Google verlinkt mich Falsch, Maleware? Teilweise gelöst.

Thema ist geschlossen!
Thema ist geschlossen!
#0
24.09.2008, 17:20
Member

Beiträge: 14
#1 Hallo, ich habe folgendes Problem (wie ich festelle ein weit verbreitetes)

Alt bekannt, wen ich auch Google etwas suche und es gefunden habe, es anklicke,komme ich auf eine vollkommen andere seite.
Ich habe einige Threats hier gelesen und auch anweisungen befolgt

habe zum BEispiel CCleaner mir geladen,
in einer anweisung auf der seite stand das man Temps, Cookies etc Löschen soll
aber als ich den ordner in dem Ordner suchte fand ich ihn nicht O.o
Habs oben in der LEiste Per hand angegeben und da fand ich sie dann.

Nach einem Neustart Funktioniert sogar meine PennerBar (browsergame übersichts Tool)

Aber ich habe da eine Frage; Kann ich beim CCleaner bedenkenlos nach der Analyse auf "Starte CCleaner" drücken`?
weil wie ich sehe stehn da system23 datein drin

Ich wollte noch das Anti Maleware Proggi loaden aber ich kann es leider nicht, da ich nicht auf die seite komme...

Danke schon einmal
Seitenanfang Seitenende
24.09.2008, 18:05
Member

Themenstarter

Beiträge: 14
#2 So hab das mal gemacht, Danke Arnold für den anhang ;)
da steht jetzt: "No actione taken"
Muss ich auf : "Entferne Auswahl" Klicken ?

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1201
Windows 5.1.2600 Service Pack 2

24.09.2008 18:00:29
mbam-log-2008-09-24 (18-00-23).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 68093
Laufzeit: 16 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 10

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage\c:/windows/downloaded program files/uninst.bat (Trojan.Agent) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\Downloaded Program Files\uninst.bat (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\Downloaded Program Files\uninst.bat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.
Seitenanfang Seitenende
24.09.2008, 18:08
Moderator

Beiträge: 5694
#3 Arwena

Hast du das gefunden auch löschen lassen?

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss
Seitenanfang Seitenende
24.09.2008, 18:11
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
__________
MfG Argus
Seitenanfang Seitenende
24.09.2008, 18:19
Member

Themenstarter

Beiträge: 14
#5 Ok ist erledigt
Ich werde noch einmal Scannen und dannach den Log Posten
(neustart hab ich auch gemacht)

danach werde ich combofix installen und laufen lassen::::

Hier ist er:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1201
Windows 5.1.2600 Service Pack 2

24.09.2008 18:44:18
mbam-log-2008-09-24 (18-44-18).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 67567
Laufzeit: 25 minute(s), 17 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{9A2E0000-29D5-479B-AF94-452FD5BDA786}\RP80\A0015605.sys (Trojan.FakeAlert) -> Quarantined and deleted successfully.


_________________________________________________________________

So hier der Combofix Log:

ComboFix 08-09-22.06 - Tine 2008-09-24 18:49:00.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Tine\Desktop\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Tine\Favoriten\Videos.url
C:\WINDOWS\system32\odbclo.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv


((((((((((((((((((((((( Dateien erstellt von 2008-08-24 bis 2008-09-24 ))))))))))))))))))))))))))))))
.

2008-09-24 17:41 . 2008-09-24 17:42 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-24 17:41 . 2008-09-24 17:41 <DIR> d-------- C:\Dokumente und Einstellungen\Tine\Anwendungsdaten\Malwarebytes
2008-09-24 17:41 . 2008-09-24 17:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-24 17:41 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-24 17:41 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-24 16:03 . 2008-09-24 16:03 <DIR> d-------- C:\Programme\CCleaner
2008-09-19 11:28 . 2008-09-24 15:49 <DIR> d-------- C:\Programme\Security Task Manager
2008-09-19 11:28 . 2008-09-19 11:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-09-18 16:20 . 2008-09-18 16:20 <DIR> d-------- C:\WINDOWS\Sun
2008-09-18 16:16 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-09-18 16:15 . 2008-09-18 16:16 <DIR> d-------- C:\Programme\Java
2008-09-18 16:15 . 2008-09-18 16:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-09-18 14:11 . 2008-09-24 15:18 <DIR> d-------- C:\WINDOWS\avxoscan
2008-09-18 14:09 . 2008-09-18 14:09 <DIR> d-------- C:\fsaua.data
2008-09-16 17:43 . 2008-09-16 17:43 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-09-16 17:38 . 2006-11-13 15:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-09-16 17:38 . 2006-11-13 15:43 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-09-16 17:38 . 2006-11-13 15:43 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-09-16 17:38 . 2006-11-13 15:43 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-09-16 17:38 . 2006-11-13 15:43 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-09-16 17:38 . 2006-11-13 15:43 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-09-16 17:38 . 2008-09-16 17:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-09-16 17:38 . 2008-09-16 17:43 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-09-16 10:20 . 2008-09-16 10:20 <DIR> d-------- C:\Programme\Trend Micro
2008-09-16 10:17 . 2008-09-24 15:18 5,120 --ahs---- C:\WINDOWS\system32\Thumbs.db
2008-09-03 12:49 . 2008-09-08 19:46 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-09-03 12:49 . 2008-09-03 12:49 1,409 --a------ C:\WINDOWS\QTFont.for
2008-09-01 13:43 . 2008-09-01 13:43 0 --a------ C:\WINDOWS\nsreg.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-24 16:55 --------- d-----w C:\Dokumente und Einstellungen\Tine\Anwendungsdaten\Skype
2008-09-24 16:14 --------- d-----w C:\Dokumente und Einstellungen\Tine\Anwendungsdaten\skypePM
2008-09-17 13:18 --------- d-----w C:\Programme\Windows Live
2008-09-17 13:17 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-16 09:14 --------- d-----w C:\Programme\xp-AntiSpy
2008-09-16 09:13 --------- d-----w C:\Programme\RegCleaner
2008-09-16 09:13 --------- d-----w C:\Programme\QuickTime
2008-08-24 20:35 --------- d-----w C:\Dokumente und Einstellungen\Tine\Anwendungsdaten\MSN6
2008-08-20 09:48 --------- d-----w C:\Programme\Absolute Sound Recorder
2008-08-19 15:00 21,416 ----a-w C:\Dokumente und Einstellungen\Tine\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-08-15 22:52 --------- d-----w C:\Programme\Skype
2008-08-15 22:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-08-15 22:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-08-15 12:22 --------- d-----w C:\Dokumente und Einstellungen\Tine\Anwendungsdaten\AdobeUM
2008-08-12 19:34 499,712 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-08-12 19:34 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2008-08-12 19:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2008-08-10 16:24 73,216 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-08-10 16:24 303,104 ------w C:\WINDOWS\Setup1.exe
2008-08-09 21:55 --------- d-----w C:\Dokumente und Einstellungen\Tine\Anwendungsdaten\mIRC
2008-08-09 21:18 --------- d-----w C:\Programme\mIRC
2008-08-09 16:23 --------- d-----w C:\Programme\SlySoft
2008-08-07 16:51 --------- d-----w C:\Programme\Windows Live Toolbar
2008-08-07 16:44 --------- d-----w C:\Programme\Launch Manager
2008-08-06 11:58 264 ---ha-w C:\hpothb07.dat
2008-08-03 18:45 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2008-08-03 18:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-07-31 18:52 --------- d-----w C:\Programme\Macrogaming
2008-07-31 18:45 --------- d-----w C:\Programme\ICQToolbar
2007-11-05 16:31 0 ---ha-w C:\Dokumente und Einstellungen\NetworkService\hpothb07.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2008-08-12 21741864]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2001-08-02 94208]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2001-08-02 352256]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 57344]
"VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2004-02-10 45056]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-07-18 155648]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-08-12 185896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\mIRC\\mirc.exe"=
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
"C:\\GodFather\\mirc.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\MSN\\MSNCoreFiles\\msn6.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVCD.sys [2004-02-12 22528]
R1 dmiproxy;dmiproxy;C:\WINDOWS\system32\drivers\dmiproxy.sys [2001-10-24 36680]
R1 mmkmd;mmkmd;C:\WINDOWS\system32\drivers\mmkmd.sys [2002-01-14 2041]
R1 nbmkmd;nbmkmd;C:\WINDOWS\system32\drivers\nbmkmd.sys [2001-10-24 4160]
R2 ipasintf;ipasintf;C:\WINDOWS\System32\drivers\pas2k.sys [2000-10-03 78280]
R3 ALiIRDA;ALi-Infrarotgerätetreiber;C:\WINDOWS\system32\DRIVERS\alifir.sys [2001-08-17 26624]
R3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\system32\DRIVERS\LTSM.sys [2002-03-26 806342]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2006-12-28 4352]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-12-28 265088]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-UniKey - (no file)
HKLM-RunServices-360SCProgram - (no file)


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Tine\Anwendungsdaten\Mozilla\Firefox\Profiles\np2r7gj3.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.allmystery.de/
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-24 18:54:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-24 18:59:22 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-24 16:59:16

Vor Suchlauf: 3.289.477.120 Bytes frei
Nach Suchlauf: 3,688,861,696 Bytes frei

155 --- E O F --- 2008-08-03 12:03:38
Dieser Beitrag wurde am 24.09.2008 um 19:06 Uhr von Arwena editiert.
Seitenanfang Seitenende
24.09.2008, 19:20
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Download: Trend Micro Hijack This™
Doppelklick HJTInstall.exe und installiere das Tool in C:\Programme\Trend Micro\Hijack This
Am Ende steht auf dein Desktop eine verknüpfung

Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Windows Vista rechtsklick auf HijackThis.exe waehle "Run as Administrator".
__________
MfG Argus
Seitenanfang Seitenende
24.09.2008, 19:29
Member

Themenstarter

Beiträge: 14
#7 Das Proggi hatte ich sogar ;) hat mir schon einige Dienste getätigt ;)

Hier der Log::

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:27:38, on 24.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hssp://www.allmystery.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hssp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hssp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hssp://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - hssp://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6D8AD54-561E-4C15-AAED-2C1C77A9DEB6}: NameServer = 213.191.74.18 62.109.123.196
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5496 bytes
Seitenanfang Seitenende
24.09.2008, 19:35
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Start-->Ausführen kopiere rein:
sc delete gusvc
Klicke OK

CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Benutze ATF Cleaner
Nur für XP und Windows 2000
Doppelklick ATFcleaner um das Program zu starten
Auf tab “Main“ Select All anhaaken.
Klicke den Knopf Empty selected

Wenn man Opera als browser hat:
Klicke auf tab “Opera“ Select All anhaaken.
Willst du die durch Opera aufgehobene passwörter behalten
Dan klickt man im Fenster was erscheint auf “No“
Klicke den Knopf Empty selected

Wenn man Firefox als browser hat:
Klicke auf tab “Firefox“ Select All anhaaken.
Willst du die durch Firefox aufgehobene passwörter behalten
Dan klickt man im Fenster was erscheint auf “No“
Klicke den Knopf Empty selected

Geh zum tab“Main“und klicke Exit um das Program
zu schliessen.

Systemwiederherstellung
Info:
http://virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung -->
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren

SDFix
Download SDFix zum Desktop

Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt der jetzt auf dein Desktop steht in diesen Thread
Note:Wenn die Immunisierfunktion von Spybot s&d benutzt wird,nachher wieder installieren,weil SDFix sie entfernt

Edit: Wo ist dein Up-to-date Virenscanner?
__________
MfG Argus
Seitenanfang Seitenende
24.09.2008, 19:46
Member

Themenstarter

Beiträge: 14
#9 Hab das Notebook von einer Freundin abgekauft, die, wie man sieht keinen installt hatte
Das problem mit google etc ist behoben,
Aber ich werde die oben genannten Dinge trotzdem tun.
Seitenanfang Seitenende
24.09.2008, 19:57
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 AntiVirenscanner (kostenlos)
Antivir
AVG8
Bitdefender 10
Avast
Comodo


AVG8 hat auch ein Spywarescanner
Achte darauf das der AVG Security Toolbar nicht installiert wird
__________
MfG Argus
Seitenanfang Seitenende
24.09.2008, 20:20
Member

Themenstarter

Beiträge: 14
#11 Danke Arnold für die Links,
Hier das Log von SDFix


SDFix: Version 1.228
Run by Tine on 24.09.2008 at 20:03

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\Dokumente und Einstellungen\Tine\Desktop\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\Dokumente und Einstellungen\Tine\Favoriten\Programme downloaden.url - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-24 20:08:27
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\mIRC\\mirc.exe"="C:\\Programme\\mIRC\\mirc.exe:*:Enabled:mIRC"
"C:\\Program Files\\Real\\RealPlayer\\realplay.exe"="C:\\Program Files\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
"C:\\GodFather\\mirc.exe"="C:\\GodFather\\mirc.exe:*:Enabled:mIRC"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\MSN\\MSNCoreFiles\\msn6.exe"="C:\\Programme\\MSN\\MSNCoreFiles\\msn6.exe:*:Enabled:msn"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


File Backups: - C:\DOKUME~1\Tine\Desktop\SDFix\backups\backups.zip

Files with Hidden Attributes :

Tue 2 Oct 2001 21,747 A.SHR --- "C:\WINDOWS\GERMANMSG.bak"
Wed 15 Aug 2007 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Wed 15 Aug 2007 401 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv17.bak"
Sat 2 Aug 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\b76443b8c3e363672b10791338cc85db\BIT2.tmp"

Finished!
Seitenanfang Seitenende
24.09.2008, 20:27
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 Entferne
C:\DOKUME~1\Tine\Desktop\SDFix\

Happy Surfing
__________
MfG Argus
Seitenanfang Seitenende
24.09.2008, 20:47
Member

Themenstarter

Beiträge: 14
#13 Thx
Danke schön
Alles Funktioniert wieder ;)
Danke für die schnelle Hilfe
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: