Virenbefall von Virusprotect

David91 · 02.08.2007, 00:23

So ich hab mich heute infiziert durch eine exe-.- omg bin ich dumm egal hier meine Hi jack this logfile

Logfile of HijackThis v1.99.1
Scan saved at 01:17:14, on 02.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Video ActiveX Access\iesmn.exe
C:\Programme\Video ActiveX Access\imsmain.exe
C:\Programme\Video ActiveX Access\iesmin.exe
C:\Programme\Video ActiveX Access\imsmn.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\VirusProtectPro 3.5\VirusProtectPro 3.5.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\David\Desktop\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Programme\Video ActiveX Access\iesplg.dll
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Protection Bar - {29C5A3B6-9A8D-4FA0-B5AD-3E20F4AA5C00} - C:\Programme\Video ActiveX Access\iesbpl.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\wpdshserviceobj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)

David91 · 02.08.2007, 00:30

HIER NOCH combofix log

ComboFix 07-07-30.2 - "David" 2007-08-02 1:24:38.1 [GMT 2:00] - NTFS
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.Wahr
* Created a new restore point

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\Programme\video activex access
C:\Programme\video activex access\iesbpl.dll
C:\Programme\video activex access\iesbunst.exe
C:\Programme\video activex access\iesmin.exe
C:\Programme\video activex access\iesmn.exe
C:\Programme\video activex access\iesplg.dll
C:\Programme\video activex access\iesunst.exe
C:\Programme\video activex access\imsmain.exe
C:\Programme\video activex access\imsmn.exe
C:\Programme\video activex access\imsunst.exe
C:\Programme\video activex access\ot.ico
C:\Programme\video activex access\ts.ico
C:\Programme\video activex access\uninst.exe

((((((((((((((((((((((((( Files Created from 2007-07-01 to 2007-08-01 )))))))))))))))))))))))))))))))

2007-08-02 01:24 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-02 01:16 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\TEMP
2007-07-31 17:32 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe Systems
2007-07-31 17:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2007-07-30 16:02 <DIR> d-------- C:\DOKUME~1\David\ANWEND~1\Thunderbird
2007-07-30 16:01 <DIR> d-------- C:\Programme\Mozilla Thunderbird
2007-07-30 13:43 <DIR> d-------- C:\Programme\AskPBar
2007-07-30 13:20 <DIR> d-------- C:\DOKUME~1\David\ANWEND~1\Apple Computer
2007-07-30 13:18 <DIR> d-------- C:\WINDOWS\pss
2007-07-30 00:15 <DIR> d-------- C:\Programme\HLSW
2007-07-30 00:12 <DIR> d-------- C:\Programme\NuGardt Software
2007-07-30 00:08 <DIR> d-------- C:\Programme\MSBuild
2007-07-30 00:06 <DIR> d-------- C:\DOKUME~1\David\ANWEND~1\DivX
2007-07-30 00:04 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2007-07-30 00:04 <DIR> d-------- C:\Programme\Reference Assemblies
2007-07-30 00:03 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2007-07-30 00:02 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-07-29 23:39 <DIR> d-------- C:\WINDOWS\system32\de-de
2007-07-29 23:22 <DIR> d--hs---- C:\DOKUME~1\David\UserData
2007-07-29 23:15 1,140 --a------ C:\WINDOWS\mozver.dat
2007-07-29 23:00 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
2007-07-29 23:00 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2007-07-29 22:59 <DIR> d-------- C:\ATI
2007-07-29 22:14 <DIR> d-------- C:\Programme\QuickTime
2007-07-29 22:14 <DIR> d-------- C:\Programme\Apple Software Update
2007-07-29 22:14 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
2007-07-29 22:13 36,624 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-07-29 22:13 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-07-29 22:13 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-07-29 22:13 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-07-29 22:13 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-07-29 22:13 116,472 --------- C:\WINDOWS\system32\pxcpyi64.exe
2007-07-29 22:13 <DIR> d-------- C:\Programme\DivX
2007-07-29 22:08 <DIR> d-------- C:\DOKUME~1\David\ANWEND~1\Xfire
2007-07-29 22:06 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-07-29 22:05 <DIR> d-------- C:\WINDOWS\system32\drivers\umdf
2007-07-29 22:04 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
2007-07-29 21:47 8,704 --a-s---- C:\WINDOWS\system32\vjxwnn.dll
2007-07-29 21:47 <DIR> dr-hsc--- C:\WINDOWS\system32\dllcache
2007-07-29 21:47 <DIR> dr--s---- C:\WINDOWS\Fonts
2007-07-29 21:47 <DIR> dr------- C:\WINDOWS\Web
2007-07-29 21:47 <DIR> d--h----- C:\WINDOWS\inf
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\WinSxS
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\twain_32
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\wins
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\wbem
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\usmt
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\spool
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\ShellExt
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\Setup
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\ras
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\oobe
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\npp
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\mui
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\inetsrv
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\IME
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\icsxml
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\ias
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\export
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\drivers\etc
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\drivers\disdn
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\drivers
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\dhcp
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\config
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\3com_dmi
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\3076
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\2052
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\1054
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\1042
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\1041
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\1037
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\1033
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\1031
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\1028
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32\1025
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system32
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\system
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\security
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\Resources
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\repair
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\Provisioning
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\PeerNet
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\pchealth
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\OEM
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\mui
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\msapps
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\msagent
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\Media
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\ime
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\Help
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\Driver Cache
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\Debug
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\Cursors
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\Connection Wizard
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\Config
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\AppPatch
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS\addins
2007-07-29 21:47 <DIR> d-------- C:\WINDOWS
2007-07-29 21:35 <DIR> d-------- C:\DOKUME~1\David\ANWEND~1\teamspeak2
2007-07-29 21:30 0 --a------ C:\WINDOWS\nsreg.dat

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-02 00:19 34964 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2007-08-02 00:19 16976 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2007-07-30 00:08 82980 --a------ C:\WINDOWS\system32\perfc007.dat
2007-07-30 00:08 453452 --a------ C:\WINDOWS\system32\perfh007.dat
2007-06-27 04:27 44240 --a------ C:\WINDOWS\system32\drivers\ativvpxx.vp
2007-06-27 03:59 344064 --a------ C:\WINDOWS\system32\ATIDEMGX.dll
2007-06-27 03:58 269312 --a------ C:\WINDOWS\system32\ati2dvag.dll
2007-06-27 03:58 2303488 --a------ C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-06-27 03:51 26112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
2007-06-27 03:51 143360 --a------ C:\WINDOWS\system32\atipdlxx.dll
2007-06-27 03:51 122880 --a------ C:\WINDOWS\system32\Oemdspif.dll
2007-06-27 03:50 43520 --a------ C:\WINDOWS\system32\ati2edxx.dll
2007-06-27 03:50 118784 --a------ C:\WINDOWS\system32\ati2evxx.dll
2007-06-27 03:49 483328 --a------ C:\WINDOWS\system32\ati2evxx.exe
2007-06-27 03:48 53248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
2007-06-27 03:44 8232960 --a------ C:\WINDOWS\system32\atioglx2.dll
2007-06-27 03:41 2940992 --a------ C:\WINDOWS\system32\ati3duag.dll
2007-06-27 03:31 1519744 --a------ C:\WINDOWS\system32\ativvaxx.dll
2007-06-27 03:30 972072 --a------ C:\WINDOWS\system32\ativva6x.dat
2007-06-27 03:30 3107788 --a------ C:\WINDOWS\system32\ativvaxx.dat
2007-06-27 03:30 3107788 --a------ C:\WINDOWS\system32\ativva5x.dat
2007-06-27 03:19 5435392 --a------ C:\WINDOWS\system32\atioglxx.dll
2007-06-27 03:17 266240 --a------ C:\WINDOWS\system32\atikvmag.dll
2007-06-27 03:16 17408 --a------ C:\WINDOWS\system32\atitvo32.dll
2007-06-27 03:15 49152 --a------ C:\WINDOWS\system32\drivers\ati2erec.dll
2007-06-27 03:14 176128 --a------ C:\WINDOWS\system32\atiok3x2.dll
2007-06-27 03:10 376832 --a------ C:\WINDOWS\system32\ati2cqag.dll
2007-05-19 22:37 206352 --a------ C:\WINDOWS\system32\klogon.dll

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0\bin\jusched.exe" [2007-07-29 20:00]
"SoundMan"="SOUNDMAN.EXE" [2005-09-22 17:42 C:\WINDOWS\SOUNDMAN.EXE]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 14:43]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-05-19 22:36]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"Steam"="" []

C:\Dokumente und Einstellungen\David\Startmen\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
ATI CATALYST System Tray.lnk - C:\Programme\ATI Technologies\ATI.ACE\CLI.exe [2005-08-12 14:43:58]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{bd2948f8-c949-464f-824a-6272608c739e}"= C:\WINDOWS\system32\vjxwnn.dll [2007-07-31 20:59 8704]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

R1 AmdK8;AMD Processor Driver;C:\WINDOWS\system32\DRIVERS\AmdK8.sys
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys
S3 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0;C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe
S3 idsvc;Windows CardSpace;"C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe"
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service;"C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe"

Contents of the 'Scheduled Tasks' folder
2007-07-29 20:14:37 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job - C:\Programme\Apple Software Update\SoftwareUpdate.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-02 01:27:19
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-02 1:28:15
C:\ComboFix-quarantined-files.txt ... 2007-08-02 01:27

--- E O F ---

BataAlexander · 02.08.2007, 00:30

Lade Dir Smitfraudfix, lasse es wie unter "Reinigung" angegeben durchlaufen und schick uns den Log aus der C:\rapport.txt.

Bata

David91 · 02.08.2007, 00:32

falsch sorry habe nicht richtig gelesen

BataAlexander · 02.08.2007, 00:36

Combofix hat das meiste ja schon gelöscht, führe Smitfraudfix noch mal im abgesicherten Modus durch, poste das Log dann noch.

Bata

David91 · 02.08.2007, 00:42

SmitFraudFix v2.207

Scan done at 1:39:24,20, 02.08.2007
Run from C:\Dokumente und Einstellungen\David\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{bd2948f8-c949-464f-824a-6272608c739e}"="criticalness"

[HKEY_CLASSES_ROOT\CLSID\{bd2948f8-c949-464f-824a-6272608c739e}\InProcServer32]
@="C:\WINDOWS\system32\vjxwnn.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{bd2948f8-c949-464f-824a-6272608c739e}\InProcServer32]
@="C:\WINDOWS\system32\vjxwnn.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\vjxwnn.dll -> Hoax.Win32.Renos.gen.o
C:\WINDOWS\system32\vjxwnn.dll -> Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted
C:\DOKUME~1\David\FAVORI~1\Online Security Test.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F0B2841F-2492-4D0C-91CB-FFA5BFD79BB3}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F0B2841F-2492-4D0C-91CB-FFA5BFD79BB3}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F0B2841F-2492-4D0C-91CB-FFA5BFD79BB3}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

so bin jetzt im bett. hoffe bin virenfrei. danke dir für die hilfe.
mfg

BataAlexander · 02.08.2007, 00:55

Die Datei

C:\WINDOWS\system32\vjxwnn.dll

bei VirusTotal - Free Online Virus and Malware Scan hochladen und das Ergebnis hier posten.

Ansonsten siehts schon mal besser aus.
Wenn die Datei befallen ist, diese schon mal löschen, dann mit dem Virustotallog noch ein neues HJT Log.

Bata

David91 · 02.08.2007, 00:58

diese datei existiert nicht auf meinen pc. hab danach gesucht und selber geschaut. die datei vjxwnn.dll ist nicht da

aber hier mein neuer HijackThis log

Logfile of HijackThis v1.99.1
Scan saved at 01:58, on 2007-08-02
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\David\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Ask Toolbar BHO - {F4D76F01-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O3 - Toolbar: Ask Toolbar - {F4D76F09-7896-458a-890F-E1F05C46069F} - C:\Programme\AskPBar\bar\1.bin\ASKPBAR.DLL
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\wpdshserviceobj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)

BataAlexander · 02.08.2007, 01:09

Die Askbar hast Du Dir selber installiert? wenn nicht: Start / Systemsteuerungg / Software / deinstallieren.
Ansonsten noch ein Java Update und alles sollte gut sein.

Bata

David91 · 02.08.2007, 01:14

ich denke mal unbewusst so die ist jetzt weg.
Jave Update ist auch drauf.
Ich danke dir für deine Hilfe!!!
Mach weiter so und gut Nacht

mfg

02.08.2007, 00:30	#3
BataAlexander > MalwareDB	Virenbefall von Virusprotect Lade Dir Smitfraudfix, lasse es wie unter "Reinigung" angegeben durchlaufen und schick uns den Log aus der C:\rapport.txt. Bata __________________ __________________

02.08.2007, 00:36	#5
BataAlexander > MalwareDB	Virenbefall von Virusprotect Combofix hat das meiste ja schon gelöscht, führe Smitfraudfix noch mal im abgesicherten Modus durch, poste das Log dann noch. Bata __________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall

Virenbefall von Virusprotect

Log-Analyse und Auswertung: Virenbefall von Virusprotect