Spyware detected on your computer - wie kann ich es löschen?

Thema ist geschlossen!
Thema ist geschlossen!
#0
14.09.2008, 16:04
...neu hier

Beiträge: 6
#1 Hallo, ich brauche Hilfe von euch. Ich habe dieses Thema zwar schon öfter hier gefunden, doch es schien mir, als sei das bei jedem anders zu lösen, oder gibt es ein patentrezept für alle pc`s?

ich habe nämlich ebenfalls dieses Fenster aufm Desktop und einen insgesamt weißen hintergrund. auch komme ich über rechtsklick auf`m desktop gar nicht mehr zu desktopeinstellungen wo ich ein neues bild speichern könnte...

kann mir bitte bitte jemand helfen?

habe auch noch eine ständige Meldung von meinem AntiVir Guard, dass der ein trojanisches Pferd gefunden hätte - bin völlig überfordert und habe keine ahnung woher das alles kommt. aber mir wärs auch lieb, erstmal ein problem zu lösen und dann später das andere.

Vielen vielen dank!!!



1. von dem antimalware:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1149
Windows 5.1.2600 Service Pack 2

14.09.2008 17:08:53
mbam-log-2008-09-14 (17-08-53).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 119324
Laufzeit: 35 minute(s), 17 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 8
Infizierte Dateiobjekte der Registrierung: 21
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5

Infizierte Speicherprozesse:
C:\WINDOWS\system32\lphc1vej0e973.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\Programme\ICQToolbar\tbu11\toolbaru.dll (Adware.BHO) -> Delete on reboot.
C:\WINDOWS\system32\blphc1vej0e973.scr (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{7558e739-8e7c-44bb-bce7-1bf0d72b7026} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc1vej0e973 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger.H) -> Data: kdgih.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.59 85.255.112.126 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{285a4cb5-256e-4c1f-b744-373ca2b2125a}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.59,85.255.112.126 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{285a4cb5-256e-4c1f-b744-373ca2b2125a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.59,85.255.112.126 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{6710c3d5-cb41-4b0d-a160-563abc15d5ee}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.59,85.255.112.126 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{bf7d56d2-f9ed-4647-a3dd-7cb54af93f60}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.59,85.255.112.126 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{bf7d56d2-f9ed-4647-a3dd-7cb54af93f60}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.59,85.255.112.126 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.59 85.255.112.126 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{285a4cb5-256e-4c1f-b744-373ca2b2125a}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.59,85.255.112.126 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{285a4cb5-256e-4c1f-b744-373ca2b2125a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.59,85.255.112.126 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{6710c3d5-cb41-4b0d-a160-563abc15d5ee}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.59,85.255.112.126 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{bf7d56d2-f9ed-4647-a3dd-7cb54af93f60}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.59,85.255.112.126 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{bf7d56d2-f9ed-4647-a3dd-7cb54af93f60}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.59,85.255.112.126 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.59 85.255.112.126 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{285a4cb5-256e-4c1f-b744-373ca2b2125a}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.59,85.255.112.126 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{285a4cb5-256e-4c1f-b744-373ca2b2125a}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.59,85.255.112.126 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{6710c3d5-cb41-4b0d-a160-563abc15d5ee}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.59,85.255.112.126 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{bf7d56d2-f9ed-4647-a3dd-7cb54af93f60}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.115.59,85.255.112.126 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{bf7d56d2-f9ed-4647-a3dd-7cb54af93f60}\NameServer (Trojan.DNSChanger) -> Data: 85.255.115.59,85.255.112.126 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Microsoft Security Adviser (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\ICQToolbar\tbu11\toolbaru.dll (Adware.BHO) -> Delete on reboot.
C:\Programme\Microsoft Security Adviser\mssadv_sp.log (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphc1vej0e973.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphc1vej0e973.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\NW\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

2. von dem combofix:

ComboFix 08-09-13.05 - NW 2008-09-14 17:40:12.1 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.637 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\NW\Desktop\ComboFix1.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_6TO4
-------\Service_6to4


((((((((((((((((((((((( Dateien erstellt von 2008-08-14 bis 2008-09-14 ))))))))))))))))))))))))))))))
.

2008-09-14 16:29 . 2008-09-14 16:29 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-14 16:29 . 2008-09-14 16:29 <DIR> d-------- C:\Dokumente und Einstellungen\NW\Anwendungsdaten\Malwarebytes
2008-09-14 16:29 . 2008-09-14 16:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-14 16:29 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-14 16:29 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-14 16:24 . 2008-09-14 16:24 <DIR> d--h----- C:\WINDOWS\PIF
2008-09-14 16:18 . 2008-09-14 16:18 <DIR> d-------- C:\Programme\CCleaner
2008-09-13 13:33 . 2008-09-13 13:33 18,944 --a------ C:\0xf9.exe
2008-08-26 16:55 . 2008-08-26 16:55 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-07 20:30 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:30 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
2008-06-24 16:22 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:22 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-23 09:49 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:39 247,296 ------w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:39 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2007-02-07 13:24 17,144 ----a-w C:\Dokumente und Einstellungen\NW\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2006-11-24 20058152]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-30 68856]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-08-24 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HControl"="C:\WINDOWS\ATK0100\HControl.exe" [2005-08-28 102400]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-09-23 7286784]
"ASUS Live Update"="C:\Programme\ASUS\ASUS Live Update\ALU.exe" [2005-11-02 180224]
"Wireless Console 2"="C:\Programme\Wireless Console 2\wcourier.exe" [2005-10-12 987136]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-08-18 737369]
"RemoteControl"="C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"Power_Gear"="C:\Programme\ASUS\Power4 Gear\BatteryLife.exe" [2005-06-16 86016]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-20 266497]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 241664]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-03-28 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"nwiz"="nwiz.exe" [2005-09-23 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2005-07-22 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\BearShare Applications\\BearShare\\BearShare.exe"=
"C:\\Programme\\HP\\Digital Imaging\\BIN\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\BIN\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\BIN\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\BIN\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\BIN\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\BIN\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\BIN\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\BIN\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\BIN\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\BIN\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\BIN\\hpoews01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\BIN\\hpqnrs08.exe"=
"C:\\Programme\\Last.fm\\LastFM.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 ASNDIS5;ASNDIS5 Protocol Driver;C:\WINDOWS\system32\ASNDIS5.SYS [2002-09-09 16269]
R3 HSFHWSIS;HSFHWSIS;C:\WINDOWS\system32\DRIVERS\HSFHWSIS.sys [2005-06-22 216320]
S3 WLAN(WLAN);802.11b+g USB Wireless LAN Adapter Driver(WLAN);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2004-08-06 237056]
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-Zshutdown - c:\sysprep\patch\sysprep.cmd


.
------- Zus„tzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.studivz.net/
R0 -: HKCU-Main,Search Page = hxxp://www.google.com
R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie
R0 -: HKLM-Main,Default_Search_URL = hxxp://www.google.com/ie
R0 -: HKLM-Main,Start Page = hxxp://www.alice-dsl.de
R1 -: HKCU-Internet Settings,ProxyOverride = *.local
R0 -: HKCU-Search,SearchAssistant = hxxp://www.google.com/ie
R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
R0 -: HKLM-Search,SearchAssistant = hxxp://www.google.com/ie
O8 -: &ICQ Toolbar Search - C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 -: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab
C:\WINDOWS\Downloaded Program Files\mail_upload.inf
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\mfc42.dll
C:\WINDOWS\system32\olepro32.dll
C:\WINDOWS\system32\msvcp60.dll
C:\WINDOWS\Downloaded Program Files\mail_upload.ocx

O16 -: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1221168631
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ImageUploader5.inf
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\Downloaded Program Files\CONFLICT.1\ImageUploader5.ocx

O16 -: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1215269152
C:\WINDOWS\Downloaded Program Files\ImageUploader5.inf
C:\WINDOWS\system32\unicows.dll
C:\WINDOWS\Downloaded Program Files\ImageUploader5.ocx
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-14 17:43:25
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\InterBaseGuardian]
"ImagePath"="C:\Programme\Firebird\bin\ibguard -s"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\InterBaseServer]
"ImagePath"="C:\Programme\Firebird\bin\ibserver -s"
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHED.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGUARD.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE
C:\PROGRAMME\BONJOUR\MDNSRESPONDER.EXE
C:\PROGRAMME\FIREBIRD\BIN\IBGUARD.EXE
C:\WINDOWS\SYSTEM32\NVSVC32.EXE
C:\PROGRAMME\FIREBIRD\BIN\IBSERVER.EXE
C:\PROGRAMME\ASUS\ASUS CHKMAIL\CHKMAIL.EXE
C:\PROGRAMME\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE
C:\PROGRAMME\ADOBE\ACROBAT 7.0\READER\READER_SL.EXE
C:\PROGRAMME\IPOD\BIN\IPODSERVICE.EXE
C:\WINDOWS\ATK0100\ATKOSD.EXE
C:\PROGRAMME\HP\DIGITAL IMAGING\BIN\HPQGALRY.EXE
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\SYSTEM32\MSIEXEC.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-14 17:45:46 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-14 15:45:44

Pre-Run: 4,750,245,888 Bytes frei
Post-Run: 4,866,703,360 Bytes frei

185 --- E O F --- 2008-09-10 18:56:26


3. von dem hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:56:28, on 14.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Firebird\bin\ibguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Firebird\bin\ibserver.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ATK0100\HControl.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe
C:\Programme\ASUS\Power4 Gear\BatteryLife.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Asus\Asus ChkMail\ChkMail.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\NW\Desktop\Virenbeseitigung\4.Hijackthis\HJTInstall.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.studivz.net/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare applications\BearShare MediaBar\MediaBar.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: XBTP02634 - {F97DA966-F09D-4cab-BF29-75A0026986EA} - C:\PROGRA~1\BEARSH~1\BEARSH~2\MediaBar.dll
O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare applications\BearShare MediaBar\MediaBar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ASUS Live Update] C:\Programme\ASUS\ASUS Live Update\ALU.exe
O4 - HKLM\..\Run: [Wireless Console 2] C:\Programme\Wireless Console 2\wcourier.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\ASUSTeK\ASUSDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Power_Gear] C:\Programme\ASUS\Power4 Gear\BatteryLife.exe 1
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ASUS ChkMail.lnk = C:\Programme\Asus\Asus ChkMail\ChkMail.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1221168631
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1215269152
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Firebird Guardian Service (InterBaseGuardian) - FirebirdSQL Project - C:\Programme\Firebird\bin\ibguard.exe
O23 - Service: Firebird Server (InterBaseServer) - FirebirdSQL Project - C:\Programme\Firebird\bin\ibserver.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
Seitenanfang Seitenende
14.09.2008, 18:42
Moderator

Beiträge: 7805
#2 Das sieht ja schon nicht schlecht aus.

Ueberpruefe bitte C:\0xf9.exe bei Virustotal und poste das gesamte Ergebniss, bzw einen Link zum Ergebnis.

Dein Antivir ist aktuell? Ansonsten bitte updaten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.09.2008, 14:58
...neu hier

Themenstarter

Beiträge: 6
#3 oh, da hat ja jemand meinen eintrag verändert... okay.

also mach das zwar gerade... aber muss ich das auch machen, wenn grad auf meinem pc wieder alles in ordnung erscheint??

gruß
Seitenanfang Seitenende
15.09.2008, 14:59
Moderator

Beiträge: 7805
#4 Ja, ich denke die Obige Datei ist Malware...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.09.2008, 14:59
...neu hier

Themenstarter

Beiträge: 6
#5 Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.13.0 2008.09.12 -
AntiVir 7.8.1.28 2008.09.15 HEUR/Malware
Authentium 5.1.0.4 2008.09.14 -
Avast 4.8.1195.0 2008.09.14 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.09.15 Downloader.Generic7.AOFR
BitDefender 7.2 2008.09.15 -
CAT-QuickHeal 9.50 2008.09.15 -
ClamAV 0.93.1 2008.09.15 -
DrWeb 4.44.0.09170 2008.09.15 -
eSafe 7.0.17.0 2008.09.14 Suspicious File
eTrust-Vet 31.6.6090 2008.09.15 Win32/SillyDl.FLL
Ewido 4.0 2008.09.15 -
F-Prot 4.4.4.56 2008.09.14 -
F-Secure 8.0.14332.0 2008.09.15 Backdoor.Win32.Agent.rop
Fortinet 3.113.0.0 2008.09.15 PossibleThreat
GData 19 2008.09.15 Win32:Trojan-gen
Ikarus T3.1.1.34.0 2008.09.15 -
K7AntiVirus 7.10.454 2008.09.13 -
Kaspersky 7.0.0.125 2008.09.15 Backdoor.Win32.Agent.rop
McAfee 5383 2008.09.12 -
Microsoft 1.3903 2008.09.15 TrojanDownloader:Win32/VB.AAG
NOD32v2 3442 2008.09.15 a variant of Win32/TrojanDownloader.VB.NPK
Norman 5.80.02 2008.09.15 -
Panda 9.0.0.4 2008.09.15 Suspicious file
PCTools 4.4.2.0 2008.09.15 -
Prevx1 V2 2008.09.15 Malicious Software
Rising 20.61.42.00 2008.09.12 -
Sophos 4.33.0 2008.09.15 -
Sunbelt 3.1.1633.1 2008.09.13 Antivirus XP 2008 (Winifixer)
Symantec 10 2008.09.15 Downloader.MisleadApp
TheHacker 6.3.0.9.082 2008.09.14 -
TrendMicro 8.700.0.1004 2008.09.15 -
VBA32 3.12.8.5 2008.09.14 -
ViRobot 2008.9.12.1375 2008.09.12 -
VirusBuster 4.5.11.0 2008.09.14 -
Webwasher-Gateway 6.6.2 2008.09.15 Heuristic.Malware
weitere Informationen
File size: 18944 bytes
MD5...: d6c8452e2afd7160e46681f4eebf36a0
SHA1..: ba49a10848bdd1ffccb4485a0067b3f2800bfba9
SHA256: 94bfe68b31239e3ed18a63beca78c8175c1e3fc997b1a2475519fbd8ef3af7cf
SHA512: b32b20de2711ccb8e8bd34d9eea1c8bf6adee5f786635b2cb848448de0711964
1f469a3a096ca0a4090e87d1638c5da496da60899fb21486b7a2969f262830fd
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x410790
timedatestamp.....: 0x48c8fcac (Thu Sep 11 11:10:36 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xc000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xd000 0x4000 0x3a00 7.81 76287abb9ed5d39e79c12513e65d3369
.rsrc 0x11000 0x1000 0xc00 2.87 202b862720cc695b76079a35d60379d2

( 2 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess
> MSVBVM60.DLL: -

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=3AB9D659006B90314A3B002D67A1A60015892F59
packers (F-Prot): UPX
packers (Kaspersky): UPX




oder als link:

http://www.virustotal.com/de/analisis/ffd1e1aae92bb12f2e10ef10b1b8185a

vielen lieben dank mal wieder ;)
Dieser Beitrag wurde am 15.09.2008 um 15:04 Uhr von itsme editiert.
Seitenanfang Seitenende
15.09.2008, 15:13
Moderator

Beiträge: 7805
#6 Also loesche die Datei bitte..
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.09.2008, 15:15
...neu hier

Themenstarter

Beiträge: 6
#7 okay, vielen dank!

ist das nun damit beendet???

bin dir echt dankbar!!
Seitenanfang Seitenende
15.09.2008, 15:21
Moderator

Beiträge: 7805
#8 Du solltest dein Windows noch via www.windowsupdate.com aktualisieren. Sprich installiere alle wichtigen Updates, bis dir keine mehr angeboten werden.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.09.2008, 15:26
...neu hier

Themenstarter

Beiträge: 6
#9 und wofür brauch ich das?

war es das denn dann? oder kommt immer wieder weiteres?

danke
Seitenanfang Seitenende
15.09.2008, 15:40
Moderator

Beiträge: 7805
#10 ;) Nein, das sollte dann alles sein.

Die Updates fuer Windows sind wichtig, da dadurch diverse Sicherheitsluecken geschlossen werden, durch die du dir wieder Malware einfangen kannst.

Es ist wichtig alle Programme die man auf dem Rechner installiert hat, regelmaessig zu aktualisieren. Sei es Windows, das AV-Programm, Java, Quicktime, Skype, itunes usw.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
15.09.2008, 15:57
...neu hier

Themenstarter

Beiträge: 6
#11 und nun hoffentlich zum letzten mal (in der Hoffnung, dass nun alles glatt läuft)

DANKESCHÖN ;)
Seitenanfang Seitenende