Home » Viren, Trojaner & Malware Forum » DNS Changer: erbitte professionelle Unterstützung » Themenansicht

DNS Changer: erbitte professionelle Unterstützung
#0
08.06.2009, 09:23
Eco_R1
Member

Themenstarter

Beiträge: 20
#31 Voilà, das sagt ComboFix heute morgen:

ComboFix 09-06-07.05 - pc 08.06.2009 9:03.2 - NTFSx86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.2.1252.41.1031.18.1023.803 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\pc\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\tj.vbs

.
((((((((((((((((((((((( Dateien erstellt von 2009-05-08 bis 2009-06-08 ))))))))))))))))))))))))))))))
.

2009-06-05 05:47 . 2009-06-05 05:47 -------- d-----w- c:\dokumente und einstellungen\pc\DoctorWeb
2009-06-02 10:46 . 2009-06-02 10:46 -------- d-----w- c:\dokumente und einstellungen\pc\Anwendungsdaten\Malwarebytes
2009-06-02 10:46 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-02 10:46 . 2009-06-02 10:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-02 10:46 . 2009-06-02 10:46 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-06-02 10:46 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-02 08:20 . 2009-06-02 10:38 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-06-02 08:20 . 2009-06-02 10:38 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-06-02 08:20 . 2009-02-13 09:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-06-02 08:20 . 2009-02-13 09:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-06-02 08:20 . 2009-06-02 08:20 -------- d-----w- c:\programme\Avira
2009-06-02 08:20 . 2009-06-02 08:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-06-02 06:35 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-06-02 06:34 . 2009-06-02 06:34 -------- d-----w- c:\programme\Panda Security
2009-05-29 18:26 . 2004-08-04 05:08 36224 ----a-w- c:\windows\system32\hidclass.sys
2009-05-29 18:26 . 2004-08-04 05:08 24960 ----a-w- c:\windows\system32\hidparse.sys
2009-05-29 18:26 . 2001-08-17 12:02 9600 ----a-w- c:\windows\system32\hidusb.sys
2009-05-29 18:24 . 2009-06-02 22:59 -------- d-----w- c:\programme\REFLEX
2009-05-21 12:55 . 2009-05-21 13:48 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-05-21 12:51 . 2006-06-19 11:01 69632 ----a-w- c:\windows\system32\ztvcabinet.dll
2009-05-21 12:51 . 2006-05-25 13:52 162304 ----a-w- c:\windows\system32\ztvunrar36.dll
2009-05-21 12:51 . 2005-08-25 23:50 77312 ----a-w- c:\windows\system32\ztvunace26.dll
2009-05-21 12:51 . 2003-02-02 18:06 153088 ----a-w- c:\windows\system32\unrar3.dll
2009-05-21 12:51 . 2002-03-05 23:00 75264 ----a-w- c:\windows\system32\unacev2.dll
2009-05-21 12:51 . 2009-05-21 12:54 -------- d-----w- c:\dokumente und einstellungen\pc\Anwendungsdaten\Simply Super Software
2009-05-21 12:51 . 2009-05-21 12:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software
2009-05-21 12:37 . 2009-05-21 12:38 -------- d-----w- c:\programme\nLite
2009-05-17 16:55 . 2009-05-17 16:56 -------- d-----w- c:\windows\system32\Adobe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-23 21:02 . 2009-02-12 12:36 -------- d-----w- c:\programme\Zattoo
2009-05-21 15:18 . 2009-05-08 14:25 -------- d-----w- c:\programme\FMS
2009-05-20 18:31 . 2009-03-01 12:28 -------- d-----w- c:\programme\VSO
2009-05-20 18:31 . 2009-03-01 12:27 -------- d-----w- c:\dokumente und einstellungen\pc\Anwendungsdaten\Vso
2009-05-20 18:31 . 2009-03-01 12:28 47360 ----a-w- c:\dokumente und einstellungen\pc\Anwendungsdaten\pcouffin.sys
2009-05-20 18:31 . 2009-03-01 12:28 47360 ----a-w- c:\dokumente und einstellungen\pc\Anwendungsdaten\pcouffin.sys
2009-05-02 16:31 . 2006-12-08 17:19 70024 -c--a-w- c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-01 12:32 . 2009-04-14 17:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-04-15 13:57 . 2009-04-15 13:57 -------- d-----w- c:\programme\Gemeinsame Dateien\xing shared
2009-04-15 13:57 . 2008-02-01 07:21 -------- d-----w- c:\programme\Gemeinsame Dateien\Real
2009-04-15 13:57 . 2006-01-16 23:41 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-04-15 13:57 . 2006-01-16 23:41 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-04-15 13:57 . 2009-04-15 13:57 -------- d-----w- c:\programme\Real
2009-04-15 12:13 . 2002-08-29 12:00 90964 ----a-w- c:\windows\system32\perfc007.dat
2009-04-15 12:13 . 2002-08-29 12:00 474462 ----a-w- c:\windows\system32\perfh007.dat
2009-04-14 21:25 . 2006-01-16 23:53 70024 -c--a-w- c:\dokumente und einstellungen\pc\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-14 20:06 . 2006-02-24 15:26 -------- d-----w- c:\programme\Java
2009-04-14 18:22 . 2009-04-14 18:22 152576 ----a-w- c:\dokumente und einstellungen\pc\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-04-14 17:47 . 2009-04-14 17:24 -------- d-----w- c:\programme\Microsoft Visual Studio 8
2009-04-14 17:36 . 2009-04-14 17:36 -------- d-----w- c:\programme\Microsoft Works
2009-04-14 17:36 . 2007-02-11 23:51 -------- d-----w- c:\programme\MSBuild
2009-04-14 17:33 . 2009-04-14 17:33 -------- d-----w- c:\programme\Microsoft.NET
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2005-06-21 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2005-06-21 126976]
"AudioDrvEmulator"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 49152]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13680640]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-15 86016]
"CTSysVol"="c:\programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe" [2005-02-15 57344]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-04-15 198160]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-01-15 1657376]
"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CtHelper.exe [2007-04-09 19456]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\Gast\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-1-19 110592]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DPWLN ]
2004-10-13 17:29 102400 ----a-w- c:\windows\system32\DPWLEvHd.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /r \??\F:\0autocheck autochk *

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli DPPWDFLT

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe"
"WMPNSCFG"=c:\programme\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
"IJNetworkScanUtility"=c:\programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
"CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\StubInstaller.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Zattoo\\Zattoo2.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Creative\\Shared Files\\Module Loader\\DLLML.exe"=
"c:\\WINDOWS\\system32\\dwwin.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [02.06.2009 08:35 28544]
S1 3b089c5;3b089c5;c:\windows\system32\drivers\3b089c5.sys --> c:\windows\system32\drivers\3b089c5.sys [?]
S1 741cc7d9;741cc7d9;c:\windows\system32\drivers\741cc7d9.sys --> c:\windows\system32\drivers\741cc7d9.sys [?]
S1 755423f1;755423f1;c:\windows\system32\drivers\755423f1.sys --> c:\windows\system32\drivers\755423f1.sys [?]
S1 b1e327f6;b1e327f6;c:\windows\system32\drivers\b1e327f6.sys --> c:\windows\system32\drivers\b1e327f6.sys [?]
S2 antivirschedulerservice;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [02.06.2009 10:20 108289]
S2 Viewpoint Manager Service;Viewpoint Manager Service;c:\programme\Viewpoint\Common\ViewpointService.exe [19.01.2008 10:09 24652]
S3 dpK0Bx01;Fingerprint Reader Upper-Treiber;c:\windows\system32\drivers\dpK0Bx01.sys [04.08.2004 17:58 32640]
S3 lgusbsmodem;LGE Mobile USB Modem;c:\windows\system32\DRIVERS\lgusbsmodem.sys --> c:\windows\system32\DRIVERS\lgusbsmodem.sys [?]
S3 ppjoybus;Parallel Port Joystick Bus device driver;c:\windows\system32\drivers\PPJoyBus.sys [23.01.2004 16:33 13952]
S3 pportjoystick;Parallel Port Joystick device driver;c:\windows\system32\drivers\PPortJoy.sys [23.01.2004 16:32 28800]
S3 UsbdpFP;Fingerprint Reader Class-Treiber;c:\windows\system32\drivers\UsbdpFP.sys [04.08.2004 17:59 34560]
.
Inhalt des "geplante Tasks" Ordners

2009-06-04 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 01:29]

2009-06-04 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 10:34]

2009-01-27 c:\windows\Tasks\Uniblue SpyEraser.job
- c:\programme\Uniblue\SpyEraser\SpyEraser.exe [2009-01-27 08:03]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-procexp90.sys


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.ch/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.ak.studivz.net/photouploader/ImageUploader5.cab?nocache=20080115-1
FF - ProfilePath - c:\dokumente und einstellungen\pc\Anwendungsdaten\Mozilla\Firefox\Profiles\f64rkniq.default\
FF - prefs.js: browser.search.selectedEngine - SeeqPod
FF - plugin: c:\programme\Mozilla Firefox\plugins\npunagi2.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-connections-per-server - 6
FF - user.js: network.http.max-persistent-connections-per-server - 3
FF - user.js: general.useragent.extra.zencast - Creative ZENcast v1.01.06);user_pref(general.useragent.extra.zencast, .

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-08 09:09
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-839522115-287218729-725345543-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(208)
c:\windows\System32\DPWLEvHd.dll

- - - - - - - > 'lsass.exe'(264)
c:\windows\DPPWDFLT.dll
.
Zeit der Fertigstellung: 2009-06-08 9:15
ComboFix-quarantined-files.txt 2009-06-08 07:14

Vor Suchlauf: 6'267'678'720 Bytes frei
Nach Suchlauf: 6'253'973'504 Bytes frei

202 --- E O F --- 2009-05-01 12:32
Seitenanfang Seitenende
08.06.2009, 22:06
Swisstreasure
Moderator

Beiträge: 5694
#32 >>
Also Combofix hat die VBS. - Datei mal gelöscht das ist gut.

>>
Versuche mal diese Dateien bei Jotti zu prüfen, mal schauen was der sagt:

c:\windows\system32\drivers\b1e327f6.sys
c:\windows\system32\drivers\3b089c5.sys
c:\windows\system32\drivers\741cc7d9.sys
c:\windows\system32\drivers\755423f1.sys
Diese prüfe bitte mal mit www.Virustotal:.com/de

c:\windows\system32\ztvcabinet.dll
c:\windows\system32\unacev2.dll
Gruss Swiss
Seitenanfang Seitenende
08.06.2009, 23:52
Eco_R1
Member

Themenstarter

Beiträge: 20
#33 Also die ersten vier Dateien scheinen sich gar nicht mehr auf meinem PC zu befinden, da ich sie per Durchsuchen nicht finde...

Die beiden anderen Dateien sind laut Jottu und Virustotal harmlos...


Gruss

immi
Seitenanfang Seitenende
09.06.2009, 16:58
Swisstreasure
Moderator

Beiträge: 5694
#34 Na dann wenn keine Probleme mehr auftreten wünsche ich Dir Happy surfing. Combofix kannst du noch entfernen.

Gruss Swiss
Seitenanfang Seitenende
10.06.2009, 12:12
Eco_R1
Member

Themenstarter

Beiträge: 20
#35 Hallo Swiss und andere die mir so geholfen haben, ich sage euch danke viel viel mal...

Nur noch kurz so ne Sache am Rande:

Ich habe zwei Programme auf dem PC (Need for Seed, Nero Burnig Room) die ich seit Monaten nicht mehr runter kriege durch normale Deinstallation. Bekomme immer Fehlermeldungen...wie kann ich die am besten von meinder HD weggkriegen?

Gruss

immi
Seitenanfang Seitenende
10.06.2009, 12:49
virenfinder
Member

Beiträge: 3716
#36 hilft das?
www.nero.com/enu/support-nero7-tools-utilities.html -
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 123