guten tag

ich habe seit 2 tagen das problem das kaspersky die meldung gibt das mein internet explorer etwas hat und mozilla seit dem nicht mehr funktioniert.

Verdächtig: potentiell gefährliche Software Hidden object C:\Programme\Internet Explorer\iexplore.exe 609 KB 21.04.2007 11:48:36
Verdächtig: potentiell gefährliche Software Hidden object C:\Programme\mozilla\mozilla.exe 51.9 KB 20.04.2007 10:00:51

ich hab 2 logfiles gemacht einmal mit HijackThis und einmal mit combofix

ich hoffe ihr könnt mir helfen

Logfile of HijackThis v1.99.1
Scan saved at 13:20:37, on 22.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\LMPC3\lockpc.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Cybera Server\cybserv.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MessengerDiscovery\MessengerDiscovery Live.exe
C:\Dokumente und Einstellungen\Admin\Desktop\Programme\abc.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Lock My PC] C:\Programme\LMPC3\lockpc.exe /s
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - E:\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - E:\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {1754A1BA-A1DF-4F10-B199-AA55AA1A120F} (InstallerBehaviorFactory Class) - https://signup.msn.com/pages/MsnInstC.cab
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} (SysData Class) - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://ilkaskim78.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/de/download/NpFv415.dll
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O17 - HKLM\System\CCS\Services\Tcpip\..\{85006CAB-10E0-4EF3-AD6E-5C07274C2638}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TechnoTrend AG - (no file)



und das ist combofix


"Admin" - 07-04-22 13:02:38 Service Pack 2
ComboFix 07-04-21.2V - Running from: C:\Dokumente und Einstellungen\Admin\Desktop\


((((((((((((((((((((((((((((((( Files Created from 2007-03-22 to 2007-04-22 ))))))))))))))))))))))))))))))))))


2007-04-21 12:35 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-04-20 23:11 <DIR> d-------- C:\Programme\Windows Defender
2007-04-20 09:52 <DIR> d--h----- C:\WINDOWS\system32\1799
2007-04-14 20:16 1,624 -r-hs---- C:\WINDOWS\system32\msvtn32.exe
2007-04-14 20:11 <DIR> d-------- C:\Programme\EjoyStudio
2007-04-09 15:24 372,736 --a------ C:\WINDOWS\suinsta4001.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-21 19:51 71598 --a------ C:\WINDOWS\system32\perfc007.dat
2007-04-21 19:51 408618 --a------ C:\WINDOWS\system32\perfh007.dat
2007-04-20 22:08 -------- d--h----- C:\Programme\installshield installation information
2007-04-20 22:07 -------- d-------- C:\Programme\microsoft activesync
2007-04-17 13:19 -------- d-------- C:\Programme\messengerdiscovery
2007-04-13 18:50 -------- d-------- C:\Programme\msn messenger
2007-04-08 17:35 -------- d-------- C:\Programme\winamp
2007-03-23 13:28 -------- d-------- C:\Programme\virtualdub 1.6.1
2007-03-17 14:44 293376 --a------ C:\WINDOWS\system32\winsrv.dll
2007-03-16 12:43 -------- d-------- C:\Programme\videocharge software
2007-03-15 14:23 -------- d-------- C:\Programme\messenger plus! live
2007-03-11 23:58 -------- d-------- C:\Programme\lps
2007-03-11 23:57 -------- d-------- C:\Programme\dr. hardware 2007
2007-03-11 12:09 25600 --a------ C:\WINDOWS\system32\ntcvx32.dll
2007-03-11 12:09 11776 --a------ C:\WINDOWS\system32\ntswrl32.dll
2007-03-11 12:03 -------- d-------- C:\Programme\tuneup utilities 2007
2007-03-10 12:41 -------- d-------- C:\Programme\itunes
2007-03-10 12:40 -------- d-------- C:\Programme\ipod
2007-03-10 12:13 -------- d-------- C:\Programme\quicktime
2007-03-09 18:02 -------- d-------- C:\Programme\icqlite
2007-03-09 15:08 309248 --a------ C:\WINDOWS\devcfx.exe
2007-03-09 15:08 2873648 --a------ C:\WINDOWS\devcfx1.exe
2007-03-09 15:08 286720 ---hs---- C:\WINDOWS\tverify.exe
2007-03-08 16:36 579072 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 16:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 16:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 16:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys
2007-03-05 22:18 1293 --a------ C:\WINDOWS\mozver.dat
2007-03-04 16:49 -------- d-------- C:\Programme\private folder setup
2007-02-05 21:18 185856 --a------ C:\WINDOWS\system32\upnphost.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
{9030D464-4C02-4ABF-8ECC-5164760863C6} C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Ptipbmf"="rundll32.exe ptipbmf.dll,SetWriteCacheMode"
"SoundMAXPnP"="C:\\Programme\\Analog Devices\\SoundMAX\\SMax4PNP.exe"
"SoundMAX"="\"C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe\" /tray"
"PRONoMgr.exe"="C:\\Programme\\Intel\\NCS\\PROSet\\PRONoMgr.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"kav"="\"C:\\Programme\\Kaspersky Lab\\Kaspersky Anti-Virus 6.0\\avp.exe\""
@=""
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"PCSuiteTrayApplication"="C:\\PROGRA~1\\Nokia\\NOKIAP~1\\LAUNCH~1.EXE -startup"
"IntelliPoint"="\"C:\\Programme\\Microsoft IntelliPoint\\point32.exe\""
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"Windows Defender"="\"C:\\Programme\\Windows Defender\\MSASCui.exe\" -hide"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Lock My PC"="C:\\Programme\\LMPC3\\lockpc.exe /s"
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"PcSync"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\PcSync2.exe /NoDialog"
"H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="\"ShellExecuteHook\" von Microsoft AntiMalware"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^Yahoo! Widget Engine.lnk]
"path"="C:\\Dokumente und Einstellungen\\Admin\\Startmenü\\Programme\\Autostart\\Yahoo! Widget Engine.lnk"
"backup"="C:\\WINDOWS\\pss\\Yahoo! Widget Engine.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\WIDGET~1\\YAHOOW~1.EXE "
"item"="Yahoo! Widget Engine"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AdobeUpdateManager"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_7 -reboot 1"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Programme\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
bthsvcs REG_MULTI_SZ BthServ\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0

hklm\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*
UxTuneUp


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{95ecdb27-cc8a-11db-9dbe-00605707415e}]
Shell\AutoRun\command G:\GETMYPIX.EXE

[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{c46f6dcf-2fb1-11db-a465-00605707415e}]
Shell\AutoRun\command ?.exe


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp officejet 6100 series#1144287694.job
C:\WINDOWS\tasks\FRU Task #Hewlett-Packard#hp officejet 6100 series#1155380954.job
C:\WINDOWS\tasks\MP Scheduled Scan.job

********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 1899-12-30 12:10:25
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

? [2604]

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 1
hidden services: 0
hidden files: 0


********************************************************************

Completion time: 07-04-22 13:09:56
C:\ComboFix-quarantined-files.txt ... 07-04-22 13:09

Halli hallo.

Dat sieht ja nicht so super aus..

Lasse diese Datei bitte auf Virustotal auswerten und poste das Ergebnis:

" C:\Dokumente und Einstellungen\Admin\Desktop\Programme\abc.exe.exe "

Dann stelle bei Kav die höchste Sicherheitsstufe ein, update und wechsel in den abgesicherten Modus (F8 beim Hochfahren).
Mache einen kompletten scan und poste am besten den Bericht. Mit Angaben über alle Funde und deren Dateipfad.

Und zu guter letzt scannst du bitte mit f-secure Blacklight und postest auch da das log.

Gruß

Undoreal

hallo,

dieses ABC.exe ist HijackThis was ich umbenannt habe. habe hier im forum gelesen un deshalb heisst es so .

habe mit f-secure dursuchen lassen und hat nur eine hidden gefunden

04/22/07 21:52:55 [Info]: Hidden process: C:\Programme\Internet Explorer\iexplore.exe
04/22/07 21:53:09 [Note]: FSRAW library version 1.7.1021
04/22/07 21:59:28 [Note]: 2000 1012
04/22/07 22:00:27 [Note]: 7007 0

kaspersky ist auf höchster stufe und vorhin hat es noch 2 andere gefunden

gelöscht: trojanisches Programm Backdoor.Win32.IRCBot.za Datei: C:\System Volume Information\_restore{1A15BD3C-D159-4846-9929-264AFE85D190}\RP387\A0418549.dll/PE_Patch.UPX/UPX

gelöscht: trojanisches Programm Backdoor.Win32.IRCBot.za Datei: C:\System Volume Information\_restore{1A15BD3C-D159-4846-9929-264AFE85D190}\RP387\A0418550.dll/PE_Patch.UPX/UPX


trotzdem bekomme ich immer noch die meldung das mein iexplore.exe mit hidden verseucht oder so ist.

habe schon adaware probiert, spy software und so aber bisher ohne erfolg hoffe hier finde ich passende hilfe denn ich bin ende mit meinen ideen

Das ist was wirklich ernstes.

Eine Bereinigung birgt in diesem Fall große Risiken. Bei einem Backdoorbefall weiss man nie was auf dem System alles verändert wurde. Insbesondere nicht, wenn der Trojaner schon Prozesse versteckt hat.

Setzte dein System neu auf. Eine Anleitung findest du in meiner Signatur verlinkt.

Gruß

Undoreal

Den Internet Explorer als hidden process hatten wir letzens erst gehabt, dahinter steckte der Bifrost-Server...

Zitat:

Zitat von undoreal

Das ist was wirklich ernstes.

Eine Bereinigung birgt in diesem Fall große Risiken. Bei einem Backdoorbefall weiss man nie was auf dem System alles verändert wurde. Insbesondere nicht, wenn der Trojaner schon Prozesse versteckt hat.

Setzte dein System neu auf. Eine Anleitung findest du in meiner Signatur verlinkt.

Gruß

Undoreal

ich kann mein system nicht neu aufsetzen da dieser rechner der hauptrechner vom i-cafe ist

seit 3 jahren wurde kein format oder was anderes gemacht....

was würde passieren wenn ich auf dem internet explorer ganz verzichte und mir firefox runterlade ?

wprden die probleme weiterhin bestehen ?

Zitat " .../...
ich kann mein system nicht neu aufsetzen da dieser rechner der hauptrechner vom i-cafe ist

seit 3 jahren wurde kein format oder was anderes gemacht.... .../... "

Bist Du der Inhaber des I-Net Cafes? Sofern ja:
Als Kunde würde ich von diesem Internet-Cafe nicht mehr durch WWW surfen weil es keine Sicherheit mehr gibt. Und wenn Du drei Jahre nöscht wenigstens mal ab und an Dein System zumindest überholt bzw. auf den neusten Stand gebracht hast, ist das schon fahrlässig, gerade weil Kunden ahnungslos Ihre Daten preisgeben. Ich glaub, das bist Du Deinen Kunden schuldig, denn Dein System ist kompromitiert. Firefox oder Alternative Browser können Null an diesem Zustand ändern.
Warum Du -eigentl. sofort- neu aufsetzen musst, kannst Du hier nachlesen:

h**p://virus-protect.org/kompsystem.html

Hör auf den Rat des Vorredners !!!!

Zitat:

Zitat von Mobius07

Zitat " .../...
ich kann mein system nicht neu aufsetzen da dieser rechner der hauptrechner vom i-cafe ist

seit 3 jahren wurde kein format oder was anderes gemacht.... .../... "

Bist Du der Inhaber des I-Net Cafes? Sofern ja:
Als Kunde würde ich von diesem Internet-Cafe nicht mehr durch WWW surfen weil es keine Sicherheit mehr gibt. Und wenn Du drei Jahre nöscht wenigstens mal ab und an Dein System zumindest überholt bzw. auf den neusten Stand gebracht hast, ist das schon fahrlässig, gerade weil Kunden ahnungslos Ihre Daten preisgeben. Ich glaub, das bist Du Deinen Kunden schuldig, denn Dein System ist kompromitiert. Firefox oder Alternative Browser können Null an diesem Zustand ändern.
Warum Du -eigentl. sofort- neu aufsetzen musst, kannst Du hier nachlesen:

h**p://virus-protect.org/kompsystem.html

Hör auf den Rat des Vorredners !!!!

ich kann dir sagen das es mein rechner ist der das problem hat denn die anderen 30 rechner sind alle mit goback geschützt und im urzustand sobald neustart gemacht wird !

ich weiss schon wie ich meine rechner und die kunden zu schützen habe ich mache das nicht seit gestern vertrau mir...

Du schützt deine Kunden aber nicht, indem du notdüftig irgendwelche Dateien löscht, aber das Gesamtsystem dennoch vertrauensunwürdig bleibt.
Wieso läuft auf den anderen Rechnern GoBack und auf diesem nicht?
Hast du echt kein Backup bzw. Systemimage vom Hauptrechner gemacht? Nachlässigkeit rächt sich später bitterböse...