Massig Viren entfernt, sind noch welche da?

#0
04.12.2008, 13:11
...neu hier

Beiträge: 6
#1 Hallo ihr;)
Ich habe heute meinen Computer nichtsahnend gestartet und direkt am Start bekam ich 100te Meldungen über einen Viren fund. Ich konnte sie weder löschen noch ignorieren, sie kamen immer wieder. Auch der Taskmanager ging nicht und jede Taste die ich drückte rief eine neue Virus box hervor. Habe neugestartet und Antivir bevor es melden konnte deaktiviert. Dann Combofix benutzt, welches anscheind auch die Viren entfernt hat. Nun wollte ich wissen ob noch irgendwelche Viren da sind.

Combofix Log:

ComboFix 08-12-03.03 - Besitzer 2008-12-04 12:52:13.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1572 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\qmdispatch.dll
c:\windows\system32\cunshy.dll
c:\windows\system32\dccsaplw.dll
c:\windows\system32\kjmauxxr.dll
c:\windows\system32\ljJAQGAp.dll
c:\windows\system32\qoMcyxyy.dll
c:\windows\system32\rxxuamjk.ini
c:\windows\system32\yayaWNHX.dll
c:\windows\system32\yyxycMoq.ini
c:\windows\system32\yyxycMoq.ini2
c:\windows\Tasks\zogdiccb.job

.
((((((((((((((((((((((( Dateien erstellt von 2008-11-04 bis 2008-12-04 ))))))))))))))))))))))))))))))
.

2012-04-22 17:54 . 2008-08-05 05:30 <DIR> d-------- c:\programme\free-downloads.net
2012-04-22 17:54 . 2012-04-22 17:54 <DIR> d-------- c:\programme\Conduit
2012-04-22 17:54 . 2012-04-22 17:54 <DIR> d-------- c:\programme\Alcohol Soft
2008-12-03 21:22 . 2008-12-03 21:22 40,960 --a------ c:\windows\system32\yrnmqamp.dll
2008-11-30 08:47 . 2008-11-30 08:47 <DIR> d-------- c:\programme\OpenAL
2008-11-30 08:47 . 2008-11-30 08:47 409,600 --a------ c:\windows\system32\wrap_oal.dll
2008-11-30 08:47 . 2008-11-30 08:47 114,688 --a------ c:\windows\system32\OpenAL32.dll
2008-11-30 08:44 . 2008-11-30 08:44 <DIR> d-------- c:\programme\Bohemia Interactive
2008-11-27 16:36 . 2008-11-30 10:23 304 --a------ C:\config.ini
2008-11-21 22:13 . 2008-11-21 22:18 <DIR> d-------- c:\programme\PANZERS - Phase1
2008-11-21 20:45 . 2008-11-21 20:45 <DIR> d--h-c--- c:\dokumente und einstellungen\All Users\Anwendungsdaten\{6ABA9AFC-BC32-41F6-AE1E-C0C9C137DB7B}
2008-11-21 13:33 . 2008-11-21 13:33 <DIR> d-------- c:\programme\THQ
2008-11-20 21:44 . 2008-11-20 21:44 42,320 --a------ c:\windows\system32\xfcodec.dll
2008-11-20 13:48 . 2008-11-20 13:48 <DIR> d-------- c:\programme\PianoFX
2008-11-18 17:42 . 2007-04-22 09:04 36,864 --a------ c:\windows\system32\jcegr.dll
2008-11-18 15:16 . 2008-11-18 15:16 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\InstallShield
2008-11-18 15:14 . 2007-04-22 16:04 36,864 --a------ c:\windows\system32\adt.dll
2008-11-17 19:53 . 2007-04-22 09:04 36,864 --a------ c:\windows\system32\aykxtbg.dll
2008-11-14 18:16 . 2008-11-14 18:16 <DIR> d-------- c:\programme\Windows Media Connect 2
2008-11-14 18:15 . 2008-11-14 18:15 <DIR> d-------- c:\windows\system32\drivers\UMDF
2008-11-14 14:33 . 2006-12-07 06:29 2,374,472 --a------ c:\windows\system32\OLD7C.tmp
2008-11-13 06:39 . 2008-11-13 06:39 <DIR> d-------- c:\programme\MSXML 6.0
2008-11-13 06:38 . 2008-11-13 06:38 <DIR> d-------- c:\programme\MSXML 4.0
2008-11-12 18:34 . 2008-10-24 12:25 455,936 -----c--- c:\windows\system32\dllcache\mrxsmb.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-04 11:58 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Vidalia
2008-12-04 11:57 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\tor
2008-12-02 13:55 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-11-29 11:50 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Xfire
2008-11-28 17:14 136,888 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2008-11-28 17:14 111,928 ----a-w c:\windows\system32\PnkBstrB.exe
2008-11-28 14:37 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\teamspeak2
2008-11-27 18:01 --------- d-----w c:\programme\Xfire
2008-11-27 17:45 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\PhotoParade
2008-11-27 17:44 --------- d-----w c:\programme\phase5
2008-11-27 14:01 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\FileZilla
2008-11-21 19:45 --------- dc-h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{0151C9FC-719D-4459-B1E2-4685CC6E62A8}
2008-11-21 12:33 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-18 14:12 --------- d-----w c:\programme\QMacro
2008-11-11 13:40 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\HDD Thermometer
2008-11-01 11:11 --------- d-----w c:\programme\Cain
2008-10-30 12:40 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\TrueCrypt
2008-10-30 12:32 235,840 ----a-w c:\windows\system32\drivers\truecrypt.sys
2008-10-30 12:32 --------- d-----w c:\programme\TrueCrypt
2008-10-26 18:27 --------- d-----w c:\programme\Sytexis Software
2008-10-26 18:27 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Sytexis Software
2008-10-26 18:15 --------- d-----w c:\programme\URLSnooper2
2008-10-26 18:08 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DonationCoder
2008-10-26 18:01 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Winamp
2008-10-26 18:00 --------- d-----w c:\programme\Winamp
2008-10-25 12:37 --------- d-----w c:\programme\Tunatic
2008-10-24 11:25 455,936 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-21 11:46 --------- d-----w c:\programme\ShotOnline
2008-10-19 18:04 151,552 ----a-w c:\windows\system32\nvRegDev.dll
2008-10-19 18:04 --------- d-----w c:\programme\NVIDIA Corporation
2008-10-17 21:47 --------- d-----w c:\programme\Rainmeter
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll
2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll
2008-10-15 07:47 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-10-15 07:39 669,184 ----a-w c:\windows\system32\pbsvc.exe
2008-10-15 07:39 66,872 ----a-w c:\windows\system32\PnkBstrA.exe
2008-10-15 07:39 22,328 ----a-w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\PnkBstrK.sys
2008-10-15 07:31 --------- d-----w c:\programme\Electronic Arts
2008-10-15 07:17 --------- d-----w c:\programme\Ubisoft
2008-10-14 21:06 --------- d-----w c:\programme\Criline Search and Replace
2008-10-13 10:18 --------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-06 14:21 --------- d-----w c:\programme\BitrateView
2008-10-05 20:39 --------- d-----w c:\programme\Intelore
2008-10-05 08:28 --------- d-----w c:\programme\Skispringen 2006
2008-10-05 07:47 97,792 ----a-w c:\windows\system32\drivers\ACEDRV05.sys
2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll
2008-09-15 15:13 1,847,040 ----a-w c:\windows\system32\win32k.sys
2008-09-04 16:32 1,106,944 ----a-w c:\windows\system32\msxml3.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{000E148C-F7A7-445A-9044-93BF6CE09ECB}"= "c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll" [2008-08-14 2484224]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{000E148C-F7A7-445A-9044-93BF6CE09ECB}"= "c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll" [2008-08-14 2484224]

[HKEY_CLASSES_ROOT\clsid\{000e148c-f7a7-445a-9044-93bf6ce09ecb}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968.3]
[HKEY_CLASSES_ROOT\TypeLib\{77AA25E8-6083-4949-A831-9CB11861DC10}]
[HKEY_CLASSES_ROOT\TBSB03968.TBSB03968]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"Vidalia"="c:\programme\Vidalia Bundle\Vidalia\vidalia.exe" [2007-11-22 12889088]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-03 13529088]
"AOLDialer"="c:\programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2004-02-25 496752]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-08-06 266497]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-05-03 86016]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-09-06 413696]
"RealTray"="c:\programme\Real\RealPlayer\RealPlay.exe" [2008-04-21 26112]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2007-11-28 c:\windows\system32\hdashcut.exe]
"nwiz"="nwiz.exe" [2008-05-03 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
AOL 9.0 Tray-Symbol.lnk - c:\programme\AOL 9.0\aoltray.exe [2008-04-21 156784]
Microsoft-Indexerstellung.lnk - c:\programme\Microsoft Office\Office\FINDFAST.EXE [1997-10-21 111376]
Office-Start.lnk - c:\programme\Microsoft Office\Office\OSA.EXE [1997-10-21 51984]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=cunshy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv31"= c:\windows\system32\ir32_32.dll
"vidc.iv32"= c:\windows\system32\ir32_32.dll
"VIDC.XFR1"= xfcodec.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\AOL 9.0\\waol.exe"=
"c:\\Gamigo Games\\Smash Online\\SmashOnline.exe"=
"c:\\Alien Arena 2008\\crx.exe"=
"c:\\WINDOWS\\system32\\dplaysvr.exe"=
"c:\\Programme\\Sierra\\FEARCombat\\FEARServer.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Programme\\Xfire\\xfire.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"c:\\Programme\\Atari\\BOILING POINT\\Xenus.exe"=
"c:\\Programme\\Speedball2 Demo\\Speedball2.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Dokumente\\AOL Downloads\\Stronghold Crusader\\Stronghold Crusader.exe"=
"d:\\Lan\\Neuer Ordner\\Em4Deluxe.exe"=
"c:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"d:\\WC3\\Warcraft III.exe"=
"c:\\Programme\\Silkroadbot\\nuConnector71.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Programme\\TeamViewer3\\TeamViewer.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Dokumente\\AOL Downloads\\d\\nuConnector75.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"d:\\LevelR\\LevelR\\LevelR.bin"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Miranda IM\\miranda32.exe"=
"c:\\Programme\\Ubisoft\\SilentHunterIII\\sh3.exe"=
"c:\\Programme\\Sierra\\FEARCombat\\fpupdate.exe"=
"c:\\Programme\\Sierra\\FEARCombat\\FEARMP.exe"=
"c:\\Programme\\Cain\\Cain.exe"=
"c:\\WINDOWS\\system32\\mmc.exe"=
"c:\\Programme\\Electronic Arts\\EADM\\Core.exe"=
"d:\\Crytek\\Crysis Wars\\Bin32\\Crysis.exe"=

R0 xfilt;VIA SATA IDE Hot-plug Driver;c:\windows\system32\DRIVERS\xfilt.sys [2008-04-21 11264]
R1 ATMhelpr;ATMhelpr;c:\windows\system32\drivers\ATMhelpr.sys [2008-05-03 4064]
S3 lac97inf;lac97inf;\??\c:\dokume~1\Besitzer\LOKALE~1\Temp\lac97inf.sys []
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-06 34064]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{074603e7-3456-11dd-bc4f-00038a000015}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL autorun.exe
.
Inhalt des "geplante Tasks" Ordners

2008-12-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2008-11-18 c:\windows\Tasks\test.job
- c:\dokumente und einstellungen\Besitzer\Desktop\test.bat []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{BED42446-0139-465C-8881-FC7BDB03EADB} - c:\windows\system32\qoMcyxyy.dll
BHO-{eda445dc-5227-406f-8901-e5ced97a50f1} - c:\windows\system32\cunshy.dll


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
uInternet Settings,ProxyOverride = *.local
IE: &NeoTrace It! - c:\progra~1\NEOTRA~1\NTXcontext.htm
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

c:\windows\Downloaded Program Files\OberonGameHost.dll - O16 -: {D0C0F75C-683A-4390-A791-1ACFD5599AB8}
hxxp://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
c:\windows\Downloaded Program Files\OberonGameHost_dbg.inf
FireFox -: Profile - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\zifcysfa.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-04 12:57:21
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\progra~1\GEMEIN~1\aol\ACS\AOLacsd.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\PnkBstrA.exe
c:\windows\system32\UAService7.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\wscntfy.exe
c:\programme\Vidalia Bundle\Tor\tor.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-12-04 13:00:05 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-12-04 12:00:02
ComboFix2.txt 2008-09-04 17:24:33

Vor Suchlauf: 2.397.798.400 Bytes frei
Nach Suchlauf: 2,344,771,584 Bytes frei

245 --- E O F --- 2008-11-25 12:11:14

Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:05:28, on 04.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Microsoft Office\Office\FINDFAST.EXE
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Vidalia Bundle\Tor\tor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Toolbar fuer eBay - {000E148C-F7A7-445A-9044-93BF6CE09ECB} - C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: cunshy.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

--
End of file - 8454 bytes

Hoffe das nichts mehr da ist, danke für die Hilfe im vorraus^^

mfG
Seitenanfang Seitenende
04.12.2008, 14:13
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html

Zitat

c:\windows\system32\yrnmqamp.dll
c:\windows\system32\jcegr.dll
c:\windows\system32\aykxtbg.dll
Note: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Poste nur die URL am Ende(der link oben in der leiste)

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O20 - AppInit_DLLs: cunshy.dll

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Malwarebytes Anti-Malware fuer Windows 2000,XP und Vista
Download MalwareBytes' Anti-Malware
Download1 MalwareBytes' Anti-Malware
Download2 MalwareBytes' Anti-Malware
Download3 MalwareBytes' Anti-Malware
Download4 MalwareBytes' Anti-Malware
Doppelklick mbam-setup und waehle Deutsch ,das Program wird jetzt ge-updatet

Wähle bei Reiter:
“Scanner”> "Quickscan durchfuehren".
“Update “> klicke “Suche nache Aktualisierungen“
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
Scan laufen lassen

Wenn am Ende infizierungen gefunden werden,anhaken und entfernen lassen
Starte dein Rechner neu
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu
Malwarebytes Anti-Malware kann man nachher behalten !

Später kann man noch ein "Vollständiger Suchlauf“durchführen
__________
MfG Argus
Seitenanfang Seitenende
04.12.2008, 16:46
...neu hier

Themenstarter

Beiträge: 6
#3 So. Hier erstmal die 3 gescannten dll`s:

http://www.virustotal.com/de/analisis/9d9fb87225097616a3af948e5b037ae6

http://www.virustotal.com/de/analisis/7a798ea422378ca55f189c798bd2ab32

http://www.virustotal.com/de/analisis/2e2165ca9709b2f911540538c7870859

Und hier das Logfile:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1460
Windows 5.1.2600 Service Pack 2

04.12.2008 16:41:32
mbam-log-2008-12-04 (16-41-32).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 48330
Laufzeit: 2 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

mfG
Seitenanfang Seitenende
04.12.2008, 16:59
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Start > Ausführen> Kopiere rein ComboFix /U OK

Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme "
Klicke "Programm ausführen " unter FileASSASSIN
Suche c:\windows\system32\yrnmqamp.dll und klicke OK

Jetzt wird c:\windows\system32\yrnmqamp.dll entgültig entfernt

Mach dasselbe mit
c:\windows\system32\jcegr.dll
c:\windows\system32\aykxtbg.dll

Java
Dein Java software ist veraltet,
Download Java Runtime Environment (JRE) 6u11 zum Desktop

Entferne ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Die aeltere Versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Schliesse alle Programme auch dein Webbrowser
Installiere jetzt vom Desktop aus ---> jre-6u11-windows-i586-p-s.exe

Benutze ATF Cleaner
Nur für XP und Windows 2000
Doppelklick ATFcleaner um das Program zu starten
Auf tab “Main“ Select All anhaaken.
Klicke den Knopf Empty selected

Wenn man Opera als browser hat:
Klicke auf tab “Opera“ Select All anhaaken.
Willst du die durch Opera aufgehobene passwörter behalten
Dan klickt man im Fenster was erscheint auf “No“
Klicke den Knopf Empty selected

Wenn man Firefox als browser hat:
Klicke auf tab “Firefox“ Select All anhaaken.
Willst du die durch Firefox aufgehobene passwörter behalten
Dan klickt man im Fenster was erscheint auf “No“
Klicke den Knopf Empty selected

Geh zum tab“Main“und klicke Exit um das Program
zu schliessen.
__________
MfG Argus
Seitenanfang Seitenende