Virusverdacht: Automatische weiterleitung und popups

#0
03.01.2009, 23:08
...neu hier

Beiträge: 2
#1 Hallo,
habe seit heute das problem, dass, wenn ich z.b. bei google was suche und auf einen link klicke, ich auf eine komplett andere seite weitergeleitet werde.
außerdem sind auf vielen seite immer komische werbebanner zu sehen die sonst nicht dasind. und egal wo ich surfe öffnen sich immer wieder pop-ups mit werbung oft auch zum emule download und zu "ab-18-seiten" .
ich hoffe ich muss mein system nicht neu machen da ich erst alles neu gemacht hab. (hatte nen auf der festplatte war irgendwie kaputt).

hier mein malwarebytes-breicht:

Zitat

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1456
Windows 6.0.6000

03.01.2009 22:25:00
mbam-log-2009-01-03 (22-25-00).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 143554
Laufzeit: 41 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\Program Files\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Quarantined and deleted successfully.
hei mein combofix-logfile:

Zitat

ComboFix 09-01-02.01 - Dominic 2009-01-03 22:34:27.1 - NTFSx86
Microsoft® Windows Vista™ Ultimate 6.0.6000.0.1252.1.1031.18.2047.1048 [GMT 1:00]
ausgeführt von:: c:\users\Dominic\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active

.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
c:\users\Dominic\AppData\Roaming\pack3.exe
c:\windows\system32\drivers\msqpdxgjkjmqpg.sys
c:\windows\system32\msqpdxpajkursj.dll
c:\windows\system32\NCTAudioFile2.dll
c:\windows\system32\NCTAudioPlayer2.dll
c:\windows\system32\NCTAudioRecord2.dll
F:\Autorun.inf
F:\resycled
f:\resycled\boot.com

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_MSQPDXSERV.SYS
-------\Service_MSQPDXSERV.SYS


((((((((((((((((((((((( Dateien erstellt von 2008-12-03 bis 2009-01-03 ))))))))))))))))))))))))))))))
.

2009-01-03 21:48 . 2009-01-03 21:48 <DIR> d-------- c:\program files\Trend Micro
2009-01-03 21:42 . 2009-01-03 21:42 <DIR> d-------- c:\users\Dominic\AppData\Roaming\Malwarebytes
2009-01-03 21:42 . 2009-01-03 21:42 <DIR> d-------- c:\users\All Users\Malwarebytes
2009-01-03 21:42 . 2009-01-03 21:42 <DIR> d-------- c:\programdata\Malwarebytes
2009-01-03 21:42 . 2009-01-03 22:24 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware
2009-01-03 21:42 . 2008-12-03 19:52 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys
2009-01-03 21:42 . 2008-12-03 19:52 15,504 --a------ c:\windows\System32\drivers\mbam.sys
2009-01-03 18:18 . 2009-01-03 18:47 <DIR> d-------- c:\users\All Users\FLEXnet
2009-01-03 18:18 . 2009-01-03 18:47 <DIR> d-------- c:\programdata\FLEXnet
2009-01-03 17:26 . 2009-01-03 17:26 <DIR> d-------- c:\program files\Adobe Media Player
2009-01-03 17:24 . 2009-01-03 17:24 <DIR> d-------- c:\program files\Common Files\Adobe AIR
2009-01-03 17:22 . 2009-01-03 18:48 <DIR> d-------- c:\users\All Users\Adobe
2009-01-03 17:21 . 2009-01-03 17:21 <DIR> d-------- c:\program files\Common Files\Macrovision Shared
2009-01-03 16:39 . 2009-01-03 17:27 <DIR> d-------- c:\program files\Common Files\Adobe
2009-01-03 15:58 . 2009-01-03 16:19 <DIR> d-------- c:\users\Dominic\AppData\Roaming\Download Manager
2009-01-03 14:45 . 2009-01-03 15:35 <DIR> d-------- c:\users\Dominic\AppData\Roaming\gtk-2.0
2009-01-03 14:44 . 2009-01-03 14:44 <DIR> d-------- c:\users\Dominic\.thumbnails
2009-01-03 14:40 . 2009-01-03 15:50 <DIR> d-------- c:\users\Dominic\.gimp-2.6
2009-01-03 14:40 . 2009-01-03 14:40 <DIR> d-------- c:\users\Dominic\.gegl-0.0
2009-01-03 14:37 . 2009-01-03 14:38 <DIR> d-------- c:\program files\GIMP-2.0
2008-12-31 20:10 . 2008-12-31 20:10 <DIR> d-------- c:\windows\Sun
2008-12-31 20:09 . 2008-12-31 20:08 410,984 --a------ c:\windows\System32\deploytk.dll
2008-12-31 20:08 . 2008-12-31 20:08 <DIR> d-------- c:\program files\Java
2008-12-30 21:21 . 2009-01-02 15:19 <DIR> d-------- c:\users\Dominic\AppData\Roaming\concept design
2008-12-30 21:21 . 2006-05-21 16:15 966,144 --a------ c:\windows\System32\NCTAudioInformation2.dll
2008-12-30 21:21 . 2006-05-21 16:15 634,880 --a------ c:\windows\System32\NCTAudioEditor2.dll
2008-12-30 21:21 . 2006-05-21 16:15 522,752 --a------ c:\windows\System32\NCTAudioTransform2.dll
2008-12-30 21:21 . 2006-05-21 16:15 307,200 --a------ c:\windows\System32\msvcr70.dll
2008-12-30 21:21 . 2006-05-21 16:15 237,568 --a------ c:\windows\System32\lame_enc.dll
2008-12-30 15:53 . 2008-12-30 17:41 <DIR> d-------- c:\users\All Users\Test Drive Unlimited
2008-12-30 15:53 . 2008-12-30 17:41 <DIR> d-------- c:\programdata\Test Drive Unlimited
2008-12-30 15:35 . 2008-12-30 15:35 <DIR> dr-h----- c:\users\Dominic\AppData\Roaming\SecuROM
2008-12-30 15:29 . 2008-12-30 15:29 639,224 --a------ c:\windows\System32\drivers\sptd.sys
2008-12-28 22:17 . 2008-12-28 22:55 <DIR> d-------- c:\users\Dominic\AppData\Roaming\TeamViewer
2008-12-28 17:30 . 2008-03-05 15:56 3,786,760 --a------ c:\windows\System32\D3DX9_37.dll
2008-12-28 17:29 . 2005-05-26 15:34 2,297,552 --a------ c:\windows\System32\d3dx9_26.dll
2008-12-28 17:27 . 2008-12-28 17:27 22,328 --a------ c:\windows\System32\drivers\PnkBstrK.sys
2008-12-28 17:27 . 2008-12-28 17:27 22,328 --a------ c:\users\Dominic\AppData\Roaming\PnkBstrK.sys
2008-12-28 17:25 . 2008-12-28 17:25 2,250,024 --a------ c:\windows\System32\pbsvc.exe
2008-12-28 17:25 . 2008-12-28 17:25 107,832 --a------ c:\windows\System32\PnkBstrB.exe
2008-12-28 17:25 . 2008-12-28 17:25 66,872 --a------ c:\windows\System32\PnkBstrA.exe
2008-12-28 17:05 . 2009-01-03 21:21 <DIR> d-------- c:\users\Dominic\Tracing
2008-12-28 17:03 . 2008-12-28 17:03 <DIR> d-------- c:\program files\Microsoft Silverlight
2008-12-28 17:03 . 2008-12-28 17:03 <DIR> d-------- c:\program files\Microsoft Office Outlook Connector
2008-12-28 17:03 . 2008-12-08 17:01 55,264 --a------ c:\windows\System32\drivers\fssfltr.sys
2008-12-28 17:02 . 2008-12-28 17:02 <DIR> d-------- c:\program files\Microsoft Sync Framework
2008-12-28 17:00 . 2006-11-29 13:06 3,426,072 --a------ c:\windows\System32\d3dx9_32.dll
2008-12-28 16:59 . 2008-12-28 16:59 <DIR> d-------- c:\program files\Microsoft SQL Server Compact Edition
2008-12-28 16:57 . 2008-12-28 16:57 <DIR> d-------- c:\program files\Windows Live SkyDrive
2008-12-28 16:57 . 2008-12-28 17:03 <DIR> d-------- c:\program files\Windows Live
2008-12-28 16:57 . 2008-12-28 17:03 <DIR> d-------- c:\program files\Microsoft
2008-12-28 16:49 . 2008-12-28 16:49 <DIR> d-------- c:\program files\Common Files\Windows Live
2008-12-28 01:47 . 2008-12-28 01:47 176 --a------ c:\users\Dominic\AppData\Roaming\shedl.bat
2008-12-28 01:46 . 2008-12-30 16:00 <DIR> d-a------ c:\users\All Users\TEMP
2008-12-28 01:46 . 2008-12-30 16:00 <DIR> d-a------ c:\programdata\TEMP
2008-12-28 01:46 . 2009-01-02 15:17 <DIR> d-------- C:\Fraps
2008-12-28 01:46 . 2008-12-28 01:46 1,695,744 --a------ c:\users\Dominic\AppData\Roaming\pack.exe
2008-12-28 01:31 . 2008-12-28 01:31 <DIR> d-------- c:\users\Dominic\AppData\Roaming\teamspeak2
2008-12-28 01:31 . 2008-12-28 01:31 34,064 --a------ c:\windows\System32\lhacm.acm
2008-12-27 19:57 . 2008-12-27 19:58 <DIR> d-------- C:\Python25
2008-12-27 19:51 . 2008-12-27 19:51 <DIR> d-------- c:\users\Dominic\AppData\Roaming\Blender Foundation
2008-12-26 22:59 . 2009-01-02 15:21 <DIR> d-------- c:\users\Dominic\AppData\Roaming\Hamachi
2008-12-26 22:58 . 2008-12-26 22:59 <DIR> d-------- c:\program files\Hamachi
2008-12-26 22:58 . 2008-12-26 22:58 25,280 --a------ c:\windows\System32\drivers\hamachi.sys
2008-12-26 22:30 . 2008-12-26 23:12 <DIR> d-------- c:\users\Dominic\AppData\Roaming\ICQ
2008-12-26 22:29 . 2008-12-26 22:34 <DIR> d-------- c:\program files\ICQ6.5
2008-12-26 20:35 . 2008-12-26 20:35 268,800 --a------ c:\windows\System32\es.dll
2008-12-26 20:33 . 2008-12-26 20:33 1,585,664 --a------ c:\windows\System32\setupapi.dll
2008-12-26 12:17 . 2008-12-26 12:17 1,152,000 --a------ c:\windows\System32\themecpl.dll
2008-12-26 12:17 . 2008-12-26 12:17 233,888 --a------ c:\windows\System32\DreamScene.dll
2008-12-26 12:16 . 2008-07-12 08:18 3,851,784 --a------ c:\windows\System32\D3DX9_39.dll
2008-12-26 12:03 . 2008-12-26 12:03 <DIR> d-------- c:\users\Dominic\AppData\Roaming\Lavasoft
2008-12-26 11:59 . 2008-12-26 11:59 <DIR> d-------- c:\program files\VistaCodecPack
2008-12-26 11:59 . 2008-12-26 11:59 <DIR> d-------- c:\program files\BitLocker
2008-12-26 11:58 . 2008-12-26 11:58 1,171,848 --a------ c:\windows\System32\SecureKeyBackupCPL.dll
2008-12-26 11:58 . 2008-12-26 11:58 711 --a------ c:\windows\System32\CPSOKBTasks.xml
2008-12-26 11:54 . 2006-10-26 19:56 32,592 --a------ c:\windows\System32\msonpmon.dll
2008-12-26 11:52 . 2008-12-26 11:52 <DIR> d-------- c:\program files\Microsoft Works
2008-12-26 11:50 . 2008-12-26 11:50 <DIR> d-------- c:\windows\PCHEALTH
2008-12-26 11:50 . 2008-12-26 11:50 <DIR> d-------- c:\program files\Microsoft.NET
2008-12-26 11:48 . 2008-12-26 11:48 <DIR> d--h----- c:\users\All Users\{DB04972C-4BF5-4DDF-A9A2-E231AC30620C}
2008-12-26 11:48 . 2008-12-26 11:48 <DIR> d--h----- c:\programdata\{DB04972C-4BF5-4DDF-A9A2-E231AC30620C}
2008-12-26 11:48 . 2008-12-26 11:48 <DIR> d-------- c:\program files\Lavasoft
2008-12-26 11:48 . 2008-12-26 11:48 <DIR> d-------- c:\program files\Common Files\Lavasoft
2008-12-26 11:45 . 2008-12-26 11:45 <DIR> d-------- c:\program files\Microsoft Visual Studio 8
2008-12-26 11:43 . 2008-12-28 18:03 <DIR> d-------- c:\users\All Users\Microsoft Help
2008-12-26 11:43 . 2008-12-28 18:03 <DIR> d-------- c:\programdata\Microsoft Help
2008-12-26 11:42 . 2008-12-26 11:42 <DIR> dr-h----- C:\MSOCache
2008-12-26 11:37 . 2008-12-26 11:37 <DIR> d-------- c:\program files\Ashampoo
2008-12-26 11:36 . 2008-09-16 20:53 <DIR> d-------- c:\windows\Crack
2008-12-26 11:36 . 2008-03-05 21:55 10,085,472 --a------ c:\windows\ashampoo_winoptimizer500_sm.exe
2008-12-26 11:33 . 2008-12-26 11:33 <DIR> d-------- c:\users\Dominic\AppData\Roaming\Notepad++
2008-12-26 09:44 . 2008-12-28 17:03 <DIR> d----c--- c:\windows\System32\DRVSTORE
2008-12-26 09:44 . 2008-12-17 10:56 100,368 --a------ c:\windows\System32\drivers\VBoxDrv.sys
2008-12-26 09:44 . 2008-12-17 10:56 41,680 --a------ c:\windows\System32\drivers\VBoxUSBMon.sys
2008-12-26 00:24 . 2008-12-26 00:24 361,984 --a------ c:\windows\System32\IPSECSVC.DLL
2008-12-26 00:24 . 2008-12-26 00:24 272,896 --a------ c:\windows\System32\polstore.dll
2008-12-26 00:24 . 2008-12-26 00:24 61,440 --a------ c:\windows\System32\winipsec.dll
2008-12-26 00:24 . 2008-12-26 00:24 28,672 --a------ c:\windows\System32\FwRemoteSvr.dll
2008-12-26 00:22 . 2008-12-26 00:22 241,152 --a------ c:\windows\System32\PortableDeviceApi.dll
2008-12-26 00:22 . 2008-12-26 00:22 205,824 --a------ c:\windows\System32\msoeacct.dll
2008-12-26 00:22 . 2008-12-26 00:22 160,768 --a------ c:\windows\System32\PortableDeviceTypes.dll
2008-12-26 00:22 . 2008-12-26 00:22 95,232 --a------ c:\windows\System32\PortableDeviceClassExtension.dll
2008-12-26 00:22 . 2008-12-26 00:22 87,040 --a------ c:\windows\System32\msoert2.dll
2008-12-26 00:22 . 2008-12-26 00:22 39,424 --a------ c:\windows\System32\ACCTRES.dll
2008-12-26 00:21 . 2008-12-26 00:21 1,655,289 --a------ c:\windows\System32\wlan.tmf
2008-12-26 00:21 . 2008-12-26 00:21 714,240 --a------ c:\windows\System32\timedate.cpl
2008-12-26 00:21 . 2008-12-26 00:21 704,000 --a------ c:\windows\System32\PhotoScreensaver.scr
2008-12-26 00:21 . 2008-12-26 00:21 542,720 --a------ c:\windows\System32\sysmain.dll
2008-12-26 00:21 . 2008-12-26 00:21 502,784 --a------ c:\windows\System32\wlansvc.dll
2008-12-26 00:21 . 2008-12-26 00:21 297,984 --a------ c:\windows\System32\wlansec.dll
2008-12-26 00:21 . 2008-12-26 00:21 290,816 --a------ c:\windows\System32\wlanmsm.dll
2008-12-26 00:21 . 2008-12-26 00:21 258,232 --a------ c:\windows\System32\drivers\acpi.sys
2008-12-26 00:21 . 2008-12-26 00:21 67,584 --a------ c:\windows\System32\wlanhlp.dll
2008-12-26 00:21 . 2008-12-26 00:21 47,104 --a------ c:\windows\System32\wlanapi.dll
2008-12-26 00:21 . 2008-12-26 00:21 24,064 --a------ c:\windows\System32\wtsapi32.dll
2008-12-26 00:20 . 2008-12-26 00:20 194,560 --a------ c:\windows\System32\WebClnt.dll
2008-12-26 00:20 . 2008-12-26 00:20 110,080 --a------ c:\windows\System32\drivers\mrxdav.sys
2008-12-26 00:19 . 2008-12-26 00:19 1,244,672 --a------ c:\windows\System32\mcmde.dll
2008-12-26 00:19 . 2008-12-26 00:19 428,032 --a------ c:\windows\System32\EncDec.dll
2008-12-26 00:19 . 2008-12-26 00:19 292,352 --a------ c:\windows\System32\psisdecd.dll
2008-12-26 00:19 . 2008-12-26 00:19 217,088 --a------ c:\windows\System32\psisrndr.ax
2008-12-26 00:19 . 2008-12-26 00:19 177,152 --a------ c:\windows\System32\mpg2splt.ax
2008-12-26 00:19 . 2008-12-26 00:19 80,896 --a------ c:\windows\System32\MSNP.ax
2008-12-26 00:19 . 2008-12-26 00:19 68,608 --a------ c:\windows\System32\Mpeg2Data.ax

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-03 21:33 352,615 ---ha-w c:\windows\system32\drivers\vsconfig.xml
2008-12-28 16:31 107,888 ----a-w c:\windows\System32\CmdLineExt.dll
2008-12-26 19:31 --------- d-----w c:\program files\Microsoft Games
2008-12-26 10:52 --------- d-----w c:\program files\MSBuild
2008-12-26 08:05 174 --sha-w c:\program files\desktop.ini
2008-12-26 08:02 --------- d-----w c:\program files\Windows Sidebar
2008-12-26 08:02 --------- d-----w c:\program files\Windows Mail
2008-12-26 08:02 --------- d-----w c:\program files\Windows Defender
2008-12-26 08:02 --------- d-----w c:\program files\Windows Calendar
2008-12-25 23:12 537,600 ----a-w c:\windows\AppPatch\AcLayers.dll
2008-12-25 23:12 52,736 ----a-w c:\windows\AppPatch\iebrshim.dll
2008-12-25 23:12 449,536 ----a-w c:\windows\AppPatch\AcSpecfc.dll
2008-12-25 23:12 2,560 ----a-w c:\windows\AppPatch\AcRes.dll
2008-12-25 23:12 2,144,256 ----a-w c:\windows\AppPatch\AcGenral.dll
2008-12-25 23:12 173,056 ----a-w c:\windows\AppPatch\AcXtrnal.dll
2008-12-25 23:01 826,368 ----a-w c:\windows\System32\wininet.dll
2008-12-25 23:01 56,320 ----a-w c:\windows\System32\iesetup.dll
2008-12-25 23:01 26,624 ----a-w c:\windows\System32\ieUnatt.exe
2008-12-25 22:54 88,576 ----a-w c:\windows\System32\avifil32.dll
2008-12-25 21:27 319,456 ----a-w c:\windows\DIFxAPI.dll
2008-12-25 21:11 237,168 ----a-w c:\windows\System32\bsmain.exe
2008-12-25 21:11 10,736 ----a-w c:\windows\system32\drivers\RsNTGdi.sys
2008-12-25 21:10 63,088 ----a-w c:\windows\system32\drivers\HookNtos.sys
2008-12-25 21:10 39,024 ----a-w c:\windows\system32\drivers\HOOKREG.sys
2008-12-25 21:10 30,704 ----a-w c:\windows\system32\drivers\HookHelp.sys
2008-12-25 21:10 164,976 ----a-w c:\windows\system32\drivers\HookSys.sys
2008-12-25 21:10 113,264 ----a-w c:\windows\System32\RavExt.dll
2008-12-25 20:42 499,712 ----a-w c:\windows\System32\msvcp71.dll
2008-12-25 20:42 348,160 ----a-w c:\windows\System32\msvcr71.dll
2008-12-25 20:42 1,060,864 ----a-w c:\windows\System32\mfc71.dll
2008-12-25 20:26 --------- d-sh--w c:\programdata\Vorlagen
2008-12-25 20:26 --------- d-sh--w c:\programdata\Startmenü
2008-12-25 20:26 --------- d-sh--w c:\programdata\Favoriten
2008-12-25 20:26 --------- d-sh--w c:\programdata\Dokumente
2008-12-25 20:26 --------- d-sh--w c:\programdata\Anwendungsdaten
2008-12-25 20:26 --------- d-sh--w c:\program files\Gemeinsame Dateien
2008-12-02 22:11 958,464 ----a-w c:\windows\System32\nvsvcr.dll
2008-12-02 22:11 795,104 ----a-w c:\windows\System32\dpinst.exe
2008-12-02 22:11 4,160 ----a-w c:\windows\system32\drivers\nvBridge.kmd
2008-12-02 22:11 207,392 ----a-w c:\windows\System32\nvvsvc.exe
2008-12-02 22:11 122,880 ----a-w c:\windows\System32\nvcod135.dll
2008-12-02 22:11 1,560,576 ----a-w c:\windows\System32\nvcuda.dll
2008-12-02 22:11 1,347,584 ----a-w c:\windows\System32\nvsvsr.dll
2008-12-02 22:11 1,286,144 ----a-w c:\windows\System32\nvsvs.dll
2008-12-02 21:37 49,480 ----a-w c:\windows\System32\sirenacm.dll
2008-11-25 19:41 956,960 ----a-w c:\windows\System32\RtkPgExt.dll
2008-11-25 19:41 44,064 ----a-w c:\windows\System32\RtkCoInst.dll
2008-11-25 19:41 322,080 ----a-w c:\windows\System32\RtkApoApi.dll
2008-11-25 19:41 2,389,024 ----a-w c:\windows\System32\RtkAPO.dll
2008-11-25 15:26 2,243,040 ----a-w c:\windows\system32\drivers\RTKVHDA.sys
2008-11-09 10:52 159,744 ----a-w c:\windows\System32\MaxxAudioAPO20.dll
2008-10-23 17:16 147,968 ----a-w c:\windows\System32\FMAPO.dll
2008-10-13 08:56 70,936 ----a-w c:\windows\System32\PhysXLoader.dll
2008-10-08 11:56 141,312 ----a-w c:\windows\System32\AERTACap.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-12-25 1232896]
"ICQ"="c:\program files\ICQ6.5\ICQ.exe" [2008-11-30 172792]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2008-12-02 3882312]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 201728]
"WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 c:\windows\System32\oobefldr.dll]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RavTask"="c:\program files\Rising\Rav\RavTask.exe" [2008-12-25 211568]
"ZoneAlarm Client"="c:\program files\Zone Labs\ZoneAlarm\zlclient.exe" [2008-03-03 959976]
"RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RtHDVCpl.exe" [2008-11-25 6691360]
"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-11-06 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-06 8530464]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-11-06 81920]
"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"DAEMON Tools"="c:\program files\DAEMON Tools\daemon.exe" [2006-11-12 157592]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2008-12-31 136600]
"AdobeCS4ServiceManager"="c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{32CD708B-60A7-4C00-9377-D73EAA495F0F}"= "c:\windows\system32\RavExt.dll" [2008-12-25 113264]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= divxa32.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0 bsmain\0

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-1388235746-1441559962-2858018222-1000]
"EnableNotificationsRef"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{9AA405A2-8CBE-4231-AD06-8D253CD14D05}"= TCP:6004|c:\program files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{7D4FD35F-4631-4517-AFB4-30945A3DF4E9}"= UDP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{6384BEB2-190E-4177-BB74-E9C484DD1B32}"= TCP:c:\program files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{6A9F6620-9026-4A49-9336-A86CE2507CE3}"= UDP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{ACB0BEEF-B7EF-4452-9B19-CECCF738E0FE}"= TCP:c:\program files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{827FAC00-32C2-4496-818D-5D5444695B1F}"= c:\program files\Windows Live\Sync\WindowsLiveSync.exe:Windows Live Sync
"{883CEB7F-9C36-4E74-A615-C927D6E47D7B}"= UDP:c:\windows\System32\PnkBstrA.exe:pnkBstrA
"{46C66D7C-9ED4-48DA-A87A-B1C30FD1598D}"= TCP:c:\windows\System32\PnkBstrA.exe:pnkBstrA
"{16E74E91-0D40-4CD4-8D32-130DED1508A8}"= UDP:c:\windows\System32\PnkBstrB.exe:pnkBstrB
"{ACB877E1-8F1F-410F-B0CF-93EDEC85C0DB}"= TCP:c:\windows\System32\PnkBstrB.exe:pnkBstrB
"{992BD6BC-3FBC-4FFF-AFF5-BFAB6774AA2C}"= UDP:c:\program files\concept design\onlineTV 4\onlineTV.exe:onlineTV
"{5B5A85E6-DE09-454B-9F13-343C1F618CCE}"= TCP:c:\program files\concept design\onlineTV 4\onlineTV.exe:onlineTV
"{6CD123B9-2583-47C5-B3A8-B4F5A9A80BFD}"= UDP:c:\program files\concept design\onlineTV 4\onlineTV.exe:onlineTV
"{FEEC0437-8F6C-4ED0-A126-C022BCBFA009}"= TCP:c:\program files\concept design\onlineTV 4\onlineTV.exe:onlineTV
"{85276040-3DB7-4C20-8B3C-CBF09ED82699}"= UDP:5353:Adobe CSI CS4
"{28E58AB0-8DEE-4BE4-B34A-A938107F61F2}"= UDP:c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe:Adobe CSI CS4
"{B560D220-7032-49DE-8585-13E1FE01995E}"= TCP:c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe:Adobe CSI CS4

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

R0 RsNTGDI;RsNTGDI;c:\windows\System32\drivers\RsNTGdi.sys [2008-12-25 10736]
R1 HookNtos;HookNtos;c:\windows\System32\drivers\HookNtos.sys [2008-12-25 63088]
R1 HookReg;HookReg;c:\windows\System32\drivers\HOOKREG.sys [2008-12-25 39024]
R1 HookSys;HookSys;c:\windows\System32\drivers\HookSys.sys [2008-12-25 164976]
R4 RsCCenter;Rising Process Communication Center;c:\program files\Rising\Rav\CCenter.exe [2008-12-25 162416]
R4 RsVScanner;Rising Vista Scanner;c:\program files\Rising\Rav\Scannerd.exe [2008-12-25 174704]
R4 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2008-12-04 226640]
S3 fssfltr;FssFltr;c:\windows\System32\drivers\fssfltr.sys [2008-12-28 55264]
S3 fsssvc;Windows Live Family Safety;c:\program files\Windows Live\Family Safety\fsssvc.exe [2008-12-08 533344]
S4 Apache2.2;Apache2.2;"f:\bin\httpd.exe" -k runservice --> f:\bin\httpd.exe [?]
S4 RsRavMon;Rising RealTime Monitor;c:\program files\Rising\Rav\RavMonD.exe [2008-12-25 395888]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{7070D8E0-650A-46b3-B03C-9497582E6A74}]
%SystemRoot%\system32\soundschemes.exe /AddRegistration

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B3688A53-AB2A-4b1d-8CEF-8F93D8C51C24}]
%SystemRoot%\system32\soundschemes2.exe /AddRegistration
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\users\Dominic\AppData\Roaming\Mozilla\Firefox\Profiles\iwvzgzjl.default\
FF - prefs.js: browser.startup.homepage - hxxp://gmx.de
FF - component: c:\program files\Mozilla Firefox\components\iamfamous.dll
FF - plugin: c:\program files\Microsoft Silverlight\2.0.31005.0\npctrl.dll
FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\VistaCodecPack\rm\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

[color=red]ATTENTION: FIREFOX POLICES IS IN FORCE [/color]
FF - user.js: yahoo.homepage.dontask - true.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-03 22:38:39
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************
.
Zeit der Fertigstellung: 2009-01-03 22:40:13
ComboFix-quarantined-files.txt 2009-01-03 21:40:11

Vor Suchlauf: 17 Verzeichnis(se), 452,751,392,768 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 452,774,338,560 Bytes frei

313 --- E O F --- 2009-01-02 09:28:03
und hier mein hijackthis-logfile:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:51:31, on 03.01.2009
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16764)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\notepad.exe
C:\Windows\explorer.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Windows Live\Toolbar\wltuser.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [RavTask] "C:\Program Files\Rising\Rav\RavTask.exe" -system
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Monitor Apache Servers.lnk = F:\bin\ApacheMonitor.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Apache2.2 - Unknown owner - F:\bin\httpd.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\Windows\system32\PnkBstrB.exe
O23 - Service: Rising Process Communication Center (RsCCenter) - Beijing Rising Information Technology Co., Ltd. - C:\Program Files\Rising\Rav\CCenter.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Information Technology Co., Ltd. - C:\PROGRAM FILES\RISING\RAV\Ravmond.exe
O23 - Service: Rising Vista Scanner (RsVScanner) - Beijing Rising Information Technology Co., Ltd. - C:\Program Files\Rising\Rav\scannerd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

--
End of file - 6206 bytes
ich hab auch noch den eset online scan gemacht.
das kam dabei raus:

Zitat

a variant of Win32/Kryptik.DR trojan (error while cleaning - operation unavailable for this type of object - error while deleting - operation unavailable for this type of object - was a part of the deleted object)
C:\Users\Dominic\Downloads\Keygen.Adobe.Photoshop.CS4.11.0c3098.exe >>NSIS >>matrix309813.exe


a variant of Win32/Kryptik.DR trojan (deleted)
C:\Users\Dominic\Downloads\Keygen.Adobe.Photoshop.CS4.11.0c3098.exe


a variant of Win32/Kryptik.DR trojan (unable to clean - deleted)
C:\Qoobox\Quarantine\F\resycled\boot.com.vir


Win32/AutoRun.Agent.BE worm (unable to clean - deleted)
C:\Qoobox\Quarantine\F\autorun.inf.vir


a variant of Win32/Kryptik.DL trojan (unable to clean - deleted)
C:\Qoobox\Quarantine\C\Windows\System32\msqpdxpajkursj.dll.vir


Win32/PSW.Delf.NMN trojan (unable to clean - deleted)
C:\Qoobox\Quarantine\C\Users\Dominic\AppData\Roaming\pack3.exe.vir



hoffe mir kann geholfen werden ohne neuaufsetzung.
bis dahin,
Dominic
Dieser Beitrag wurde am 04.01.2009 um 10:31 Uhr von Dominic28 editiert.
Seitenanfang Seitenende
04.01.2009, 10:46
Member

Beiträge: 3716
#2 keygens... kannst du bitte mal malwarebytes updaten und erneut laufen lassen. bitte poste das log
Seitenanfang Seitenende
04.01.2009, 12:49
...neu hier

Themenstarter

Beiträge: 2
#3 ok
malwarebytes geupdated,
vollständigen scann gemacht,
dass ist dabei rausgekommen:

Zitat

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1609
Windows 6.0.6000

04.01.2009 12:48:10
mbam-log-2009-01-04 (12-48-10).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 141229
Laufzeit: 1 hour(s), 9 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
keine viren mehr da!?
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: