Hallo,

ich habe ein Problem, seit einigen Tagen öffnet sich der IE mit Werbeseiten automatisch, obwohl ich nur dem FF surfe.
Bis vor kurzem hatte ich Virenscanner von AVG (Freeware) drauf, bin aber auf Grund dieses Problem auf den Kaspersky 6.0 umgestiegen. Weder die beiden Virenscanner, noch Ad-Aware, S&D oder a-squared free finden irgendetwas.

Beim Kaspersky öffnet sich nun oft ein Fenster, in dem vor "hidden data sending" in Verbindung mit der "explorer.exe" gewarnt wird. Verbiete ich dieses, erscheint das Fenster bald wieder, stelle ich diesen Vorgang unter Quarantäne bleibt der Rechner stehen.

Ich hoffe, ihr könnt mir helfen - hier nun das HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15:24:53, on 18.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\Explorer.EXE
D:\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
D:\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Mozilla Sunbird\SunTray.exe
D:\Mozilla Sunbird\sunbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
D:\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h--p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h--p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h--p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h--p://go.microsoft.com/fwlink/?LinkId=69157
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVP] "D:\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Verknüpfung mit SunTray.lnk = D:\Mozilla Sunbird\SunTray.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h--p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h--p://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - h--p://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - h--p://support.f-secure.com/ols/fscax.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - D:\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: BlueSoleil Hid Service - Unknown owner - D:\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - D:\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

Hallo und im Trojaner Board!


Arbeite zusätzlich noch das hier ab:


Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans


Silentrunners Logfile:

*Lade dir das Tool -> Silentrunners
*Entpacke das Script in einen Ordner deiner Wahl
*Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
*System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
*dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.


Gruß
Sunny

Danke für die schnelle Antwort, verstehe zwar nur Bahnhof und weiß nicht genau, was ich mache - ich vertraue Eurer Sachkenntnis

Hier nun Log von Smitfraud...:

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="h--p://www.world-travel-airline.com/"
"SubscribedURL"="http://www.world-travel-airline.com/"
"FriendlyName"="World Travel Airline - WTA"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End



und das Script Slint Runner

"Silent Runners.vbs", revision R50, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"LVCOMSX" = "C:\WINDOWS\system32\LVCOMSX.EXE" ["Logitech Inc."]
"NeroFilterCheck" = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" ["Nero AG"]
"AVP" = ""D:\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"" ["Kaspersky Lab"]
"PrintDrive" = "rundll32.exe "C:\WINDOWS\system32\ocjpsuqc.dll",setvm" [MS]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{182B90A3-F372-438A-800C-6814B4DE417B}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\ddccbxy.dll" [file not found]
{24537E0A-0538-4E2F-89AF-66A606965B49}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\ddcca.dll" [null data]
{556C4D09-4EA2-4427-B869-B4F1C607A396}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\upowuomj.dll" [null data]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_09\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" = "IZArc DragDrop Menu"
-> {HKLM...CLSID} = "IZArc DragDrop Menu"
\InProcServer32\(Default) = "D:\IZArc\IZArcCM.dll" [null data]
"{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" = "IZArc Shell Context Menu"
-> {HKLM...CLSID} = "IZArc Shell Context Menu"
\InProcServer32\(Default) = "D:\IZArc\IZArcCM.dll" [null data]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "D:\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}" = "Eigene Logitech-Bilder"
-> {HKLM...CLSID} = "Eigene Logitech-Bilder"
\InProcServer32\(Default) = "D:\Logitech\Video\Namespc2.dll" ["Logitech Inc."]
"{A155339D-CCCD-4714-85EB-3754B804C9DF}" = "a-squared Free Context Menu Shell Extension"
-> {HKLM...CLSID} = "a-squared Free Context Menu"
\InProcServer32\(Default) = "D:\A-SQUA~2\A2FREE~1.DLL" ["Emsi Software GmbH"]
"{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2}" = "NeroCoverEd Live Icons"
-> {HKLM...CLSID} = "NeroCoverEdLiveIcons Class"
\InProcServer32\(Default) = "D:\Nero 7\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Statistik für Web-Anti-Virus"
-> {HKLM...CLSID} = "Statistik für Web-Anti-Virus"
\InProcServer32\(Default) = "D:\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{182B90A3-F372-438A-800C-6814B4DE417B}" = "*b" (unwritable string)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\ddccbxy.dll" [file not found]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"OODBS" ["O&O Software GmbH"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> ddcca\DLLName = "C:\WINDOWS\system32\ddcca.dll" [null data]
<<!>> klogon\DLLName = "C:\WINDOWS\system32\klogon.dll" ["Kaspersky Lab"]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""D:\OpenOffice.org 2.2\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Cover Designer\(Default) = "{73FCA462-9BD5-4065-A73F-A8E5F6904EF7}"
-> {HKLM...CLSID} = "NeroCoverEdContextMenu Class"
\InProcServer32\(Default) = "D:\Nero 7\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"]
IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"
-> {HKLM...CLSID} = "IZArc Shell Context Menu"
\InProcServer32\(Default) = "D:\IZArc\IZArcCM.dll" [null data]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "D:\Kaspersky Lab\Kaspersky Anti-Virus 6.0\ShellEx.dll" ["Kaspersky Lab"]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "D:\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"
-> {HKLM...CLSID} = "IZArc Shell Context Menu"
\InProcServer32\(Default) = "D:\IZArc\IZArcCM.dll" [null data]
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "D:\TuneUp Utilities 2007\SDShelEx-win32.dll" ["TuneUp Software GmbH"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
a2FreeContMenu\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}"
-> {HKLM...CLSID} = "a-squared Free Context Menu"
\InProcServer32\(Default) = "D:\A-SQUA~2\A2FREE~1.DLL" ["Emsi Software GmbH"]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "D:\Kaspersky Lab\Kaspersky Anti-Virus 6.0\ShellEx.dll" ["Kaspersky Lab"]

HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
a2FreeContMenu\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}"
-> {HKLM...CLSID} = "a-squared Free Context Menu"
\InProcServer32\(Default) = "D:\A-SQUA~2\A2FREE~1.DLL" ["Emsi Software GmbH"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

"NoRecentDocsMenu" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{Prevent access to registry editing tools}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\FLIGHT~1.SCR" (Flight over sea.scr) [null data]


Startup items in "Matze" & "All Users" startup folders:
-------------------------------------------------------

C:\Dokumente und Einstellungen\Matze\Startmenü\Programme\Autostart
"Verknüpfung mit SunTray" -> shortcut to: "D:\Mozilla Sunbird\SunTray.exe -start -single -warn" [null data]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "D:\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Statistik für Web-Anti-Virus"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "D:\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll" ["Kaspersky Lab"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.5.0_09"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_09\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_09"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_09\bin\npjpi150_09.dll" ["Sun Microsystems, Inc."]

{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\
"ButtonText" = "Statistik für Web-Anti-Virus"

{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

BlueSoleil Hid Service, BlueSoleil Hid Service, "D:\IVT Corporation\BlueSoleil\BTNtService.exe" [null data]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
Kaspersky Anti-Virus 6.0, AVP, ""D:\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r" ["Kaspersky Lab"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
O&O Defrag, O&O Defrag, "C:\WINDOWS\system32\oodag.exe" ["O&O Software GmbH"]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
EPSON V5 2KMonitor\Driver = "EBPMON2.DLL" ["SEIKO EPSON CORPORATION"]


----------
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 93 seconds.
---------- (total run time: 153 seconds)

Hallo

ich weiß nicht ob ich richtig liege, aber lass bitte diese Dateien
C:\WINDOWS\system32\ocjpsuqc.dll
C:\WINDOWS\system32\shmgrate.exe
hier Virustotal
oder hier Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

MFG

Guten Morgen,

Dein Riecher war absolut richtig ) Bloss, was mache ich jetzt, einfach löschen?

JOTTI:

Code: Alles auswählenAufklappen

ATTFilter

Datei:  	 ocjpsuqc.dll
Auslastung: 	
0% 	  	  	100%
Status: 	
INFIZIERT/MALWARE
Entdeckte Packprogramme: 	
-
 
AntiVir 	
TR/Agent.123952 gefunden
ArcaVir 	
Keine Viren gefunden
Avast 	
Keine Viren gefunden
AVG Antivirus 	
Generic2.DO gefunden
BitDefender 	
Keine Viren gefunden
ClamAV 	
Trojan.Packed-7 gefunden
Dr.Web 	
Trojan.Virtumod gefunden
F-Prot Antivirus 	
Keine Viren gefunden
F-Secure Anti-Virus 	
Keine Viren gefunden
Fortinet 	
Keine Viren gefunden
Kaspersky Anti-Virus 	
not-a-virus:AdWare.Win32.Virtumonde.hb gefunden
NOD32 	
Keine Viren gefunden
Norman Virus Control 	
Vundo.gen18 gefunden
Panda Antivirus 	
Keine Viren gefunden
Rising Antivirus 	
Keine Viren gefunden
VirusBuster 	
Adware.Vundo.Gen!Pac.8 gefunden
VBA32 	
Keine Viren gefunden
         

VIRUSTOTAL:

Code: Alles auswählenAufklappen

ATTFilter

 
AhnLab-V3	2007.4.19.1	04.19.2007	no virus found
AntiVir	7.3.1.53	04.19.2007	TR/Agent.123952
Authentium	4.93.8	04.18.2007	no virus found
Avast	4.7.981.0	04.19.2007	no virus found
AVG	7.5.0.447	04.18.2007	Adware Generic2.DO
BitDefender	7.2	04.19.2007	no virus found
CAT-QuickHeal	9.00	04.18.2007	Adware.Virtumonde.gen (Not a Virus)
ClamAV	devel-20070416	04.19.2007	Trojan.Packed-7
DrWeb	4.33	04.19.2007	Trojan.Virtumod
eSafe	7.0.15.0	04.18.2007	no virus found
eTrust-Vet	30.7.3579	04.19.2007	no virus found
Ewido	4.0	04.19.2007	no virus found
FileAdvisor	1	04.19.2007	no virus found
Fortinet	2.85.0.0	04.19.2007	suspicious
F-Prot	4.3.2.48	04.18.2007	no virus found
F-Secure	6.70.13030.0	04.19.2007	no virus found
Ikarus	T3.1.1.5	04.19.2007	no virus found
Kaspersky	4.0.2.24	04.19.2007	not-a-virus:AdWare.Win32.Virtumonde.hb
McAfee	5012	04.18.2007	no virus found
Microsoft	1.2405	04.19.2007	no virus found
NOD32v2	2203	04.19.2007	no virus found
Norman	5.80.02	04.19.2007	Vundo.gen18
Panda	9.0.0.4	04.19.2007	Spyware/Virtumonde
Prevx1	V2	04.19.2007	no virus found
Sophos	4.16.0	04.17.2007	no virus found
Sunbelt	2.2.907.0	04.07.2007	VIPRE.Suspicious
Symantec	10	04.19.2007	no virus found
TheHacker	6.1.6.088	04.09.2007	no virus found
VBA32	3.11.3	04.19.2007	no virus found
VirusBuster	4.3.7:9	04.18.2007	Adware.Vundo.Gen!Pac.8
Webwasher-Gateway	6.0.1	04.19.2007	Trojan.Agent.123952

Aditional Information
File size: 123972 bytes
MD5: a2e3b25620d57571b92bb89c23966236
SHA1: b0bb4126e38220df0e4809f91ee1956ea1270a81
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
         

JOTTI:

Code: Alles auswählenAufklappen

ATTFilter

 
Datei:  	 shmgrate.exe
Auslastung: 	
0% 	  	  	100%
Status: 	
OK (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: 	
-
 
AntiVir 	
Keine Viren gefunden
ArcaVir 	
Keine Viren gefunden
Avast 	
Keine Viren gefunden
AVG Antivirus 	
Keine Viren gefunden
BitDefender 	
Keine Viren gefunden
ClamAV 	
Keine Viren gefunden
Dr.Web 	
Keine Viren gefunden
F-Prot Antivirus 	
Keine Viren gefunden
F-Secure Anti-Virus 	
Keine Viren gefunden
Fortinet 	
Keine Viren gefunden
Kaspersky Anti-Virus 	
Keine Viren gefunden
NOD32 	
Keine Viren gefunden
Norman Virus Control 	
Keine Viren gefunden
Panda Antivirus 	
Keine Viren gefunden
Rising Antivirus 	
Keine Viren gefunden
VirusBuster 	
Keine Viren gefunden
VBA32 	
Keine Viren gefunden
         

VIRUSTOTAL:

Code: Alles auswählenAufklappen

ATTFilter

Complete scanning result of "shmgrate.exe", received in VirusTotal at 04.19.2007, 14:25:05 (CET).

Antivirus	Version	Update	Result
AhnLab-V3	2007.4.19.1	04.19.2007	no virus found
AntiVir	7.3.1.53	04.19.2007	no virus found
Authentium	4.93.8	04.18.2007	no virus found
Avast	4.7.981.0	04.19.2007	no virus found
AVG	7.5.0.447	04.18.2007	no virus found
BitDefender	7.2	04.19.2007	no virus found
CAT-QuickHeal	9.00	04.18.2007	no virus found
ClamAV	devel-20070416	04.19.2007	no virus found
DrWeb	4.33	04.19.2007	no virus found
eSafe	7.0.15.0	04.18.2007	no virus found
eTrust-Vet	30.7.3579	04.19.2007	no virus found
Ewido	4.0	04.19.2007	no virus found
FileAdvisor	1	04.19.2007	No threat detected
Fortinet	2.85.0.0	04.19.2007	no virus found
F-Prot	4.3.2.48	04.18.2007	no virus found
F-Secure	6.70.13030.0	04.19.2007	no virus found
Ikarus	T3.1.1.5	04.19.2007	no virus found
Kaspersky	4.0.2.24	04.19.2007	no virus found
McAfee	5012	04.18.2007	no virus found
Microsoft	1.2405	04.19.2007	no virus found
NOD32v2	2204	04.19.2007	no virus found
Norman	5.80.02	04.19.2007	no virus found
Panda	9.0.0.4	04.19.2007	no virus found
Prevx1	V2	04.19.2007	no virus found
Sophos	4.16.0	04.17.2007	no virus found
Sunbelt	2.2.907.0	04.14.2007	no virus found
Symantec	10	04.19.2007	no virus found
TheHacker	6.1.6.095	04.15.2007	no virus found
VBA32	3.11.3	04.19.2007	no virus found
VirusBuster	4.3.7:9	04.18.2007	no virus found
Webwasher-Gateway	6.0.1	04.19.2007	no virus found

Aditional Information
File size: 42496 bytes
MD5: c836f4c95314d69b9c799f722199c8fb
SHA1: 72cf02746efdcd7e61733ed76d02f6f66061356c
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=c836f4c95314d69b9c799f722199c8fb
         

Halli hallo.

Dem Kerl kannst du mit VudoFix zu Leibe rücken.

Donloaden-Ausführen-Scan for Vundo-Remove Vundo-Yes-Ok

Gruß

Undoreal

Hallo,

vielen Dank für Eure Hilfe, das Sch...-zeug ist fast weg.

Ich habe zwar noch einige Eintragungen in der Reg. aber mit denen kann ich leben.

Nochmals herzlichen Dank ...

Na, mit Einträgen in der Registry sollte man aber nicht leben!
Lade dir bitte CCleaner und lasse dein System bereinigen. Die Registry musst mehrmals durchsuchen und bereinigen.

Dann mache noch einen abschließenden eScan und poste das log.
Anleitung ist in meiner Signatur verlinkt.

mfg

Meinst Du dieses Log?

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   

Microsoft Windows XP [Version 5.1.2600]
Sun Apr 22 17:42:15 2007 => *** Datei E:\Musik\VA - Bar Lounge Classics - Mediterranean Edition (\216_majestic_12_-_superstar_(album_version).mp3 in Grösse beschränkt ***. Filesize 4543 kb  
Sun Apr 22 17:15:54 2007 => Virus-Datenbank Datum: 4/20/2007
Sun Apr 22 17:16:33 2007 => Virus-Datenbank Datum: 4/22/2007
Sun Apr 22 17:42:18 2007 => Virus-Datenbank Datum: 4/22/2007
Sun Apr 22 17:42:55 2007 => Virus-Datenbank Datum: 4/22/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Sun Apr 22 17:17:23 2007 => System found infected with rootkit.win32.agent.p Trojan-Downloader (C:\WINDOWS\system32\mljjk.dll)! Action taken: Keine Aktion vorgenommen.
Sun Apr 22 17:17:23 2007 => System found infected with conhook.y Trojan (C:\WINDOWS\system32\mljjk.dll)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
Sun Apr 22 17:17:23 2007 => Offending file found: C:\WINDOWS\system32\mljjk.dll
Sun Apr 22 17:17:23 2007 => Offending file found: C:\WINDOWS\system32\mljjk.dll
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
Sun Apr 22 17:17:12 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\gator.com !!!
Sun Apr 22 17:17:12 2007 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
Sun Apr 22 17:17:12 2007 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\p3p\history\gator.com !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Sun Apr 22 17:42:18 2007 => Gefundene Viren: 5
Sun Apr 22 17:42:18 2007 => Anzahl Fehler: 14
Sun Apr 22 17:42:18 2007 => Dauer des Scans bisher: 00:25:36
Sun Apr 22 17:42:18 2007 => Gescannte Dateien: 98710
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Sun Apr 22 17:16:39 2007 => Specherüberprüfung: Aktiviert
Sun Apr 22 17:16:39 2007 => Registry Überprüfung: Aktiviert
Sun Apr 22 17:16:39 2007 => System-Ordner Überprüfung: Aktiviert
Sun Apr 22 17:16:39 2007 => Überprüfung der Systembereiche: Deaktiviert
Sun Apr 22 17:16:39 2007 => Überprüfung der Dienste: Aktiviert
Sun Apr 22 17:16:39 2007 => Überprüfung der Festplatten: Deaktiviert
Sun Apr 22 17:16:39 2007 => Überprüfung aller Festplatten :Aktiviert
         

Jo, führe also bitte eScan nochmals aus und lasse diesmal das Häckchen bei "Scan only" weg.

Danach CCleaner laufen lassen.

Dann musst du unbedingt einen rootkit scan machen!!!! f-Secure Blacklight, gmer und rootkit revealer bittte laufen lassen und die logs posten..

Gruß

Undoreal

mfg

So,

habe alles gemacht, erstmal MWAV eingesetzt und den Schmutz entfernt, dann mit CCleaner saubergemacht und hier die Logs der Rootkit scans:

F-Secure Blacklight:

Code: Alles auswählenAufklappen

ATTFilter

04/23/07 16:39:38 [Info]: BlackLight Engine 1.0.61 initialized
04/23/07 16:39:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/23/07 16:39:39 [Note]: 7019 4
04/23/07 16:39:39 [Note]: 7005 0
04/23/07 16:39:40 [Note]: 7006 0
04/23/07 16:39:41 [Note]: 7011 1724
04/23/07 16:39:41 [Note]: 7026 0
04/23/07 16:39:41 [Note]: 7026 0
04/23/07 16:39:48 [Note]: FSRAW library version 1.7.1021
04/23/07 16:44:09 [Note]: 7007 0
         

Gmer:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.11.11384 - http://www.gmer.net
Rootkit 2007-04-23 16:38:25
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.11 ----

SSDT    \??\C:\WINDOWS\system32\drivers\HookCentre.sys                                                     ZwClose
SSDT    \??\C:\WINDOWS\system32\drivers\HookCentre.sys                                                     ZwCreateKey
SSDT    \??\C:\WINDOWS\system32\drivers\HookCentre.sys                                                     ZwDeleteKey
SSDT    \??\C:\WINDOWS\system32\drivers\HookCentre.sys                                                     ZwDeleteValueKey
SSDT    \??\C:\WINDOWS\system32\drivers\HookCentre.sys                                                     ZwOpenKey
SSDT    \??\C:\WINDOWS\system32\drivers\HookCentre.sys                                                     ZwOpenProcess
SSDT    \??\C:\WINDOWS\system32\drivers\HookCentre.sys                                                     ZwSetValueKey

---- Devices - GMER 1.0.11 ----

Device  \Driver\Tcpip \Device\Ip IRP_MJ_DEVICE_CONTROL                                                     [F88E6AA4] GDTdiIcpt.sys
Device  \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL                                            [F88E6AA4] GDTdiIcpt.sys
Device  \Driver\Tcpip \Device\Tcp IRP_MJ_DEVICE_CONTROL                                                    [F88E6AA4] GDTdiIcpt.sys
Device  \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL                                           [F88E6AA4] GDTdiIcpt.sys
Device  \Driver\Tcpip \Device\Udp IRP_MJ_DEVICE_CONTROL                                                    [F88E6AA4] GDTdiIcpt.sys
Device  \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL                                           [F88E6AA4] GDTdiIcpt.sys
Device  \Driver\Tcpip \Device\RawIp IRP_MJ_DEVICE_CONTROL                                                  [F88E6AA4] GDTdiIcpt.sys
Device  \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL                                         [F88E6AA4] GDTdiIcpt.sys
Device  \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_DEVICE_CONTROL                                            [F88E6AA4] GDTdiIcpt.sys
Device  \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL                                   [F88E6AA4] GDTdiIcpt.sys

---- Registry - GMER 1.0.11 ----

Reg     \Registry\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System@OODEFRAG08.00.00.01WORKSTATION  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

---- EOF - GMER 1.0.11 ----
         

Rootkit Revealer:

Code: Alles auswählenAufklappen

ATTFilter

HKLM\SECURITY\Policy\Secrets\SAC*	20.8.2006 21:19	0 bytes	Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*	20.8.2006 21:19	0 bytes	Key name contains embedded nulls (*)
HKLM\SOFTWARE\G DATA\AntiVirenKit\Jobs\0000000000	23.4.2007 16:28	482 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed	23.4.2007 17:27	80 bytes	Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\System*	30.11.2006 20:04	0 bytes	Key name contains embedded nulls (*)
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll	12.12.2006 20:53	252.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll	12.12.2006 20:53	111.50 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb	23.4.2007 17:26	64.00 KB	Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\system32\wbem\Logs\wmiprov.log	23.4.2007 17:30	67 bytes	Hidden from Windows API.
         

EDIT: Beim Scanner mit den Rootkits sind dem G-Data noch zwei Dateien aufgefallen, die er gelöscht hat?? Bin ich das Zeug immer noch nicht los

Zitat:

Beim Scanner mit den Rootkits sind dem G-Data noch zwei Dateien aufgefallen, die er gelöscht hat??

Schei*e! Verdammt. Das war mein Fehler.

Du müsstest bitte mal den Bericht von G-Data rauskramen. Irgentwo findest du den wieder. Ich muss wissen was das für Dateien waren und wo sie sich befanden..

Gruß

Undoreal

So, hier sind die drei Meldungen, in meiner Verzweifelung habe ich später am Abend die gesamte Festplatte nochmal gescannt und die drei Datei von G-Data löschen lassen (s. Log unten) - das war vermutlich falsch, oder? *seufz*

Beim Öffnen der Datei "C:\WINDOWS\system32\geebb.dll" wurde der Virus "not-a-virus:AdWare.Win32.Virtumonde.fp" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.

Beim Öffnen der Datei "C:\WINDOWS\system32\pmkjh.dll" wurde der Virus "not-a-virus:AdWare.Win32.Virtumonde.fp" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.

Beim Öffnen der Datei "C:\WINDOWS\system32\vtsqp.dll" wurde der Virus "not-a-virus:AdWare.Win32.Virtumonde.fp" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: nein.

Code: Alles auswählenAufklappen

ATTFilter

Virenprüfung mit AntiVirenKit
Version 17.0.6319
Virensignaturen vom 23.04.2007
Startzeit: 23.04.2007 18:12
Engine(s): Engine A (AVK 17.4182), Engine B (AVKB 17.206)
Heuristik: Ein
Archive: Ein
Systembereiche: Ein

Prüfung der Systembereiche...
Prüfung aller lokalen Festplatten...
Objekt: geebb.dll
	Pfad: C:\WINDOWS\system32
	Status: Virus, Datei gelöscht
	Virus: not-a-virus:AdWare.Win32.Virtumonde.fp (Engine A)
Objekt: pmkjh.dll
	Pfad: C:\WINDOWS\system32
	Status: Virus, Datei gelöscht
	Virus: not-a-virus:AdWare.Win32.Virtumonde.fp (Engine A)
Objekt: vtsqp.dll
	Pfad: C:\WINDOWS\system32
	Status: Virus, Datei gelöscht
	Virus: not-a-virus:AdWare.Win32.Virtumonde.fp (Engine A)
Analyse vollständig durchgeführt: 23.04.2007 19:45
    71564 Dateien überprüft
    3 infizierte Dateien gefunden
    0 verdächtige Dateien gefunden
         

o.k. das sieht nicht so schlimm aus. Hasz du G-Data vorher noch nie ganz scannen lassen oder warum fielen ihm die erst jetzt auf????

Gruß

Undoreal

Zitat:

Hasz du G-Data vorher noch nie ganz scannen lassen oder warum fielen ihm die erst jetzt auf????

Doch sicherlich, kaum das sich die ersten Symptome zeigten, habe ich den AVG deinstalliert und erst Kaspersky und dann den G-Data installiert und die komplette Festplatte gescannt.
Diese drei Dateien sind G-Data erst während des Scans mit dem Rootkit-Scannern "aufgefallen" und beim nächsten Durchlauf habe ich sie dann löschen lassen.