virus per msn geschickt bekommen . wie werd ich den wieder los?

#1 Hi ich habe mir leztens bei msn nen virus eingefangen ..
ne freundin hat mir ne datein geschickt und sowas ich hab mir nix dabei gedacht weil nen netter text dabei stand.. also hab ich drauf geklickt und soweiter
dann haben sich nacheinander die unterhaltungs fenster meiner gesamten msn liste geöfnet und wieder geschlossen . mein pc hat gar nix mehr gemacht..
reflex reaktion --> ich hab den pc ausgeschaltet
wie auch immer das ding is immer noch da.. mein antivirus sagt mir seit dem immer wieder das ich trojaner oder anzeichen für einen wurm habe..
aber die leistung meines pc hat das ding bisher noch nicht beeinflusst..
ich hoffe dazu kommt es auch nicht.

hilfe bitte :)
..

mfg megagrit!

#2 1.
Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MBAM
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Scanner”> "Quickscan durchfuehren".
“Update “> klicke “Suche nache Aktualisierungen“
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
Scan laufen lassen

Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Später kann man noch ein "Vollständiger Suchlauf“durchführen

2.
ComboFix(by sUBs)
Download ComboFix und speichert es auf den Desktop!

Schliesse alle Programme und Anwendungen mit Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

Starte combofix.exe
Folge den Instruktionen in das Fenster

Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner

Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"

3.
Download: Trend Micro Hijack This™
Lade/entpacke HijackThis in einen extra Ordner z.b C:\Programme\Hijack This
Doppelklick HJTInstall.exe und installiere das Tool in C:\Programme\Hijack This
Am Ende steht auf dein Desktop eine verknüpfung

Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Windows Vista rechtsklick auf HijackThis.exe waehle "Run as Administrator".
__________
MfG Argus

#3 maleware log :
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1202
Windows 5.1.2600 Service Pack 2

24.09.2008 19:53:31
mbam-log-2008-09-24 (19-53-31).txt

Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|)
Durchsuchte Objekte: 91670
Laufzeit: 29 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 11
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{1601d447-7424-4866-8dcc-acf98a2a41e1} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{ceb9c60d-f0ad-4b73-a3ab-4fc822e38d66} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ceb9c60d-f0ad-4b73-a3ab-4fc822e38d66} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{c3c0ec2c-2c1c-495c-9ad0-1f0ef833d7b5} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{8d71eeb8-a1a7-4733-8fa2-1cac015c967d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhc1p2j0en7t (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\Sidebar.DLL (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\AdvRemoteDbg (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhc1p2j0en7t (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\rhc1p2j0en7t (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc5p2j0en7t (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\rhc1p2j0en7t\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Admin\Desktop\Winamp Pro v5.54 Multilingual Incl Keymaker-CORE\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.


combofix log

ComboFix 08-11-07.01 - Admin 2008-11-08 0:24:56.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.145 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\cbffukfd.dll
c:\windows\system32\cjxmkfex.dll
c:\windows\system32\csecwlgt.dll
c:\windows\system32\helkhxad.dll
c:\windows\system32\kstmesmc.dll
c:\windows\system32\ksuqfo.dll
c:\windows\system32\tlqnjwva.ini2
c:\windows\system32\tlqnjwva.tmp
c:\windows\system32\ttsBLkkj.ini
c:\windows\system32\ttsBLkkj.ini2
c:\windows\system32\wauclt.exe
c:\windows\system32\xefkmxjc.ini

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv


((((((((((((((((((((((( Dateien erstellt von 2008-10-07 bis 2008-11-07 ))))))))))))))))))))))))))))))
.

2008-11-08 00:31 . 2008-11-08 00:31 <DIR> d-------- c:\windows\LastGood
2008-11-08 00:19 . 2008-11-08 00:19 200,704 --------- c:\windows\SysNotifier.exe
2008-11-07 23:50 . 2008-11-07 23:50 527 --a------ c:\windows\system32\TDSSiero.dat
2008-11-07 23:44 . 2008-11-07 23:44 <DIR> d-------- c:\programme\CCleaner
2008-11-07 23:17 . 2008-11-07 23:17 401,408 --a------ c:\windows\system32\CF25238.exe.vir
2008-11-07 23:14 . 2008-11-07 23:14 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-07 23:14 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-07 23:14 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-07 22:25 . 2008-11-07 22:25 <DIR> d-------- c:\programme\AxBx
2008-11-07 17:02 . 2008-11-07 17:02 <DIR> d--hs---- C:\found.001
2008-11-06 18:54 . 2008-11-06 18:54 <DIR> d-------- c:\programme\Trend Micro
2008-11-06 18:45 . 2008-11-08 00:19 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-14 17:56 . 2008-10-14 17:56 <DIR> d-------- c:\programme\Veoh Networks
2008-10-12 19:13 . 2008-10-12 19:13 <DIR> d-------- C:\Downloads

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-07 23:35 52 ----a-w c:\dokumente und einstellungen\Admin\LWT.dat
2008-11-07 18:34 --------- d-----w c:\programme\Warcraft III
2008-11-07 16:48 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\teamspeak2
2008-11-06 18:12 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-06 18:12 --------- d-----w c:\programme\Windows Live
2008-10-20 06:41 --------- d-----w c:\programme\wtvClient0.95.00
2008-10-06 21:57 --------- d-----w c:\programme\DotA Gaming Network
2008-10-01 17:40 --------- d-----w c:\programme\inKline Global
2008-10-01 17:39 36,864 ----a-w c:\windows\pass.exe
2008-10-01 16:59 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\TuneUp Software
2008-10-01 16:58 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-09-30 19:12 --------- d-----w c:\programme\Avira
2008-09-30 19:12 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-09-30 18:21 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-09-30 18:20 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-30 18:12 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8
2008-09-30 09:04 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FreeRIP
2008-09-29 19:37 --------- d-----w c:\programme\BearShare
2008-09-24 17:20 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-24 17:20 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2008-09-22 18:38 --------- d-----w c:\programme\Winamp
2008-09-22 18:38 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Winamp
2008-09-15 14:40 1,495,112 ----a-w C:\install_flash_player.exe
2008-09-14 17:22 --------- d-----w c:\programme\Gemeinsame Dateien\Teleca Shared
2008-09-14 17:21 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Juce VST Host
2008-09-14 14:45 --------- d-----w c:\programme\Warsow
2008-09-13 22:46 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-09-09 14:46 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Yahoo!
2007-12-09 18:28 3,498,312 ----a-w c:\programme\BSLITEINSTALL525.exe
2007-12-06 13:29 210,416 ----a-w c:\programme\zasuiteSetup_de.exe
2007-09-02 19:44 268,777 ----a-w c:\programme\CustomKeys.txt
2007-08-27 13:21 11,006,799 ----a-w c:\programme\GGClient_setup.exe
2007-03-14 14:46 17,976,688 ----a-w c:\programme\Install_Messenger.exe
2007-03-14 13:35 666,748 ----a-w c:\programme\www.ingame.de_lwt.zip
2007-03-14 13:34 815,877 ----a-w c:\programme\[inwc.de]replay_explorer_2.zip
2007-03-14 13:34 5,862,994 ----a-w c:\programme\[inwc.de]teamspeak_client_2.2.exe
2007-03-14 13:34 371,652 ----a-w c:\programme\[inwc.de]keycraft_2.01.exe
2007-03-14 12:58 6,135,808 ----a-w c:\programme\icq5_1_setup.exe
2007-03-14 12:50 6,718,976 ----a-w c:\programme\winamp533_full_emusic-7plus.exe
2007-03-14 12:47 1,121,961 ----a-w c:\programme\wtvClient0.95.00.zip
2008-11-07 22:49 299,008 ----a-w c:\programme\internet explorer\plugins\rcconf.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1CAD29DF-1D6D-41A2-8C55-EAA2C7EDCDEB}]
2008-11-07 23:49 299008 --a------ c:\programme\Internet Explorer\Plugins\rcconf.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-02-28 15360]
"Veoh"="c:\programme\Veoh Networks\Veoh\VeohClient.exe" [2008-02-22 3537968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-03 7311360]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-04-03 86016]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"Lescos Warcraft Toolkit"="c:\programme\www.ingame.de_lwt\LWT.exe" [2005-08-20 1317376]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-04-01 36352]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]
"nwiz"="nwiz.exe" [2006-04-03 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]

c:\dokumente und einstellungen\Admin\Startmen�\Programme\Autostart\
Warkeys Update.exe.lnk - c:\programme\Warkeys\update\Warkeys Update.exe [2006-08-03 225411]
Warkeys Update.lnk - c:\programme\Warkeys\update\Warkeys Update.exe [2006-08-03 225411]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rcconf]
2008-11-07 23:49 299008 c:\programme\Internet Explorer\Plugins\rcconf.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\wtvClient0.95.00\\wtvClient.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Programme\\Valve by p! an Finger Weg!!! (Jan-philipp)\\hl.exe"=

R1 oxmf;OXPCI Bus enumerator;c:\windows\system32\DRIVERS\oxmf.sys [2004-07-22 15872]
R1 oxser;OX16C95x Serial port driver;c:\windows\system32\DRIVERS\oxser.sys [2004-07-22 50048]
R3 Oxmfuf;Filter driver for OX16PCI95x ports;c:\windows\system32\DRIVERS\oxmfuf.sys [2004-07-22 4992]
R3 scrusb2a;SmartCard-Reader Keyboard USB 2A;c:\windows\system32\DRIVERS\scrusb2a.sys [2005-10-05 74474]
S3 cusbohcn;cusbohcn;c:\dokume~1\Admin\LOKALE~1\Temp\cusbohcn.sys [ ]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\DRIVERS\sis163u.sys [2006-07-03 217600]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{46f2bdd7-c7fb-11db-b8f1-003005a4e6f1}]
\Shell\AutoRun\command - e:\programs\nu2menu\nu2menu.exe
.
Inhalt des "geplante Tasks" Ordners

2008-11-07 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{0300E74B-33F6-4DEB-AB77-D4B5ECB47E7a} - c:\windows\system32\gbafmhxb.dll
BHO-{0877A808-8F32-433D-8EC7-48BAD4AFCDAC} - c:\windows\system32\jkkLBstt.dll
BHO-{57d61f19-a7ee-470e-88ea-de38ea18a19e} - c:\windows\system32\jekdqy.dll
HKCU-Run-MsnMsgr - c:\programme\Windows Live\Messenger\MsnMsgr.Exe
HKLM-Run-Generic Host - wauclt.exe
SafeBoot-TDSSifdt.sys


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Admin\Anwendungsdaten\Mozilla\Firefox\Profiles\7zx2vrtd.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.schuelervz.net/Profile/88dce530f2ede757|http://www.dota-league.com/|https://freemailng1807.web.de/online/frame.htm?si=2XiI0.1kIBKC.32APDU.3k*&v=1|http://www.google.de/
FF -: plugin - c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-08 00:33:33
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: c:\windows\system32\winlogon.exe
-> c:\programme\Internet Explorer\Plugins\rcconf.dll

Prozess: c:\windows\explorer.exe
-> c:\programme\Internet Explorer\Plugins\rcconf.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\scardsvr.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\imapi.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-08 0:38:18 - PC wurde neu gestartet [Admin]
ComboFix-quarantined-files.txt 2008-11-07 23:38:12
ComboFix2.txt 2008-09-24 18:19:54

Vor Suchlauf: 17 Verzeichnis(se), 30,065,332,224 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 29,959,790,592 Bytes frei

179 --- E O F --- 2008-09-10 20:29:55


HiJackThis log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:06:01, on 08.11.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://proxy.pdb.fsc.net:81
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Lescos Warcraft Toolkit] "C:\Programme\www.ingame.de_lwt\LWT.exe" -minimized
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [XPShield] C:\PROGRA~1\XPShield\XP-SHI~1.EXE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Warkeys Update.exe.lnk = C:\Programme\Warkeys\update\Warkeys Update.exe
O4 - Startup: Warkeys Update.lnk = C:\Programme\Warkeys\update\Warkeys Update.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?d9d03d17d4eb45a0a9af42c4a93b9c3d
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?d9d03d17d4eb45a0a9af42c4a93b9c3d
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172755930578
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4495 bytes

#4 Update MBAM und scanne nochmal
__________
MfG Argus

#5 Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1373
Windows 5.1.2600 Service Pack 2

08.11.2008 01:28:57
mbam-log-2008-11-08 (01-28-56).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 45470
Laufzeit: 3 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\XPShield (Rogue.XPShield) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XP-Shield (Rogue.XPShield) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\xpshield (Rogue.XPShield) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\XPShield (Rogue.XPShield) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\SysNotifier.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\temp\SysNotifier.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Programme\XPShield\INSTALL.LOG (Rogue.XPShield) -> Quarantined and deleted successfully.
C:\Programme\XPShield\UNWISE.EXE (Rogue.XPShield) -> Quarantined and deleted successfully.
C:\Programme\XPShield\XP-Shield Web Site.url (Rogue.XPShield) -> Quarantined and deleted successfully.
C:\Programme\XPShield\XP-Shield.exe (Rogue.XPShield) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Admin\Desktop\XP-Shield.lnk (Rogue.XPShield) -> Quarantined and deleted successfully.

#6 Virustotal

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html

Zitat

c:\windows\pass.exe

Note: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Poste nur die URL am Ende
__________
MfG Argus

#7 Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.7.1 2008.11.07 -
AntiVir 7.9.0.26 2008.11.07 SPR/PassView.O.1
Authentium 5.1.0.4 2008.11.07 -
Avast 4.8.1248.0 2008.11.07 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.11.08 HackTool.FII
BitDefender 7.2 2008.11.08 -
CAT-QuickHeal 9.50 2008.11.07 PSWTool.FirePass.bf (Not a Virus)
ClamAV 0.94.1 2008.11.08 -
DrWeb 4.44.0.09170 2008.11.08 -
eSafe 7.0.17.0 2008.11.06 Suspicious File
eTrust-Vet 31.6.6198 2008.11.07 -
Ewido 4.0 2008.11.07 Not-A-Virus.PSWTool.Win32.FirePass.bf
F-Prot 4.4.4.56 2008.11.07 -
F-Secure 8.0.14332.0 2008.11.08 PSWTool.Win32.FirePass.bf
Fortinet 3.117.0.0 2008.11.07 -
GData 19 2008.11.08 Win32:Trojan-gen {Other}
Ikarus T3.1.1.45.0 2008.11.07 -
K7AntiVirus 7.10.519 2008.11.07 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2008.11.08 not-a-virusSWTool.Win32.FirePass.bf
McAfee 5427 2008.11.07 -
Microsoft 1.4104 2008.11.08 -
NOD32 3596 2008.11.07 -
Norman 5.80.02 2008.11.07 -
Panda 9.0.0.4 2008.11.07 -
PCTools 4.4.2.0 2008.11.07 -
Prevx1 V2 2008.11.08 Worm
Rising 21.02.42.00 2008.11.07 -
SecureWeb-Gateway 6.7.6 2008.11.08 Riskware.PassView.O.1
Sophos 4.35.0 2008.11.08 -
Sunbelt 3.1.1783.2 2008.11.05 -
Symantec 10 2008.11.08 -
TheHacker 6.3.1.1.145 2008.11.08 -
TrendMicro 8.700.0.1004 2008.11.07 -
VBA32 3.12.8.9 2008.11.07 -
ViRobot 2008.11.7.1457 2008.11.07 Not_a_virusSWTool.FirePass.36864
VirusBuster 4.5.11.0 2008.11.07 -
weitere Informationen
File size: 36864 bytes
MD5...: 52835bd6c99c141c74eb428fbd0cf22a
SHA1..: 34e8e733db8d1e624ad8f00c5745e20fa5d45f3b
SHA256: 26e2bebe9c4233fa5de1f29649333281f3271ba41f63acc22c7ab15c0e94180f
SHA512: c7d180eab890f43acdb989a6793324d225b3da68b3df6d125ae04d63e3199ea1
3a1043394f03eda9df0fffdb2c5fe13a42f0c3627d8bc2fa68fbe163ba895d14
PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x415d10
timedatestamp.....: 0x48b4725c (Tue Aug 26 21:15:08 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xe000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xf000 0x7000 0x7000 7.88 c022b4bd4f8b0b3623c1d73568a97d6b
.rsrc 0x16000 0x2000 0x1c00 4.75 0d27de93963ce7f564fc6b355f3b46c1

( 9 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
> ADVAPI32.dll: RegCloseKey
> COMCTL32.dll: -
> comdlg32.dll: FindTextW
> GDI32.dll: SetBkMode
> msvcrt.dll: exit
> ole32.dll: CoInitialize
> SHELL32.dll: SHGetMalloc
> USER32.dll: GetDC

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=AC2E658F00A30BF5903A009E89D38500903AC814
packers (Avast): UPX
packers (F-Prot): UPX

#8 Prüfe diese auch mal
c:\programme\Internet Explorer\Plugins\rcconf.dll

Und bitte nur den URL =www.virus........
__________
MfG Argus

#9 Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DC38003000392979901804E30154B900C0D7FC5D

ist das der url?^^


oder der link oben in der leiste
http://www.virustotal.com/de/analisis/7cb494e2682f47edfa8a49b9010c693d

#10 cfscript
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop.
Gebe bei Dateityp 'Alle Dateien' an.
Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

File::
c:\windows\system32\TDSSiero.dat
c:\windows\system32\CF25238.exe.vir
c:\windows\pass.exe

Folder::
c:\programme\Internet Explorer\Plugins\rcconf.dll

CFScript.txt mit der rechten Maustaste auf das Symbol von Combofix ziehen



Combofix noch mal anwenden
poste dann nach Neustart das neue Log
__________
MfG Argus

#11 ComboFix 08-11-07.01 - Admin 2008-11-08 2:44:00.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.173 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Admin\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Admin\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
c:\windows\pass.exe
c:\windows\system32\CF25238.exe.vir
c:\windows\system32\TDSSiero.dat
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programme\Internet Explorer\Plugins\rcconf.dll\
c:\windows\pass.exe
c:\windows\system32\CF25238.exe.vir
c:\windows\system32\TDSSiero.dat

.
((((((((((((((((((((((( Dateien erstellt von 2008-10-08 bis 2008-11-08 ))))))))))))))))))))))))))))))
.

2008-11-08 02:05 . 2008-11-08 02:06 <DIR> d-------- c:\programme\TuneUp Utilities 2007
2008-11-08 02:05 . 2007-03-29 04:42 29,704 --a------ c:\windows\system32\uxtuneup.dll
2008-11-08 02:04 . 2008-11-08 02:04 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-11-08 01:36 . 2008-11-08 02:39 200,704 --a------ c:\windows\SysNotifier.exe
2008-11-08 01:02 . 2008-11-08 01:02 409,991 --a------ c:\dokumente und einstellungen\Admin\XPShieldSetup.exe
2008-11-08 00:31 . 2008-11-08 00:31 <DIR> d-------- c:\windows\LastGood
2008-11-07 23:44 . 2008-11-07 23:44 <DIR> d-------- c:\programme\CCleaner
2008-11-07 23:14 . 2008-11-07 23:14 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-07 23:14 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-07 23:14 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-07 22:25 . 2008-11-07 22:25 <DIR> d-------- c:\programme\AxBx
2008-11-07 17:02 . 2008-11-07 17:02 <DIR> d--hs---- C:\found.001
2008-11-06 18:54 . 2008-11-06 18:54 <DIR> d-------- c:\programme\Trend Micro
2008-11-06 18:45 . 2008-11-08 00:19 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-14 17:56 . 2008-10-14 17:56 <DIR> d-------- c:\programme\Veoh Networks
2008-10-12 19:13 . 2008-10-12 19:13 <DIR> d-------- C:\Downloads

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-08 01:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-11-08 01:04 --------- d-----w c:\programme\Windows Live
2008-11-07 23:35 52 ----a-w c:\dokumente und einstellungen\Admin\LWT.dat
2008-11-07 18:34 --------- d-----w c:\programme\Warcraft III
2008-11-07 16:48 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\teamspeak2
2008-11-06 18:12 --------- d--h--w c:\programme\InstallShield Installation Information
2008-10-20 06:41 --------- d-----w c:\programme\wtvClient0.95.00
2008-10-06 21:57 --------- d-----w c:\programme\DotA Gaming Network
2008-10-01 17:40 --------- d-----w c:\programme\inKline Global
2008-10-01 16:59 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\TuneUp Software
2008-10-01 16:58 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-09-30 19:12 --------- d-----w c:\programme\Avira
2008-09-30 19:12 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-09-30 18:21 --------- d-----w c:\programme\Spybot - Search & Destroy
2008-09-30 18:20 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-30 18:12 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg8
2008-09-30 09:04 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FreeRIP
2008-09-29 19:37 --------- d-----w c:\programme\BearShare
2008-09-24 17:20 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-24 17:20 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Malwarebytes
2008-09-22 18:38 --------- d-----w c:\programme\Winamp
2008-09-22 18:38 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Winamp
2008-09-15 14:40 1,495,112 ----a-w C:\install_flash_player.exe
2008-09-14 17:22 --------- d-----w c:\programme\Gemeinsame Dateien\Teleca Shared
2008-09-14 17:21 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Juce VST Host
2008-09-14 14:45 --------- d-----w c:\programme\Warsow
2008-09-13 22:46 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-09-09 14:46 --------- d-----w c:\dokumente und einstellungen\Admin\Anwendungsdaten\Yahoo!
2007-12-09 18:28 3,498,312 ----a-w c:\programme\BSLITEINSTALL525.exe
2007-12-06 13:29 210,416 ----a-w c:\programme\zasuiteSetup_de.exe
2007-09-02 19:44 268,777 ----a-w c:\programme\CustomKeys.txt
2007-08-27 13:21 11,006,799 ----a-w c:\programme\GGClient_setup.exe
2007-03-14 14:46 17,976,688 ----a-w c:\programme\Install_Messenger.exe
2007-03-14 13:35 666,748 ----a-w c:\programme\www.ingame.de_lwt.zip
2007-03-14 13:34 815,877 ----a-w c:\programme\[inwc.de]replay_explorer_2.zip
2007-03-14 13:34 5,862,994 ----a-w c:\programme\[inwc.de]teamspeak_client_2.2.exe
2007-03-14 13:34 371,652 ----a-w c:\programme\[inwc.de]keycraft_2.01.exe
2007-03-14 12:58 6,135,808 ----a-w c:\programme\icq5_1_setup.exe
2007-03-14 12:50 6,718,976 ----a-w c:\programme\winamp533_full_emusic-7plus.exe
2007-03-14 12:47 1,121,961 ----a-w c:\programme\wtvClient0.95.00.zip
2008-11-07 22:49 299,008 ----a-w c:\programme\internet explorer\plugins\rcconf.dll
.

((((((((((((((((((((((((((((( snapshot@2008-11-08_ 0.37.27.92 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-11-08 01:21:39 29,926 ----a-r c:\windows\Installer\{2B091530-69AA-442E-AB09-39ED06B58220}\MsblIco.Exe
- 2008-10-31 15:29:37 77,096 ----a-w c:\windows\system32\perfc007.dat
+ 2008-11-07 23:35:13 77,096 ----a-w c:\windows\system32\perfc007.dat
- 2008-10-31 15:29:37 63,606 ----a-w c:\windows\system32\perfc009.dat
+ 2008-11-07 23:35:13 63,606 ----a-w c:\windows\system32\perfc009.dat
- 2008-10-31 15:29:37 421,602 ----a-w c:\windows\system32\perfh007.dat
+ 2008-11-07 23:35:13 421,602 ----a-w c:\windows\system32\perfh007.dat
- 2008-10-31 15:29:37 406,024 ----a-w c:\windows\system32\perfh009.dat
+ 2008-11-07 23:35:13 406,024 ----a-w c:\windows\system32\perfh009.dat
+ 2007-10-18 10:31:46 51,224 ----a-w c:\windows\system32\sirenacm.dll
+ 2006-06-05 13:14:28 479,232 ----a-w c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcm80.dll
+ 2006-06-05 13:14:28 548,864 ----a-w c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcp80.dll
+ 2006-06-05 13:14:28 626,688 ----a-w c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcr80.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1CAD29DF-1D6D-41A2-8C55-EAA2C7EDCDEB}]
2008-11-07 23:49 299008 --a------ c:\programme\Internet Explorer\Plugins\rcconf.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2006-02-28 15360]
"Veoh"="c:\programme\Veoh Networks\Veoh\VeohClient.exe" [2008-02-22 3537968]
"MsnMsgr"="c:\programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-04-03 7311360]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-04-03 86016]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"Lescos Warcraft Toolkit"="c:\programme\www.ingame.de_lwt\LWT.exe" [2005-08-20 1317376]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2008-04-01 36352]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 c:\windows\system32\HdAShCut.exe]
"nwiz"="nwiz.exe" [2006-04-03 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2006-02-28 15360]

c:\dokumente und einstellungen\Admin\Startmen�\Programme\Autostart\
Warkeys Update.exe.lnk - c:\programme\Warkeys\update\Warkeys Update.exe [2006-08-03 225411]
Warkeys Update.lnk - c:\programme\Warkeys\update\Warkeys Update.exe [2006-08-03 225411]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rcconf]
2008-11-07 23:49 299008 c:\programme\Internet Explorer\Plugins\rcconf.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\wtvClient0.95.00\\wtvClient.exe"=
"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"c:\\Programme\\Valve by p! an Finger Weg!!! (Jan-philipp)\\hl.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R1 oxmf;OXPCI Bus enumerator;c:\windows\system32\DRIVERS\oxmf.sys [2004-07-22 15872]
R1 oxser;OX16C95x Serial port driver;c:\windows\system32\DRIVERS\oxser.sys [2004-07-22 50048]
R3 Oxmfuf;Filter driver for OX16PCI95x ports;c:\windows\system32\DRIVERS\oxmfuf.sys [2004-07-22 4992]
R3 scrusb2a;SmartCard-Reader Keyboard USB 2A;c:\windows\system32\DRIVERS\scrusb2a.sys [2005-10-05 74474]
S2 UxTuneUp;TuneUp Designerweiterung;c:\windows\System32\svchost.exe [2006-02-28 14336]
S3 cusbohcn;cusbohcn;c:\dokume~1\Admin\LOKALE~1\Temp\cusbohcn.sys [ ]
S3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;c:\windows\system32\DRIVERS\sis163u.sys [2006-07-03 217600]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{46f2bdd7-c7fb-11db-b8f1-003005a4e6f1}]
\Shell\AutoRun\command - e:\programs\nu2menu\nu2menu.exe

*Newly Created Service* - UXTUNEUP
*Newly Created Service* - WLSETUPSVC
.
Inhalt des "geplante Tasks" Ordners

2008-11-08 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2007\SystemOptimizer.exe [2007-04-27 05:08]
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-08 02:46:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: c:\windows\system32\winlogon.exe
-> c:\programme\Internet Explorer\Plugins\rcconf.dll
.
Zeit der Fertigstellung: 2008-11-08 2:48:27
ComboFix-quarantined-files.txt 2008-11-08 01:48:11
ComboFix2.txt 2008-11-07 23:38:19
ComboFix3.txt 2008-09-24 18:19:54

Vor Suchlauf: 17 Verzeichnis(se), 29.741.850.624 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 29,730,488,320 Bytes frei

173 --- E O F --- 2008-09-10 20:29:55

#12 Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme "
Klicke "Programm ausführen " unter FileASSASSIN
Suche c:\windows\SysNotifier.exe und klicke OK

CombiFix entfernen
Start > Ausführen> Kopiere rein ComboFix /U OK

Benutze CCleaner, und saubere die Registry

Systemwiederherstellung
Info:
http://virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung -->
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Rechner neu starten
dann wieder aktivieren

Scanne mit dein Up-to-date Antivir und stelle die Heuristic auf Mittel ein
http://www.free-av.com/documents/products/pdf/de/man_avira_antivir-personal_de.pdf
__________
MfG Argus

#13 Scanne mit dein Up-to-date Antivir und stelle die Heuristic auf Mittel ein
http://www.free-av.com/documents/products/pdf/de/man_avira_antivir-personal_de.pdf

wie was ? soll ich jetz nen scan mit antivir machen?


log:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 8. November 2008 03:23

Es wird nach 1019829 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: GERRIT

Versionsinformationen:
BUILD.DAT : 8.2.0.334 16933 Bytes 16.10.2008 14:53:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 15:31:20
ANTIVIR1.VDF : 7.1.0.21 130560 Bytes 31.10.2008 15:31:24
ANTIVIR2.VDF : 7.1.0.44 139264 Bytes 06.11.2008 18:54:39
ANTIVIR3.VDF : 7.1.0.55 139776 Bytes 07.11.2008 18:58:18
Engineversion : 8.2.0.29
AEVDF.DLL : 8.1.0.6 102772 Bytes 15.10.2008 21:13:23
AESCRIPT.DLL : 8.1.1.13 332156 Bytes 06.11.2008 18:54:48
AESCN.DLL : 8.1.1.5 123251 Bytes 07.11.2008 18:58:29
AERDL.DLL : 8.1.1.3 438645 Bytes 06.11.2008 18:54:47
AEPACK.DLL : 8.1.3.3 393591 Bytes 06.11.2008 18:54:45
AEOFFICE.DLL : 8.1.0.30 196986 Bytes 07.11.2008 18:58:28
AEHEUR.DLL : 8.1.0.71 1487222 Bytes 07.11.2008 18:58:26
AEHELP.DLL : 8.1.1.3 119157 Bytes 07.11.2008 18:58:21
AEGEN.DLL : 8.1.1.0 319859 Bytes 07.11.2008 18:58:20
AEEMU.DLL : 8.1.0.9 393588 Bytes 15.10.2008 21:13:15
AECORE.DLL : 8.1.4.1 172405 Bytes 07.11.2008 18:58:19
AEBB.DLL : 8.1.0.3 53618 Bytes 15.10.2008 21:13:13
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 30.09.2008 19:14:28
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 8. November 2008 03:23

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'scardsvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '28' Prozesse mit '28' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\Programme\Internet Explorer\Plugins\rcconf.dll
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Fraud.XPShield.O
[WARNUNG] Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 26003
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4bf5026f.qua' verschoben!

Die Registry wurde durchsucht ( '47' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\ARK3.tmp
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/Fraud.XPShield.O
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 495ff87f.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde gelöscht.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Admin\Eigene Dateien\winamp552_full_emusic-7plus_de-de.exe
[0] Archivtyp: NSIS
--> ProgramFilesDir/el-vis - soundscape III (skupers remix).avs
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\System Volume Information\_restore{B21F31B3-BED4-4070-83B3-FF9BEF1FD70D}\RP2\A0000032.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.XPShield.D
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4944fc8c.qua erstellt ( QUARANTÄNE )
[HINWEIS] Die Datei wurde gelöscht.
C:\WINDOWS\SysNotifier.exe
[FUND] Enthält Erkennungsmuster der Phish-Datei/Email PHISH/FraudTool.XPShield.D
[HINWEIS] Eine Sicherungskopie wurde unter dem Namen 4987fcd9.qua erstellt ( QUARANTÄNE )
[WARNUNG] Die Datei konnte nicht gelöscht werden!
[HINWEIS] Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Samstag, 8. November 2008 03:50
Benötigte Zeit: 27:41 Minute(n)

#14 Antivir ist doch ein guter scanner
__________
MfG Argus

#15 hallo, da doch noch einiges gefunden wird. stelle bei dateisuchmodus alle dateien ein, die heuristik auf hoch (bei avira meine ich) update noch mal scanne, funde in quarantäne und log posten