Bluescreen-Screensaver, Viren-Meldung-Hintergrund und Antivirenprogs-Sperre

  • #1
D

Dulian de Mar

Mitglied
Themenersteller
Dabei seit
11.10.2008
Beiträge
12
Reaktionspunkte
0
Hallo!

Habe seit kurzem ein Haufen von Problemen aufeinmal bekommen.

Anstatt meines normalen Bildschirmschoners kommt jetzt immer ein Bluescreen-Bildschirmschoner mit Boot-Vortäuschung. Mein Hintergrund zeigt Warning! Spyware detected. Win32/Adaware Virtumonde und Win32/Privacy RemoverM.64 please acitivate your antivirus software to....

Virenprogramme funktionieren nicht mehr, manchmal rebootet der Pc einfach wenn ich anfange zu scannen und wenn ich andere Anti-Viren-Programme über Google laden will, lassen sich die Seiten nicht öffnen. Auch Direktlinks zu Online-Scans gehen nicht, dafür öffnet sich dann eine Werbe-Seite.

Insgesamt ist der PC langsamer und lauter geworden. Auch das Internet ist langsamer.

Hier die Log-Files:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:37:18, on 11.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\StormII\stormliv.exe
C:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
D:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Winamp\Winamp.exe
D:\Programme\Windows Live\Messenger\usnsvc.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://loginnet.passport.com/ppsecure/md5auth.srf?lc=1031
R3 - URLSearchHook: (no name) - {bd0e4d83-654e-4213-965b-fcbe887061f4} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Easy-PrintToolBox] D:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [DCPPaid] C:\WINDOWS\system32\DCPPaid.exe /P
O4 - HKLM\..\Run: [5c07dbc3] rundll32.exe C:\WINDOWS\system32\gcyqkkis.dll,b
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] D:\Programme\Mozilla Firefox\plugins\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User->Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://D:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: AcronisPop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra->Tools' menuitem: Acronis Pop-up Blocker - {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra->Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - D:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra->Tools' menuitem: Knowledge Base Suche - {8b2d996f-b7d1-4961-a929-414d9cf5ba7b} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://townoflove.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071128-1
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E6C35485-AB31-43B9-B162-C97D37609264}: NameServer = 192.168.1.1
O20 - AppInit_DLLs: ngucpu.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Contrl Center of Storm Media (ccosm) - ???????????? - D:\Programme\StormII\stormliv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: License Management Service ESD - element5 - C:\Programme\Gemeinsame Dateien\element5 Shared\Service\Licence Manager ESD.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe[br][br]Erstellt am: 11.10.08 um 16:43:39
[br]Silent Runners.vbs, revision 58, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by {++}


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
FlashPlayerUpdate = D:\Programme\Mozilla Firefox\plugins\NPSWF32_FlashUtil.exe -p [Adobe Systems, Inc.]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
SoundMan = SOUNDMAN.EXE [Realtek Semiconductor Corp.]
WinampAgent = D:\Programme\Winamp\winampa.exe [null data]
NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe [Ahead Software Gmbh]
nwiz = nwiz.exe /install [NVIDIA Corporation]
NvMediaCenter = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit [MS]
AVGCtrl = D:\Programme\AVPersonal\AVGNT.EXE /min [H+BEDV Datentechnik GmbH]
Easy-PrintToolBox = D:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon [CANON INC.]
MSConfig = C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto [MS]
DCPPaid = C:\WINDOWS\system32\DCPPaid.exe /P [null data]
5c07dbc3 = rundll32.exe C:\WINDOWS\system32\gcyqkkis.dll,b [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{01D940DF-0E52-4A04-AB2A-5A1D17B79922}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = C:\WINDOWS\system32\yvxvtsxt.dll [null data]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = AcroIEHlprObj Class
\InProcServer32\(Default) = D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [Adobe Systems Incorporated]
{07FAA62B-2F85-4009-ADA2-F2B5D7E74C74}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = C:\WINDOWS\system32\ljJAQheD.dll [null data]
{31C729B1-D88E-42D0-B3D7-1EC0A970C91C}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = C:\WINDOWS\system32\tuvVOEXn.dll [null data]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = Windows Live Anmelde-Hilfsprogramm
\InProcServer32\(Default) = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [MS]
{a7e23ad3-123e-409a-b082-cddb683a11b5}\(Default) = {5b11a386-bddc-280b-a904-e3213da32e7a}
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = C:\WINDOWS\system32\ngucpu.dll [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
{792F0537-F929-4eb7-AC1D-FB6334C71550} = LG Phone
-> {HKLM...CLSID} = LG Phone
\InProcServer32\(Default) = D:\PROGRA~1\LG PC Suite 2\Phone Manager\Phone.dll [LG Electornics]
{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D} = Messenger Sharing Folders
-> {HKLM...CLSID} = Meine freigegebenen Ordner
\InProcServer32\(Default) = D:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> {07FAA62B-2F85-4009-ADA2-F2B5D7E74C74} = *c (unwritable string)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = C:\WINDOWS\system32\ljJAQheD.dll [null data]

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
<<!>> Authentication Packages = msv1_0|C:\WINDOWS\system32\tuvVOEXn

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
<<!>> BootExecute = autocheck autochk *|lsdelete [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> ljJAQheD\DLLName = ljJAQheD.dll [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{0561EC90-CE54-4f0c-9C55-E226110A740C}\(Default) = Haali Column Provider
-> {HKLM...CLSID} = Haali Column Provider
\InProcServer32\(Default) = D:\Programme\Haali\MatroskaSplitter\mmfinfo.dll [null data]
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = OpenOffice.org Column Handler
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = D:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll [Sun Microsystems, Inc.]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = PDF Column Info
-> {HKLM...CLSID} = PDF Shell Extension
\InProcServer32\(Default) = D:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll [Adobe Systems, Inc.]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = {a7cda720-84ee-11d0-b5c0-00001b3ca278}
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = D:\Programme\AVPersonal\AVShlExt.DLL [H+BEDV Datentechnik GmbH]
TrojanHunter\(Default) = {EBDF1F20-C829-11D1-8233-FF20AF3E97A9}
-> {HKLM...CLSID} = TrojanHunter Menu Shell Extension
\InProcServer32\(Default) = D:\PROGRA~1\TROJAN~1.5\contmenu.dll [null data]
TuneUp Shredder Shell Extension\(Default) = {4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
-> {HKLM...CLSID} = TuneUp Shredder Shell Extension
\InProcServer32\(Default) = D:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll [TuneUp Software GmbH]
WinRAR\(Default) = {B41DB860-8EE4-11D2-9906-E49FADC173CA}
-> {HKLM...CLSID} = WinRAR
\InProcServer32\(Default) = D:\Programme\WinRAR\rarext.dll [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
jetAudio\(Default) = {8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}
-> {HKLM...CLSID} = JetFlExt
\InProcServer32\(Default) = D:\Programme\JetAudio\JetFlExt.dll [JetAudio, Inc.]
TrojanHunter\(Default) = {EBDF1F20-C829-11D1-8233-FF20AF3E97A9}
-> {HKLM...CLSID} = TrojanHunter Menu Shell Extension
\InProcServer32\(Default) = D:\PROGRA~1\TROJAN~1.5\contmenu.dll [null data]
TuneUp Shredder Shell Extension\(Default) = {4858E7D9-8E12-45a3-B6A3-1CD128C9D403}
-> {HKLM...CLSID} = TuneUp Shredder Shell Extension
\InProcServer32\(Default) = D:\Programme\TuneUp Utilities 2007\SDShelEx-win32.dll [TuneUp Software GmbH]
WinRAR\(Default) = {B41DB860-8EE4-11D2-9906-E49FADC173CA}
-> {HKLM...CLSID} = WinRAR
\InProcServer32\(Default) = D:\Programme\WinRAR\rarext.dll [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
AntiVir/Win\(Default) = {a7cda720-84ee-11d0-b5c0-00001b3ca278}
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = D:\Programme\AVPersonal\AVShlExt.DLL [H+BEDV Datentechnik GmbH]
jetAudio\(Default) = {8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}
-> {HKLM...CLSID} = JetFlExt
\InProcServer32\(Default) = D:\Programme\JetAudio\JetFlExt.dll [JetAudio, Inc.]
TrojanHunter\(Default) = {EBDF1F20-C829-11D1-8233-FF20AF3E97A9}
-> {HKLM...CLSID} = TrojanHunter Menu Shell Extension
\InProcServer32\(Default) = D:\PROGRA~1\TROJAN~1.5\contmenu.dll [null data]
WinRAR\(Default) = {B41DB860-8EE4-11D2-9906-E49FADC173CA}
-> {HKLM...CLSID} = WinRAR
\InProcServer32\(Default) = D:\Programme\WinRAR\rarext.dll [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

NoLowDiskSpaceChecks = (REG_DWORD) dword:0x00000001
{unrecognized setting}

ForceClassicControlPanel = (REG_DWORD) dword:0x00000001
{unrecognized setting}

NoRecentDocsMenu = (REG_DWORD) dword:0x00000001
{unrecognized setting}

NoInstrumentation = (REG_DWORD) dword:0x00000001
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\

DisableLocalMachineRun = (REG_DWORD) dword:0x00000001
{unrecognized setting}

DisableLocalMachineRunOnce = (REG_DWORD) dword:0x00000001
{unrecognized setting}

DisableCurrentUserRun = (REG_DWORD) dword:0x00000001
{unrecognized setting}

DisableCurrentUserRunOnce = (REG_DWORD) dword:0x00000001
{unrecognized setting}

NoCDBurning = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions\

NoUpdateCheck = (REG_DWORD) dword:0x00000001
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

shutdownwithoutlogon = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

undockwithoutlogon = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
Wallpaper = C:\WINDOWS\system32\phcrndj0ee1e.bmp

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
Wallpaper = C:\WINDOWS\system32\phcrndj0ee1e.bmp


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
SCRNSAVE.EXE = C:\WINDOWS\system32\blphcrndj0ee1e.scr [Sysinternals]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

DSVideoCameraArrival\
Provider = Video Edit Magic
ProgID = Shell.HWEventHandlerShellExecute
InitCmdLine = D:\Programme\Deskshare\Video Edit Magic 4.2\Video Edit Magic.exe /CAPTURE
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}
-> {HKLM...CLSID} = ShellExecute HW Event Handler
\LocalServer32\(Default) = rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7} [MS]

iTunesBurnCDOnArrival\
Provider = iTunes
InvokeProgID = iTunes.BurnCD
InvokeVerb = burn
HKLM\SOFTWARE\Classes\iTunes.BurnCD\shell\burn\command\(Default) = D:\Programme\iTunes\iTunes.exe /AutoPlayBurn %L [Apple Computer, Inc.]

iTunesImportSongsOnArrival\
Provider = iTunes
InvokeProgID = iTunes.ImportSongsOnCD
InvokeVerb = import
HKLM\SOFTWARE\Classes\iTunes.ImportSongsOnCD\shell\import\command\(Default) = D:\Programme\iTunes\iTunes.exe /AutoPlayImportSongs %L [Apple Computer, Inc.]

iTunesPlaySongsOnArrival\
Provider = iTunes
InvokeProgID = iTunes.PlaySongsOnCD
InvokeVerb = play
HKLM\SOFTWARE\Classes\iTunes.PlaySongsOnCD\shell\play\command\(Default) = D:\Programme\iTunes\iTunes.exe /playCD %L [Apple Computer, Inc.]

iTunesShowSongsOnArrival\
Provider = iTunes
InvokeProgID = iTunes.ShowSongsOnCD
InvokeVerb = showsongs
HKLM\SOFTWARE\Classes\iTunes.ShowSongsOnCD\shell\showsongs\command\(Default) = D:\Programme\iTunes\iTunes.exe /AutoPlayShowSongs %L [Apple Computer, Inc.]

JABurnCDAudioOnArrival\
Provider = jetAudio
InvokeProgID = jetAudio.MediaHandler
InvokeVerb = burncd
HKLM\SOFTWARE\Classes\jetAudio.MediaHandler\shell\burncd\command\(Default) = D:\Programme\JetAudio\jetAudio.exe /burncd %1 [JetAudio, Inc.]

JACreateAlbumOnArrival\
Provider = jetAudio
InvokeProgID = jetAudio.MediaHandler
InvokeVerb = createalbum
HKLM\SOFTWARE\Classes\jetAudio.MediaHandler\shell\createalbum\command\(Default) = D:\Programme\JetAudio\jetAudio.exe /createalbum %1 [JetAudio, Inc.]

JAPlayCDAudioOnArrival\
Provider = jetAudio
InvokeProgID = jetAudio.MediaHandler
InvokeVerb = playcd
HKLM\SOFTWARE\Classes\jetAudio.MediaHandler\shell\playcd\command\(Default) = D:\Programme\JetAudio\jetAudio.exe /playcd %1 [JetAudio, Inc.]

JAPlayDVDMovieOnArrival\
Provider = jetAudio
InvokeProgID = jetAudio.MediaHandler
InvokeVerb = playdvd
HKLM\SOFTWARE\Classes\jetAudio.MediaHandler\shell\playdvd\command\(Default) = D:\Programme\JetAudio\jetAudio.exe /playdvd %1 [JetAudio, Inc.]

JAPlayMediaOnArrival\
Provider = jetAudio
InvokeProgID = jetAudio.MediaHandler
InvokeVerb = playmedia
HKLM\SOFTWARE\Classes\jetAudio.MediaHandler\shell\playmedia\DropTarget\CLSID = {8D1636FD-CA49-4B4E-90E4-0A20E03A15E8}
-> {HKLM...CLSID} = JetFlExt
\InProcServer32\(Default) = D:\Programme\JetAudio\JetFlExt.dll [JetAudio, Inc.][br][br]Erstellt am: 11.10.08 um 16:46:40
[br]JARipCDAudioOnArrival\
Provider = jetAudio
InvokeProgID = jetAudio.MediaHandler
InvokeVerb = ripcd
HKLM\SOFTWARE\Classes\jetAudio.MediaHandler\shell\ripcd\command\(Default) = D:\Programme\JetAudio\jetAudio.exe /ripcd %1 [JetAudio, Inc.]

MSVideoCameraArrival\
Provider = @D:\Programme\Movie Maker\1031\wmm2res.dll,-100
ProgID = Shell.HWEventHandlerShellExecute
InitCmdLine = D:\Programme\Movie Maker\moviemk.exe /RECORD
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}
-> {HKLM...CLSID} = ShellExecute HW Event Handler
\LocalServer32\(Default) = rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7} [MS]

MXCDRBurningCDArrival\
Provider = MAGIX Goya
InvokeProgID = Magix.MXCDR
InvokeVerb = Show
HKLM\SOFTWARE\Classes\Magix.MXCDR\shell\Show\DropTarget\CLSID = {FF482932-87EF-409E-9C02-48E9FF861CBF}
-> {HKLM...CLSID} = MXCDR AutoplayClass
\LocalServer32\(Default) = D:\Programme\MAGIX\Goya_burnR_mxcdr\Goya.exe [MAGIX AG]

MXFotomakerBrowseOnArrival\
Provider = MAGIX Digital Foto Maker 2008
InvokeProgID = Magix.Fotomaker
InvokeVerb = Brws
HKLM\SOFTWARE\Classes\Magix.Fotomaker\shell\Brws\DropTarget\CLSID = {51BD566E-A02D-4387-9A82-D929EA8C20B0}
-> {HKLM...CLSID} = MXFotomaker Autoplay Class
\LocalServer32\(Default) = D:\Programme\MAGIX\Foto_Manager_2008\FotoMaker.exe [MAGIX]

MXFotomakerBurningCDArrival\
Provider = MAGIX Digital Foto Maker 2008
InvokeProgID = Magix.Fotomaker
InvokeVerb = Burn
HKLM\SOFTWARE\Classes\Magix.Fotomaker\shell\Burn\DropTarget\CLSID = {51BD566E-A02D-4387-9A82-D929EA8C20B0}
-> {HKLM...CLSID} = MXFotomaker Autoplay Class
\LocalServer32\(Default) = D:\Programme\MAGIX\Foto_Manager_2008\FotoMaker.exe [MAGIX]

MXFotomakerPlayAudioOnArrival\
Provider = MAGIX Digital Foto Maker 2008
InvokeProgID = Magix.Fotomaker
InvokeVerb = PlayA
HKLM\SOFTWARE\Classes\Magix.Fotomaker\shell\PlayA\DropTarget\CLSID = {51BD566E-A02D-4387-9A82-D929EA8C20B0}
-> {HKLM...CLSID} = MXFotomaker Autoplay Class
\LocalServer32\(Default) = D:\Programme\MAGIX\Foto_Manager_2008\FotoMaker.exe [MAGIX]

MXFotomakerPlayCDOnArrival\
Provider = MAGIX Digital Foto Maker 2008
InvokeProgID = Magix.Fotomaker
InvokeVerb = PlayCD
HKLM\SOFTWARE\Classes\Magix.Fotomaker\shell\PlayCD\DropTarget\CLSID = {51BD566E-A02D-4387-9A82-D929EA8C20B0}
-> {HKLM...CLSID} = MXFotomaker Autoplay Class
\LocalServer32\(Default) = D:\Programme\MAGIX\Foto_Manager_2008\FotoMaker.exe [MAGIX]

MXFotomakerShowPicturesOnArrival\
Provider = MAGIX Digital Foto Maker 2008
InvokeProgID = Magix.Fotomaker
InvokeVerb = ShwPic
HKLM\SOFTWARE\Classes\Magix.Fotomaker\shell\ShwPic\DropTarget\CLSID = {51BD566E-A02D-4387-9A82-D929EA8C20B0}
-> {HKLM...CLSID} = MXFotomaker Autoplay Class
\LocalServer32\(Default) = D:\Programme\MAGIX\Foto_Manager_2008\FotoMaker.exe [MAGIX]

MXSuiteBurningCDArrival\
Provider = MAGIX Goya burnR
InvokeProgID = Magix.MXSuite
InvokeVerb = Show
HKLM\SOFTWARE\Classes\Magix.MXSuite\shell\Show\DropTarget\CLSID = {F9AD4E4F-B992-4B84-AC51-9F990D5F4738}
-> {HKLM...CLSID} = MAGIXSuite Autoplay Class
\LocalServer32\(Default) = D:\Programme\MAGIX\Goya_burnR\Goya.exe [MAGIX AG]

MxVideoDeLuxeVideoCameraArrival\
Provider = MAGIX Video deluxe 2008 PLUS
ProgID = Magix.videodeLuxe
HKLM\SOFTWARE\Classes\Magix.videodeLuxe\CLSID\(Default) = {1810360D-0FC7-474B-ABC1-84E96BF51D2F}
-> {HKLM...CLSID} = videodeLuxe AutoplayClass
\LocalServer32\(Default) = D:\Programme\MAGIX\Video_deluxe_2008_PLUS\Videodeluxe.exe [MAGIX AG]

NeroAutoPlay2AudioToNeroDigital\
Provider = Nero Burning ROM
InvokeProgID = Nero.AutoPlay2
InvokeVerb = PlayCDAudioOnArrival_AudioToNeroDigital
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_AudioToNeroDigital\command\(Default) = D:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracks /Drive:%L [Ahead Software AG]

NeroAutoPlay2CDAudio\
Provider = Nero Burning ROM
InvokeProgID = Nero.AutoPlay2
InvokeVerb = HandleCDBurningOnArrival_CDAudio
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_CDAudio\command\(Default) = D:\Programme\Ahead\nero\nero.exe /New:AudioCD /Drive:%L [Ahead Software AG]

NeroAutoPlay2CopyCD\
Provider = Nero Burning ROM
InvokeProgID = Nero.AutoPlay2
InvokeVerb = PlayCDAudioOnArrival_CopyCD
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_CopyCD\command\(Default) = D:\Programme\Ahead\nero\nero.exe /Dialog:DiscCopy /Drive:%L [Ahead Software AG]

NeroAutoPlay2DataDisc\
Provider = Nero Burning ROM
InvokeProgID = Nero.AutoPlay2
InvokeVerb = HandleCDBurningOnArrival_DataDisc
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_DataDisc\command\(Default) = D:\Programme\Ahead\nero\nero.exe /New:ISODisc /Drive:%L [Ahead Software AG]

NeroAutoPlay2LaunchNeroStartSmart\
Provider = Nero StartSmart
InvokeProgID = Nero.AutoPlay2
InvokeVerb = HandleCDBurningOnArrival_LaunchNeroStartSmart
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_LaunchNeroStartSmart\command\(Default) = D:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe /AutoPlay /Drive:%L [Ahead Software AG]

NeroAutoPlay2RipCD\
Provider = Nero Burning ROM
InvokeProgID = Nero.AutoPlay2
InvokeVerb = PlayCDAudioOnArrival_RipCD
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_RipCD\command\(Default) = D:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracks /Drive:%L [Ahead Software AG]

RPCDBurningOnArrival\
Provider = RealPlayer
InvokeProgID = RealPlayer.CDBurn.6
InvokeVerb = open
HKLM\SOFTWARE\Classes\RealPlayer.CDBurn.6\shell\open\command\(Default) = D:\Programme\Real\RealPlayer\RealPlay.exe /burn %1 [RealNetworks, Inc.]

RPDeviceOnArrival\
Provider = RealPlayer
ProgID = RealPlayer.HWEventHandler
HKLM\SOFTWARE\Classes\RealPlayer.HWEventHandler\CLSID\(Default) = {67E76F1D-BDE2-4052-913C-2752366192D2}
-> {HKLM...CLSID} = RealNetworks Scheduler
\LocalServer32\(Default) = C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -autoplay [RealNetworks, Inc.]

RPPlayCDAudioOnArrival\
Provider = RealPlayer
InvokeProgID = RealPlayer.AudioCD.6
InvokeVerb = play
HKLM\SOFTWARE\Classes\RealPlayer.AudioCD.6\shell\play\command\(Default) = D:\Programme\Real\RealPlayer\RealPlay.exe /play %1 [RealNetworks, Inc.]

RPPlayDVDMovieOnArrival\
Provider = RealPlayer
InvokeProgID = RealPlayer.DVD.6
InvokeVerb = play
HKLM\SOFTWARE\Classes\RealPlayer.DVD.6\shell\play\command\(Default) = D:\Programme\Real\RealPlayer\RealPlay.exe /dvd %1 [RealNetworks, Inc.]

RPPlayMediaOnArrival\
Provider = RealPlayer
InvokeProgID = RealPlayer.AutoPlay.6
InvokeVerb = open
HKLM\SOFTWARE\Classes\RealPlayer.AutoPlay.6\shell\open\command\(Default) = D:\Programme\Real\RealPlayer\RealPlay.exe /autoplay %1 [RealNetworks, Inc.]


Startup items in PAD & All Users startup folders:
-----------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Adobe Gamma Loader.exe -> shortcut to: C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [Adobe Systems, Inc.]
Adobe Reader - Schnellstart -> shortcut to: D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [Adobe Systems Incorporated]


Enabled Scheduled Tasks:
------------------------

1-Click Maintenance -> launches: D:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart [TuneUp Software GmbH]
1-Klick-Wartung -> launches: D:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart [TuneUp Software GmbH]
AppleSoftwareUpdate -> launches: D:\Programme\Apple Software Update\SoftwareUpdate.exe -task [Apple Inc.]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = %SystemRoot%\System32\mswsock.dll [MS]
000000000002\LibraryPath = %SystemRoot%\System32\winrnr.dll [MS]
000000000003\LibraryPath = %SystemRoot%\System32\mswsock.dll [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{03C1C47F-0538-4645-8372-D3109B9FC636}\(Default) = Easy-WebPrint
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = D:\Programme\Canon\Easy-WebPrint\Toolband.dll [null data]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
MenuText = Sun Java Konsole
CLSIDExtension = {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBC}
-> {HKLM...CLSID} = Java Plug-in 1.5.0_01
\InProcServer32\(Default) = D:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll [Sun Microsystems, Inc.]

{2E071ADC-ADF8-4B4B-8ACB-EDC49E6D45A2}\
ButtonText = Acronis Pop-up Blocker
MenuText = Acronis Pop-up Blocker
CLSIDExtension = {2E071ADC-ADF8-4b4b-8ACB-EDC49E6D45A2}

{36ECAF82-3300-8F84-092E-AFF36D6C7040}\
ButtonText = Run WinHTTrack
MenuText = Launch WinHTTrack
CLSIDExtension = {86529161-034E-4F8A-88D2-3C625E612E04}
-> {HKLM...CLSID} = WinHTTrackLauncher Class
\InProcServer32\(Default) = D:\Programme\WinHTTrack\WinHTTrackIEBar.dll [null data]

{8B2D996F-B7D1-4961-A929-414D9CF5BA7B}\
ButtonText = Knowledge Base Suche
MenuText = Knowledge Base Suche
Exec = http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO [file not found]


Miscellaneous IE Hijack Points
------------------------------

HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\
<<H>> TuneUp = file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir Service, AntiVirService, D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE [H+BEDV Datentechnik GmbH]
AntiVir Update, AVWUpSrv, D:\Programme\AVPersonal\AVWUPSRV.EXE [H+BEDV Datentechnik GmbH, Germany]
Contrl Center of Storm Media, ccosm, D:\Programme\StormII\stormliv.exe /asservice [************ (unwritable string)]
Lavasoft Ad-Aware Service, aawservice, D:\Programme\Lavasoft\Ad-Aware\aawservice.exe [Lavasoft]
Messenger USN Journal Reader-Service für freigegebene Ordner, usnjsvc, D:\Programme\Windows Live\Messenger\usnsvc.exe [MS]
NVIDIA Display Driver Service, NVSvc, C:\WINDOWS\system32\nvsvc32.exe [NVIDIA Corporation]
TuneUp Designerweiterung, UxTuneUp, C:\WINDOWS\System32\svchost.exe -k netsvcs {C:\WINDOWS\System32\uxtuneup.dll [TuneUp Software GmbH]}


Keyboard Driver Filters:
------------------------

HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318}\
UpperFilters = <<!>> KID_SYS [Kensington Technology Group]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor iP4200\Driver = CNMLM78.DLL [CANON INC.]


---------- (launch time: 2008-10-11 16:41:36)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer No at the
first message box and Yes at the second message box.
---------- (total run time: 43 seconds, including 3 seconds for message boxes)
 
  • #2
Dulian schrieb:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:12:54, on 11.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Zum Vergrößern anklicken....
SP3 gibt es mittlerweile ...
http://www.wintotal.de/Software/?id=4549

Running processes:
D:\Programme\StormII\stormliv.exe

O4 - HKLM\..\Run: [5c07dbc3] rundll32.exe C:\WINDOWS\system32\gcyqkkis.dll,b

O20 - AppInit_DLLs: ngucpu.dll

O23 - Service: Contrl Center of Storm Media (ccosm) - ???????????? - D:\Programme\StormII\stormliv.exe
Zum Vergrößern anklicken....

Kannst du diese Programme zuordnen?
StormII (stormliv.exe)
gcyqkkis.dll [sub]sehr verdächtig[/sub]
ngucpu.dll [sub]sehr verdächtig[/sub]

Den Rest überlasse ich @schrauber, er kennt sich da besser aus.

pan_fee
 
  • #3
stormliv is eher nicht, da das schon ewig drauf ist und die anderen probleme alle neu dazu gekommen sind.

lasse jetzt combofix drüberlaufen...
 
  • #4
auf den ersten blick geht jetzt alles wieder! :1

ComboFix 08-10-11.01 - PAD 2008-10-12 13:29:22.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.561 [GMT 2:00]
Benutzte Befehlsschalter :: D:\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\beadxspp.dll
C:\WINDOWS\system32\bfllnttc.dll
C:\WINDOWS\system32\blphcrndj0ee1e.scr
C:\WINDOWS\system32\Cache
C:\WINDOWS\system32\cbXOIxYs.dll
C:\WINDOWS\system32\cttnllfb.ini
C:\WINDOWS\system32\cyqclr.dll
C:\WINDOWS\system32\cyqophrk.ini
C:\WINDOWS\system32\dao350.dll
C:\WINDOWS\system32\dtaagl.dll
C:\WINDOWS\system32\eahulp.dll
C:\WINDOWS\system32\fausofeq.dll
C:\WINDOWS\system32\fpihhpio.dll
C:\WINDOWS\system32\gcyqkkis.dll
C:\WINDOWS\system32\gdlvixhs.ini
C:\WINDOWS\system32\geBuSIYO.dll
C:\WINDOWS\system32\haeuvbjk.dll
C:\WINDOWS\system32\hgGvsqpO.dll
C:\WINDOWS\system32\iifcBtSI.dll
C:\WINDOWS\system32\jvegcbpt.ini
C:\WINDOWS\system32\klxafj.dll
C:\WINDOWS\system32\krhpoqyc.dll
C:\WINDOWS\system32\ljJAQheD.dll
C:\WINDOWS\system32\lknkvh.dll
C:\WINDOWS\system32\lnmtkgiq.dll
C:\WINDOWS\system32\lphcrndj0ee1e.exe
C:\WINDOWS\system32\ngucpu.dll
C:\WINDOWS\system32\nXEOVvut.ini
C:\WINDOWS\system32\nXEOVvut.ini2
C:\WINDOWS\system32\nxucfrab.dll
C:\WINDOWS\system32\oxfskvip.ini
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\phcrndj0ee1e.bmp
C:\WINDOWS\system32\pivksfxo.dll
C:\WINDOWS\system32\qefosuaf.ini
C:\WINDOWS\system32\qhbvvz.dll
C:\WINDOWS\system32\qjyccacs.dll
C:\WINDOWS\system32\rpecdeem.dll
C:\WINDOWS\system32\shxivldg.dll
C:\WINDOWS\system32\sikkqycg.ini
C:\WINDOWS\system32\smmbsdvt.dll
C:\WINDOWS\system32\TDSSadw.dll
C:\WINDOWS\system32\TDSSerrors.log
C:\WINDOWS\system32\tdssinit.dll
C:\WINDOWS\system32\tdssl.dll
C:\WINDOWS\system32\TDSSlog.dll
C:\WINDOWS\system32\tdssmain.dll
C:\WINDOWS\system32\tdssserf.dll
C:\WINDOWS\system32\tdssserf1.dll
C:\WINDOWS\system32\TDSSservers.dat
C:\WINDOWS\system32\tpbcgevj.dll
C:\WINDOWS\system32\tuvVOEXn.dll
C:\WINDOWS\system32\uxtkgtxx.dll
C:\WINDOWS\system32\wbujlpua.dll
C:\WINDOWS\system32\yljdkj.dll
C:\WINDOWS\system32\yvxvtsxt.dll
D:\Programme\XP Antivirus

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MAINSERVICE


((((((((((((((((((((((( Dateien erstellt von 2008-09-12 bis 2008-10-12 ))))))))))))))))))))))))))))))
.

2008-10-11 01:55 . 2008-10-11 01:55 120 ---hs---- C:\WINDOWS\system32\scaccyjq.ini
2008-10-11 01:29 . 2008-10-11 01:29 <DIR> d-------- D:\Programme\Trend Micro
2008-10-10 22:21 . 2008-10-10 22:21 <DIR> d-------- D:\Programme\Lavasoft
2008-10-10 22:21 . 2008-10-10 22:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-09 19:01 . 2008-10-09 19:01 120 ---hs---- C:\WINDOWS\system32\xxtgktxu.ini
2008-10-08 01:38 . 2008-10-08 01:38 <DIR> d-------- D:\Programme\Enigma Software Group
2008-10-08 01:24 . 2008-10-08 01:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avg8
2008-10-08 01:20 . 2008-10-08 01:20 <DIR> d-------- D:\Programme\AVG
2008-10-06 17:18 . 2008-02-07 17:10 <DIR> d--h----- C:\ckis
2008-10-06 17:15 . 2008-10-07 23:38 <DIR> d-------- D:\Programme\Kaspersky Lab
2008-10-06 17:11 . 2008-10-06 17:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-10-03 20:44 . 2008-10-03 20:44 <DIR> d-------- C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\Leadertech
2008-10-02 17:12 . 2008-05-30 14:11 3,850,760 --a------ C:\WINDOWS\system32\D3DX9_38.dll
2008-10-02 17:12 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll
2008-10-02 17:12 . 2008-03-05 15:56 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll
2008-10-02 17:12 . 2008-03-05 16:03 479,752 --a------ C:\WINDOWS\system32\XAudio2_0.dll
2008-10-02 17:12 . 2008-02-05 23:07 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll
2008-10-02 17:12 . 2008-03-05 16:03 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll
2008-10-02 17:12 . 2008-03-05 16:00 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll
2008-10-02 17:10 . 2008-10-02 17:10 <DIR> d-------- C:\WINDOWS\Logs
2008-09-14 21:44 . 2008-09-14 21:44 <DIR> d-------- D:\Programme\PlayFirst
2008-09-14 21:44 . 2008-09-14 21:44 <DIR> d-------- C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\PlayFirst

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-10 20:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-07 23:29 --------- d-----w D:\Programme\ants
2008-10-07 20:55 --------- d-----w C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\Azureus
2008-10-06 18:31 24,040 ----a-w C:\WINDOWS\TMPG001.TMP
2008-10-06 15:22 --------- d-----w D:\Programme\ESET
2008-10-05 15:41 --------- d-----w D:\Programme\Tweak-XP Pro 4
2008-10-03 18:19 --------- d-----w D:\Programme\EA Sports
2008-10-03 07:52 --------- d-----w D:\Programme\Messenger Plus! Live
2008-09-30 18:56 --------- d-----w C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\OpenOffice.org2
2008-09-29 23:36 --------- d-----w D:\Programme\Winamp
2008-09-24 17:57 --------- d-----w C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\OpenOffice.org2
2004-09-28 01:00 26,240 ----a-w C:\WINDOWS\inf\RAMDSK.SYS
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
FlashPlayerUpdate=D:\Programme\Mozilla Firefox\plugins\NPSWF32_FlashUtil.exe [2006-11-09 190072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
WinampAgent=D:\Programme\Winamp\winampa.exe [2004-12-20 33792]
NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
NvMediaCenter=C:\WINDOWS\system32\NvMcTray.dll [2004-11-11 81920]
AVGCtrl=D:\Programme\AVPersonal\AVGNT.EXE [2005-11-04 180327]
Easy-PrintToolBox=D:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [2004-01-14 409600]
MSConfig=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe [2004-11-11 160768]
DCPPaid=C:\WINDOWS\system32\DCPPaid.exe [2008-10-12 434176]
SoundMan=SOUNDMAN.EXE [2004-11-11 C:\WINDOWS\SOUNDMAN.EXE]
nwiz=nwiz.exe [2004-11-11 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE=C:\WINDOWS\system32\CTFMON.EXE [2004-11-11 15360]

C:\Dokumente und Einstellungen\Philip\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - D:\Programme\OpenOffice.org 2.0\program\quickstart.exe [2005-09-23 61440]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-05-15 110592]
Adobe Reader - Schnellstart.lnk - D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
DisableCurrentUserRun= 1 (0x1)
DisableCurrentUserRunOnce= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
ForceClassicControlPanel= 1 (0x1)
NoInstrumentation= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
ForceClassicControlPanel= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
AppInit_DLLs=cyqclr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
vidc.iv41= IR41_32.DLL
msacm.l3acm= L3codecp.acm
vidc.div3= DivXc32.dll
vidc.div4= DivXc32f.dll
vidc.ap41= DivXc32f.dll
vidc.dvx4= divx4.dll
msacm.divxa32= DivXa32.acm
vidc.xvid= xvid.dll
vidc.DAVC= davcvfw.dll
vidc.VSSH= vssh264.dll
VIDC.WMV3= D:\PROGRA~1\COMBIN~1\Filters\wmv9vcm.dll
vidc.xivd= D:\Programme\StormII\codec\xvidvfw.dll
vidc.tscc= C:\WINDOWS\system32\tsccvid.dll
vidc.VP70= C:\WINDOWS\system32\vp7vfw.dll
vidc.aasc= aasc32.dll
vidc.aas4= aasc32.dll
vidc.UCDO= clrviddd.dll
vidc.avrn= avidavicodec.dll
vidc.advj= avidavicodec.dll
vidc.asv1= asusasv1.dll
vidc.asv2= asusasv2.dll
vidc.asvx= asusasv2.dll
vidc.vdom= vdowave.drv
vidc.I263= i263_32.drv
vidc.VCR2= ativcr2.dll
vidc.lsvx= lsvxdec.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^PAD^Startmenü^Programme^Autostart^Wecker für Windows 6.lnk]
path=C:\Dokumente und Einstellungen\PAD\Startmenü\Programme\Autostart\Wecker für Windows 6.lnk
backup=C:\WINDOWS\pss\Wecker für Windows 6.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
AntiVirusDisableNotify=dword:00000001
UpdatesDisableNotify=dword:00000001
AntiVirusOverride=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
%windir%\\system32\\sessmgr.exe=
D:\\SysReset\\mirc.exe=
D:\\Programme\\Miranda IM\\miranda32.exe=
D:\\Desktop\\eMule0-1.45a\\emule.exe=
D:\\Programme\\Firefox\\firefox.exe=
D:\\Programme\\MotoGP2\\motogp2.exe=
D:\\Programme\\DC++\\DCPlusPlus.exe=
D:\\mIRC\\mirc.exe=
D:\\Programme\\Soulseek\\slsk.exe=
D:\\Programme\\BPFTP Server\\bpftpserver.exe=
D:\\Programme\\ants\\ants.exe=
D:\\Programme\\A4Proxy\\A4Proxy.exe=
D:\\Programme\\LimeWire\\LimeWire.exe=
D:\\Programme\\Java\\jre1.5.0_01\\bin\\javaw.exe=
D:\\Programme\\VoipBuster.com\\VoipBuster\\VoipBuster.exe=
D:\\Programme\\LeechFTP\\Leechftp.exe=
D:\\Programme\\Kiri\\Kiri.exe=
D:\\Programme\\iTunes\\iTunes.exe=
D:\\Programme\\Firefox\\plugins\\alhlp.exe=
D:\\Programme\\MultiProxy\\MProxy.exe=
D:\\Programme\\VideoLAN\\VLC\\vlc.exe=
D:\\Programme\\GameSpy Arcade\\Aphex.exe=
D:\\Programme\\Miranda\\miranda32.exe=
D:\\Programme\\FlashFXP\\flashfxp.exe=
D:\\Programme\\TVUPlayer\\TVUPlayer.exe=
D:\\Programme\\PPLive\\PPLive.exe=
D:\\Programme\\TVAnts\\Tvants.exe=
D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe=
D:\\Programme\\Windows Live\\Messenger\\livecall.exe=
D:\\Programme\\Azureus\\Azureus.exe=
D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe=[br][br]Erstellt am: 12.10.08 um 13:50:29
[br]R0 Copystar;Copystar;C:\WINDOWS\system32\DRIVERS\copystar.sys [2002-06-01 82400]
R0 dcpp2k;dcpp2k;C:\WINDOWS\system32\drivers\dcpp2k.sys [2003-08-27 505370]
R1 kid_sys;Kensington Input Devices Class filter driver;C:\WINDOWS\system32\drivers\KID_SYS.sys [2001-09-26 11920]
R1 papycpu;papycpu;C:\WINDOWS\system32\drivers\papycpu.sys [1998-10-06 1984]
R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 330144]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 251680]
R2 ccosm;Contrl Center of Storm Media;D:\Programme\StormII\stormliv.exe [2008-05-28 475136]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-11-11 14336]
R3 avgntdw;avgntdw;D:\PROGRAMME\AVPERSONAL\AVGNTDW.SYS [2005-06-07 32896]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 424704]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 24288]
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2004-11-11 32768]
S2 AVWUpSrv;AntiVir Update;D:\Programme\AVPersonal\AVWUPSRV.EXE [2005-11-04 45096]
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]
S3 bfastfao;bfastfao;C:\DOKUME~1\Philip\LOKALE~1\Temp\bfastfao.sys [ ]
S3 DLPORTIO;DLPORTIO;D:\Programme\Visoly\XtremeLink\DLPORTIO.SYS [1999-01-10 3584]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;D:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 ntxpusb;Gravis USB device driver;C:\WINDOWS\system32\drivers\ntxpusb.sys [2002-02-26 266432]
S3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2006-06-16 23552]
S3 v800bus;Sony Ericsson V800-Vodafone 802SE driver (WDM);C:\WINDOWS\system32\DRIVERS\v800bus.sys [2004-08-09 52416]
S3 v800mdfl;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\v800mdfl.sys [2004-08-09 6160]
S3 v800mdm;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\v800mdm.sys [2004-08-09 84544]
S3 v800mgmt;Sony Ericsson V800-Vodafone 802SE USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\v800mgmt.sys [2004-08-09 77760]
S3 v800obex;Sony Ericsson V800-Vodafone 802SE USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\v800obex.sys [2004-08-09 75584]
S3 VAGINIT;VAGINIT;C:\WINDOWS\system32\Drivers\vaginit.sys [2000-09-13 168888]
S3 VAGWRITER;VAGWRITER;C:\WINDOWS\system32\drivers\vagio.sys [2001-01-28 170508]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0bf208e3-dbde-11dc-89e7-0010dc7af434}]
\Shell\AutoRun\command - wscript.exe .\.vbs
\Shell\open\command - wscript.exe .\.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{30fb2e36-529d-11dd-8afc-0010dc7af434}]
\Shell\AutoRun\command - wscript.exe .\.vbs
\Shell\open\command - wscript.exe .\.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d89f0df2-2a7e-11dd-8a9f-0010dc7af434}]
\Shell\AutoRun\command - wscript.exe .\.vbs
\Shell\open\command - wscript.exe .\.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e566be34-e6d8-11dc-8a00-0010dc7af434}]
\Shell\AutoRun\command - wscript.exe .\`.vbs
\Shell\open\command - wscript.exe .\`.vbs

*Newly Created Service* - HELPSVC
.
Inhalt des geplante Tasks Ordners

2008-10-10 C:\WINDOWS\Tasks\1-Click Maintenance.job
- D:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 17:46]

2008-10-10 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- D:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 17:46]

2008-10-07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- D:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{01D940DF-0E52-4A04-AB2A-5A1D17B79922} - C:\WINDOWS\system32\yvxvtsxt.dll
BHO-{07FAA62B-2F85-4009-ADA2-F2B5D7E74C74} - C:\WINDOWS\system32\ljJAQheD.dll
BHO-{b793054e-af49-47cd-860a-b3cca1e76e15} - C:\WINDOWS\system32\cyqclr.dll
BHO-{DFD3EDD8-BCC3-42C5-8897-A2BFCFA7D1AD} - C:\WINDOWS\system32\tuvVOEXn.dll
ShellExecuteHooks-{07FAA62B-2F85-4009-ADA2-F2B5D7E74C74} - C:\WINDOWS\system32\ljJAQheD.dll
MSConfigStartUp-Java Update - C:\DOKUME~1\PAD\LOKALE~1\Temp\firefox.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\Mozilla\Firefox\Profiles\l2dc5fa3.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de
FF -: plugin - D:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - D:\Programme\Anti-Leech\ALNN\npalnn.dll
FF -: plugin - D:\Programme\Java\jre1.5.0_01\bin\NPJava11.dll
FF -: plugin - D:\Programme\Java\jre1.5.0_01\bin\NPJava12.dll
FF -: plugin - D:\Programme\Java\jre1.5.0_01\bin\NPJava13.dll
FF -: plugin - D:\Programme\Java\jre1.5.0_01\bin\NPJava14.dll
FF -: plugin - D:\Programme\Java\jre1.5.0_01\bin\NPJava32.dll
FF -: plugin - D:\Programme\Java\jre1.5.0_01\bin\NPJPI150_01.dll
FF -: plugin - D:\Programme\Java\jre1.5.0_01\bin\NPOJI610.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\NPZInst.dll
FF -: plugin - D:\Programme\StormII\Codec\Plugins\nppl3260.dll
FF -: plugin - D:\Programme\StormII\Codec\Plugins\npqtplugin.dll
FF -: plugin - D:\Programme\StormII\Codec\Plugins\nprpjplug.dll
FF -: plugin - D:\Programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 13:36:34
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-12 13:42:39 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-12 11:42:33

Vor Suchlauf: 1,316,540,416 Bytes frei
Nach Suchlauf: 1,258,827,776 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT=Microsoft Windows Recovery Console /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=Microsoft Windows XP Professional /noexecute=optin /fastdetect

315 --- E O F --- 2008-09-11 13:20:33
 
  • #5
Scripten mit Combofix


  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
KILLALL::

File::
C:\WINDOWS\system32\scaccyjq.ini
C:\WINDOWS\system32\xxtgktxu.ini
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
AppInit_DLLs=
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0bf208e3-dbde-11dc-89e7-0010dc7af434}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{30fb2e36-529d-11dd-8afc-0010dc7af434}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d89f0df2-2a7e-11dd-8a9f-0010dc7af434}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e566be34-e6d8-11dc-8a00-0010dc7af434}]
Zum Vergrößern anklicken....
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
CFScript.gif



Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann


===

http://www.wintotal-forum.de/index.php/topic,147847.0.html

von dieser seite die anleitungen für malwarebytes und und smitfraudfix abarbeiten, logs posten

===

Ich möchte prüfen, ob bestimmte Dateien noch auf Deinem System sind, dazu bitte den Text aus der Codebox:

Code: 
@echo off
set log=%userprofile%\Desktop\files.txt
if exist %log% del %log%

for %%d in (c d e f g h i j k l m n o p q r s t u v w x y z) do (
  if exist %%d:\ (
    %%d:
    cd \
    dir *.vbs;autorun.inf /s
    dir *.vbs;autorun.inf /ah /s
    attrib
  )
) >> %log%
start notepad %log%

in den Editor (Start => ausführen => notepad (reinschreiben) => OK) kopieren und als findfile.bat mit->Speichern unter' auf dem Desktop speichern (bei Dateityp auf All types umstellen), Du solltest jetzt auf dem Desktop diese Datei finden => findfile.bat => die findfile.bat per Doppelklick starten. Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei files.txt präsentieren. Bitte kopiere den Inhalt hier in den Thread.

Sollte es während der Ausführung des Skriptes zu einer Fehlermeldung Windows kein Datenträger kommen, kannst Du beruhigt auf Weiter klicken. Das liegt daran, dass ein Datenträger (z. B. ein Kartenlesegerät) leer ist.
 
  • #6
Scripten mit Combofix => hat geklappt, dateien wurden gelöscht.
----------

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1261
Windows 5.1.2600 Service Pack 2

12.10.2008 23:58:43
mbam-log-2008-10-12 (23-58-40).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|Q:\|S:\|)
Durchsuchte Objekte: 205282
Laufzeit: 3 hour(s), 6 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 32

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Qoobox\Quarantine\C\WINDOWS\system32\hgGvsqpO.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\beadxspp.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\bfllnttc.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\cbXOIxYs.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\cyqclr.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\dtaagl.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\eahulp.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\fausofeq.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\fpihhpio.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\gcyqkkis.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\geBuSIYO.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\haeuvbjk.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\iifcBtSI.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\klxafj.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\krhpoqyc.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ljJAQheD.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\lknkvh.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\lnmtkgiq.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\ngucpu.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\nxucfrab.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\pivksfxo.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\qhbvvz.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\qjyccacs.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\rpecdeem.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\shxivldg.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\smmbsdvt.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\tpbcgevj.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\tuvVOEXn.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\wbujlpua.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\yljdkj.dll.vir (Trojan.Vundo) -> No action taken.
C:\Qoobox\Quarantine\C\WINDOWS\system32\yvxvtsxt.dll.vir (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> No action taken.

--------

SmitFraudFix v2.359

Scan done at 16:35:01,85, 13.10.2008
Run from D:\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\Programme\StormII\stormliv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Windows Live\Messenger\usnsvc.exe
D:\Programme\Azureus\Azureus.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Winamp\Winamp.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

C:\WINDOWS\system32\AntiSpy.exe FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\PAD


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\PAD\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\PAD\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» D:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
Source=About:Home
SubscribedURL=About:Home
FriendlyName=Die derzeitige Homepage


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
AppInit_DLLs=


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Userinit=C:\\WINDOWS\\system32\\userinit.exe,
System=


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: SiS 900-Based PCI Fast Ethernet Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E6C35485-AB31-43B9-B162-C97D37609264}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E6C35485-AB31-43B9-B162-C97D37609264}: NameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E6C35485-AB31-43B9-B162-C97D37609264}: NameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

[br][br]Erstellt am: 13.10.08 um 16:46:46
[br]findfile.bat

Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 5C07-DB6C

Verzeichnis von C:\temp\photosmart

30.01.2003 18:55 43 autorun.inf
1 Datei(en) 43 Bytes

Verzeichnis von C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b

12.12.2007 12:33 18.917 tscinst.vbs
30.10.2007 12:06 13.801 tscuinst.vbs
2 Datei(en) 32.718 Bytes

Verzeichnis von C:\WINDOWS\SoftwareDistribution\Download\d7ca437757bb79190d8fe0f22734e38b\ip

02.04.2007 15:10 85.813 adsutil.vbs
1 Datei(en) 85.813 Bytes

Verzeichnis von C:\WINDOWS\system32

11.11.2004 14:00 98.604 eventquery.vbs
11.11.2004 14:00 168.720 pagefileconfig.vbs
11.11.2004 14:00 36.045 prncnfg.vbs
11.11.2004 14:00 25.679 prndrvr.vbs
11.11.2004 14:00 21.806 prnjobs.vbs
11.11.2004 14:00 32.871 prnmngr.vbs
11.11.2004 14:00 29.878 prnport.vbs
11.11.2004 14:00 16.046 prnqctl.vbs
11.11.2004 14:00 3.758 pubprn.vbs
9 Datei(en) 433.407 Bytes

Verzeichnis von C:\WINDOWS\system32\dllcache

11.11.2004 14:00 98.604 evtquery.vbs
11.11.2004 14:00 168.720 pagefile.vbs
11.11.2004 14:00 36.045 prncnfg.vbs
11.11.2004 14:00 25.679 prndrvr.vbs
11.11.2004 14:00 21.806 prnjobs.vbs
11.11.2004 14:00 32.871 prnmngr.vbs
11.11.2004 14:00 29.878 prnport.vbs
11.11.2004 14:00 16.046 prnqctl.vbs
11.11.2004 14:00 3.758 pubprn.vbs
9 Datei(en) 433.407 Bytes

Anzahl der angezeigten Dateien:
22 Datei(en) 985.388 Bytes
0 Verzeichnis(se), 1.199.542.272 Bytes frei
Datentr„ger in Laufwerk C: ist WINDOWS
Volumeseriennummer: 5C07-DB6C
A C:\.rnd
A C:\AUTOEXEC.BAT
A C:\avi_log.txt
A C:\Boot.bak
A SH C:\BOOT.BKK
A SHR C:\boot.ini
A SHR C:\bootfont.bin
A C:\CDRipperAutoDetect.txt
A C:\cmldr
A C:\ComboFix.txt
A C:\CONFIG.SYS
A C:\dvdlog.txt
A C:\hf.path
A SH C:\hiberfil.sys
A SHR C:\IO.SYS
A C:\LOGFILE.TXT
A SHR C:\MSDOS.SYS
A C:\NPSWF32.dll
A SHR C:\NTDETECT.COM
A SHR C:\ntldr
A SH C:\pagefile.sys
A C:\rapport.txt
A H C:\sqmdata00.sqm
A H C:\sqmdata01.sqm
A H C:\sqmnoopt00.sqm
A H C:\sqmnoopt01.sqm
A C:\Tech_Vista.log
A C:\TRACE.LOG
A C:\Verknpfung mit Stufftr„ger 0.1 (D).lnk
Datentr„ger in Laufwerk D: ist Stufftr„ger 0.1
Volumeseriennummer: E0B9-ABFC

Verzeichnis von D:\Desktop

11.10.2008 01:48 399.648 Silent Runners.vbs
1 Datei(en) 399.648 Bytes

Verzeichnis von D:\Programme\Bluetooth Remote Control\Profiles

01.10.2006 22:48 8.077 File Browser.vbs
31.08.2006 12:40 27.691 Itune.vbs
05.03.2006 23:40 36.564 Power Point.vbs
3 Datei(en) 72.332 Bytes

Anzahl der angezeigten Dateien:
4 Datei(en) 471.980 Bytes
0 Verzeichnis(se), 1.738.891.264 Bytes frei
Datentr„ger in Laufwerk D: ist Stufftr„ger 0.1
Volumeseriennummer: E0B9-ABFC
A D:\jap.conf
A H D:\sqmnoopt00.sqm
Datentr„ger in Laufwerk E: ist RECOVER
Volumeseriennummer: 8CB0-39BD
Datentr„ger in Laufwerk E: ist RECOVER
Volumeseriennummer: 8CB0-39BD
A SH E:\desktop.ini
A E:\browser.log
A E:\sites_sets.xml
A E:\saved.hst
A E:\Verknpfung mit Stufftr„ger 0.1 (D).lnk
A E:\Old_School.avi
A E:\National.Geographic.The.Living.Edens.14of24.Thailand.DVB.x264.AAC.mkv
Datentr„ger in Laufwerk Q: ist Stufftr„ger
Volumeseriennummer: 3CBA-FE16

Verzeichnis von Q:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX\Video_deluxe_2008_PLUS\DVD\WMV_DISC

22.09.2004 13:14 229 autorun.inf
1 Datei(en) 229 Bytes

Verzeichnis von Q:\T-Shirt Design Kit - Complete package (+++BEST+++)\T-Shirt Design Kit - Complete package (+++BEST+++)\t-shirt_design_kit

15.08.1996 01:58 45 AUTORUN.INF
1 Datei(en) 45 Bytes

Verzeichnis von Q:\Tools\Nero Burning ROM 5.5.9.8

28.01.1998 12:35 42 AUTORUN.INF
1 Datei(en) 42 Bytes

Anzahl der angezeigten Dateien:
3 Datei(en) 316 Bytes
0 Verzeichnis(se), 1.261.752.320 Bytes frei
Datentr„ger in Laufwerk Q: ist Stufftr„ger
Volumeseriennummer: 3CBA-FE16
A Q:\Video1.mpg
A Q:\Video2.avi
A Q:\Video3.avi
A Q:\Video4.avi
A Q:\Video5.mp3
A Q:\Video.avi
A Q:\Video6.avi
A Q:\Video6.avi
A Q:\Lied1.mp3
A Q:\Dokumente
A Q:\Lied2.mp3
Q:\Lied3.mp3
 
  • #7
wo ist das zweite log von combofix, bitte posten.

===

wechsle in den abgesicherten modus, smitfraudfix starten, option 2 wählen, log posten.

===

von der seite mit den anleitungen tool sdfix abarbeiten, log posten.
 
  • #8
erstaunlich, dass da überhaupt noch platz für windows ist.... ;D

vor kurzem auf einmal bekommen :?
 
  • #9
2tes comofix log

ComboFix 08-10-11.01 - PAD 2008-10-12 20:17:46.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.484 [GMT 2:00]
ausgeführt von:: D:\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: D:\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\WINDOWS\system32\scaccyjq.ini
C:\WINDOWS\system32\xxtgktxu.ini
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\scaccyjq.ini
C:\WINDOWS\system32\xxtgktxu.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-12 bis 2008-10-12 ))))))))))))))))))))))))))))))
.

2008-10-11 01:29 . 2008-10-11 01:29 <DIR> d-------- D:\Programme\Trend Micro
2008-10-10 22:21 . 2008-10-10 22:21 <DIR> d-------- D:\Programme\Lavasoft
2008-10-10 22:21 . 2008-10-10 22:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-08 01:38 . 2008-10-08 01:38 <DIR> d-------- D:\Programme\Enigma Software Group
2008-10-08 01:24 . 2008-10-08 01:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avg8
2008-10-06 17:18 . 2008-02-07 17:10 <DIR> d--h----- C:\ckis
2008-10-06 17:15 . 2008-10-07 23:38 <DIR> d-------- D:\Programme\Kaspersky Lab
2008-10-06 17:11 . 2008-10-06 17:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-10-03 20:44 . 2008-10-03 20:44 <DIR> d-------- C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\Leadertech
2008-10-02 17:12 . 2008-05-30 14:11 3,850,760 --a------ C:\WINDOWS\system32\D3DX9_38.dll
2008-10-02 17:12 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll
2008-10-02 17:12 . 2008-03-05 15:56 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll
2008-10-02 17:12 . 2008-03-05 16:03 479,752 --a------ C:\WINDOWS\system32\XAudio2_0.dll
2008-10-02 17:12 . 2008-02-05 23:07 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll
2008-10-02 17:12 . 2008-03-05 16:03 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll
2008-10-02 17:12 . 2008-03-05 16:00 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll
2008-10-02 17:10 . 2008-10-02 17:10 <DIR> d-------- C:\WINDOWS\Logs
2008-09-14 21:44 . 2008-09-14 21:44 <DIR> d-------- D:\Programme\PlayFirst
2008-09-14 21:44 . 2008-09-14 21:44 <DIR> d-------- C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\PlayFirst

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-12 16:48 --------- d-----w D:\Programme\BPFTP
2008-10-12 16:47 --------- d-----w D:\Programme\4Musics OGG to MP3 Converter
2008-10-10 20:21 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-07 23:29 --------- d-----w D:\Programme\ants
2008-10-07 20:55 --------- d-----w C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\Azureus
2008-10-06 18:31 24,040 ----a-w C:\WINDOWS\TMPG001.TMP
2008-10-06 15:22 --------- d-----w D:\Programme\ESET
2008-10-05 15:41 --------- d-----w D:\Programme\Tweak-XP Pro 4
2008-10-03 18:19 --------- d-----w D:\Programme\EA Sports
2008-10-03 07:52 --------- d-----w D:\Programme\Messenger Plus! Live
2008-09-30 18:56 --------- d-----w C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\OpenOffice.org2
2008-09-29 23:36 --------- d-----w D:\Programme\Winamp
2008-09-24 17:57 --------- d-----w C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\OpenOffice.org2
.

((((((((((((((((((((((((((((( snapshot@2008-10-12_13.42.06.93 )))))))))))))))))))))))))))))))))))))))))
.
- 2005-05-14 17:04:45 8,738 ----a-w C:\WINDOWS\pchealth\helpctr\Config\Cntstore.bin
+ 2008-10-12 14:45:45 8,972 ----a-w C:\WINDOWS\pchealth\helpctr\Config\Cntstore.bin
- 2005-05-14 17:04:43 86,327 ----a-w C:\WINDOWS\pchealth\helpctr\OfflineCache\index.dat
+ 2008-10-12 14:46:40 86,327 ----a-w C:\WINDOWS\pchealth\helpctr\OfflineCache\index.dat
- 2005-05-14 17:04:45 2,112 ----a-w C:\WINDOWS\pchealth\helpctr\PackageStore\SkuStore.bin
+ 2008-10-12 14:46:40 2,426 ----a-w C:\WINDOWS\pchealth\helpctr\PackageStore\SkuStore.bin
- 2008-10-12 11:35:47 434,176 ----a-w C:\WINDOWS\system32\DCPPaid.exe
+ 2008-10-12 18:22:35 434,176 ----a-w C:\WINDOWS\system32\DCPPaid.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
FlashPlayerUpdate=D:\Programme\Mozilla Firefox\plugins\NPSWF32_FlashUtil.exe [2006-11-09 190072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
WinampAgent=D:\Programme\Winamp\winampa.exe [2004-12-20 33792]
NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
NvMediaCenter=C:\WINDOWS\system32\NvMcTray.dll [2004-11-11 81920]
AVGCtrl=D:\Programme\AVPersonal\AVGNT.EXE [2005-11-04 180327]
Easy-PrintToolBox=D:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [2004-01-14 409600]
MSConfig=C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe [2004-11-11 160768]
DCPPaid=C:\WINDOWS\system32\DCPPaid.exe [2008-10-12 434176]
SoundMan=SOUNDMAN.EXE [2004-11-11 C:\WINDOWS\SOUNDMAN.EXE]
nwiz=nwiz.exe [2004-11-11 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE=C:\WINDOWS\system32\CTFMON.EXE [2004-11-11 15360]

C:\Dokumente und Einstellungen\Philip\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - D:\Programme\OpenOffice.org 2.0\program\quickstart.exe [2005-09-23 61440]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-05-15 110592]
Adobe Reader - Schnellstart.lnk - D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
DisableCurrentUserRun= 1 (0x1)
DisableCurrentUserRunOnce= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
ForceClassicControlPanel= 1 (0x1)
NoInstrumentation= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
ForceClassicControlPanel= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
vidc.iv41= IR41_32.DLL
msacm.l3acm= L3codecp.acm
vidc.div3= DivXc32.dll
vidc.div4= DivXc32f.dll
vidc.ap41= DivXc32f.dll
vidc.dvx4= divx4.dll
msacm.divxa32= DivXa32.acm
vidc.xvid= xvid.dll
vidc.DAVC= davcvfw.dll
vidc.VSSH= vssh264.dll
VIDC.WMV3= D:\PROGRA~1\COMBIN~1\Filters\wmv9vcm.dll
vidc.xivd= D:\Programme\StormII\codec\xvidvfw.dll
vidc.tscc= C:\WINDOWS\system32\tsccvid.dll
vidc.VP70= C:\WINDOWS\system32\vp7vfw.dll
vidc.aasc= aasc32.dll
vidc.aas4= aasc32.dll
vidc.UCDO= clrviddd.dll
vidc.avrn= avidavicodec.dll
vidc.advj= avidavicodec.dll
vidc.asv1= asusasv1.dll
vidc.asv2= asusasv2.dll
vidc.asvx= asusasv2.dll
vidc.vdom= vdowave.drv
vidc.I263= i263_32.drv
vidc.VCR2= ativcr2.dll
vidc.lsvx= lsvxdec.dll[br][br]Erstellt am: 13.10.08 um 18:46:21
[br][HKLM\~\startupfolder\C:^Dokumente und Einstellungen^PAD^Startmenü^Programme^Autostart^Wecker für Windows 6.lnk]
path=C:\Dokumente und Einstellungen\PAD\Startmenü\Programme\Autostart\Wecker für Windows 6.lnk
backup=C:\WINDOWS\pss\Wecker für Windows 6.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
AntiVirusDisableNotify=dword:00000001
UpdatesDisableNotify=dword:00000001
AntiVirusOverride=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
%windir%\\system32\\sessmgr.exe=
D:\\SysReset\\mirc.exe=
D:\\Programme\\Miranda IM\\miranda32.exe=
D:\\Desktop\\eMule0-1.45a\\emule.exe=
D:\\Programme\\Firefox\\firefox.exe=
D:\\Programme\\MotoGP2\\motogp2.exe=
D:\\Programme\\DC++\\DCPlusPlus.exe=
D:\\mIRC\\mirc.exe=
D:\\Programme\\Soulseek\\slsk.exe=
D:\\Programme\\BPFTP Server\\bpftpserver.exe=
D:\\Programme\\ants\\ants.exe=
D:\\Programme\\LimeWire\\LimeWire.exe=
D:\\Programme\\Java\\jre1.5.0_01\\bin\\javaw.exe=
D:\\Programme\\VoipBuster.com\\VoipBuster\\VoipBuster.exe=
D:\\Programme\\LeechFTP\\Leechftp.exe=
D:\\Programme\\Kiri\\Kiri.exe=
D:\\Programme\\iTunes\\iTunes.exe=
D:\\Programme\\Firefox\\plugins\\alhlp.exe=
D:\\Programme\\MultiProxy\\MProxy.exe=
D:\\Programme\\VideoLAN\\VLC\\vlc.exe=
D:\\Programme\\GameSpy Arcade\\Aphex.exe=
D:\\Programme\\Miranda\\miranda32.exe=
D:\\Programme\\FlashFXP\\flashfxp.exe=
D:\\Programme\\TVUPlayer\\TVUPlayer.exe=
D:\\Programme\\PPLive\\PPLive.exe=
D:\\Programme\\TVAnts\\Tvants.exe=
D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe=
D:\\Programme\\Windows Live\\Messenger\\livecall.exe=
D:\\Programme\\Azureus\\Azureus.exe=
D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe=

R0 Copystar;Copystar;C:\WINDOWS\system32\DRIVERS\copystar.sys [2002-06-01 82400]
R0 dcpp2k;dcpp2k;C:\WINDOWS\system32\drivers\dcpp2k.sys [2003-08-27 505370]
R1 kid_sys;Kensington Input Devices Class filter driver;C:\WINDOWS\system32\drivers\KID_SYS.sys [2001-09-26 11920]
R1 papycpu;papycpu;C:\WINDOWS\system32\drivers\papycpu.sys [1998-10-06 1984]
R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 330144]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 251680]
R2 ccosm;Contrl Center of Storm Media;D:\Programme\StormII\stormliv.exe [2008-05-28 475136]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-11-11 14336]
R3 avgntdw;avgntdw;D:\PROGRAMME\AVPERSONAL\AVGNTDW.SYS [2005-06-07 32896]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 424704]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 24288]
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2004-11-11 32768]
S2 AVWUpSrv;AntiVir Update;D:\Programme\AVPersonal\AVWUPSRV.EXE [2005-11-04 45096]
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]
S3 bfastfao;bfastfao;C:\DOKUME~1\Philip\LOKALE~1\Temp\bfastfao.sys [ ]
S3 DLPORTIO;DLPORTIO;D:\Programme\Visoly\XtremeLink\DLPORTIO.SYS [1999-01-10 3584]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;D:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 ntxpusb;Gravis USB device driver;C:\WINDOWS\system32\drivers\ntxpusb.sys [2002-02-26 266432]
S3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2006-06-16 23552]
S3 v800bus;Sony Ericsson V800-Vodafone 802SE driver (WDM);C:\WINDOWS\system32\DRIVERS\v800bus.sys [2004-08-09 52416]
S3 v800mdfl;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\v800mdfl.sys [2004-08-09 6160]
S3 v800mdm;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\v800mdm.sys [2004-08-09 84544]
S3 v800mgmt;Sony Ericsson V800-Vodafone 802SE USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\v800mgmt.sys [2004-08-09 77760]
S3 v800obex;Sony Ericsson V800-Vodafone 802SE USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\v800obex.sys [2004-08-09 75584]
S3 VAGINIT;VAGINIT;C:\WINDOWS\system32\Drivers\vaginit.sys [2000-09-13 168888]
S3 VAGWRITER;VAGWRITER;C:\WINDOWS\system32\drivers\vagio.sys [2001-01-28 170508]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des geplante Tasks Ordners

2008-10-10 C:\WINDOWS\Tasks\1-Click Maintenance.job
- D:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 17:46]

2008-10-10 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- D:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 17:46]

2008-10-07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- D:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-12 20:41:10
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-12 20:46:04 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-12 18:45:53
ComboFix2.txt 2008-10-12 11:42:40

Vor Suchlauf: 1.173.028.864 Bytes frei
Nach Suchlauf: 1,203,798,016 Bytes frei

222 --- E O F --- 2008-09-11 13:20:33
 
  • #10
start > ausführen > schreibe cmd > enter

schreibe sc stop bfastfao > enter

schreibe sc delete bfastfao > enter

schreibe exit > enter

===

rest der angeforderten tools abarbeiten aus obiger anleitung.
 
  • #11
SmitFraudFix v2.359

Scan done at 19:10:36,89, 13.10.2008
Run from D:\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\AntiSpy.exe Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E6C35485-AB31-43B9-B162-C97D37609264}: NameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E6C35485-AB31-43B9-B162-C97D37609264}: NameServer=192.168.1.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E6C35485-AB31-43B9-B162-C97D37609264}: NameServer=192.168.1.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
System=


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


das mit dem bfastfao klappt nicht [SC] ControlService FAILED 1062: Der Dienst wurde nicht gestartet.

lasse jetzt sdfix drüberlaufen..
 
  • #12
mach trotzdem den sc delete befehl.
 
  • #13
SDFix: Version 1.235
Run by PAD on 13.10.2008 at 19:43

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-13 19:49:31
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d347prt\Cfg\0Jf40]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
s1=dword:4d2cf299
s2=dword:039fda38
h0=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
h0=dword:00000000
khjeh=hex:7c,68,8c,10,af,dd,e9,bb,c4,ed,01,b3,ab,1d,eb,f7,23,2a,b1,ff,8a,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
h0=dword:00000000
khjeh=hex:7c,68,8c,10,af,dd,e9,bb,c4,ed,01,b3,ab,1d,eb,f7,23,2a,b1,ff,8a,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
TracesProcessed=dword:00000075
TracesSuccessful=dword:00000003
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{2F727C07-ACB9-52A0-AB20-345A425AE0B3}]
gamemolnfnhiin=hex:61,61,00,00
hamemolnfnlfjlfg=hex:61,61,00,00

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
%windir%\\system32\\sessmgr.exe=%windir%\\system32\\sessmgr.exe:*:enabled:mad:xpsp2res.dll,-22019
D:\\SysReset\\mirc.exe=D:\\SysReset\\mirc.exe:*:Enabled:mIRC
D:\\Programme\\Miranda IM\\miranda32.exe=D:\\Programme\\Miranda IM\\miranda32.exe:*:Enabled:Miranda IM
D:\\Desktop\\eMule0-1.45a\\emule.exe=D:\\Desktop\\eMule0-1.45a\\emule.exe:*:Enabled:eMule
D:\\Programme\\Firefox\\firefox.exe=D:\\Programme\\Firefox\\firefox.exe:*:Enabled:Firefox
D:\\Programme\\MotoGP2\\motogp2.exe=D:\\Programme\\MotoGP2\\motogp2.exe:*:Enabled:motogp2
D:\\Programme\\DC++\\DCPlusPlus.exe=D:\\Programme\\DC++\\DCPlusPlus.exe:*:Enabled:DC++
D:\\mIRC\\mirc.exe=D:\\mIRC\\mirc.exe:*:Enabled:mIRC
D:\\Programme\\Soulseek\\slsk.exe=D:\\Programme\\Soulseek\\slsk.exe:*:Enabled:SoulSeek
D:\\Programme\\BPFTP Server\\bpftpserver.exe=D:\\Programme\\BPFTP Server\\bpftpserver.exe:*:Enabled:BulletProof FTP Server (http://www.bpftpserver.com)
D:\\Programme\\ants\\ants.exe=D:\\Programme\\ants\\ants.exe:*:Enabled:ANTS - A New Trojan Scanner
D:\\Programme\\LimeWire\\LimeWire.exe=D:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire
D:\\Programme\\Java\\jre1.5.0_01\\bin\\javaw.exe=D:\\Programme\\Java\\jre1.5.0_01\\bin\\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary
D:\\Programme\\VoipBuster.com\\VoipBuster\\VoipBuster.exe=D:\\Programme\\VoipBuster.com\\VoipBuster\\VoipBuster.exe:*:Enabled:Client to make VoIP calls.
D:\\Programme\\LeechFTP\\Leechftp.exe=D:\\Programme\\LeechFTP\\Leechftp.exe:*:Enabled:LeechFTP
D:\\Programme\\Kiri\\Kiri.exe=D:\\Programme\\Kiri\\Kiri.exe:*:Enabled:Kiri
D:\\Programme\\iTunes\\iTunes.exe=D:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes
D:\\Programme\\Firefox\\plugins\\alhlp.exe=D:\\Programme\\Firefox\\plugins\\alhlp.exe:*:Enabled:Anti-Leech plugin helper program
D:\\Programme\\MultiProxy\\MProxy.exe=D:\\Programme\\MultiProxy\\MProxy.exe:*:Enabled:MultiProxy personal proxy server
D:\\Programme\\VideoLAN\\VLC\\vlc.exe=D:\\Programme\\VideoLAN\\VLC\\vlc.exe:*:Enabled:VLC media player
D:\\Programme\\GameSpy Arcade\\Aphex.exe=D:\\Programme\\GameSpy Arcade\\Aphex.exe:*:Enabled:GameSpy Arcade
D:\\Programme\\Miranda\\miranda32.exe=D:\\Programme\\Miranda\\miranda32.exe:*:Enabled:Miranda IM
D:\\Programme\\FlashFXP\\flashfxp.exe=D:\\Programme\\FlashFXP\\flashfxp.exe:*:Enabled:FlashFXP v3
D:\\Programme\\TVUPlayer\\TVUPlayer.exe=D:\\Programme\\TVUPlayer\\TVUPlayer.exe:*:Enabled:TVU Player Component
D:\\Programme\\PPLive\\PPLive.exe=D:\\Programme\\PPLive\\PPLive.exe:*:Enabled:pPLive
D:\\Programme\\TVAnts\\Tvants.exe=D:\\Programme\\TVAnts\\Tvants.exe:*:Enabled:TVAnts
D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe=D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger
D:\\Programme\\Windows Live\\Messenger\\livecall.exe=D:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)
D:\\Programme\\Azureus\\Azureus.exe=D:\\Programme\\Azureus\\Azureus.exe:*:Enabled:Azureus
D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe=D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe:*:Enabled:Veoh Client

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
%windir%\\system32\\sessmgr.exe=%windir%\\system32\\sessmgr.exe:*:enabled:mad:xpsp2res.dll,-22019
D:\\Programme\\FlashFXP\\flashfxp.exe=D:\\Programme\\FlashFXP\\flashfxp.exe:*:Enabled:FlashFXP v3
D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe=D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger
D:\\Programme\\Windows Live\\Messenger\\livecall.exe=D:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)

Remaining Files :



Files with Hidden Attributes :

Mon 16 May 2005 4,348 ..SH. --- C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak
Mon 5 May 2003 348,160 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\AACMP4.EXE
Wed 16 Apr 2003 200,704 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\OFR.EXE
Fri 17 Jan 2003 278,528 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\PNCRT.dll
Mon 5 May 2003 16,384 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\RMADEC.EXE
Fri 11 Apr 2003 73,766 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\atrc3260.dll
Fri 11 Apr 2003 45,099 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\auth3260.dll
Fri 11 Apr 2003 65,575 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\cook3260.dll
Fri 11 Apr 2003 102,437 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\drv13260.dll
Fri 11 Apr 2003 176,165 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\drv23260.dll
Fri 11 Apr 2003 208,935 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\drv33260.dll
Fri 11 Apr 2003 217,127 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\drv43260.dll
Tue 15 Apr 2003 976,896 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\pnen3260.dll
Fri 11 Apr 2003 348,203 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\pnvi3260.dll
Fri 11 Apr 2003 53,289 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\pnxr3260.dll
Fri 11 Apr 2003 45,101 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\ramf3260.dll
Fri 11 Apr 2003 135,213 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\rare3260.dll
Mon 14 Oct 2002 57,344 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\rims3290.dll
Fri 11 Apr 2003 163,885 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\rmff3260.dll
Mon 14 Oct 2002 737,280 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\rmse3290.dll
Mon 14 Oct 2002 245,760 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\rmwr3260.dll
Fri 11 Apr 2003 245,805 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\rnlt3260.dll
Mon 14 Oct 2002 245,760 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\rorw3290.dll
Mon 14 Oct 2002 114,688 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\rtae3290.dll
Mon 14 Oct 2002 65,536 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\rtin3290.dll
Mon 14 Oct 2002 163,840 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\rtve3290.dll
Fri 11 Apr 2003 45,093 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\rv103260.dll
Fri 11 Apr 2003 98,341 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\rv203260.dll
Fri 11 Apr 2003 94,247 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\rv303260.dll
Fri 11 Apr 2003 90,151 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\rv403260.dll
Fri 11 Apr 2003 159,785 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\rvre3260.dll
Mon 14 Oct 2002 102,400 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\sipr3260.dll
Fri 11 Apr 2003 61,485 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\smpl3260.dll
Fri 11 Apr 2003 106,541 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\vsrl3260.dll
Fri 11 Apr 2003 86,061 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\xmlp3261.dll
Fri 11 Apr 2003 159,787 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\Common\zipf3260.dll
Sun 23 Feb 2003 64,512 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\MusePack\MPPDEC.EXE
Sat 26 Oct 2002 79,360 ...H. --- C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\MusePack\MPPENC.EXE

Finished!
 
  • #14
sehr schön :).

malwarebytes updaten, komplettscan, log posten. diesmal die funde löschen lassen ;)

No action taken.
Zum Vergrößern anklicken....

===

von der seite mit den anleitungen den kaspersky onlinescan machen.
 
  • #15
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1268
Windows 5.1.2600 Service Pack 2

15.10.2008 23:12:40
mbam-log-2008-10-15 (23-12-40).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 185097
Laufzeit: 2 hour(s), 49 minute(s), 27 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\cmdow.exe (Malware.Tool) -> Quarantined and deleted successfully.


Die infizierten DAteien vom letzten Mal, hab ich schon davor gelöscht ohne komplettscan:

Infizierte Dateien:
c:\Qoobox\Quarantine\C\WINDOWS\system32\hgGvsqpO.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\beadxspp.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\bfllnttc.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\cbXOIxYs.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\cyqclr.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\dtaagl.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\eahulp.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\fausofeq.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\fpihhpio.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\gcyqkkis.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\geBuSIYO.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\haeuvbjk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\iifcBtSI.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\klxafj.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\krhpoqyc.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\ljJAQheD.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\lknkvh.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\lnmtkgiq.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\ngucpu.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\nxucfrab.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\pivksfxo.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\qhbvvz.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\qjyccacs.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\rpecdeem.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\shxivldg.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\smmbsdvt.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\tpbcgevj.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\tuvVOEXn.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\wbujlpua.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\yljdkj.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
c:\Qoobox\Quarantine\C\WINDOWS\system32\yvxvtsxt.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.


kaspersky:

C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\tdssserv.sys.vir Infected: Rootkit.Win32.Agent.eeq 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\lphcrndj0ee1e.exe.vir Infected: Trojan-Downloader.Win32.Small.afdt 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\tdssadw.dll.vir Infected: Rootkit.Win32.Clbd.ku 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\TDSSl.dll.vir Infected: Backdoor.Win32.TDSS.zj 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\tdsslog.dll.vir Infected: Backdoor.Win32.Agent.rfv 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\tdssmain.dll.vir Infected: Backdoor.Win32.Agent.tcb 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\tdssserf.dll.vir Infected: Trojan-Downloader.Win32.FraudLoad.vbxt 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\tdssserf1.dll.vir Infected: Backdoor.Win32.TDSS.zj 1
C:\Qoobox\Quarantine\C\WINDOWS\system32\uxtkgtxx.dll.vir Infected: Trojan.Win32.Monder.sgs 1
C:\WINDOWS\system32\cmdow.exe Infected: not-a-virus:RiskTool.Win32.HideWindows 1
C:\WINDOWS\system32\normal.dll Infected: Trojan-Clicker.Win32.Delf.el 1
C:\WINDOWS\system32\o.vbe Infected: Virus.VBS.Agent.ah 1
C:\WINDOWS\system32\wbem\.vbe Infected: Worm.VBS.Autorun.r 1
D:\Desktop\SmitfraudFix\Reboot.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f 1
D:\Desktop\SmitfraudFix.exe Infected: not-a-virus:RiskTool.Win32.Reboot.f 1
D:\Desktop\Sony Ericsson V800\Handytools.und.Games\Handy_stuff_by_Bit-Force_for_www.xboard.dl.am\Handy Progs\ActiveViewer\vnc-3.3.7-x86_win32.zip Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c 2
D:\Desktop\Webdesign und Coding\d0wn104d5\BoredMeeting.zip Infected: Trojan-Dropper.Win32.ExeBundle.22 1
D:\Desktop\Webdesign und Coding\d0wn104d5\CAPTAIN.EXE Infected: Trojan-Dropper.Win32.ExeBundle.22 1
D:\Desktop\Webdesign und Coding\d0wn104d5\postein.exe Infected: Trojan-Dropper.Win32.ExeBundle.22 1
D:\Eigene Dateien\mirc61.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.61 1
D:\Eigene Dateien\mirc611.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.61 1
D:\Eigene Dateien\RadLight3.exe Infected: not-a-virus:AdWare.Win32.SaveNow.e 1
D:\Eigene Dateien\RadLight3.exe Infected: not-a-virus:AdWare.Win32.SaveNow.bl 1
D:\Eigene Dateien\RadLight3.exe Infected: not-a-virus:AdWare.Win32.SaveNow.m 2
D:\Eigene Dateien\RadLight3.exe Infected: not-a-virus:AdWare.Win32.NewDotNet 1
D:\mIRC\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.616 1
D:\Programme\themexp\NNWDAB638.EXE Infected: not-a-virus:AdWare.Win32.NewDotNet 1
D:\SysReset\mirc.exe Infected: not-a-virus:Client-IRC.Win32.mIRC.614 1
Q:\Media files\other\Applications\ActiveViewer\vnc-3.3.7-x86_win32.zip Infected: not-a-virus:RemoteAdmin.Win32.WinVNC-based.c 2
Q:\T-Shirt Design Kit - Complete package (+++BEST+++)\T-Shirt Design Kit - Complete package (+++BEST+++)\t-shirt_design_kit\STARTUP.exe Infected: Backdoor.Win32.SdBot.fgl 1
The selected area was scanned.


Übrigens spinnt mein Maus-Cursor ab und zu. Heißt aufeinmal springt der hin und her und lässt sich nich mehr kontrollieren und Programme werden willkürlich geöffnet oder links und rechts Tasten werden vertauscht. Wenn ich dann still lasse, passiert nichts , nur wenn ich versuche irgendwo hin zu fahren mit der Maus. Ist dann so nach 2min zu ende, tritt aber teilweise schnell wieder auf ...
was könnte das sein?
 
  • #16
ich tippe mal auf maus kaputt *gg*



Combofix vom desktop löschen, neu laden.


Scripten mit Combofix


  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
KILLALL::

File::
Q:\T-Shirt Design Kit - Complete package (+++BEST+++)\T-Shirt Design Kit - Complete package (+++BEST+++)\t-shirt_design_kit\STARTUP.exe
D:\Programme\themexp\NNWDAB638.EXE
D:\Eigene Dateien\RadLight3.exe
D:\Desktop\Webdesign und Coding\d0wn104d5\BoredMeeting.zip
D:\Desktop\Webdesign und Coding\d0wn104d5\CAPTAIN.EXE
D:\Desktop\Webdesign und Coding\d0wn104d5\postein.exe
C:\WINDOWS\system32\cmdow.exe
C:\WINDOWS\system32\normal.dll
C:\WINDOWS\system32\o.vbe
C:\WINDOWS\system32\wbem\.vbe
Zum Vergrößern anklicken....
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!
CFScript.gif


  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann[/COLOR]

===

http://support.f-secure.com/ger/home/ols.shtml

diesen onlinescan mit dem internet explorer machen, log posten

===
 
  • #17
ComboFix 08-10-11.01 - PAD 2008-10-16 19:55:23.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.486 [GMT 2:00]
ausgeführt von:: D:\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: D:\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\WINDOWS\system32\cmdow.exe
C:\WINDOWS\system32\normal.dll
C:\WINDOWS\system32\o.vbe
C:\WINDOWS\system32\wbem\.vbe
D:\Desktop\Webdesign und Coding\d0wn104d5\BoredMeeting.zip
D:\Desktop\Webdesign und Coding\d0wn104d5\CAPTAIN.EXE
D:\Desktop\Webdesign und Coding\d0wn104d5\postein.exe
D:\Eigene Dateien\RadLight3.exe
D:\Programme\themexp\NNWDAB638.EXE
Q:\T-Shirt Design Kit - Complete package (+++BEST+++)\T-Shirt Design Kit - Complete package (+++BEST+++)\t-shirt_design_kit\STARTUP.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\normal.dll
C:\WINDOWS\system32\o.vbe
C:\WINDOWS\system32\wbem\.vbe
D:\Desktop\Webdesign und Coding\d0wn104d5\BoredMeeting.zip
D:\Desktop\Webdesign und Coding\d0wn104d5\CAPTAIN.EXE
D:\Desktop\Webdesign und Coding\d0wn104d5\postein.exe
D:\Eigene Dateien\RadLight3.exe
D:\Programme\themexp\NNWDAB638.EXE
Q:\T-Shirt Design Kit - Complete package (+++BEST+++)\T-Shirt Design Kit - Complete package (+++BEST+++)\t-shirt_design_kit\STARTUP.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-16 bis 2008-10-16 ))))))))))))))))))))))))))))))
.

2008-10-15 15:23 . 2008-10-15 15:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-10-15 01:34 . 2008-10-15 01:34 34 --a------ C:\WINDOWS\mswsyst.doc
2008-10-13 19:38 . 2008-10-13 19:38 <DIR> d-------- C:\WINDOWS\ERUNT
2008-10-13 19:33 . 2008-10-13 19:51 <DIR> d-------- C:\SDFix
2008-10-13 16:35 . 2008-10-13 19:10 1,392 --a------ C:\WINDOWS\system32\tmp.reg
2008-10-12 20:50 . 2008-10-12 20:50 <DIR> d-------- D:\Programme\Malwarebytes' Anti-Malware
2008-10-12 20:50 . 2008-10-12 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\Malwarebytes
2008-10-12 20:50 . 2008-10-12 20:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-12 20:50 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-12 20:50 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-11 01:29 . 2008-10-11 01:29 <DIR> d-------- D:\Programme\Trend Micro
2008-10-10 22:21 . 2008-10-10 22:21 <DIR> d-------- D:\Programme\Lavasoft
2008-10-10 22:21 . 2008-10-15 15:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-08 01:38 . 2008-10-08 01:38 <DIR> d-------- D:\Programme\Enigma Software Group
2008-10-08 01:24 . 2008-10-08 01:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avg8
2008-10-06 17:18 . 2008-02-07 17:10 <DIR> d--h----- C:\ckis
2008-10-06 17:15 . 2008-10-07 23:38 <DIR> d-------- D:\Programme\Kaspersky Lab
2008-10-06 17:11 . 2008-10-06 17:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-10-03 20:44 . 2008-10-03 20:44 <DIR> d-------- C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\Leadertech
2008-10-02 17:12 . 2008-05-30 14:11 3,850,760 --a------ C:\WINDOWS\system32\D3DX9_38.dll
2008-10-02 17:12 . 2008-03-05 15:56 3,786,760 --a------ C:\WINDOWS\system32\D3DX9_37.dll
2008-10-02 17:12 . 2008-03-05 15:56 1,420,824 --a------ C:\WINDOWS\system32\D3DCompiler_37.dll
2008-10-02 17:12 . 2008-03-05 16:03 479,752 --a------ C:\WINDOWS\system32\XAudio2_0.dll
2008-10-02 17:12 . 2008-02-05 23:07 462,864 --a------ C:\WINDOWS\system32\d3dx10_37.dll
2008-10-02 17:12 . 2008-03-05 16:03 238,088 --a------ C:\WINDOWS\system32\xactengine3_0.dll
2008-10-02 17:12 . 2008-03-05 16:00 25,608 --a------ C:\WINDOWS\system32\X3DAudio1_3.dll
2008-10-02 17:10 . 2008-10-02 17:10 <DIR> d-------- C:\WINDOWS\Logs

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-16 17:55 --------- d-----w D:\Programme\themexp
2008-10-16 17:38 --------- d-----w C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\Azureus
2008-10-15 13:23 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-12 16:48 --------- d-----w D:\Programme\BPFTP
2008-10-12 16:47 --------- d-----w D:\Programme\4Musics OGG to MP3 Converter
2008-10-07 23:29 --------- d-----w D:\Programme\ants
2008-10-06 18:31 24,040 ----a-w C:\WINDOWS\TMPG001.TMP
2008-10-06 15:22 --------- d-----w D:\Programme\ESET
2008-10-05 15:41 --------- d-----w D:\Programme\Tweak-XP Pro 4
2008-10-03 18:19 --------- d-----w D:\Programme\EA Sports
2008-10-03 07:52 --------- d-----w D:\Programme\Messenger Plus! Live
2008-09-30 18:56 --------- d-----w C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\OpenOffice.org2
2008-09-29 23:36 --------- d-----w D:\Programme\Winamp
2008-09-24 17:57 --------- d-----w C:\Dokumente und Einstellungen\Philip\Anwendungsdaten\OpenOffice.org2
2008-09-14 19:44 --------- d-----w D:\Programme\PlayFirst
2008-09-14 19:44 --------- d-----w C:\Dokumente und Einstellungen\PAD\Anwendungsdaten\PlayFirst
2008-08-28 10:04 333,056 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2004-09-28 01:00 26,240 ----a-w C:\WINDOWS\inf\RAMDSK.SYS
.

((((((((((((((((((((((((((((( snapshot_2008-10-16_19.48.20.92 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-10-16 17:39:50 434,176 ----a-w C:\WINDOWS\system32\DCPPaid.exe
+ 2008-10-16 17:57:24 434,176 ----a-w C:\WINDOWS\system32\DCPPaid.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
FlashPlayerUpdate=D:\Programme\Mozilla Firefox\plugins\NPSWF32_FlashUtil.exe [2006-11-09 190072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
WinampAgent=D:\Programme\Winamp\winampa.exe [2004-12-20 33792]
NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
NvMediaCenter=C:\WINDOWS\system32\NvMcTray.dll [2004-11-11 81920]
AVGCtrl=D:\Programme\AVPersonal\AVGNT.EXE [2005-11-04 180327]
Easy-PrintToolBox=D:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE [2004-01-14 409600]
DCPPaid=C:\WINDOWS\system32\DCPPaid.exe [2008-10-16 434176]
SoundMan=SOUNDMAN.EXE [2004-11-11 C:\WINDOWS\SOUNDMAN.EXE]
nwiz=nwiz.exe [2004-11-11 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE=C:\WINDOWS\system32\CTFMON.EXE [2004-11-11 15360]

C:\Dokumente und Einstellungen\Philip\Startmen\Programme\Autostart\
OpenOffice.org 2.0.lnk - D:\Programme\OpenOffice.org 2.0\program\quickstart.exe [2005-09-23 61440]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.exe.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-05-15 110592]
Adobe Reader - Schnellstart.lnk - D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
DisableCurrentUserRun= 1 (0x1)
DisableCurrentUserRunOnce= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
NoInstrumentation= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
ForceClassicControlPanel= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
vidc.iv41= IR41_32.DLL
msacm.l3acm= L3codecp.acm
vidc.div3= DivXc32.dll
vidc.div4= DivXc32f.dll
vidc.ap41= DivXc32f.dll
vidc.dvx4= divx4.dll
msacm.divxa32= DivXa32.acm
vidc.xvid= xvid.dll
vidc.DAVC= davcvfw.dll
vidc.VSSH= vssh264.dll
VIDC.WMV3= D:\PROGRA~1\COMBIN~1\Filters\wmv9vcm.dll
vidc.xivd= D:\Programme\StormII\codec\xvidvfw.dll
vidc.tscc= C:\WINDOWS\system32\tsccvid.dll
vidc.VP70= C:\WINDOWS\system32\vp7vfw.dll
vidc.aasc= aasc32.dll
vidc.aas4= aasc32.dll
vidc.UCDO= clrviddd.dll
vidc.avrn= avidavicodec.dll
vidc.advj= avidavicodec.dll
vidc.asv1= asusasv1.dll
vidc.asv2= asusasv2.dll
vidc.asvx= asusasv2.dll
vidc.vdom= vdowave.drv
vidc.I263= i263_32.drv
vidc.VCR2= ativcr2.dll
vidc.lsvx= lsvxdec.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^PAD^Startmenü^Programme^Autostart^Wecker für Windows 6.lnk]
path=C:\Dokumente und Einstellungen\PAD\Startmenü\Programme\Autostart\Wecker für Windows 6.lnk
backup=C:\WINDOWS\pss\Wecker für Windows 6.lnkStartup[br][br]Erstellt am: 16.10.08 um 20:09:33
[br][HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
%windir%\\system32\\sessmgr.exe=
D:\\SysReset\\mirc.exe=
D:\\Programme\\Miranda IM\\miranda32.exe=
D:\\Desktop\\eMule0-1.45a\\emule.exe=
D:\\Programme\\Firefox\\firefox.exe=
D:\\Programme\\MotoGP2\\motogp2.exe=
D:\\Programme\\DC++\\DCPlusPlus.exe=
D:\\mIRC\\mirc.exe=
D:\\Programme\\Soulseek\\slsk.exe=
D:\\Programme\\BPFTP Server\\bpftpserver.exe=
D:\\Programme\\ants\\ants.exe=
D:\\Programme\\LimeWire\\LimeWire.exe=
D:\\Programme\\Java\\jre1.5.0_01\\bin\\javaw.exe=
D:\\Programme\\VoipBuster.com\\VoipBuster\\VoipBuster.exe=
D:\\Programme\\LeechFTP\\Leechftp.exe=
D:\\Programme\\Kiri\\Kiri.exe=
D:\\Programme\\iTunes\\iTunes.exe=
D:\\Programme\\Firefox\\plugins\\alhlp.exe=
D:\\Programme\\MultiProxy\\MProxy.exe=
D:\\Programme\\VideoLAN\\VLC\\vlc.exe=
D:\\Programme\\GameSpy Arcade\\Aphex.exe=
D:\\Programme\\Miranda\\miranda32.exe=
D:\\Programme\\FlashFXP\\flashfxp.exe=
D:\\Programme\\TVUPlayer\\TVUPlayer.exe=
D:\\Programme\\PPLive\\PPLive.exe=
D:\\Programme\\TVAnts\\Tvants.exe=
D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe=
D:\\Programme\\Windows Live\\Messenger\\livecall.exe=
D:\\Programme\\Azureus\\Azureus.exe=
D:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe=

R0 Copystar;Copystar;C:\WINDOWS\system32\DRIVERS\copystar.sys [2002-06-01 82400]
R0 dcpp2k;dcpp2k;C:\WINDOWS\system32\drivers\dcpp2k.sys [2003-08-27 505370]
R1 kid_sys;Kensington Input Devices Class filter driver;C:\WINDOWS\system32\drivers\KID_SYS.sys [2001-09-26 11920]
R1 papycpu;papycpu;C:\WINDOWS\system32\drivers\papycpu.sys [1998-10-06 1984]
R2 acedrv10;acedrv10;C:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 330144]
R2 acehlp10;acehlp10;C:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 251680]
R2 ccosm;Contrl Center of Storm Media;D:\Programme\StormII\stormliv.exe [2008-05-28 475136]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-11-11 14336]
R3 avgntdw;avgntdw;D:\PROGRAMME\AVPERSONAL\AVGNTDW.SYS [2005-06-07 32896]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 424704]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 24288]
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2004-11-11 32768]
S2 AVWUpSrv;AntiVir Update;D:\Programme\AVPersonal\AVWUPSRV.EXE [2005-11-04 45096]
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]
S3 DLPORTIO;DLPORTIO;D:\Programme\Visoly\XtremeLink\DLPORTIO.SYS [1999-01-10 3584]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;D:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 1527900]
S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-09-10 38528]
S3 ntxpusb;Gravis USB device driver;C:\WINDOWS\system32\drivers\ntxpusb.sys [2002-02-26 266432]
S3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2006-06-16 23552]
S3 v800bus;Sony Ericsson V800-Vodafone 802SE driver (WDM);C:\WINDOWS\system32\DRIVERS\v800bus.sys [2004-08-09 52416]
S3 v800mdfl;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\v800mdfl.sys [2004-08-09 6160]
S3 v800mdm;Sony Ericsson V800-Vodafone 802SE USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\v800mdm.sys [2004-08-09 84544]
S3 v800mgmt;Sony Ericsson V800-Vodafone 802SE USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\v800mgmt.sys [2004-08-09 77760]
S3 v800obex;Sony Ericsson V800-Vodafone 802SE USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\v800obex.sys [2004-08-09 75584]
S3 VAGINIT;VAGINIT;C:\WINDOWS\system32\Drivers\vaginit.sys [2000-09-13 168888]
S3 VAGWRITER;VAGWRITER;C:\WINDOWS\system32\drivers\vagio.sys [2001-01-28 170508]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des geplante Tasks Ordners

2008-10-10 C:\WINDOWS\Tasks\1-Click Maintenance.job
- D:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 17:46]

2008-10-10 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- D:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe [2006-11-23 17:46]

2008-10-14 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- D:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-16 19:59:10
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rundll32.exe
 
  • #18
sieht gut aus, dann noch der onlinescan.
 
  • #19
Sunday, October 19, 2008 16:51:50 - 20:04:14

Computer name: MSHEIMNETZ2
Scanning type: Scan system for malware, rootkits
Target: C:\ D:\ E:\ Q:\
Result: 13 malware found
Client-IRC.Win32.mIRC (spyware)

* System

RiskTool.Win32.Reboot (spyware)

* System

Rogue:W32/IeDefender.CT (spyware)

* System

Suspicious_F.gen (virus)

* D:\PROGRAMME\GAMEHOUSE\POKER SUPERSTARS\POKERSUPERSTARS11019.EXE (Submitted)
* D:\DESKTOP\ALL ROUND\TUNEUP UTILITIES 2004 V4.1.2311 DE\TUNEUPUTILITIES2004\PDXKG.EXE (Submitted)

TrackingCookie.2o7 (spyware)

* System

TrackingCookie.Adtech (spyware)

* System

TrackingCookie.Atdmt (spyware)

* System

TrackingCookie.Doubleclick (spyware)

* System

TrackingCookie.Tradedoubler (spyware)

* System

TrackingCookie.Yieldmanager (spyware)

* System

TrackingCookie.Zanox (spyware)

* System

W32/Packed_PeX.B (virus)

* D:\PROGRAMME\KAZAA LITE\KAZAA.EXE (Submitted)

Statistics
Scanned:

* Files: 86484
* System: 6812
* Not scanned: 10

Actions:

* Disinfected: 0
* Renamed: 0
* Deleted: 0
* None: 13
* Submitted: 3

Files not scanned:

* C:\HIBERFIL.SYS
* C:\PAGEFILE.SYS
* C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
* C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
* C:\WINDOWS\SYSTEM32\CONFIG\SAM
* C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
* C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
* C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
* C:\DOKUMENTE UND EINSTELLUNGEN\PAD\LOKALE EINSTELLUNGEN\TEMP\ETILQS_YGBPLLR6UH4IKVEMQPDE
* C:\DOKUMENTE UND EINSTELLUNGEN\PAD\LOKALE EINSTELLUNGEN\TEMP\HSPERFDATA_PAD\1748
 
  • #20
D:\DESKTOP\ALL ROUND\TUNEUP UTILITIES 2004 V4.1.2311 DE\TUNEUPUTILITIES2004\PDXKG.EXE
Zum Vergrößern anklicken....

was is das??
 
Thema:

Bluescreen-Screensaver, Viren-Meldung-Hintergrund und Antivirenprogs-Sperre

ANGEBOTE & SPONSOREN

Neueste Themen

Statistik des Forums

Themen
113.838
Beiträge
707.959
Mitglieder
51.491
Neuestes Mitglied
haraldmuc
Oben