Virus-Heat

Moin Leute.
Ich habe mir etwas eingefangen und komme alleine nicht weiter.
Es ist einer dieser aggressiven Spysherrifs der neusten Generation und ich habe Probleme den Logfile meines Hijackthis auszuwerten.

Ich könnte echt Hilfe gebrauchen. Hilf für Laien sozusagen.
THNX im Voraus:

Der Thoron

aha,
und wieder mal werden die vereinten hellseherischen Kräfte des I-Nets beansprucht,
will sagen, ohne Logfile hier zu posten kann keiner weiterhelfen.

automatische logfile-auswertung hier:
http://www.hijackthis.de/

und interessehalber mal hier reinsetzen, um sehen zu können, was da wieder unterwegs ist.

Ups.Ich wusste doch ich hatte was vergessen. Also hier mal der Logfile und danke für den Tip.
Den von HJT markierten Log hab ich mal fett gemacht.
Mal sehen ob´s was bringt. (Es lebe der Sythemwiederherstellungspunkt) :

Hallo Thoron

1.
deaktiviere bitte kurzzeitig den Search & Destroy\TeaTimer.exe

2.
wende Combofix an + poste hier den Report
http://www.virus-protect.org/artikel/tools/combofix.html

Das hats gebracht,vielen Dank. Hier ist der Logfile.
ComboFix 08-03-14.4 - Thoron 2008-03-17 17:28:18.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1557 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Thoron\Eigene Dateien\Downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\winsys.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-17 bis 2008-03-17 ))))))))))))))))))))))))))))))
.

2008-03-14 09:09 . 2008-03-14 09:09 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-14 09:09 . 2008-03-14 09:09 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-12 10:35 . 2008-03-12 10:35 <DIR> d-------- C:\Dokumente und Einstellungen\Gerit\Anwendungsdaten\Apple Computer
2008-03-10 14:39 . 2008-03-10 14:39 <DIR> d-------- C:\Programme\Trend Micro
2008-03-10 10:53 . 2008-03-10 14:36 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-10 09:31 . 2008-03-10 09:31 <DIR> d-------- C:\Dokumente und Einstellungen\Gerit\Anwendungsdaten\Talkback
2008-03-03 18:14 . 2008-03-03 18:14 <DIR> d-------- C:\Programme\QuickTime
2008-03-03 18:14 . 2008-03-03 18:15 <DIR> d-------- C:\Programme\iTunes
2008-03-03 18:14 . 2008-03-03 18:14 <DIR> d-------- C:\Programme\iPod
2008-03-03 18:14 . 2008-03-03 18:14 <DIR> d-------- C:\Programme\Bonjour
2008-03-03 18:13 . 2008-03-03 18:13 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-03-03 18:13 . 2008-03-03 18:13 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2008-03-03 18:13 . 2008-03-03 18:13 <DIR> d-------- C:\Programme\Apple Software Update
2008-03-03 18:13 . 2008-03-03 18:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-03-03 17:31 . 2008-03-03 17:31 237 --a------ C:\settings.dat
2008-02-20 12:07 . 2008-02-20 12:07 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ACD Systems
2008-02-20 12:07 . 2008-02-20 12:07 <DIR> d-------- C:\Programme\ACD Systems
2008-02-20 12:07 . 2008-02-20 12:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems
2008-02-20 11:58 . 2008-02-20 11:58 <DIR> d-------- C:\Dokumente und Einstellungen\Thoron\Anwendungsdaten\ACD Systems
2008-02-20 11:52 . 2008-02-20 11:52 9,856 --a------ C:\WINDOWS\system32\drivers\pfc.sys
2008-02-20 11:51 . 2008-02-20 11:51 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-02-20 11:35 . 2008-02-20 11:35 <DIR> d-------- C:\Programme\Google

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-17 16:07 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-03-13 09:04 --------- d-----w C:\Dokumente und Einstellungen\Thoron\Anwendungsdaten\OpenOffice.org2
2008-03-10 15:59 --------- d-----w C:\Programme\eMule
2008-03-06 13:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-06 11:38 13,312 ----a-w C:\WINDOWS\system32\guadq.dll
2008-03-04 13:40 --------- d-----w C:\Programme\Mozilla Sunbird
2008-03-03 15:36 --------- d-----w C:\Programme\ICQLite
2008-02-25 19:21 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-02-20 11:18 --------- d-----w C:\Dokumente und Einstellungen\Thoron\Anwendungsdaten\Apple Computer
2008-02-20 09:56 --------- d-----w C:\Dokumente und Einstellungen\Thoron\Anwendungsdaten\AdobeUM
2008-02-13 17:54 --------- d-----w C:\Dokumente und Einstellungen\Thoron\Anwendungsdaten\ICQLite
2008-02-13 17:49 --------- d-----w C:\Dokumente und Einstellungen\Thoron\Anwendungsdaten\ICQ
2008-02-13 17:36 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-12 18:57 --------- d-----w C:\Programme\Sony Ericsson
2008-02-12 11:00 --------- d-----w C:\Dokumente und Einstellungen\Thoron\Anwendungsdaten\FileZilla
2008-02-05 16:48 --------- d-----w C:\Programme\FileZilla Client
2008-02-04 19:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems
2008-02-04 19:12 --------- d-----w C:\Programme\Adobe Acrobat Reader 7.0 Professional Multilanguage + Keygenerator
2008-02-03 15:04 --------- d-----w C:\Programme\IconCool Software
2008-02-03 12:12 --------- d-----w C:\Programme\Pinnacle
2008-02-02 11:40 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
2008-02-02 11:15 --------- d-----w C:\Programme\SmartSound Software
2008-02-02 11:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc
2008-01-29 19:10 --------- d-----w C:\Programme\IK Multimedia
2008-01-29 19:10 --------- d-----w C:\Programme\DigiDesign
2008-01-29 19:03 --------- d-----w C:\Programme\emagic
2008-01-29 10:02 --------- d-----w C:\Programme\LucasArts
2008-01-29 09:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bluetooth
2008-01-29 09:17 --------- d-----w C:\Programme\IVT Corporation
2008-01-29 09:17 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-01-28 17:19 29,696 ----a-w C:\WINDOWS\mickey32.dll
2008-01-28 17:19 232,784 ----a-w C:\WINDOWS\Matrix Code.scr
2008-01-28 17:19 2,285,222 ----a-w C:\WINDOWS\Matrix Code.exe
2008-01-28 14:51 --------- d-----w C:\Programme\ScannerU
2008-01-28 14:48 --------- d-----w C:\Programme\Java
2008-01-28 14:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-01-28 11:23 --------- d---a-w C:\Programme\WaveStudio
2008-01-28 09:36 --------- d-----w C:\Dokumente und Einstellungen\Thoron\Anwendungsdaten\Alfac
2008-01-28 09:31 --------- d-----w C:\Programme\DECAdry
2008-01-28 09:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Alfac
2008-01-28 09:23 --------- d-----w C:\Programme\Hewlett-Packard
2008-01-28 09:22 --------- d-----w C:\Programme\HP
2008-01-24 17:00 --------- d-----w C:\Dokumente und Einstellungen\Thoron\Anwendungsdaten\DivX
2008-01-23 17:43 --------- d-----w C:\Dokumente und Einstellungen\Gerit\Anwendungsdaten\Thunderbird
2008-01-23 14:48 --------- d-----w C:\Programme\OpenOffice.org 2.0
2008-01-23 14:18 --------- d-----w C:\Programme\Activision
2008-01-23 14:04 21,840 ----a-w C:\WINDOWS\system32\SIntfNT.dll
2008-01-23 14:04 17,212 ----a-w C:\WINDOWS\system32\SIntf32.dll
2008-01-23 14:04 12,067 ----a-w C:\WINDOWS\system32\SIntf16.dll
2008-01-23 13:55 102,400 ----a-w C:\WINDOWS\DIIUnin.exe
2008-01-23 12:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-23 12:35 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-01-23 12:32 --------- d-----w C:\Programme\xp-AntiSpy
2008-01-23 12:32 --------- d-----w C:\Programme\Lavasoft
2008-01-23 12:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-23 12:31 --------- d-----w C:\Programme\DivX
2008-01-23 12:28 --------- d-----w C:\Programme\Avira
2008-01-23 12:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-23 12:27 --------- d-----w C:\Dokumente und Einstellungen\Thoron\Anwendungsdaten\Media Player Classic
2008-01-23 12:26 --------- d-----w C:\Programme\Combined Community Codec Pack
2008-01-23 12:25 --------- d-----w C:\Programme\TYPHOON MOUSE
2008-01-23 11:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-23 11:31 --------- d-----w C:\Programme\Gemeinsame Dateien\AVSMedia
2008-01-23 11:31 --------- d-----w C:\Programme\AVSMedia
2008-01-23 11:29 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-01-23 11:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-23 11:17 --------- d-----w C:\Dokumente und Einstellungen\Thoron\Anwendungsdaten\Talkback
2008-01-23 11:16 --------- d-----w C:\Dokumente und Einstellungen\Thoron\Anwendungsdaten\Thunderbird
2008-01-23 10:57 --------- d-----w C:\Programme\Realtek AC97
2008-01-23 10:52 --------- d-----w C:\Programme\Marvell
2008-01-23 09:44 --------- d-----w C:\Programme\microsoft frontpage
2008-01-23 09:43 --------- d-----w C:\Programme\Online-Dienste
2008-01-23 09:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-01-04 21:59 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-01-04 21:58 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-01-04 21:58 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-01-04 21:58 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-01-04 21:57 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-01-04 21:57 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-01-04 21:57 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-01-04 21:57 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-01-04 21:57 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-01-04 21:57 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-01-04 21:57 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-01-04 21:57 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-01-04 21:56 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-01-04 21:56 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-10-22 02:49 44,850 ----a-w C:\Programme\dxdllreg_x86.cab
2007-10-22 02:31 86,802 ----a-w C:\Programme\dxupdate.cab
2007-10-22 02:31 76,808 ----a-w C:\Programme\DSETUP.dll
2007-10-22 02:31 13,265,040 ------w C:\Programme\dxnt.cab
2007-10-22 02:31 1,673,224 ----a-w C:\Programme\dsetup32.dll
2002-07-26 16:02 153,088 ----a-w C:\Programme\UNWISE.EXE
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
SpybotSD TeaTimer=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe [2005-05-31 01:04 1415824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Start TYPHOON MOUSE=C:\Programme\TYPHOON MOUSE\cm20.exe [2006-08-25 21:49 61440]
nwiz=nwiz.exe [2007-06-28 17:43 1626112 C:\WINDOWS\system32\nwiz.exe]
avgnt=C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe [2008-01-23 13:29 249896]
USB2Check=C:\WINDOWS\system32\PCLECoInst.dll [2004-04-06 19:05 61440]
USBToolTip=C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe [2004-04-23 11:00 192512]
Adobe Reader Speed Launcher=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 22:16 39792]
NvCplDaemon=C:\WINDOWS\system32\NvCpl.dll [2007-06-28 17:43 8466432]
iTunesHelper=C:\Programme\iTunes\iTunesHelper.exe [2008-02-19 13:10 267048]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
CTFMON.EXE=C:\WINDOWS\System32\CTFMON.EXE [2004-08-04 00:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
{a0efe2fe-7249-4403-a00b-8be108617c75}= C:\WINDOWS\system32\guadq.dll [2008-03-06 12:38 13312]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Acrobat Speed Launcher.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Acrobat Speed Launcher.lnk
backup=C:\WINDOWS\pss\Adobe Acrobat Speed Launcher.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=C:\WINDOWS\pss\BlueSoleil.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Thoron^Startmenü^Programme^Autostart^OpenOffice.org 2.0.lnk]
path=C:\Dokumente und Einstellungen\Thoron\Startmenü\Programme\Autostart\OpenOffice.org 2.0.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.0.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 00:57 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
--a------ 2003-12-22 08:38 241664 C:\Programme\HP\hpcoretech\hpcmpmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2004-02-18 18:55 49152 C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPDJ Taskbar Utility]
--a------ 2004-03-04 16:46 172032 C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 11:15 3144800 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-02-19 13:10 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
---hs---- 2004-08-04 00:58 1667584 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-06-28 17:43 8466432 C:\WINDOWS\System32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-06-28 17:43 81920 C:\WINDOWS\System32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]
--a------ 2004-03-10 15:26 406016 C:\WINDOWS\system32\PSDrvCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-31 23:13 385024 C:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
-ra------ 2005-07-22 15:00 81920 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 01:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSys2]
-ra------ 2006-04-29 04:36 208896 C:\WINDOWS\System32\winsys2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
AntiVirusDisableNotify=dword:00000001
UpdatesDisableNotify=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
EnableFirewall= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
%windir%\\system32\\sessmgr.exe=
C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe=
C:\\Programme\\ICQLite\\ICQLite.exe=
C:\\Programme\\Bonjour\\mDNSResponder.exe=
C:\\Programme\\iTunes\\iTunes.exe=

S3 SetupNTGLM7X;SetupNTGLM7X;D:\NTGLM7X.sys []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-17 17:29:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-17 17:29:47
ComboFix-quarantined-files.txt 2008-03-17 16:29:35
.
2008-01-23 12:02:17 --- E O F ---

Hallo Thoron

1.
Gehe in die Registry
Start - Ausführen - regedit

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
AntiVirusDisableNotify=dword:00000001 - in 0 ändern
UpdatesDisableNotify=dword:00000001 - in 0 ändern

-----------------------------------

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit->Speichern unter' auf dem Desktop. Gib an Alle Dateien - Speichern




Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen




danach: Combofix noch einmal anwenden
PC neustarten

»»
poste das neue Log von Combofix

3.
scanne mit smitfraudfix - Option 2 - poste hier den report
http://www.virus-protect.org/artikel/tools/smitfrautfix.html

Als ich das Programm ausführte,hat Antivir einigemale reagiert und seit dem hab ich Ruhe.
Kein pipsen und keine Popups mehr.
Soll ich trotzdem deinem Rat folgen? Sozusagen sicherheitshalber?

natürlich musst du machen, was ich geschrieben hab, sonst hätte ich mir nicht die Mühe gemacht, das Script zu erstellen

Gut. Wird noch etwas dauern aber ich antworte mal mit einem Zitat der mittelalterlichen SpielleuteDie Streuner.....Ja Herrin. :T

na dann los :2funny: mml -

@Thoron
Problem erledigt? ???

pan_fee