HiJack und ComboFix; Virtumonde eingefangen

crowXx · 28.01.2008, 13:55

Hallo Zusammen,

hab mir vor n paar Tagen Virtumonde eingefangen

... Dank Euch bin ich nun wenigsten soweit das ich ne HiJack und ne ComboFix log File erstellen konnte und diese hier poste (schonmal vielen Dank).
Spybot, CCleaner, VundoFix, Adaware, AVG Antispy und McAfee.. habe ich alles schon durchlaufen lassen (Spybot zickt beim öffnen...

..funktioniert aber irgendwie.. naja egal. Bringt halt alles nix,.. wie ich nun gelesen habe... also wende ich mich an Euch, mit der Bitte diese LogFiles zu überprüfen.. und mir zu sagen was ich nun tun muss um diesen Blödsinn zu beenden..Danke

..

HJack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:32:03, on 28.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
E:\Programme\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\MSK\MskSrver.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\SiteAdvisor\6253\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\McAfee.com\Agent\mcagent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Dell\QuickSet\quickset.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.chip.de/downloads/c1_downloads_13001267.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6253\SiteAdv.dll
O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - C:\Programme\McAfee\MSK\mcapbho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6253\SiteAdv.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - (no file)
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "E:\Programme\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] E:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SpybotDeletingB7474] command /c del "C:\WINDOWS\system32\iwsirojx.dllbox"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Startup: start.lnk = C:\WINDOWS\system32\sdcc.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programm\icq\ICQ6\ICQ.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programm\icq\ICQ6\ICQ.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: CabBuilder - http://ak.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab
O20 - Winlogon Notify: mljijgh - C:\WINDOWS\
O20 - Winlogon Notify: zkvsxjvr - zkvsxjvr.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - E:\Programme\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: dlcf_device - - C:\WINDOWS\system32\dlcfcoms.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6253\SAService.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 9689 bytes

ComboFix

ComboFix 08-01-28.2 - Daniel 2008-01-28 13:19:58.1 - NTFSx86
Se ejecuta desde: G:\Downloads\ComboFix.exe

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\awvts.dll
C:\WINDOWS\system32\fdprhddu.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\mljijgh.dll
C:\WINDOWS\system32\oadkhzjr.dllbox
C:\WINDOWS\system32\stvwa.ini
C:\WINDOWS\system32\stvwa.ini2
C:\WINDOWS\system32\wxkvbpet.ini

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-28 bis 2008-01-28 ))))))))))))))))))))))))))))))
.

2008-01-27 12:28 . 2008-01-28 13:03 <DIR> d-------- C:\VundoFix Backups
2008-01-27 11:59 . 2008-01-27 11:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-27 11:43 . 2008-01-27 11:43 <DIR> d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Grisoft
2008-01-27 11:41 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-01-27 11:40 . 2008-01-27 11:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-01-27 11:22 . 2008-01-27 11:22 <DIR> d-------- C:\Programme\Enigma Software Group
2008-01-26 18:49 . 2008-01-27 12:00 541 --a------ C:\WINDOWS\wininit.ini
2008-01-26 17:57 . 2008-01-26 18:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-26 17:18 . 2008-01-26 17:18 230 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-01-26 10:41 . 2008-01-26 10:41 <DIR> d-------- C:\Programme\Bonjour
2008-01-26 10:19 . 2008-01-26 10:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-01-23 13:45 . 2008-01-24 19:56 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-01-17 11:12 . 2008-01-17 11:12 <DIR> d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\McAfee
2008-01-15 12:15 . 2008-01-15 12:17 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2008-01-15 12:09 . 2008-01-15 12:09 <DIR> d-------- C:\Programme\Elaborate Bytes
2008-01-15 12:09 . 2008-01-15 12:09 0 ---hs---- C:\WINDOWS\SEE67E9F1.tmp
2008-01-05 15:11 . 2008-01-05 16:43 <DIR> d-------- C:\Programme\FRITZ!Box
2008-01-05 15:11 . 2005-05-11 14:11 53,760 -ra------ C:\WINDOWS\system32\avmadd32.dll
2008-01-05 15:11 . 2005-04-26 16:57 16,896 --a------ C:\WINDOWS\system32\avmprmon.dll
2008-01-04 15:03 . 2008-01-04 15:03 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2007-12-29 13:40 . 2007-12-29 13:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2007-12-29 13:26 . 2007-12-29 13:26 <DIR> d--h----- C:\WINDOWS\system32\CanonIJ Uninstaller Information
2007-12-29 13:26 . 2007-12-29 13:26 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2007-12-29 13:26 . 2007-05-01 06:00 215,040 --a------ C:\WINDOWS\system32\CNMLM92.DLL
2007-12-29 13:25 . 2007-12-29 13:25 <DIR> d--h----- C:\Programme\CanonBJ
2007-12-29 13:24 . 2007-12-29 13:40 <DIR> d-------- C:\Programme\Canon

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-28 11:56 --------- d-----w C:\Programme\McAfee
2008-01-28 09:19 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\OpenOffice.org2
2008-01-27 10:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-26 14:46 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Azureus
2008-01-26 09:41 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-24 18:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2008-01-23 20:22 --------- d-----w C:\Programme\MSN Messenger
2008-01-17 10:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2008-01-15 21:38 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\dvdcss
2008-01-15 11:29 --------- d-----w C:\Programme\Dl_cats
2008-01-06 13:17 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Image Zone Express
2007-12-26 09:55 --------- d-----w C:\Programme\Gemeinsame Dateien\McAfee
2007-12-23 13:13 --------- d-----w C:\Programme\Joost
2007-12-23 13:13 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Joost
2007-12-23 12:37 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\FreeTV
2007-12-21 17:54 --------- d-----w C:\Dokumente und Einstellungen\Silke\Anwendungsdaten\OpenOffice.org2
2007-12-20 21:44 --------- d-----w C:\Programme\SiteAdvisor
2007-12-11 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2007-12-11 18:09 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-12-11 17:35 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Leadertech
2007-12-10 13:10 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-10 13:05 --------- d-----w C:\Dokumente und Einstellungen\Niklas\Anwendungsdaten\Sony Ericsson
2007-12-09 08:19 --------- d-----w C:\Programme\Gemeinsame Dateien\Stardock
2007-12-08 10:29 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2007-12-08 10:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2007-12-08 10:12 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ICQ
2007-12-08 10:02 --------- d-----w C:\Programme\iTunes
2007-12-08 10:02 --------- d-----w C:\Programme\iPod
2007-12-08 09:58 --------- d-----w C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\InstallShield
2007-12-07 05:43 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\SiteAdvisor
2007-11-29 18:34 --------- d-----w C:\Programme\Winamp
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{015D31D9-66E8-4EC4-AEE4-7B505C6F7A83}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0A0BCE33-2630-417B-9403-2F9A77E960A7}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1eafcf4b-e72b-448c-970c-cd165bef3f34}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4CCB1690-3578-4E12-A288-24E666B00774}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6511E179-6286-49CF-A432-6FE5901DE8ED}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{716CD616-BE98-4785-8206-818A64FD3712}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{89A1E40D-0254-4F99-B9AE-B60A2D8754A9}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Rasmpc]
@={9D1F87E7-4D72-41AB-9D57-D101A08F20E5}

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 11:00 15360]
"SpybotSD TeaTimer"="E:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB7474"="command /c del C:\WINDOWS\system32\iwsirojx.dllbox" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2006-08-03 17:51 1032192]
"nwiz"="nwiz.exe" [2006-03-21 19:03 1519616 C:\WINDOWS\system32\nwiz.exe]
"NVHotkey"="nvHotkey.dll" [2006-03-21 19:03 73728 C:\WINDOWS\system32\nvhotkey.dll]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-08 11:48 761947]
"SigmatelSysTrayApp"="stsystra.exe" [2006-03-24 16:30 282624 C:\WINDOWS\stsystra.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2006-01-20 16:46 28160 C:\WINDOWS\KHALMNPR.Exe]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-28 10:55 667718]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2005-12-28 10:56 602182]
"mcagent_exe"="C:\Programme\McAfee.com\Agent\mcagent.exe" [2007-08-03 22:33 582992]
"VirtualCloneDrive"="C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" [2006-04-29 14:21 94208]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-12-11 19:09 185896]
"!AVG Anti-Spyware"="E:\Programme\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25 6731312]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-03-21 19:03 7557120]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonuiX.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljijgh]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\zkvsxjvr]
zkvsxjvr.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 C:\WINDOWS\system32\awvts

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech SetPoint.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Logitech SetPoint.lnk
backup=C:\WINDOWS\pss\Logitech SetPoint.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Silke^Startmenü^Programme^Autostart^OpenOffice.org 2.2.lnk]
path=C:\Dokumente und Einstellungen\Silke\Startmenü\Programme\Autostart\OpenOffice.org 2.2.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.2.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-10-10 19:51 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonMyPrinter]
--a------ 2007-04-04 02:50 1603152 C:\Programme\Canon\MyPrinter\BJMyPrt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CanonSolutionMenu]
--a------ 2007-05-15 02:01 644696 C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2006-02-19 01:41 49152 E:\Programme\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-11-15 13:11 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
--a------ 2006-06-26 09:46 497200 C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
--a------ 2006-06-26 10:34 614960 E:\Programme\Logitech\QuickCam10.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogonStudio]
--a------ 2002-09-03 18:38 987187 E:\Programme\LogonStudio\logonstudio.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]
--a------ 2006-06-26 10:33 243248 C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 09:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb]
C:\Programme\Winamp Remote\bin\OrbTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-11-14 23:43 286720 E:\Programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiteAdvisor]
--a------ 2007-03-05 20:10 36904 C:\Programme\SiteAdvisor\6253\SiteAdv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2006-11-24 00:06 487424 E:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2007-07-28 21:16 1258744 E:\Games\Valve\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-12-11 19:09 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2007-10-10 06:28 36352 E:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"

R2 IJPLMSVC;PIXMA Extended Survey Program;C:\Programme\Canon\IJPLM\IJPLMSVC.EXE [2007-04-13 17:20]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 11:00]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2007-12-08 09:47:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2007-07-10 07:41:05 C:\WINDOWS\Tasks\McDefragTask.job"
- c:\programme\mcafee\mqc\QcConsol.exe'
"2007-07-10 07:41:04 C:\WINDOWS\Tasks\McQcTask.job"
- c:\programme\mcafee\mqc\QcConsol.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-28 13:25:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
etc.
**************************************************************************
.
Zeit der Fertigstellung: 2008-01-28 13:28:05 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-28 12:28:02
.
2008-01-24 18:56:48 --- E O F ---

schon einiges..... hoffe Ihr könnt mir helfen...vielen Dank schonmal...Gruß

TrojanHunter · 28.01.2008, 14:19

moin

fix das hier mal

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - (no file) ( ist unnötig)

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programm\icq\ICQ6\ICQ.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programm\icq\ICQ6\ICQ.exe (file missing)

O16 - DPF: CabBuilder - http://ak.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab

O20 - Winlogon Notify: zkvsxjvr - zkvsxjvr.dll (file missing)

testen lassen

C:\WINDOWS\system32\iwsirojx.dllbox
C:\WINDOWS\system32\sdcc.exe

crowXx · 28.01.2008, 14:28

Ok.. gefixt hab ich

aber Entschuldige... was meinst du mit:

Zitat:

testen lassen

C:\WINDOWS\system32\iwsirojx.dllbox
C:\WINDOWS\system32\sdcc.exe

und was mach ich danach..

sry... bin halt n Anfänger

TrojanHunter · 28.01.2008, 15:15

moin,
Musst dich nicht entschuldigen

Diese Dateien bitte auf www.virustotal.com laden und dort überprüfen lassen und anschliesend posten ob ein Virus gefunden wurde

crowXx · 28.01.2008, 15:35

Ist komisch.... aber ich finde die beiden Dateien:

C:\WINDOWS\system32\iwsirojx.dllbox
C:\WINDOWS\system32\sdcc.exe

nicht... auch nicht mit Suchprog.

HELP ME PLEASE

TrojanHunter · 28.01.2008, 16:15

Hast du auch die versteckten Dateien sichtbar gemacht?
Unter Ordneroptionen "Alle Ordner und Dateien anzeigen"

crowXx · 28.01.2008, 16:32

ja...

Extras/Ordneroptionen/Ansicht/Versteckte Ordner-> Alle Dateien und Ordner anzeigen

hab ich gemacht...

TrojanHunter · 28.01.2008, 17:14

Hm,
Lass bitte mal Blacklight über dein System laufen.

crowXx · 28.01.2008, 18:46

Gesagt, getan, Ergebnis:

No hidden Items found.

Cybertrax · 29.01.2008, 09:35

Hi crowXx,

probiere doch mal bitte:

Start -> Ausführen -> cmd
telnet localhost 110

und poste, ob Du ne Fehlermeldung (Could not open...) oder einen Connect bekommst.

crowXx · 29.01.2008, 10:04

Guten Morgen,...

also...folgende Meldungen erhalten:

bei: cmd-> telnet localhost 110
Es konnte keine Verbindung mit dem Host hergestellt werden, auf Port 110: Verbindung fehlgeschlagen

bei: cmd-> telnet -> localhost 110
komme ich zwar ins telnet aber auch nicht weiter ("ungültiger Befehl").. ist dann eh wahrscheinlich die Falsche Eingabe

hab das hier bei Combofix gefunden:
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\RunOnce]
"SpybotDeletingB7474"="command /c del C:\WINDOWS\system32\iwsirojx.dllbox" [ ]
hat da Spybot die Datei gelöscht?

crowXx · 30.01.2008, 08:47

Hallo Zusammen,..

mein Virus Problem besteht immernoch... !!
Kann mir vielleicht jemand weiter helfen?
Ich währe sehr dankbar dafür

...

bittö

**Sunny** · 03.02.2008, 16:32

Bitte hier in diesem Beitrag weitermachen, sonst verlieren wir alle den Überblick:

so, und nun noch mal neu:

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis

-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

*Ein Dankeschön an das Forum HijackThis und besonders Karl83 für die Anleitung*

crowXx · 03.02.2008, 17:02

Ok,.. dann nochmal..

Hier die HijackThis file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:54:04, on 03.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\McAfee.com\Agent\mcagent.exe
C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
E:\Programme\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
E:\Programme\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
C:\Programme\McAfee\MPF\MPFSrv.exe
C:\Programme\McAfee\MSK\MskSrver.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\SiteAdvisor\6253\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
C:\WINDOWS\system32\dlcfcoms.exe
E:\Programme\Azureus\Azureus.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\SiteAdvisor\6253\SiteAdv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Programme\Mozilla\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\This.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.chip.de/downloads/c1_downloads_13001267.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6253\SiteAdv.dll
O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - C:\Programme\McAfee\MSK\mcapbho.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6253\SiteAdv.dll
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [mcagent_exe] C:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "E:\Programme\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Startup: start.lnk = C:\WINDOWS\system32\sdcc.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: CabBuilder -
O20 - Winlogon Notify: mljijgh - C:\WINDOWS\
O20 - Winlogon Notify: zkvsxjvr - C:\WINDOWS\
O23 - Service: McAfee Application Installer Cleanup (0260491201943765) (0260491201943765mcinstcleanup) - McAfee, Inc. - C:\WINDOWS\TEMP\026049~1.EXE
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - E:\Programme\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: dlcf_device - - C:\WINDOWS\system32\dlcfcoms.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\programme\gemeinsame dateien\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee SpamKiller Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6253\SAService.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 9508 bytes

Und hier die Filelist

Verzeichnis von C:\

01.02.2008 19:22 389 boot.ini
01.02.2008 19:20 2.145.386.496 pagefile.sys
01.02.2008 19:19 4.466 dlcf.log
31.01.2008 18:22 2.786 LGSInst.Log
28.01.2008 13:28 15.905 ComboFix.txt
28.01.2008 12:58 4.850 VundoFix.txt
05.01.2008 13:26 3.283 lvcoinst.log

Verzeichnis von C:\WINDOWS\system32

03.02.2008 16:42 62.113 nvModes.001
03.02.2008 15:35 21.798 Config.MPF
02.02.2008 12:00 62.113 nvModes.dat
01.02.2008 19:25 422.192 perfh007.dat
01.02.2008 19:25 406.662 perfh009.dat
01.02.2008 19:25 77.302 perfc007.dat
01.02.2008 19:25 63.862 perfc009.dat
01.02.2008 19:25 980.900 PerfStringBackup.INI
01.02.2008 19:21 2.206 wpa.dbl
01.02.2008 19:20 50.868 nvapps.xml
01.02.2008 18:35 1.423.064 FNTCACHE.DAT
27.01.2008 12:06 12.632 lsdelete.exe
26.01.2008 17:18 230 spupdsvc.inf
04.01.2008 15:03 43.520 CmdLineExt03.dll
04.01.2008 14:58 21.840 SIntfNT.dll
04.01.2008 14:58 17.212 SIntf32.dll
04.01.2008 14:58 12.067 SIntf16.dll
02.01.2008 19:21 17.642.616 MRT.exe

Verzeichnis von C:\WINDOWS

03.02.2008 11:47 116 NeroDigital.ini
03.02.2008 09:55 1.825.040 WindowsUpdate.log
01.02.2008 19:22 259 system.ini
01.02.2008 19:22 684 win.ini
01.02.2008 19:21 159 wiadebug.log
01.02.2008 19:20 50 wiaservc.log
01.02.2008 19:20 2.048 bootstat.dat
27.01.2008 12:00 541 wininit.ini
19.01.2008 09:30 59 cdplayer.ini
15.01.2008 12:09 0 SEE67E9F1.tmp
14.01.2008 14:10 43 hpfccopy.INI
04.01.2008 15:03 31.458 DIIUnin.dat

Verzeichnis von C:\WINDOWS\Prefetch

(keine Dateien der letzten 30 Tage!!!)

Verzeichnis von C:\WINDOWS\tasks

(keine Dateien der letzten 30 Tage!!!)

Verzeichnis von C:\WINDOWS\temp

03.02.2008 15:34 255 WGAErrLog.txt
03.02.2008 12:13 0 mcafee_TXaJqhi87ym9zu0
03.02.2008 12:03 16.384 Perflib_Perfdata_7c0.dat
02.02.2008 18:21 0 sqlite_FFEkIFrolLsM7At
02.02.2008 12:53 0 mcmsc_bb6wAc9D3JyPqbz
02.02.2008 11:44 1.024 sqlite_jnYX1xILhdcKwpz
01.02.2008 19:21 0 sqlite_2VV30pOWrF1bS3H
01.02.2008 19:21 0 sqlite_cCNUVRFk1gSN4m2
01.02.2008 19:21 409 WGANotify.settings
01.02.2008 19:20 0 mcmsc_s5Ut2P7qexfw0SC
01.02.2008 18:36 0 sqlite_o7S5fmtDTIAMzt8
01.02.2008 18:36 0 sqlite_72Fagct6U7PAqCx
01.02.2008 16:08 0 sqlite_9vogTQ9KnvLEhwM
01.02.2008 16:08 0 sqlite_ajscAuNT7mvLBZ8
28.08.2007 13:34 306.528 0070131201887764mcinst.exe

Verzeichnis von C:\DOKUME~1\Daniel\LOKALE~1\Temp

03.02.2008 16:49 123.109 filelist.txt
03.02.2008 16:47 634 filelist.zip
03.02.2008 16:46 212.849 hijackthis.zip
03.02.2008 16:22 473.908 ins2B9.tmp
03.02.2008 15:35 512 ~DFB7C9.tmp
03.02.2008 15:35 114.688 ~DFB7BB.tmp
02.02.2008 20:39 156 dw.log
02.02.2008 20:37 7.536 Phototemp1576.xml
02.02.2008 12:50 7.692.195 splist.txt
02.02.2008 12:50 2.222.308 ranges62430.zip
01.02.2008 19:27 28.672 DW21E.tmp
01.02.2008 19:27 49.152 DW21C.tmp
01.02.2008 19:26 28.672 DW217.tmp
01.02.2008 19:26 49.152 DW214.tmp
01.02.2008 19:25 1.557 jusched.log
01.02.2008 19:24 28.672 DW2F.tmp
01.02.2008 19:24 49.152 DW2D.tmp
01.02.2008 19:22 28.672 DW27.tmp
01.02.2008 19:22 49.152 DW25.tmp
01.02.2008 19:13 28.672 DW28F.tmp
01.02.2008 19:13 49.152 DW28D.tmp
01.02.2008 17:24 2.222.308 ranges54673.zip
01.02.2008 17:05 28.672 DW218.tmp
01.02.2008 17:05 49.152 DW216.tmp
01.02.2008 14:04 28.672 DW2198.tmp
01.02.2008 14:04 49.152 DW2196.tmp
01.02.2008 14:03 28.672 DW2191.tmp
01.02.2008 14:03 49.152 DW218F.tmp
01.02.2008 08:31 500 live-1.smil
30.01.2008 17:23 127 D653F3EC.TMP
28.01.2008 16:02 77.824 swt-gdip-win32-3346.dll
28.01.2008 16:01 307.200 swt-win32-3346.dll
16.08.2007 11:14 21.880.008 aoe3-112-german.exe

Vielen Dank nochmal...

hoffe das bringt was

**Sunny** · 03.02.2008, 17:09

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\sdcc.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass HijackThis nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

HiJack und ComboFix; Virtumonde eingefangen

Log-Analyse und Auswertung: HiJack und ComboFix; Virtumonde eingefangen