DNS Changer: erbitte professionelle Unterstützung

#0
02.06.2009, 08:31
Member

Beiträge: 20
#1 Hallo Leute,
ich weiss, ich sollte wohl die Suchfunktion benutzen. Aber ich glaube bei dieser Sache brauche ich eine 1:1 Hilfe. Seit Tagen plagt mich ein Virus, Trojaner (?) auf meinem Rechner. Mit McAfee Virus Scan Ver. 8.5 krieg ich das Ding einfach nicht runter.

Hier der Sachverhalt:
Ich merkte dass etwas mit meinem Rechner nicht mehr Stimmte, da auf einmal immer im Mozilla so komische Popups kamen.

Virus Check: was weiss ich wie viele Erkennungen. Die meisten wurden gelöscht bzw. gesäubert, bei etwa dreien versagt dieser Vorgang.

Nächstes Einschalten: Erneuter Virencheck, Resultat: Etwa gleich viele Erkennungen wie letztes Mal. Darunter auch die nicht Löschbaren, DNSChanger.p und DNSChanger!d

Neuster Coup: Wenn ich den PC anmache, ist automatisch Firewall und Antivirusprogramm ausgeschaltet. Zusätzlich meldet sich ständig eine unregistrierte Version von einem Malware Doctor, die ich doch nie installiert habe (unter Software und im Explorer natürlich nirgends zu finden). Zusätzlich: Der Task-Manager wurde anscheinend vom Admin gesperrt, obwohl ich das bin.

Ich poste hier mal die Erkennungen, die unmittelbar nach dem Scan mit McAfee angezeigt werden:

02.06.2009 07:42:02 Modulversion=5301.4018
02.06.2009 07:42:02 AntiVirus-DAT-Version=5633.0000
02.06.2009 07:42:02 Anzahl an Entdeckungssignaturen in EXTRA.DAT=Kein
02.06.2009 07:42:02 Namen der Entdeckungssignaturen in EXTRA.DAT=Kein
02.06.2009 07:41:55 Scanvorgang wurde gestartet ECO_R1\pc Anforderungsscan
02.06.2009 07:42:03 Gelöscht pc NTOSKRNL-HOOK Generic Rootkit.d!rootkit(Trojanisches Pferd)
02.06.2009 07:42:07 Gelöscht pc C:\WINDOWS\SYSTEM32\OVFSTHEDYXWFKJXYUGIRBARCPFUXBLXEPXWINL.DLL DNSChanger.p(Trojanisches Pferd)
02.06.2009 07:42:12 Löschen nicht möglich (Säuberung fehlgeschlagen) pc C:\WINDOWS\system32\ovfsthedyxwfkjxyugirbarcpfuxblxepxwinl.dll DNSChanger.p(Trojanisches Pferd)
02.06.2009 07:42:30 Gelöscht pc C:\WINDOWS\SYSTEM32\OVFSTHPNXCASBRCBOUIMSREXWKLFBEYONKBVKO.DLL DNSChanger!d(Trojanisches Pferd)
02.06.2009 07:42:35 Löschen nicht möglich (Säuberung fehlgeschlagen) pc C:\WINDOWS\system32\ovfsthpnxcasbrcbouimsrexwklfbeyonkbvko.dll DNSChanger!d(Trojanisches Pferd)
02.06.2009 07:42:40 Gelöscht pc C:\WINDOWS\SYSTEM32\OVFSTHUMIJEYURAAWRVHTSMNWJLTAMMNYYRPHX.DLL DNSChanger!e(Trojanisches Pferd)
02.06.2009 07:42:45 Löschen nicht möglich (Säuberung fehlgeschlagen) pc C:\WINDOWS\system32\ovfsthumijeyuraawrvhtsmnwjltammnyyrphx.dll DNSChanger!e(Trojanisches Pferd)
02.06.2009 07:42:50 Gelöscht pc C:\WINDOWS\SYSTEM32\OVFSTHUMIJEYURAAWRVHTSMNWJLTAMMNYYRPHX.DLL.VIR DNSChanger!e(Trojanisches Pferd)
02.06.2009 07:42:50 Gelöscht pc C:\WINDOWS\system32\ovfsthumijeyuraawrvhtsmnwjltammnyyrphx.dll.vir DNSChanger!e(Trojanisches Pferd)
02.06.2009 07:42:50 Gesäubert pc c:\windows\system32\drivers\ovfsthswqwltlwbwqqbdqcdksdjkllrqhsgdty.sys BackDoor-DVU(Trojanisches Pferd)
02.06.2009 07:42:50 Gelöscht pc C:\WINDOWS\SYSTEM32\DRIVERS\OVFSTHSWQWLTLWBWQQBDQCDKSDJKLLRQHSGDTY.SYS BackDoor-DVU(Trojanisches Pferd)
02.06.2009 07:42:50 Gelöscht pc C:\WINDOWS\system32\Drivers\ovfsthswqwltlwbwqqbdqcdksdjkllrqhsgdty.sys BackDoor-DVU(Trojanisches Pferd)
02.06.2009 07:42:51 Gesäubert pc HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit Spy-Agent.bw!mem(Trojanisches Pferd)
02.06.2009 07:42:51 Gesäubert pc HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon|Userinit Spy-Agent.bw!mem(Trojanisches Pferd)
02.06.2009 07:42:51 Gelöscht pc C:\WINDOWS\system32\ntos.exe Spy-Agent.bw!mem(Trojanisches Pferd)
02.06.2009 07:42:51 Gesäubert pc C:\WINDOWS\system32\sdra64.exe Spy-Agent.bw!mem(Trojanisches Pferd)
02.06.2009 07:42:51 Gesäubert pc C:\WINDOWS\system32\twex.exe Spy-Agent.bw!mem(Trojanisches Pferd)
02.06.2009 07:42:51 Gesäubert pc C:\WINDOWS\system32\twext.exe Spy-Agent.bw!mem(Trojanisches Pferd)
02.06.2009 07:42:51 Keine Aktion durchgeführt (Säuberung fehlgeschlagen) pc C:\WINDOWS\SYSTEM32\winlogon.exe Spy-Agent.bw!mem(Trojanisches Pferd)
02.06.2009 07:46:34 Gelöscht pc C:\AUTO32.EXE Generic PWS.y!o(Trojanisches Pferd)
02.06.2009 07:46:34 Gelöscht pc c:\auto32.exe Generic PWS.y!o(Trojanisches Pferd)
02.06.2009 07:54:13 Gelöscht pc C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\60GQRCAQ\INSTALL_10[1].EXE W32/Rustock(Virus)
02.06.2009 07:54:13 Gelöscht pc c:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\60GQRCAQ\install_10[1].exe\install_10[1].exe W32/Rustock(Virus)
02.06.2009 07:54:13 Gelöscht pc C:\DOKUMENTE UND EINSTELLUNGEN\LOCALSERVICE\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\6BMI0QQM\F466[1].EXE Generic PWS.y!u(Trojanisches Pferd)
02.06.2009 07:54:14 Gelöscht pc c:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6BMI0QQM\f466[1].exe Generic PWS.y!u(Trojanisches Pferd)
02.06.2009 07:54:17 Nicht gescannt (Die Datei ist verschlüsselt) pc c:\Dokumente und Einstellungen\pc\.limewire\.NetworkShare\Incomplete\T-3381280-LimeWireWin4.14.12.exe\1.nsis
02.06.2009 07:58:02 Gelöscht pc C:\DOKUMENTE UND EINSTELLUNGEN\PC\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\113QYJTP\LOAD32[1].EXE Generic PWS.y!o(Trojanisches Pferd)
02.06.2009 07:58:02 Gelöscht pc c:\Dokumente und Einstellungen\pc\Lokale Einstellungen\Temporary Internet Files\Content.IE5\113QYJTP\load32[1].exe Generic PWS.y!o(Trojanisches Pferd)
02.06.2009 07:58:58 Gelöscht pc HKU\.Default\Software\Microsoft\Windows\CurrentVersion\Run|svc PWS-WoW(Trojanisches Pferd)
02.06.2009 07:58:58 Gelöscht pc C:\PROGRAM FILES\THUNMAIL\TESTABD.EXE PWS-WoW(Trojanisches Pferd)
02.06.2009 07:58:58 Gelöscht pc c:\Program Files\ThunMail\testabd.exe PWS-WoW(Trojanisches Pferd)
02.06.2009 08:04:46 Gelöscht pc C:\PROGRAMME\INTERNET EXPLORER\SETUPAPI.DLL Generic.dx(Trojanisches Pferd)
02.06.2009 08:04:46 Gelöscht pc c:\Programme\Internet Explorer\setupapi.dll Generic.dx(Trojanisches Pferd)
02.06.2009 08:23:56 Gelöscht pc C:\WINDOWS\SYSTEM32\JHXM32.DLL Generic Downloader.x!cd(Trojanisches Pferd)
02.06.2009 08:23:57 Gelöscht pc c:\WINDOWS\system32\jhxm32.dll Generic Downloader.x!cd(Trojanisches Pferd)
02.06.2009 08:24:07 Gelöscht pc C:\WINDOWS\SYSTEM32\LKLF32.DLL Generic Downloader.x!cd(Trojanisches Pferd)
02.06.2009 08:24:07 Gelöscht pc c:\WINDOWS\system32\lklf32.dll Generic Downloader.x!cd(Trojanisches Pferd)
02.06.2009 08:29:05 Gelöscht pc C:\WINDOWS\TEMP\399B9D4C.EXE Generic Dropper(Trojanisches Pferd)
02.06.2009 08:29:06 Gelöscht pc c:\WINDOWS\Temp\399B9D4C.exe Generic Dropper(Trojanisches Pferd)
02.06.2009 08:29:07 Gelöscht pc C:\WINDOWS\TEMP\E.TMP W32/Rustock(Virus)
02.06.2009 08:29:07 Gelöscht pc c:\WINDOWS\Temp\E.tmp\E.tmp W32/Rustock(Virus)
02.06.2009 08:29:07 Gelöscht pc C:\WINDOWS\TEMP\E3051140.EXE Generic Dropper(Trojanisches Pferd)
02.06.2009 08:29:07 Gelöscht pc c:\WINDOWS\Temp\E3051140.exe Generic Dropper(Trojanisches Pferd)
02.06.2009 08:29:07 Gelöscht pc C:\WINDOWS\TEMP\E40A2C92.EXE Generic Dropper(Trojanisches Pferd)
02.06.2009 08:29:07 Gelöscht pc c:\WINDOWS\Temp\E40A2C92.exe Generic Dropper(Trojanisches Pferd)
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Scan-Zusammenfassung
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Gescannte Prozesse: 94
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Erkannte Prozesse: 19
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Gesäuberte Prozesse: 6
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Gescannte Boot-Sektoren: 3
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Erkannte Boot-Sektoren: 0
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Gesäuberte Boot-Sektoren: 0
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Gescannte Dateien: 78520
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Dateien mit Erkennungen: 12
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Dateierkennungen: 25
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Gesäuberte Dateien: 0
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Gelöschte Dateien: 12
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Nicht gescannte Dateien: 34
02.06.2009 08:29:39 Scan-Zusammenfassung ECO_R1\pc Laufzeit: 0:47:44
02.06.2009 08:29:39 Scanvorgang wurde beendet ECO_R1\pc Anforderungsscan



Keine Ahnung wie das Sch...zeugs auf meinem Rechner gelandet ist. Ich bin leider nicht der einzige Benutzer.

Kann mir jemand bitte helfen? Ich habe bereits im Forum gelesen, dass solche blöden Viecher mit eurer Hilfe behoben werden konnten.

Tausend Dank

und mit Gruss

Sebastian
Seitenanfang Seitenende
02.06.2009, 10:44
Member
Avatar chrischahn87

Beiträge: 301
#2 Hallo erst mal ,
Das ist einiges !!!
Bitte anwenden http://board.protecus.de/t23187.htm und logs posten !
__________
Mein Leben verläuft streng nach Murphys Gesetz
Seitenanfang Seitenende
02.06.2009, 12:54
Moderator

Beiträge: 7804
#3 Bitte, bitte Combofix in deinem Falle im abgesicherten Modus laufen lassen, denn Mcafee funkt extremst dazwischen, wenn man es nicht gut und _komplett_ deaktiviert!
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
02.06.2009, 13:41
Member

Themenstarter

Beiträge: 20
#4 Danke schon mal für eure Hilfe:
So, habe diese ganze Liste von Post von Chrischahn87 abgearbeitet, Hier die Logs:


Malwarebytes:

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2212
Windows 5.1.2600 Service Pack 2

02.06.2009 12:59:08
mbam-log-2009-06-02 (12-59-08).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 111633
Laufzeit: 8 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 21
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 4
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\jbnmck.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{aff01325-0fc2-4749-8914-fbf0565ad9cc} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{aff01325-0fc2-4749-8914-fbf0565ad9cc} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{aff01325-0fc2-4749-8914-fbf0565ad9cc} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{831cbac0-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{831cbac3-8283-4653-9d81-feb9f3f6e47c} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{86a44ef7-78fc-4e18-a564-b18f806f7f56} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d5792aa9-d373-4039-8670-2cdab6a71f15} (Trojan.Lop) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f30b5e7e-cfbb-44fb-a947-226e5a7a4290} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{86a44ef7-78fc-4e18-a564-b18f806f7f56} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\WakeNet (Trojan.Adware) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ActivationManager (Trojan.MultiDefender) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\ConnectionServices (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\avast!Antivirus (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{ec43e3fd-5c60-46a6-97d7-e0b85dbdd6c4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Malware Doctor (Rogue.MalwareDoc) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Malware Doctor (Rogue.MalwareDoc) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\ActivationManager (Trojan.MultiDefender) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\pc\Anwendungsdaten\pidle (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\ADSTechnology (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> Delete on reboot.

Infizierte Dateien:
C:\WINDOWS\system32\jbnmck.dll (Trojan.Agent) -> Delete on reboot.
c:\programme\activationmanager\Uninstall.exe (Trojan.MultiDefender) -> Quarantined and deleted successfully.
c:\programme\adstechnology\Uninstall.exe (Trojan.BHO) -> Quarantined and deleted successfully.
c:\windows\system32\twain32\local.ds (Backdoor.Bot) -> Delete on reboot.
c:\windows\system32\twain32\user.ds (Backdoor.Bot) -> Delete on reboot.
c:\WINDOWS\system32\~.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\twex.exe (Backdoor.Bot) -> Delete on reboot.
C:\WINDOWS\system32\sft.res (Malware.Trace) -> Quarantined and deleted successfully.
C:\Programme\Internet Explorer\setupapi.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\service-466.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vic_setup.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

ComboFix:

ComboFix 09-05-31.06 - pc 02.06.2009 13:15.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.41.1031.18.1023.663 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\pc\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated) {918A2B0B-2C60-4016-A4AB-E868DEABF7F0}
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\-2001662007
c:\dokumente und einstellungen\pc\Anwendungsdaten\inst.exe
c:\windows\7bf429e1-5399-4f76-86ea-b21ce36cf9f4.ocx
c:\windows\system32\73cc1cc4-b941-49e0-9d70-c74c13af9698.dll
c:\windows\system32\drivers\ovfsthswqwltlwbwqqbdqcdksdjkllrqhsgdty.sys
c:\windows\system32\ovfsthedyxwfkjxyugirbarcpfuxblxepxwinl.dll
c:\windows\system32\ovfsthjwtgowcitbucpkhvqdigtewdjivirvlx.dat
c:\windows\system32\ovfsthoirvfaoljnlhagmggofdoepwpeutblgk.dat
c:\windows\system32\ovfsthpnxcasbrcbouimsrexwklfbeyonkbvko.dll
c:\windows\system32\ovfsthumijeyuraawrvhtsmnwjltammnyyrphx.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthnbgrqpkrdompfaituwuycpkosvkqmhsn
-------\Legacy_AVAST!ANTIVIRUS
-------\Legacy_BOONTY_GAMES
-------\Service_Boonty Games


((((((((((((((((((((((( Dateien erstellt von 2009-05-02 bis 2009-06-02 ))))))))))))))))))))))))))))))
.

2009-06-02 10:46 . 2009-06-02 10:46 -------- d-----w- c:\dokumente und einstellungen\pc\Anwendungsdaten\Malwarebytes
2009-06-02 10:46 . 2009-05-26 11:20 40160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-02 10:46 . 2009-06-02 10:46 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-02 10:46 . 2009-06-02 10:46 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-06-02 10:46 . 2009-05-26 11:19 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-02 10:38 . 2009-06-02 10:38 85761 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\updaterc.dll
2009-06-02 10:38 . 2009-06-02 10:38 405249 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\update.exe
2009-06-02 10:38 . 2009-02-27 11:16 325377 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\update.dll
2009-06-02 10:38 . 2009-02-24 10:16 117505 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\updgui.dll
2009-06-02 10:38 . 2009-02-20 10:27 9985 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\updguirc.dll
2009-06-02 10:38 . 2009-02-13 12:57 79105 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\updext.dll
2009-06-02 10:38 . 2008-10-20 05:38 126721 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira\AntiVir Desktop\TEMP\UPDATE\TMP_UPDATE\scewxmlw.dll
2009-06-02 08:20 . 2009-06-02 10:38 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-06-02 08:20 . 2009-06-02 10:38 55640 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-06-02 08:20 . 2009-02-13 09:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-06-02 08:20 . 2009-02-13 09:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-06-02 08:20 . 2009-06-02 08:20 -------- d-----w- c:\programme\Avira
2009-06-02 08:20 . 2009-06-02 08:20 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2009-06-02 06:35 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-06-02 06:34 . 2009-06-02 06:34 -------- d-----w- c:\programme\Panda Security
2009-06-02 06:21 . 2009-06-02 11:25 99422 ----a-w- c:\windows\system32\drivers\755423f1.sys
2009-06-01 18:01 . 2009-06-02 07:21 29184 ----a-w- c:\windows\system32\jbnmcd.dll
2009-06-01 17:58 . 2009-06-02 11:25 99422 ----a-w- c:\windows\system32\drivers\741cc7d9.sys
2009-05-31 07:11 . 2009-06-02 11:25 99422 ----a-w- c:\windows\system32\drivers\3b089c5.sys
2009-05-29 18:26 . 2004-08-04 05:08 36224 ----a-w- c:\windows\system32\hidclass.sys
2009-05-29 18:26 . 2004-08-04 05:08 24960 ----a-w- c:\windows\system32\hidparse.sys
2009-05-29 18:26 . 2001-08-17 12:02 9600 ----a-w- c:\windows\system32\hidusb.sys
2009-05-29 18:24 . 2009-06-01 22:43 -------- d-----w- c:\programme\REFLEX
2009-05-29 16:35 . 2009-05-26 02:18 105 ----a-w- C:\tj.vbs
2009-05-21 12:55 . 2009-05-21 13:48 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-05-21 12:51 . 2006-06-19 11:01 69632 ----a-w- c:\windows\system32\ztvcabinet.dll
2009-05-21 12:51 . 2006-05-25 13:52 162304 ----a-w- c:\windows\system32\ztvunrar36.dll
2009-05-21 12:51 . 2005-08-25 23:50 77312 ----a-w- c:\windows\system32\ztvunace26.dll
2009-05-21 12:51 . 2003-02-02 18:06 153088 ----a-w- c:\windows\system32\unrar3.dll
2009-05-21 12:51 . 2002-03-05 23:00 75264 ----a-w- c:\windows\system32\unacev2.dll
2009-05-21 12:51 . 2009-05-21 12:54 -------- d-----w- c:\dokumente und einstellungen\pc\Anwendungsdaten\Simply Super Software
2009-05-21 12:51 . 2009-05-21 12:51 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software
2009-05-21 12:37 . 2009-05-21 12:38 -------- d-----w- c:\programme\nLite
2009-05-17 16:55 . 2009-05-17 16:56 -------- d-----w- c:\windows\system32\Adobe
2009-05-08 15:10 . 2009-05-23 21:02 -------- d-----w- C:\HELI-X
2009-05-08 14:25 . 2009-05-21 15:18 -------- d-----w- c:\programme\FMS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-23 21:02 . 2009-02-12 12:36 -------- d-----w- c:\programme\Zattoo
2009-05-20 18:31 . 2009-03-01 12:28 -------- d-----w- c:\programme\VSO
2009-05-20 18:31 . 2009-03-01 12:27 -------- d-----w- c:\dokumente und einstellungen\pc\Anwendungsdaten\Vso
2009-05-20 18:31 . 2009-03-01 12:28 47360 ----a-w- c:\dokumente und einstellungen\pc\Anwendungsdaten\pcouffin.sys
2009-05-20 18:31 . 2009-03-01 12:28 47360 ----a-w- c:\dokumente und einstellungen\pc\Anwendungsdaten\pcouffin.sys
2009-05-02 16:31 . 2006-12-08 17:19 70024 -c--a-w- c:\dokumente und einstellungen\Gast\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-01 12:32 . 2009-04-14 17:22 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-04-15 13:57 . 2009-04-15 13:57 -------- d-----w- c:\programme\Gemeinsame Dateien\xing shared
2009-04-15 13:57 . 2008-02-01 07:21 -------- d-----w- c:\programme\Gemeinsame Dateien\Real
2009-04-15 13:57 . 2006-01-16 23:41 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-04-15 13:57 . 2006-01-16 23:41 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-04-15 13:57 . 2009-04-15 13:57 -------- d-----w- c:\programme\Real
2009-04-15 12:13 . 2002-08-29 12:00 90964 ----a-w- c:\windows\system32\perfc007.dat
2009-04-15 12:13 . 2002-08-29 12:00 474462 ----a-w- c:\windows\system32\perfh007.dat
2009-04-14 21:25 . 2006-01-16 23:53 70024 -c--a-w- c:\dokumente und einstellungen\pc\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-14 20:06 . 2006-02-24 15:26 -------- d-----w- c:\programme\Java
2009-04-14 18:22 . 2009-04-14 18:22 152576 ----a-w- c:\dokumente und einstellungen\pc\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-04-14 17:47 . 2009-04-14 17:24 -------- d-----w- c:\programme\Microsoft Visual Studio 8
2009-04-14 17:36 . 2009-04-14 17:36 -------- d-----w- c:\programme\Microsoft Works
2009-04-14 17:36 . 2007-02-11 23:51 -------- d-----w- c:\programme\MSBuild
2009-04-14 17:33 . 2009-04-14 17:33 -------- d-----w- c:\programme\Microsoft.NET
2009-03-09 03:19 . 2008-12-06 14:52 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-03-06 14:44 . 2002-08-29 12:00 286208 ----a-w- c:\windows\system32\pdh.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\System32\igfxtray.exe" [2005-06-21 155648]
"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2005-06-21 126976]
"AudioDrvEmulator"="c:\programme\Creative\Shared Files\Module Loader\DLLML.exe" [2005-06-16 49152]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-01-15 13680640]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]
"ShStatEXE"="c:\programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2007-02-22 112216]
"McAfeeUpdaterUI"="c:\programme\McAfee\Common Framework\UdaterUI.exe" [2006-12-19 136768]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-01-15 86016]
"CTSysVol"="c:\programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe" [2005-02-15 57344]
"GrooveMonitor"="c:\programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2009-04-15 198160]
"avgnt"="c:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-01-15 1657376]
"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CtHelper.exe [2007-04-09 19456]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

c:\dokumente und einstellungen\Gast\Startmen\Programme\Autostart\
OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk - c:\programme\Microsoft Office\Office12\ONENOTEM.EXE [2007-12-7 101440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DPWLN ]
2004-10-13 17:29 102400 ----a-w- c:\windows\system32\DPWLEvHd.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk /r \??\F:\0autocheck autochk *

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli DPPWDFLT

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"updateMgr"="c:\programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\wcescomm.exe"
"WMPNSCFG"=c:\programme\Windows Media Player\WMPNSCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" -atboottime
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
"IJNetworkScanUtility"=c:\programme\Canon\Canon IJ Network Scan Utility\CNMNSUT.EXE
"CanonSolutionMenu"=c:\programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe"
"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\StubInstaller.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\McAfee\\Common Framework\\FrameworkService.exe"=
"c:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"c:\programme\Microsoft ActiveSync\rapimgr.exe"= c:\programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"c:\programme\Microsoft ActiveSync\wcescomm.exe"= c:\programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"c:\programme\Microsoft ActiveSync\WCESMgr.exe"= c:\programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"c:\\Programme\\Zattoo\\Zattoo2.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Programme\\Creative\\Shared Files\\Module Loader\\DLLML.exe"=
"c:\\WINDOWS\\system32\\dwwin.exe"=
"c:\\Programme\\McAfee\\Common Framework\\naPrdMgr.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\TuneUp Software\\TuneUp Utilities\\WinStyler\\tu_logonui.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [02.06.2009 08:35 28544]
R2 antivirschedulerservice;Avira AntiVir Planer;c:\programme\Avira\AntiVir Desktop\sched.exe [02.06.2009 10:20 108289]
R2 Viewpoint Manager Service;Viewpoint Manager Service;c:\programme\Viewpoint\Common\ViewpointService.exe [19.01.2008 10:09 24652]
R3 dpK0Bx01;Fingerprint Reader Upper-Treiber;c:\windows\system32\drivers\dpK0Bx01.sys [04.08.2004 17:58 32640]
R3 UsbdpFP;Fingerprint Reader Class-Treiber;c:\windows\system32\drivers\UsbdpFP.sys [04.08.2004 17:59 34560]
S1 b1e327f6;b1e327f6;c:\windows\system32\drivers\b1e327f6.sys --> c:\windows\system32\drivers\b1e327f6.sys [?]
S3 lgusbsmodem;LGE Mobile USB Modem;c:\windows\system32\DRIVERS\lgusbsmodem.sys --> c:\windows\system32\DRIVERS\lgusbsmodem.sys [?]
S3 ppjoybus;Parallel Port Joystick Bus device driver;c:\windows\system32\drivers\PPJoyBus.sys [23.01.2004 16:33 13952]
S3 pportjoystick;Parallel Port Joystick device driver;c:\windows\system32\drivers\PPortJoy.sys [23.01.2004 16:32 28800]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - mchinjdrv
.
Inhalt des "geplante Tasks" Ordners

2009-06-01 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2006\SystemOptimizer.exe [2005-08-24 01:29]

2009-04-16 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 10:34]

2009-01-27 c:\windows\Tasks\Uniblue SpyEraser.job
- c:\programme\Uniblue\SpyEraser\SpyEraser.exe [2009-01-27 08:03]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SafeBoot-procexp90.sys


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.ch/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~4\Office12\EXCEL.EXE/3000
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java
DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://static.ak.studivz.net/photouploader/ImageUploader5.cab?nocache=20080115-1
FF - ProfilePath - c:\dokumente und einstellungen\pc\Anwendungsdaten\Mozilla\Firefox\Profiles\f64rkniq.default\
FF - prefs.js: browser.search.selectedEngine - SeeqPod
FF - plugin: c:\programme\Mozilla Firefox\plugins\npunagi2.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-connections-per-server - 6
FF - user.js: network.http.max-persistent-connections-per-server - 3
FF - user.js: general.useragent.extra.zencast - Creative ZENcast v1.01.06);user_pref(general.useragent.extra.zencast, .

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-02 13:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchinjdrv]
"ImagePath"="\??\c:\windows\TEMP\mc21.tmp"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\3b089c5]
"ImagePath"="\SystemRoot\System32\drivers\3b089c5.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\741cc7d9]
"ImagePath"="\SystemRoot\System32\drivers\741cc7d9.sys"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\755423f1]
"ImagePath"="\SystemRoot\System32\drivers\755423f1.sys"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\s-1-5-21-839522115-287218729-725345543-1004\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\ؕ€|ÿÿÿÿ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\System32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1244)
c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll
c:\windows\System32\DPWLEvHd.dll

- - - - - - - > 'lsass.exe'(1300)
c:\windows\DPPWDFLT.dll
c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll

- - - - - - - > 'explorer.exe'(492)
c:\programme\TuneUp Utilities 2006\WinStylerThemeHelper.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
c:\programme\DigitalPersona\Bin\DPWinLct.exe
c:\programme\Avira\AntiVir Desktop\avguard.exe
c:\programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\programme\Cisco Systems\VPN Client\cvpnd.exe
c:\programme\DigitalPersona\Bin\DpHost.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\programme\McAfee\Common Framework\FrameworkService.exe
c:\programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\programme\Nero\Nero8\Nero BackItUp\NBService.exe
c:\programme\McAfee\Common Framework\naPrdMgr.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\WLTRYSVC.EXE
c:\windows\system32\BCMWLTRY.EXE
c:\programme\DigitalPersona\Bin\DPFUSMgr.exe
c:\programme\Windows Media Player\wmpnetwk.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
c:\windows\system32\rundll32.exe
c:\programme\McAfee\Common Framework\Mctray.exe
c:\progra~1\MI3AA1~1\rapimgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-06-02 13:30 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-06-02 11:30

Vor Suchlauf: 4'051'456'000 Bytes frei
Nach Suchlauf: 4'821'467'136 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn /TUTag=YPAMEG /Kernel=TUKernel.exe /noguiboot
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition (TuneUp Backup)" /fastdetect /NoExecute=OptIn /TUTag=YPAMEG-BAK

284 --- E O F --- 2009-05-01 12:32

Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:35:31, on 02.06.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\DigitalPersona\Bin\DPWinLct.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\DigitalPersona\Bin\DpHost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\McAfee\Common Framework\FrameworkService.exe
C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\McAfee\Common Framework\naPrdMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Viewpoint\Common\ViewpointService.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
C:\Programme\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Programme\McAfee\Common Framework\UdaterUI.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe
C:\Programme\McAfee\Common Framework\McTray.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\pc\Desktop\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan Enterprise\Scriptcl.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy4\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader5.cab?nocache=20080115-1
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - Winlogon Notify: DPWLN - C:\WINDOWS\System32\DPWLEvHd.dll
O23 - Service: Avira AntiVir Planer (antivirschedulerservice) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (antivirservice) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Windows XP FUS Manager (DPFUSMgr) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DPFUSMgr.exe
O23 - Service: Biometric Authentication Service (DpHost) - DigitalPersona, Inc. - C:\Programme\DigitalPersona\Bin\DpHost.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Programme\McAfee\Common Framework\FrameworkService.exe
O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\Mcshield.exe
O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Programme\McAfee\VirusScan Enterprise\VsTskMgr.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Viewpoint Manager Service - Viewpoint Corporation - C:\Programme\Viewpoint\Common\ViewpointService.exe
O23 - Service: U.S. Robotics Wireless LAN Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 10032 bytes

Uninstall Managter Hijack This:

2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
2007 Microsoft Office Suite Service Pack 1 (SP1)
Adobe Flash Player 10 Plugin
Adobe Flash Player ActiveX
Adobe Photoshop 7.0
Adobe Reader 7.0.9 - Deutsch
Adobe Shockwave Player 11.5
Apple Mobile Device Support
Apple Software Update
Avira AntiVir Personal - Free Antivirus
AviSynth 2.5
Canon IJ Network Scan Utility
Canon IJ Network Tool
Canon MP Navigator EX 1.0
Canon MX700 series
Canon My Printer
Canon Utilities Easy-PhotoPrint EX
Canon Utilities Solution Menu
CCleaner (remove only)
Cisco Systems VPN Client 4.8.02.0010
DigitalPersona Password Manager 1.0.1
DivX
DivX Converter
DivX Player
DivX Web Player
Driver Genius Professional Edition
FMS
HighMAT-Erweiterung für den Microsoft Windows XP-Assistenten zum Schreiben von CDs
HijackThis 2.0.2
hkSFV (remove only)
Hotfix für Windows Internet Explorer 7 (KB947864)
Intel Application Accelerator
Intel(R) Extreme Graphics Driver
Intel(R) Network Connections 13.5.32.0
IsoBuster 1.9
iTunes
J2SE Runtime Environment 5.0 Update 10
J2SE Runtime Environment 5.0 Update 11
Java(TM) 6 Update 13
Java(TM) SE Runtime Environment 6 Update 1
LIVE gaming on Windows Runtime Version 1.0.6027
Macromedia Shockwave Player
Malwarebytes' Anti-Malware
McAfee VirusScan Enterprise
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft .NET Framework 1.1 Hotfix (KB928366)
Microsoft .NET Framework 2.0 Language Pack - DEU
Microsoft .NET Framework 2.0 Service Pack 1
Microsoft .NET Framework 3.0
Microsoft .NET Framework 3.0 German Language Pack
Microsoft .NET Framework 3.0 German Language Pack
Microsoft ActiveSync
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Access MUI (English) 2007
Microsoft Office Access MUI (German) 2007
Microsoft Office Access Setup Metadata MUI (English) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (English) 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Groove MUI (English) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office Groove Setup Metadata MUI (English) 2007
Microsoft Office InfoPath MUI (English) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office Language Pack 2007 - German/Deutsch
Microsoft Office O MUI (German) 2007
Microsoft Office OneNote MUI (English) 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook MUI (English) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (English) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proof (Spanish) 2007
Microsoft Office Proofing (English) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Publisher MUI (English) 2007
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (English) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Shared Setup Metadata MUI (English) 2007
Microsoft Office SharePoint Designer 2007 Service Pack 1 (SP1)
Microsoft Office SharePoint Designer MUI (German) 2007
Microsoft Office Word MUI (English) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Office X MUI (German) 2007
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket
Mozilla Firefox (3.0.10)
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB954430)
MSXML 6 Service Pack 2 (KB954459)
Need for Speed™ Carbon
Nero 8 Trial
nLite 1.4.9.1
NVIDIA Drivers
oggcodecs 0.69.8924
OpenAL
Orbital Viewer
Panda ActiveScan 2.0
QuickTime
RealPlayer
REFLEX Modellflugsimulator
Security Update for CAPICOM (KB931906)
Security Update for CAPICOM (KB931906)
Sicherheitsupdate für Windows Internet Explorer 7 (KB928090)
Sicherheitsupdate für Windows Internet Explorer 7 (KB929969)
Sicherheitsupdate für Windows Internet Explorer 7 (KB931768)
Sicherheitsupdate für Windows Internet Explorer 7 (KB933566)
Sicherheitsupdate für Windows Internet Explorer 7 (KB937143)
Sicherheitsupdate für Windows Internet Explorer 7 (KB938127)
Sicherheitsupdate für Windows Internet Explorer 7 (KB939653)
Sicherheitsupdate für Windows Internet Explorer 7 (KB942615)
Sicherheitsupdate für Windows Internet Explorer 7 (KB944533)
Sicherheitsupdate für Windows Internet Explorer 7 (KB950759)
Sicherheitsupdate für Windows Internet Explorer 7 (KB953838)
Sicherheitsupdate für Windows Internet Explorer 7 (KB956390)
Sicherheitsupdate für Windows Internet Explorer 7 (KB958215)
Sicherheitsupdate für Windows Internet Explorer 7 (KB960714)
Sicherheitsupdate für Windows Internet Explorer 7 (KB961260)
Sicherheitsupdate für Windows Internet Explorer 7 (KB963027)
SmartPropoPlus
Sound Blaster Audigy 4
Tsunami-Filter-Pack Mini
TuneUp Utilities 2006
U.S. Robotics Wireless MAXg Adapter
Uniblue PowerSuite
VCRedistSetup
VideoLAN VLC media player 0.8.6d
ViewerLite 5.0
Viewpoint Manager (Remove Only)
Viewpoint Media Player
WD Diagnostics
Windows Communication Foundation
Windows Genuine Advantage v1.3.0254.0
Windows Imaging Component
Windows Internet Explorer 7
Windows Media Connect
Windows Media Format 11 runtime
Windows Media Format 11 runtime
Windows Media Player 11
Windows Media Player 11
Windows Presentation Foundation
Windows Presentation Foundation Language Pack (DEU)
Windows Workflow Foundation
Windows Workflow Foundation DE Language Pack
Windows XP Service Pack 2
WinRAR Archivierer
Xilisoft Video Converter Ultimate
XML Paper Specification Shared Components Language Pack 1.0
XviD MPEG4 Video Codec v1.0.3 (remove only)

Hoffe das hilft...[/b]
Seitenanfang Seitenende
02.06.2009, 18:32
Moderator

Beiträge: 5694
#5 >>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Versteckte Dateien sichtbar machen:
1. Klicke unter Start auf Arbeitsplatz.
2. Klicke im Menü Extras auf Ordneroptionen.
3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen
4. Geschützte und Systemdateien ausblenden --> Haken entfernen
5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen.

Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.
http://virus-protect.org/invisible.html

>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

c:\windows\system32\drivers\755423f1.sys
c:\windows\system32\jbnmcd.dll
c:\windows\system32\drivers\741cc7d9.sys
c:\windows\system32\drivers\3b089c5.sys

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

>>
Wende GMER an und poste das Log:
http://virus-protect.org/artikel/tools/gmer.html

Gruss Swiss
Seitenanfang Seitenende
02.06.2009, 19:05
Member

Themenstarter

Beiträge: 20
#6 Hallo,
also musst QooBox Löschen. Habe ich gemacht.


c:\windows\system32\jbnmcd.dll

a-squared 4.0.0.101 2009.06.02 Trojan.Win32.BHO.d!IK
AhnLab-V3 5.0.0.2 2009.06.02 -
AntiVir 7.9.0.180 2009.06.02 TR/Agent.ckll
Antiy-AVL 2.0.3.1 2009.06.02 -
Authentium 5.1.2.4 2009.06.02 -
Avast 4.8.1335.0 2009.06.01 -
AVG 8.5.0.339 2009.06.02 -
BitDefender 7.2 2009.06.02 -
CAT-QuickHeal 10.00 2009.06.02 -
ClamAV 0.94.1 2009.06.02 -
Comodo 1238 2009.06.02 -
DrWeb 5.0.0.12182 2009.06.02 Trojan.Chrome.50
eSafe 7.0.17.0 2009.06.02 Suspicious File
eTrust-Vet 31.6.6535 2009.06.02 -
F-Prot 4.4.4.56 2009.06.02 -
F-Secure 8.0.14470.0 2009.06.02 Trojan.Win32.Agent.ckll
Fortinet 3.117.0.0 2009.06.02 -
GData 19 2009.06.02 -
Ikarus T3.1.1.57.0 2009.06.02 -
K7AntiVirus 7.10.752 2009.06.02 -
Kaspersky 7.0.0.125 2009.06.02 Trojan.Win32.Agent.ckll
McAfee 5634 2009.06.02 -
McAfee+Artemis 5634 2009.06.02 -
McAfee-GW-Edition 6.7.6 2009.05.29 -
Microsoft 1.4701 2009.06.02 -
NOD32 4124 2009.06.02 Win32/Spy.Ambler.AE
Norman 6.01.05 2009.06.02 -
nProtect 2009.1.8.0 2009.06.02 -
Panda 10.0.0.14 2009.06.02 -
PCTools 4.4.2.0 2009.06.02 -
Prevx 3.0 2009.06.02 Medium Risk Malware
Rising 21.32.14.00 2009.06.02 -
Sophos 4.42.0 2009.06.02 -
Sunbelt 3.2.1858.2 2009.06.02 -
Symantec 1.4.4.12 2009.06.02 -
TheHacker 6.3.4.3.335 2009.06.01 -
TrendMicro 8.950.0.1092 2009.06.02 PAK_Generic.001
VBA32 3.12.10.6 2009.06.02 -
ViRobot 2009.6.2.1765 2009.06.02 -
VirusBuster 4.6.5.0 2009.06.02 -
weitere Informationen
File size: 29184 bytes
MD5...: f0b67514758fed414e321bea046617d5
SHA1..: 473b1f7a9af55935cf6a264d8ee5341384de1d5e
SHA256: 1efd5aa611b39fcf4cb0c798fe5c4a28191fa10be13ba03473aa65439f0778c0
ssdeep: -
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (39.5%)
Win32 EXE Yoda's Crypter (34.3%)
Win32 Executable Generic (11.0%)
Win32 Dynamic Link Library (generic) (9.8%)
Generic Win/DOS Executable (2.5%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13920
timedatestamp.....: 0x4a224805 (Sun May 31 09:04:05 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0xd000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0xe000 0x6000 0x5c00 7.87 239ac2e7c68ce8f7903b8aa1421b58b4
.rsrc 0x14000 0x2000 0x1200 3.83 b6253bcc9b9971df2578b6359776d16e

( 8 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress
> ATL.DLL: -
> GDI32.dll: GetDeviceCaps
> MSVCP60.dll: __Xran@std@@YAXXZ
> MSVCRT.dll: pow
> ole32.dll: CoInitialize
> OLEAUT32.dll: -
> USER32.dll: GetDC

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
PDFiD.: -
RDS...: NSRL Reference Data Set
-
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=1598834F00096E98727700C0E2B90200C74820A0' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=1598834F00096E98727700C0E2B90200C74820A0</a>
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=f0b67514758fed414e321bea046617d5' target='_blank'>http://www.threatexpert.com/report.aspx?md5=f0b67514758fed414e321bea046617d5</a>
packers (Kaspersky): UPX
packers (F-Prot): UPX

c:\windows\system32\drivers\755423f1.sys

0 bytes size received / Se ha recibido un archivo vacio

c:\windows\system32\drivers\741cc7d9.sys

0 bytes size received / Se ha recibido un archivo vacio

c:\windows\system32\drivers\3b089c5.sys

0 bytes size received / Se ha recibido un archivo vacio

Ich weiss jetzt nicht ob da was auf der Seite nicht gelaufen ist, bei 3 von vieren habe ich diese Meldung bekommen.

Mache noch kurz die zwei anderen Sachen.
Seitenanfang Seitenende
02.06.2009, 19:56
Moderator

Beiträge: 5694
#7 Ja mach die beiden anderen Sachen und zudem teste folgende Datei ebenfalls bei www.virustotal.com/de

C:\tj.vbs

Gruss Swiss
Seitenanfang Seitenende
02.06.2009, 21:24
Member

Themenstarter

Beiträge: 20
#8 Hallo, also SDFIx lief bei mir nicht, habe im Abgesicherten Modus und Normal eine Fehlermeldung bekommen, über ein TXT Datei, die nicht gefunden wurde: installed.txt

Hier noch das GMER LOG:

GMER 1.0.15.14972 - http://www.gmer.net
Rootkit scan 2009-06-02 21:02:23
Windows 5.1.2600 Service Pack 2


---- Devices - GMER 1.0.15 ----

Device \Driver\atapi \Device\Ide\IdePort0 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdePort1 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-17 prosync1.sys (StarForce Protection Synchronization Driver/Protection Technology)
Device \Driver\prohlp02 \Device\ProHlp02 E1626040

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000

---- EOF - GMER 1.0.15 ----

C:\tj.vbs

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.06.02 -
AhnLab-V3 5.0.0.2 2009.06.02 -
AntiVir 7.9.0.180 2009.06.02 -
Antiy-AVL 2.0.3.1 2009.06.02 -
Authentium 5.1.2.4 2009.06.02 -
Avast 4.8.1335.0 2009.06.01 -
AVG 8.5.0.339 2009.06.02 -
BitDefender 7.2 2009.06.02 -
CAT-QuickHeal 10.00 2009.06.02 -
ClamAV 0.94.1 2009.06.02 -
Comodo 1239 2009.06.02 -
DrWeb 5.0.0.12182 2009.06.02 -
eSafe 7.0.17.0 2009.06.02 -
eTrust-Vet 31.6.6535 2009.06.02 -
F-Prot 4.4.4.56 2009.06.02 -
F-Secure 8.0.14470.0 2009.06.02 -
Fortinet 3.117.0.0 2009.06.02 -
GData 19 2009.06.02 -
Ikarus T3.1.1.57.0 2009.06.02 -
K7AntiVirus 7.10.752 2009.06.02 -
Kaspersky 7.0.0.125 2009.06.02 -
McAfee 5634 2009.06.02 -
McAfee+Artemis 5634 2009.06.02 -
McAfee-GW-Edition 6.7.6 2009.05.29 VBScript.Vulnerable.gen!High (suspicious)
Microsoft 1.4701 2009.06.02 -
NOD32 4124 2009.06.02 -
Norman 6.01.05 2009.06.02 -
nProtect 2009.1.8.0 2009.06.02 -
Panda 10.0.0.14 2009.06.02 -
PCTools 4.4.2.0 2009.06.02 -
Prevx 3.0 2009.06.02 -
Rising 21.32.14.00 2009.06.02 -
Sophos 4.42.0 2009.06.02 -
Sunbelt 3.2.1858.2 2009.06.02 -
Symantec 1.4.4.12 2009.06.02 -
TheHacker 6.3.4.3.337 2009.06.02 -
TrendMicro 8.950.0.1092 2009.06.02 -
VBA32 3.12.10.6 2009.06.02 -
ViRobot 2009.6.2.1765 2009.06.02 -
VirusBuster 4.6.5.0 2009.06.02 -
weitere Informationen
File size: 105 bytes
MD5...: 3bb400831788b1ce609623f7e5604adf
SHA1..: 909350f8a4b341cfb5730cc260a38ed44cee3393
SHA256: 68368404f4dcbcf76b8545f5df476f4081ca404feaf23c62da00c94d6db31071
ssdeep: -
PEiD..: -
TrID..: File type identification
Unknown!
PEInfo: -
PDFiD.: -
RDS...: NSRL Reference Data Set
-

Hoffe das kann dir das zeugs erklären...
Seitenanfang Seitenende
02.06.2009, 21:28
Member

Beiträge: 3716
#9 hi, für die dateien bei denen es 0 bytes meldungen gab, erstelle einen neuen ordner, dann navigiere in das verzeichniss, wo die dateien zu finden sind, dann mache eine kopie in den von dir erstellten ordner, lad die kopie hoch.
Seitenanfang Seitenende
03.06.2009, 12:13
Member

Themenstarter

Beiträge: 20
#10 Kann die Dateien nicht kopieren. Fehlermeldung erscheint...Was nun?
Seitenanfang Seitenende
03.06.2009, 12:44
Member

Beiträge: 3716
#11 Starte deinen pc in den abgeicherten modus, (beim start des pc's die f8-taste drücken) dann mache dort weiter wie beschrieben, dann wieder in den normalen modus starten und die files hochladen
Seitenanfang Seitenende
03.06.2009, 14:01
Member

Themenstarter

Beiträge: 20
#12 Hallo, im abgesicherten Modus kann ich die Files zwar speichern. Wenn ich Sie aber über Virustotal checken will kriege ich wieder die Leerfile Meldung wie zuvor...
Seitenanfang Seitenende
03.06.2009, 14:04
Member

Beiträge: 3716
#13 schau mal in den eigenschaften (mit rechtsklick) was als größe angezeigt wird
Seitenanfang Seitenende
03.06.2009, 16:06
Member

Themenstarter

Beiträge: 20
#14 98 KB z.B für das c:\windows\system32\drivers\755423f1.sys
Seitenanfang Seitenende
03.06.2009, 16:18
Member

Beiträge: 3716
#15 hi, lad den avenger:
http://swandog46.geekstogo.com/avenger2/download.php
- setze ein Häkchen in: "Automatically disable any rootkits found" (falls Verdacht auf Rootkits besteht)
- Das Häkchen "Scan for Rootkits" ist schon automatisch angehakt.

- Script einkopieren

Files to delete:
c:\windows\system32\drivers\755423f1.sys
c:\windows\system32\jbnmcd.dll
c:\windows\system32\drivers\741cc7d9.sys
c:\windows\system32\drivers\3b089c5.sys
- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), wenn es im Sicherheitsforum verlangt wird, kopiere es ab - mit rechtem
das bitte in deiner nächsten antwort kopieren.
sende das backup.zip bitte an
markusg2004@yahoo.de
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: