Your computer is infected!

#0
09.10.2008, 19:08
Member

Beiträge: 85
#1 Bekomme seit heute die meldung "Your computer is infected!" mit einem roten kreis und weissem kreuz in der Taskleiste. Kaspersky lässt sich nicht mehr öffnen und HijackThis auch nicht.
Was soll ich machen?
Nati
Seitenanfang Seitenende
09.10.2008, 19:43
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Download MBAM via Anhang

Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Klicke “Einstellungen“ haacke an “ Beende Inter Explorer während des Löschvorgangs “
Waehle bei Reiter “Scanner”> "Quickscan durchfuehren" .

Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Später kann man noch ein "Vollständiger Suchlauf“durchführen


__________
MfG Argus
Seitenanfang Seitenende
09.10.2008, 20:00
Member

Themenstarter

Beiträge: 85
#3 Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1199
Windows 5.1.2600 Service Pack 2

09.10.2008 19:51:40
mbam-log-2008-10-09 (19-51-40).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 54869
Laufzeit: 2 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xp antispyware 2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\_scui.cpl (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Nati\Anwendungsdaten\etahuhyq.dll (Trojan.Agent) -> Quarantined and deleted successfully.


Kaspersky lässt sich jetzt wieder öffnen, lass ihn direkt mal durchlaufen.
Seitenanfang Seitenende
09.10.2008, 20:18
Member

Themenstarter

Beiträge: 85
#4 Trojaner ist immer noch da, Kaspersky hat schon drei mal versucht ihn zu löschen, klappt aber nicht.

Trojanisches Programm: Backdoor.Win32.Small.qim heisst er.
Entweder wird gesagt das T-Online oder Opera versucht, Zugriff auf Malware zu erhalten.
Seitenanfang Seitenende
09.10.2008, 20:23
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#5 Update MBAM
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1199

Bei mir
Datenbank Version: 1248
__________
MfG Argus
Seitenanfang Seitenende
09.10.2008, 20:53
Member

Themenstarter

Beiträge: 85
#6 Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1248
Windows 5.1.2600 Service Pack 2

09.10.2008 20:49:02
mbam-log-2008-10-09 (20-49-02).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 56447
Laufzeit: 2 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\XP_Antispyware (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.FakeAlert) -> Data: c:\windows\system32\karna.dat -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.FakeAlert) -> Data: system32\karna.dat -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\XP_AntiSpyware (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\karna.dat (Trojan.FakeAlert) -> Delete on reboot.
C:\Programme\XP_AntiSpyware\AVEngn.dll (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
C:\Programme\XP_AntiSpyware\htmlayout.dll (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
C:\Programme\XP_AntiSpyware\Uninstall.exe (Rogue.XPAntiSpyware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wini10751.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Seitenanfang Seitenende
09.10.2008, 21:00
Member

Themenstarter

Beiträge: 85
#7 Trojaner scheint weg zu sein, hab MBAM nochmal durchlaufen lassen, nichts mehr gefunden. Die Meldung kommt auch nicht mehr und kaspersky sagt auch das alles in ordnung ist.
Ich frag mich warum ich immer wieder so ein mist auf mein Rechner bekomme?
Wie kann ich mich richtig gut schützen, habe ja ständig damit zu tun.
Ist das bei anderen auch so oder nur bei mir?
Mach ich irgendwas falsch?
Nati
Seitenanfang Seitenende
09.10.2008, 21:01
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!

Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

Starte combofix.exe
Folge den Instruktionen in das Fenster

Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner

Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"

zusammen mit ein log von HijackThis
__________
MfG Argus
Seitenanfang Seitenende
09.10.2008, 21:09
Member

Themenstarter

Beiträge: 85
#9 ComboFix 08-10-08.05 - Nati 2008-10-09 21:05:24.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.399 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Nati\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Nati\Cookies\acik.vbs
C:\Dokumente und Einstellungen\Nati\Cookies\ynuqyj.sys
C:\Dokumente und Einstellungen\Nati\Lokale Einstellungen\Temporary Internet Files\tofoq.dl

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-09 bis 2008-10-09 ))))))))))))))))))))))))))))))
.

2008-10-09 18:26 . 2008-10-09 18:26 19,028 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eqasuw.bat
2008-10-09 18:26 . 2008-10-09 18:26 18,891 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\osotaj.pif
2008-10-09 18:26 . 2008-10-09 18:26 18,371 --a------ C:\Programme\Gemeinsame Dateien\ekaji.sys
2008-10-09 18:26 . 2008-10-09 18:26 18,018 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ehenawabu.bin
2008-10-09 18:26 . 2008-10-09 18:26 17,251 --a------ C:\WINDOWS\system32\tynepykypo.lib
2008-10-09 18:26 . 2008-10-09 18:26 16,870 --a------ C:\WINDOWS\doxeb.sys
2008-10-09 18:26 . 2008-10-09 18:26 16,612 --a------ C:\WINDOWS\system32\direbu.ban
2008-10-09 18:26 . 2008-10-09 18:26 16,457 --a------ C:\WINDOWS\ixuhixug.ban
2008-10-09 18:26 . 2008-10-09 18:26 15,993 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ohut.dat
2008-10-09 18:26 . 2008-10-09 18:26 13,964 --a------ C:\WINDOWS\system32\kyzyqyqez._dl
2008-10-09 18:26 . 2008-10-09 18:26 11,459 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cuwik.dat
2008-10-09 18:26 . 2008-10-09 18:26 10,401 --a------ C:\WINDOWS\olene.exe
2008-10-08 15:14 . 2008-10-08 15:14 <DIR> d-------- C:\Dokumente und Einstellungen\Nati\Contacts
2008-10-07 19:23 . 2008-10-07 19:23 <DIR> d---s---- C:\Dokumente und Einstellungen\Yanniss\UserData
2008-10-07 18:01 . 2008-10-07 19:23 <DIR> d-------- C:\Dokumente und Einstellungen\Yanniss\Contacts
2008-10-07 17:58 . 2008-10-07 17:58 268 --ah----- C:\sqmdata00.sqm
2008-10-07 17:58 . 2008-10-07 17:58 244 --ah----- C:\sqmnoopt00.sqm
2008-10-07 17:57 . 2008-10-07 17:57 <DIR> d-------- C:\Programme\MSN Messenger
2008-10-06 16:37 . 2008-10-06 16:37 <DIR> d-------- C:\Programme\Illustrate
2008-10-06 16:37 . 2008-10-06 16:37 <DIR> d-------- C:\Dokumente und Einstellungen\Nati\Anwendungsdaten\AccurateRip
2008-10-06 16:37 . 2008-10-06 16:37 5,068,152 --a------ C:\WINDOWS\system32\SpoonUninstall.exe
2008-10-06 16:19 . 2008-10-06 16:34 34 --a------ C:\WINDOWS\cdplayer.ini
2008-10-06 15:40 . 2008-10-06 15:40 <DIR> d-------- C:\Programme\Audiograbber
2008-10-06 15:34 . 2008-10-06 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\Nati\Anwendungsdaten\DVD Shrink
2008-09-23 18:51 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-09-23 18:50 . 2008-09-23 18:51 <DIR> d-------- C:\Programme\Java
2008-09-23 18:50 . 2008-09-23 18:50 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-09-23 17:32 . 2008-09-23 17:32 <DIR> d-------- C:\Dokumente und Einstellungen\Nati\Anwendungsdaten\Malwarebytes
2008-09-23 17:31 . 2008-09-23 17:32 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-23 17:31 . 2008-09-23 17:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-23 17:31 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-23 17:31 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-22 12:53 . 2008-10-09 20:00 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-09-22 12:53 . 2008-09-22 12:53 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-09-22 12:52 . 2008-10-09 18:47 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-09-22 12:52 . 2008-10-09 20:49 2,021,408 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-22 12:52 . 2008-10-09 21:04 393,248 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-09-22 12:52 . 2008-10-09 20:49 18,968 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-22 12:52 . 2008-10-09 21:04 4,520 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-09-22 12:51 . 2008-09-22 12:51 <DIR> d-------- C:\Programme\doc
2008-09-22 12:36 . 2008-09-22 12:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-09-21 09:20 . 2008-09-21 09:20 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-09-21 09:20 . 2008-10-09 20:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-09-19 02:13 . 2008-09-19 02:13 <DIR> d-------- C:\Dokumente und Einstellungen\Uwe\Anwendungsdaten\InstallShield
2008-09-17 15:58 . 2008-09-17 15:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\snpstd3
2008-09-17 15:58 . 2007-05-10 14:42 10,343,552 --a------ C:\WINDOWS\system32\drivers\snpstd3.sys
2008-09-17 15:58 . 2007-05-10 13:18 835,584 --a------ C:\WINDOWS\vsnpstd3.exe
2008-09-17 15:58 . 2007-04-21 09:32 270,336 --a------ C:\WINDOWS\tsnpstd3.exe
2008-09-17 15:58 . 2007-04-10 10:47 172,032 --a------ C:\WINDOWS\system32\rsnpstd3.dll
2008-09-17 15:58 . 2006-07-03 10:31 94,208 --a------ C:\WINDOWS\amcap.exe
2008-09-17 15:58 . 2007-04-20 16:26 57,344 --a------ C:\WINDOWS\system32\vsnpstd3.dll
2008-09-17 15:58 . 2005-11-23 13:55 53,248 --a------ C:\WINDOWS\system32\csnpstd3.dll
2008-09-17 15:58 . 2005-11-23 13:55 53,248 --a------ C:\WINDOWS\csnpstd3.dll
2008-09-17 15:58 . 2007-02-10 15:40 20,480 --a------ C:\WINDOWS\FixCamera.exe
2008-09-17 15:58 . 2004-02-27 17:36 15,498 --a------ C:\WINDOWS\snpstd3.ini
2008-09-17 15:58 . 2004-02-27 17:36 13,023 --a------ C:\WINDOWS\snpstd3.src
2008-09-16 19:40 . 2008-09-17 16:01 <DIR> d-------- C:\Dokumente und Einstellungen\Nati\Anwendungsdaten\skypePM
2008-09-16 19:40 . 2008-09-16 19:40 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-09-16 19:38 . 2008-09-16 19:38 <DIR> d-------- C:\Programme\Skype
2008-09-16 19:38 . 2008-09-16 19:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-09-16 19:38 . 2008-09-17 16:04 <DIR> d-------- C:\Dokumente und Einstellungen\Nati\Anwendungsdaten\Skype
2008-09-16 19:38 . 2008-09-16 19:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-09-16 17:58 . 2008-09-22 18:30 <DIR> d-------- C:\Dokumente und Einstellungen\Nati\Anwendungsdaten\Canon

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-06 15:59 --------- d-----w C:\Dokumente und Einstellungen\Nati\Anwendungsdaten\Azureus
2008-10-02 19:15 --------- d-----w C:\Programme\World of Warcraft
2008-09-17 13:58 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-16 17:37 --------- d-----w C:\Programme\Opera
2008-09-07 16:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-08-25 10:28 41,945 ----a-w C:\Programme\release_notes_kav8.0cf1_de.html
2008-08-19 15:28 --------- d-----w C:\Dokumente und Einstellungen\Yanniss\Anwendungsdaten\Teleca
2008-08-19 08:57 --------- d-----w C:\Dokumente und Einstellungen\Nati\Anwendungsdaten\Teleca
2008-08-19 05:11 --------- d-----w C:\Dokumente und Einstellungen\Joel\Anwendungsdaten\Teleca
2008-08-18 18:18 --------- d-----w C:\Dokumente und Einstellungen\Uwe\Anwendungsdaten\Teleca
2008-08-18 18:11 6,144 ----a-w C:\WINDOWS\system32\drivers\k750cm.sys
2008-08-18 18:11 5,744 ----a-w C:\WINDOWS\system32\drivers\k750wh.sys
2008-08-15 14:45 --------- d-----w C:\Dokumente und Einstellungen\Joel\Anwendungsdaten\Nero
2008-08-14 18:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-08-13 15:38 --------- d-----w C:\Programme\Yahoo!
2008-08-13 08:44 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\T-Online
2008-08-11 18:27 --------- d-----w C:\Programme\MSXML 4.0
2008-08-11 17:59 --------- d-----w C:\Dokumente und Einstellungen\Yanniss\Anwendungsdaten\MSN6
2008-08-11 04:52 --------- d-----w C:\Dokumente und Einstellungen\Yanniss\Anwendungsdaten\Nero
2008-08-11 04:45 --------- d-----w C:\Dokumente und Einstellungen\Uwe\Anwendungsdaten\Nero
2008-08-10 16:46 --------- d-----w C:\Dokumente und Einstellungen\Nati\Anwendungsdaten\Nero
2008-08-10 16:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-08-10 16:44 --------- d-----w C:\Programme\Nero
2008-08-10 16:44 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-08-10 15:48 --------- d-----w C:\Dokumente und Einstellungen\Nati\Anwendungsdaten\Yahoo!
2008-08-10 09:19 --------- d-----w C:\Dokumente und Einstellungen\Joel\Anwendungsdaten\T-Online
2008-08-10 09:17 --------- d-----w C:\Dokumente und Einstellungen\Joel\Anwendungsdaten\Logitech
2008-08-10 08:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-08-10 08:33 --------- d-----w C:\Programme\Avira
2008-08-09 21:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2008-08-09 21:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo!
2008-08-09 14:03 --------- d-----w C:\Dokumente und Einstellungen\Yanniss\Anwendungsdaten\T-Online
2008-08-09 14:01 --------- d-----w C:\Dokumente und Einstellungen\Yanniss\Anwendungsdaten\Logitech
2008-08-09 13:25 --------- d-----w C:\Dokumente und Einstellungen\Uwe\Anwendungsdaten\T-Online
2008-08-09 13:22 --------- d-----w C:\Dokumente und Einstellungen\Uwe\Anwendungsdaten\Logitech
2008-08-09 12:50 --------- d-----w C:\Programme\WOW
2008-08-09 12:41 --------- d-----w C:\Programme\Canon
2008-08-09 12:24 --------- d-----w C:\Programme\Azureus
2008-08-09 12:07 --------- d-----w C:\Programme\Microsoft.NET
2008-08-09 12:03 --------- d-----w C:\Programme\DSL-Manager
2008-08-09 12:02 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-08-09 11:57 --------- d-----w C:\Programme\ArcSoft
2008-08-09 11:47 --------- d-----w C:\Programme\CCleaner
2008-08-09 10:31 --------- d-----w C:\Programme\Gemeinsame Dateien\T-Com
2008-08-09 10:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\T-Online
2008-08-09 10:29 --------- d-----w C:\Dokumente und Einstellungen\Nati\Anwendungsdaten\T-Online
2008-08-09 10:25 --------- d-----w C:\Programme\T-Online
2008-08-09 10:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Marmiko Shared
2008-08-09 10:16 --------- d-----w C:\Dokumente und Einstellungen\Nati\Anwendungsdaten\Logitech
2008-08-09 10:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogiShrd
2008-08-09 10:15 --------- d-----w C:\Programme\Logitech
2008-08-09 10:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Logishrd
2008-08-09 10:15 --------- d-----w C:\Dokumente und Einstellungen\Nati\Anwendungsdaten\InstallShield
2008-08-09 10:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-08-09 10:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-09 10:05 --------- d-----w C:\Programme\ATI Technologies
2008-08-09 10:03 --------- d-----w C:\Programme\Multimedia Card Reader
2008-08-09 10:02 --------- d-----w C:\Programme\Analog Devices
2008-08-09 09:59 --------- d-----w C:\Programme\Intel
2008-08-09 09:30 --------- d-----w C:\Programme\microsoft frontpage
2008-08-09 09:29 558,142 ----a-w C:\WINDOWS\java\Packages\LJNPRXB5.ZIP
2008-08-09 09:29 155,995 ----a-w C:\WINDOWS\java\Packages\EDJPJDJR.ZIP
2008-08-09 09:28 --------- d-----w C:\Programme\Online-Dienste
2008-08-09 09:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-07-29 18:21 218,376 ----a-w C:\WINDOWS\system32\klogon.dll
2008-07-29 17:12 34,884,096 ----a-w C:\Programme\kav.de.msi
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-09-20 202024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
"Sunkist2k"="C:\Programme\Multimedia Card Reader\shwicon2k.exe" [2003-11-26 135168]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-12 339968]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 1836328]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"FixCamera"="C:\WINDOWS\FixCamera.exe" [2007-02-10 20480]
"tsnpstd3"="C:\WINDOWS\tsnpstd3.exe" [2007-04-21 270336]
"snpstd3"="C:\WINDOWS\vsnpstd3.exe" [2007-05-10 835584]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-07-29 206088]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 C:\WINDOWS\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" [2007-07-30 176128]

C:\Dokumente und Einstellungen\Administrator\Startmen\Programme\Autostart\
DSL-Manager.lnk - C:\Programme\DSL-Manager\DslMgr.exe [2008-08-09 1085440]

C:\Dokumente und Einstellungen\Joel\Startmen\Programme\Autostart\
DSL-Manager.lnk - C:\Programme\DSL-Manager\DslMgr.exe [2008-08-09 1085440]

C:\Dokumente und Einstellungen\Nati\Startmen\Programme\Autostart\
DSL-Manager.lnk - C:\Programme\DSL-Manager\DslMgr.exe [2008-08-09 1085440]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2008-08-09 784912]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2007-11-15 10:10 72208 c:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\World of Warcraft\\BackgroundDownloader.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\Opera\\opera.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 61440]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
R3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 17536]
R3 TDslMgrService;DSL-Manager;C:\Programme\DSL-Manager\DslMgrSvc.exe [2007-11-26 294912]
R3 TSMPacket;DSL-Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2007-06-26 13824]
S3 dsltestSp5;dsltestSp5 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\dsltestSp5.sys [2007-09-12 26816]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 17152]
.
.
------- Zusätzlicher Suchlauf -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.com
R0 -: HKLM-Main,Start Page = hxxp://www.google.com
R1 -: HKCU-Internet Connection Wizard,ShellNext = yes
R1 -: HKCU-Internet Connection Wizard,ShellNext = 0a000000
R1 -: HKCU-Internet Connection Wizard,ShellNext = yes
R1 -: HKCU-Internet Connection Wizard,ShellNext = 01000000
R1 -: HKCU-Internet Connection Wizard,ShellNext = yes
R1 -: HKCU-Internet Connection Wizard,ShellNext = 1a000000
R1 -: HKCU-Internet Connection Wizard,ShellNext = 1a000000
R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://www.google.com
R1 -: HKCU-Internet Connection Wizard,ShellNext = Microsoft Corporation
R1 -: HKCU-Internet Connection Wizard,ShellNext = MICROSO
R1 -: HKCU-Internet Connection Wizard,ShellNext = 6.0.2600.0000
R1 -: HKCU-Internet Connection Wizard,ShellNext = no
R1 -: HKCU-Internet Connection Wizard,ShellNext = no
O8 -: Nach Microsoft &Excel exportieren - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O17 -: HKLM\CCS\Interface\{53D50B43-08F0-43F3-A2FB-03EE9E8F5FDC}: NameServer = 217.237.150.115 217.237.151.205

O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-09 21:07:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2008-10-09 21:08:12
ComboFix-quarantined-files.txt 2008-10-09 19:08:09
ComboFix2.txt 2008-09-23 16:13:04

Vor Suchlauf: 2.866.384.896 Bytes frei
Nach Suchlauf: 3,057,344,512 Bytes frei

260 --- E O F --- 2008-08-16 15:54:02



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:08:52, on 09.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\tsnpstd3.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\DSL-Manager\DslMgr.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\DSL-Manager\DslMgrSvc.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\WINDOWS\explorer.exe
C:\Programme\Opera\opera.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.logitech.com/support_downloads
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe
O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe
O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: DSL-Manager.lnk = C:\Programme\DSL-Manager\DslMgr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1218284250031
O17 - HKLM\System\CCS\Services\Tcpip\..\{53D50B43-08F0-43F3-A2FB-03EE9E8F5FDC}: NameServer = 217.237.150.115 217.237.151.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{53D50B43-08F0-43F3-A2FB-03EE9E8F5FDC}: NameServer = 217.237.150.115 217.237.151.205
O17 - HKLM\System\CS3\Services\Tcpip\..\{53D50B43-08F0-43F3-A2FB-03EE9E8F5FDC}: NameServer = 217.237.150.115 217.237.151.205
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\DSL-Manager\DslMgrSvc.exe

--
End of file - 7025 bytes
Seitenanfang Seitenende
09.10.2008, 21:28
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\system32\tynepykypo.lib
C:\WINDOWS\doxeb.sys
C:\WINDOWS\system32\direbu.ban
C:\WINDOWS\ixuhixug.ban
C:\WINDOWS\system32\kyzyqyqez._dl
C:\WINDOWS\olene.exe
Note: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Poste nur die URL am Ende
__________
MfG Argus
Seitenanfang Seitenende
10.10.2008, 01:36
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Hallo,nelli73
nach dem Prüfen, kannst du das combofix-Script anwenden ;)

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern


Zitat

KILLALL::

File::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\eqasuw.bat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\osotaj.pif
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ohut.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\cuwik.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ehenawabu.bin
C:\WINDOWS\doxeb.sys
C:\WINDOWS\olene.exe
C:\WINDOWS\ixuhixug.ban
C:\WINDOWS\system32\direbu.ban
C:\WINDOWS\system32\tynepykypo.lib
C:\Programme\Gemeinsame Dateien\ekaji.sys
C:\WINDOWS\system32\kyzyqyqez._dl
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu

in C:\ComboFix.txt ist alles gespeichert, kopiere es ab
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.10.2008, 17:33
...neu hier
Avatar elia

Beiträge: 9
#12 Hallo ^^

Seit heute mein Bruder am PC war hab ich das selbe Problem :/
Und die Firewall kann ich auch nicht mehr aktivieren...hilfe?




Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1250
Windows 5.1.2600 Service Pack 3

10.10.2008 17:32:32
mbam-log-2008-10-10 (17-32-32).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 41810
Laufzeit: 4 minute(s), 2 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\Programme\guhaqdc\SrvHlpApi.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{618685D1-4E5A-F8ED-18F2-01B95CF4F502} (Trojan.FakeAlert.H)

-> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoa

d\srvhlpapi (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk

(Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\jwbbtilf

vt (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\guhaqdc\SrvHlpApi.dll (Trojan.FakeAlert.H) -> Delete on reboot.
C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hwfktsjw\ruhubmfm.exe (Trojan.FakeAlert.H)

-> Delete on reboot.
C:\WINDOWS\system32\mbirybkf.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Seitenanfang Seitenende
10.10.2008, 19:28
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#13 Hallo elia
poste bitte auch ein Log von Combofix
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
10.10.2008, 20:50
...neu hier
Avatar elia

Beiträge: 9
#14 Hallo Sabina
hier der Log von Combofix.
Brauchst du auch einen von HijackThis?
Ich poste einfach gleich einen mit ;)



ComboFix 08-10-09.06 - test 2008-10-10 20:42:27.5 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.195 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\test\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-10 bis 2008-10-10 ))))))))))))))))))))))))))))))
.

2008-10-10 17:26 . 2008-10-10 17:27 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-10 17:26 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-10 17:26 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-10 16:08 . 2008-10-10 17:12 5,284 --a------ C:\WINDOWS\system32\wini104552502.exe
2008-10-10 16:03 . 2008-10-10 17:36 <DIR> d-------- C:\Programme\guhaqdc
2008-10-10 16:03 . 2008-10-10 17:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hwfktsjw
2008-10-08 19:58 . 2008-10-08 19:59 <DIR> d-------- C:\Programme\iTunes
2008-10-08 19:58 . 2008-10-08 19:58 <DIR> d-------- C:\Programme\iPod
2008-10-08 19:58 . 2008-10-08 19:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}
2008-10-06 12:36 . 2008-10-06 12:36 361,728 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-10-06 12:36 . 2008-07-18 15:05 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-10-06 12:35 . 2008-10-06 12:36 <DIR> d-------- C:\Programme\TuneUp Utilities 2008
2008-10-06 12:34 . 2008-10-06 12:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-06 12:24 . 2008-10-06 13:04 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-10-06 12:06 . 2008-10-06 12:08 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-10-05 01:06 . 2008-10-05 01:06 <DIR> d-------- C:\Dokumente und Einstellungen\test\Anwendungsdaten\Malwarebytes
2008-10-05 01:06 . 2008-10-05 01:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-05 00:58 . 2008-10-05 00:58 <DIR> d-------- C:\Programme\CCleaner
2008-10-04 23:33 . 2008-10-04 23:33 91 --a------ C:\WINDOWS\wininit.ini
2008-10-04 22:55 . 2008-10-06 12:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-04 20:53 . 2008-10-04 20:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-10-04 20:13 . 2008-10-04 22:07 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-10-04 20:03 . 2008-10-05 00:45 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-10-04 16:37 . 2008-10-04 16:38 32 --a------ C:\WINDOWS\system32\thxcfg.ini
2008-10-04 15:49 . 2008-10-04 15:49 <DIR> d--hs---- C:\Dokumente und Einstellungen\test\PrivacIE
2008-10-04 15:41 . 2008-04-14 04:22 81,920 --a------ C:\WINDOWS\system32\ieencode.dll
2008-09-23 20:05 . 2008-09-23 20:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems
2008-09-10 19:55 . 2008-09-10 19:55 <DIR> d-------- C:\Programme\Bonjour
2008-09-10 19:53 . 2008-09-10 19:54 <DIR> d-------- C:\Programme\QuickTime

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-10 15:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-06 10:35 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-10-04 14:53 --------- d-----w C:\Programme\VideoLAN
2008-10-01 05:26 --------- d-----w C:\Dokumente und Einstellungen\test\Anwendungsdaten\BitTorrent
2008-09-23 18:30 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-23 18:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-09-23 15:52 --------- d-----w C:\Programme\Messenger Plus! Live
2008-09-12 09:45 --------- d-----w C:\Dokumente und Einstellungen\test\Anwendungsdaten\Skype
2008-09-12 09:43 --------- d-----w C:\Dokumente und Einstellungen\test\Anwendungsdaten\skypePM
2008-09-10 17:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-09-06 01:03 --------- d-----w C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-09-06 01:02 --------- d-----w C:\Programme\MSXML 4.0
2008-09-04 11:34 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2008-09-04 11:33 --------- d-----w C:\Programme\Logitech
2008-09-04 11:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Logishrd
2008-09-04 11:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2008-08-30 23:06 --------- d-----w C:\Programme\Skype
2008-08-30 23:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-08-30 23:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-08-29 08:18 87,336 ----a-w C:\WINDOWS\system32\dns-sd.exe
2008-08-29 07:53 61,440 ----a-w C:\WINDOWS\system32\dnssd.dll
2008-08-05 15:55 265,720 ----a-w C:\WINDOWS\system32\msdbg2.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-04-29 13:55 92,064 ----a-w C:\Dokumente und Einstellungen\test\mqdmmdm.sys
2008-04-29 13:55 9,232 ----a-w C:\Dokumente und Einstellungen\test\mqdmmdfl.sys
2008-04-29 13:55 79,328 ----a-w C:\Dokumente und Einstellungen\test\mqdmserd.sys
2008-04-29 13:55 66,656 ----a-w C:\Dokumente und Einstellungen\test\mqdmbus.sys
2008-04-29 13:55 6,208 ----a-w C:\Dokumente und Einstellungen\test\mqdmcmnt.sys
2008-04-29 13:55 5,936 ----a-w C:\Dokumente und Einstellungen\test\mqdmwhnt.sys
2008-04-29 13:55 4,048 ----a-w C:\Dokumente und Einstellungen\test\mqdmcr.sys
2008-04-29 13:55 25,600 ----a-w C:\Dokumente und Einstellungen\test\usbsermptxp.sys
2008-04-29 13:55 22,768 ----a-w C:\Dokumente und Einstellungen\test\usbsermpt.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"MessengerPlus3"="C:\Programme\MessengerPlus! 3\MsgPlus.exe" [2007-02-05 190024]
"BitTorrent"="C:\Programme\BitTorrent\bittorrent.exe" [2007-09-08 43008]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-22 266497]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"SetDefPrt"="C:\Programme\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 49152]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe" [2006-10-31 284184]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam10\QuickCam10.exe" [2006-11-15 746520]
"LVCOMSX"="C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe" [2006-11-15 244512]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-09-06 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-10-01 289576]
"SoundMan"="SOUNDMAN.EXE" [2005-02-23 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-13 39264]

C:\Dokumente und Einstellungen\test\Startmen\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]
Status Monitor.lnk - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe [2007-03-20 802816]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Last.fm\\LastFM.exe"=

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R3 iadusb;Siemens USB IAD LAN Modem;C:\WINDOWS\system32\DRIVERS\glauiad.sys [2003-07-25 30404]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-10-06 361728]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-10-10 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-21 18:47]

2008-10-08 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]

2008-10-10 C:\WINDOWS\Tasks\MP Scheduled Scan.job
- C:\Programme\Windows Defender\MpCmdRun.exe [2006-11-03 19:20]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SSODL-SrvHlpApi-{618685D1-4E5A-F8ED-18F2-01B95CF4F502} - (no file)


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\test\Anwendungsdaten\Mozilla\Firefox\Profiles\pstwv5yb.default\
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-10 20:44:31
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-10 20:47:08
ComboFix-quarantined-files.txt 2008-10-10 18:46:25

Vor Suchlauf: 9 Verzeichnis(se), 31.862.689.792 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 31,963,611,136 Bytes frei

160 --- E O F --- 2008-10-08 12:47:16










Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:48:37, on 10.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\explorer.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\notepad.exe
Y:\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: SrvHlpApi - {618685D1-4E5A-F8ED-18F2-01B95CF4F502} - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6573 bytes
Seitenanfang Seitenende
11.10.2008, 08:49
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#15 Hallo elia

«
deaktiviere den SpybotSD TeaTimer

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

Folder::
C:\Programme\guhaqdc
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hwfktsjw
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: