D\\AirRivalsDe\\Res-Voip\\SCVoIP.exe"="C:\\Spiele\\Gameforge4D\\AirRivalsDe\\Res-Voip\\SCVoIP.exe:Enabled:GameVoIP"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files :



Files with Hidden Attributes :

Thu 11 Nov 2004 93,184 A.SH. --- "C:\Programme\Internet Explorer\IEXPLORE.EXE"
Thu 14 Aug 2008 1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Wed 30 Jul 2008 4,891,984 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Mon 18 Aug 2008 1,832,272 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Tue 10 Aug 2004 4,639 A.SH. --- "C:\Programme\Windows Media Player\mplayer2.exe"
Thu 11 Nov 2004 73,728 A.SH. --- "C:\Programme\Windows Media Player\wmplayer.exe"
Thu 4 Sep 2008 1,209 A.SH. --- "C:\WINDOWS\system32\mmf.sys"
Mon 30 Jun 2008 2,602 ...HR --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished!
Seitenanfang Seitenende
04.09.2008, 20:15
Dasmo
Member

Themenstarter

Beiträge: 104
#11 ok habe die datei jetzt gelöscht.
Seitenanfang Seitenende
04.09.2008, 20:19
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Systemwiederherstellung
Info:
http://virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung -->
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren

Dein Java software ist veraltet,
Download Java Runtime Environment (JRE) 6u7 zum Desktop

Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Die aeltere Versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Schliesse alle Programme auch dein Webbrowser
Installiere jetzt vom Desktop aus ---> jre-6u7-windows-i586-p.exe
__________
MfG Argus
Seitenanfang Seitenende
04.09.2008, 20:50
Dasmo
Member

Themenstarter

Beiträge: 104
#13 Ok alles erledigt.
Ist jetzt alles wieder ok?
Wenn ja dann danke ich dir viel viel mals... schon krass was du alles in so daten wirrwarr sehen kannst. respect...

Nochmal danke
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1