Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
BAT/Fake.Privdanger

BAT/Fake.Privdanger


Log-Analyse und Auswertung: BAT/Fake.Privdanger

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Seite 1 von 2 1 2
Alt 19.10.2007, 09:23   #1
weizenchiller
 
BAT/Fake.Privdanger - Standard

BAT/Fake.Privdanger


hey leute, ich hab ein problem mit BAT/Fake.Privdanger. hab schon im forum rumgestöbert und zB. habe ich smitfraudfix.exe drüber laufen lassen, dass mein notebook temporär von dem virus befreit, allerdings taucht das problem nach einer weile dann wieder auf (fake-virenmeldungen mit anschließendem öffnen des internetexplorers auf diverse seiten auf denen man sich angebliche antivirenprogramme etc runterladen kann)

ich muss gestehen ich hab eigentlich total keine ahnung von pcs, ich benutze dieses notebook ausschließlich für die uni und bin recht stark drauf angewiesen, also verzeiht mir wenn ihr das eine oder andere mal wegen meines noobigen geschreibsel und ausdruckvermögens aufstöhnt ^^.

hiert ist der log, von der HijackThis analyse, bitte gebt mir einen rat, was ich jetzt machen soll..

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:07:38, on 19.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\DllHost.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\a-squared Anti-Malware\a2guard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: MSVPS System - {480598DD-AE28-48B7-82F7-6ADDA1AA6B66} - C:\WINDOWS\ntspknlg.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll
O3 - Toolbar: The optnet - {B02534D7-8D91-49BE-A864-97DFB8E0BAB4} - C:\WINDOWS\optnet.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe" /d=60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
O21 - SSODL: hostctrl - {B165649A-1320-47A7-8E41-8BC766355418} - C:\WINDOWS\hostctrl.dll (file missing)
O21 - SSODL: hstsys - {4AC2BC5A-622B-4B28-8868-70BBC8F30B5C} - C:\WINDOWS\hstsys.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7462 bytes

Alt 19.10.2007, 17:15   #2
weizenchiller
 
BAT/Fake.Privdanger - Standard

BAT/Fake.Privdanger


gibts hier keinen, der mir bei der auswertung helfen kann? ich hab da echt keinen plan von ohne ohne das notebook bin ich in der uni aufgeschmissen
__________________
Alt 19.10.2007, 21:55   #3
nochdigger
 
BAT/Fake.Privdanger - Standard

BAT/Fake.Privdanger


Hallo

führe bitte mal diese Anleitung aus
http://www.trojaner-board.de/30411-a...-von-zlob.html
(ab Smitfraudfix)
anschließend poste bitte das Log der Bereinigung von Smitfraudfix sowie ein frisches HijackThis Log.

MFG
__________________
Alt 20.10.2007, 11:36   #4
weizenchiller
 
BAT/Fake.Privdanger - Standard

BAT/Fake.Privdanger


ok ich habe cleanup! ausgeführt und poste jetzt die logdaten von datfind.bat

Zitat:
system32.txt (nur dateien diesen monats)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 10DD-E101

Verzeichnis von C:\WINDOWS\system32

20.10.2007 12:22 58.727 vsconfig.xml
20.10.2007 12:21 9.240 lsass.log
20.10.2007 12:11 0 tmp.txt
20.10.2007 12:11 4.860 tmp.reg
17.10.2007 13:20 2.206 wpa.dbl
15.10.2007 00:02 17.312 mlfcache.dat
06.10.2007 12:00 5.686 jupdate-1.6.0_03-b05.log
04.10.2007 00:36 25.600 WS2Fix.exe
1910 Datei(en) 346.396.163 Bytes
0 Verzeichnis(se), 82.083.942.400 Bytes frei

_________________________________________________

systemtemp.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 10DD-E101

Verzeichnis von C:\DOKUME~1\Besitzer\LOKALE~1\Temp

20.10.2007 12:30 173 jusched.log
20.10.2007 12:25 0 JETE698.tmp
20.10.2007 12:22 0 BIT157.tmp
20.10.2007 12:22 0 BIT156.tmp
20.10.2007 12:19 0 BIT159.tmp
20.10.2007 12:18 0 BIT158.tmp
20.10.2007 12:16 0 BIT155.tmp
20.10.2007 12:16 0 BIT154.tmp
20.10.2007 12:15 0 BIT153.tmp
9 Datei(en) 173 Bytes
0 Verzeichnis(se), 82.082.410.496 Bytes frei
_________________________________________________________________

system.txt (nur dateien des monats)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 10DD-E101

Verzeichnis von C:\WINDOWS

20.10.2007 12:25 50 wiaservc.log
20.10.2007 12:25 159 wiadebug.log
20.10.2007 12:23 1.481.025 WindowsUpdate.log
20.10.2007 12:22 1.621 setupapi.log
20.10.2007 12:22 0 0.log
20.10.2007 12:21 2.048 bootstat.dat
20.10.2007 12:19 13.632 SchedLgU.Txt
19.10.2007 09:47 360 setupact.log
19.10.2007 09:46 952.050 ntbtlog.txt
19.10.2007 01:28 309 dat.txt
17.10.2007 18:56 95 winamp.ini
17.10.2007 18:50 18.250 rs.txt
17.10.2007 11:57 34.304 nmcuninstall.exe
17.10.2007 11:57 79.872 optnet.dll
17.10.2007 11:57 274.432 ntspknlg.dll
11.10.2007 01:36 1.393 imsins.BAK
71 Datei(en) 8.513.391 Bytes
0 Verzeichnis(se), 82.080.878.592 Bytes frei
_________________________________________________________________

tmp.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 10DD-E101

Verzeichnis von C:\WINDOWS\Temp

20.10.2007 12:21 256 ZLT00c17.TMP
20.10.2007 12:21 256 ZLT00c10.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 82.080.878.592 Bytes frei

________________________________________________________________

down.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 10DD-E101

Verzeichnis von C:\WINDOWS\Downloaded Program Files

24.09.2007 15:32 65 desktop.ini
27.07.2004 16:48 323.584 isusweb.dll
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
4 Datei(en) 544.833 Bytes
0 Verzeichnis(se), 82.080.878.592 Bytes frei

_______________________________________________________________

sys.txt

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 10DD-E101

Verzeichnis von C:\

20.10.2007 12:34 0 sys.txt
20.10.2007 12:33 445 down.txt
20.10.2007 12:33 327 tmp.txt
20.10.2007 12:32 3.794 system.txt
20.10.2007 12:30 680 systemtemp.txt
20.10.2007 12:28 93.352 system32.txt
20.10.2007 12:21 1.064.751.104 hiberfil.sys
20.10.2007 12:21 1.598.029.824 pagefile.sys
20.10.2007 12:12 4.135 rapport.txt
________________________________________________________________
jetzt lasse ich nochmal smitfraudfix.exe drüber laufen und poste anschließend die rapport.txt der bereinigung mit smitfrauf und ein frisches HijackThis log.

[...]

es lebe die editieren funktion, hier also der rapport.txt von der smitfraud-bereinigung

Zitat:
SmitFraudFix v2.240

Scan done at 12:47:56,10, 20.10.2007
Run from C:\Dokumente und Einstellungen\Besitzer\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{12CE9E3F-9F05-4C67-8D38-3A32AC78BA4A}: DhcpNameServer=217.237.148.70 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{12CE9E3F-9F05-4C67-8D38-3A32AC78BA4A}: DhcpNameServer=217.237.148.70 192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{12CE9E3F-9F05-4C67-8D38-3A32AC78BA4A}: DhcpNameServer=217.237.148.70 192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=217.237.148.70 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=217.237.148.70 192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=217.237.148.70 192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
und hier ein ganz frisches hijackthislogfile

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:52:45, on 20.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HiJackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: MSVPS System - {480598DD-AE28-48B7-82F7-6ADDA1AA6B66} - C:\WINDOWS\ntspknlg.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll
O3 - Toolbar: The optnet - {B02534D7-8D91-49BE-A864-97DFB8E0BAB4} - C:\WINDOWS\optnet.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
O21 - SSODL: hostctrl - {B165649A-1320-47A7-8E41-8BC766355418} - C:\WINDOWS\hostctrl.dll (file missing)
O21 - SSODL: hstsys - {4AC2BC5A-622B-4B28-8868-70BBC8F30B5C} - C:\WINDOWS\hstsys.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6850 bytes
ach ja, desn kaspersky onlinescan versuche ich grad auch noch zu machen, hab grad nur das problem dass sich nichts tut nach akzeptieren der agb, ich bleib dran und reiche den bericht nach. hoffe ihr seid weiterhin motiviert mir zu helfen, ohne euch bin ich verloren :/

[..] ah gut, ich habs, der kaspersky funzt nicht mit firefox, na ja also mal eben den IE gestartet, da wurde mir wieder sehr deutlich wie akkut mein virenproblem ist, ich wurde unmittelbar wieder dazu aufgefordert mir "sicherheitssoftware" zu ziehen von diesen fake-seiten die mir der virus öffnet. naja ich denke ich bekomme dieses kasperskydingens dennoch installiert und reiche nachher den bericht hier ein und mache einen neuen hijackhis-log und ersetze den vorhin geposten durch den dann aktuelleren.
Geändert von weizenchiller (20.10.2007 um 12:22 Uhr) Grund: nachtragen von rapport.txt(bereinigung) und frisches hijackthis-log

Alt 20.10.2007, 12:44   #5
weizenchiller
 
BAT/Fake.Privdanger - Standard

BAT/Fake.Privdanger


merkwürdigerweise kann ich meinen beitrag nicht noch ein weiteres mal editieren, also neuen beitrag mit dem ergebnis der kaspersky-onlineanalyse:

Zitat:
]-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Samstag, 20. Oktober 2007 13:38:16
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.84.1
Letztes Update der Antiviren-Datenbanken: 20/10/2007
Anzahl der Einträge in den Antiviren-Datenbanken: 441494
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 33717
Viren gefunden: 6
Infizierte Objekte gefunden: 17 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:25:35

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\y46rjuni.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\y46rjuni.default\flashgot.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\y46rjuni.default\formhistory.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\y46rjuni.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\y46rjuni.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\y46rjuni.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\y46rjuni.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\y46rjuni.default\urlclassifier2.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Desktop\girc510.exe/stream/data0010 Infizierte Objekte: not-a-virus:Client-IRC.Win32.mIRC.621 übersprungen
C:\Dokumente und Einstellungen\Besitzer\Desktop\girc510.exe/stream Infizierte Objekte: not-a-virus:Client-IRC.Win32.mIRC.621 übersprungen
C:\Dokumente und Einstellungen\Besitzer\Desktop\girc510.exe NSIS: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\Besitzer\Desktop\SmitfraudFix\Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\Besitzer\Desktop\SmitfraudFix.exe/data.rar/SmitfraudFix/Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\Besitzer\Desktop\SmitfraudFix.exe/data.rar Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\Besitzer\Desktop\SmitfraudFix.exe RarSFX: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Last.fm\Client\lastfmhelper.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\y46rjuni.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\y46rjuni.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\y46rjuni.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\y46rjuni.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Besitzer\SmitfraudFix\Reboot.exe Infizierte Objekte: not-a-virus:RiskTool.Win32.Reboot.f übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Gamers.IRC\mirc.exe Infizierte Objekte: not-a-virus:Client-IRC.Win32.mIRC.621 übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{6C9AA3C0-F389-4C5C-A3BF-B63DD4FF4389}\RP53\A0008197.exe/crack.exe/stream/data0003 Infizierte Objekte: Trojan-Downloader.Win32.Zlob.dmx übersprungen
C:\System Volume Information\_restore{6C9AA3C0-F389-4C5C-A3BF-B63DD4FF4389}\RP53\A0008197.exe/crack.exe/stream Infizierte Objekte: Trojan-Downloader.Win32.Zlob.dmx übersprungen
C:\System Volume Information\_restore{6C9AA3C0-F389-4C5C-A3BF-B63DD4FF4389}\RP53\A0008197.exe/crack.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.dmx übersprungen
C:\System Volume Information\_restore{6C9AA3C0-F389-4C5C-A3BF-B63DD4FF4389}\RP53\A0008197.exe ZIP: infiziert - 3 übersprungen
C:\System Volume Information\_restore{6C9AA3C0-F389-4C5C-A3BF-B63DD4FF4389}\RP54\A0008432.dll Infizierte Objekte: not-a-virus:AdWare.Win32.Agent.om übersprungen
C:\System Volume Information\_restore{6C9AA3C0-F389-4C5C-A3BF-B63DD4FF4389}\RP54\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\HP-AC63E9079EF5.ldb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\nmcuninstall.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.dmx übersprungen
C:\WINDOWS\ntspknlg.dll Infizierte Objekte: not-a-virus:AdWare.Win32.Agent.pl übersprungen
C:\WINDOWS\optnet.dll Infizierte Objekte: not-a-virus:AdWare.Win32.Agent.ol übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Credenti.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT02130.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT05f24.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.
ok, dass wäre dann alles, jetzt bin ich wieder auf eure hilfe angewiesen, hoffe jemand nimmt sich die zeit, sich mit meinem fall zu beschäftigen. mit freundlichen grüßen

Joel


Alt 20.10.2007, 14:36   #6
nochdigger
 
BAT/Fake.Privdanger - Standard

BAT/Fake.Privdanger


Hallo

mach bitte nun alle versteckten Dateien und Ordner sichtbar.

Deaktiviere bitte die Systemwiederherstellung --> Systemwiederherstellung

Lade dir Combofix

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Dann sehen wir mal was übrig bleibt.

MFG

Alt 21.10.2007, 09:45   #7
weizenchiller
 
BAT/Fake.Privdanger - Standard

BAT/Fake.Privdanger


ich geh mal davon aus, dass du den text der log.txt meinst, den combofix erstellt?!

hier ist er:

Zitat:
ComboFix 07-10-21.1** - Besitzer 2007-10-21 10:33:56.1 - NTFSx86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.833 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\dat.txt
C:\WINDOWS\optnet.dll
C:\WINDOWS\rs.txt
C:\WINDOWS\search_res.txt

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-21 bis 2007-10-21 ))))))))))))))))))))))))))))))
.

2007-10-21 10:33 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-20 13:00 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-10-19 09:47 4,860 --a------ C:\WINDOWS\system32\tmp.reg
2007-10-19 09:46 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-10-19 09:46 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-10-19 09:46 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-10-19 09:46 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-10-19 09:46 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-10-18 20:42 <DIR> d-------- C:\Programme\a-squared Anti-Malware
2007-10-17 21:17 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-10-17 21:17 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2007-10-17 21:17 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-10-17 21:17 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-10-17 21:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-10-17 21:17 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-10-17 21:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Talkback
2007-10-17 21:17 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-10-17 21:09 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\SmitfraudFix
2007-10-17 21:05 <DIR> d-------- C:\WINDOWS\pss
2007-10-17 13:21 274,432 --a------ C:\WINDOWS\ntspknlg.dll
2007-10-17 13:21 34,304 --a------ C:\WINDOWS\nmcuninstall.exe
2007-10-17 13:04 <DIR> d-------- C:\Programme\TuneUp Utilities 2007
2007-10-17 13:04 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\TuneUp Software
2007-10-17 13:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2007-10-17 13:04 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll
2007-10-17 13:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-10-15 00:02 17,312 --ah----- C:\WINDOWS\system32\mlfcache.dat
2007-10-14 12:35 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Thunderbird
2007-10-14 12:29 <DIR> d-------- C:\Programme\Mozilla Thunderbird
2007-10-10 20:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm
2007-10-10 20:20 <DIR> d-------- C:\Programme\Winamp
2007-10-10 20:15 <DIR> d-------- C:\Programme\Last.fm
2007-10-03 16:49 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sonic
2007-10-03 16:49 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Leadertech
2007-09-28 15:45 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2007-09-28 15:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2007-09-28 04:26 1,685 --a------ C:\WINDOWS\mozver.dat
2007-09-28 04:12 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\InterVideo
2007-09-27 17:49 84,992 --a------ C:\WINDOWS\system32\CNBJMON2.DLL
2007-09-27 16:19 <DIR> d-------- C:\Programme\Gamers.IRC
2007-09-27 15:50 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ICQ
2007-09-27 15:48 <DIR> d-------- C:\Programme\ICQ6
2007-09-27 15:47 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\InstallShield
2007-09-27 15:34 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2007-09-27 15:34 12,288 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2007-09-27 15:34 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2007-09-27 15:34 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2007-09-27 15:18 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2007-09-27 15:10 <DIR> d-------- C:\WINDOWS\Internet Logs
2007-09-27 14:57 <DIR> d-------- C:\WINDOWS\Sun
2007-09-27 14:50 <DIR> d-------- C:\Programme\Avira
2007-09-27 14:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-09-27 14:35 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Talkback
2007-09-27 14:34 0 --a------ C:\WINDOWS\nsreg.dat
2007-09-27 14:23 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2007-09-27 14:23 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\teamspeak2
2007-09-24 18:35 20,992 --a------ C:\WINDOWS\system32\drivers\RTL8139.sys
2007-09-24 18:35 20,992 --a--c--- C:\WINDOWS\system32\dllcache\rtl8139.sys
2007-09-24 16:27 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2007-09-24 16:26 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2007-09-24 16:26 77,312 --a--c--- C:\WINDOWS\system32\dllcache\usbui.dll
2007-09-24 16:26 57,472 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-09-24 16:26 16,256 --a------ C:\WINDOWS\system32\drivers\battc.sys
2007-09-24 16:26 14,080 --a------ C:\WINDOWS\system32\drivers\CmBatt.sys
2007-09-24 16:26 9,344 --a------ C:\WINDOWS\system32\drivers\compbatt.sys
2007-09-24 16:26 8,832 --a------ C:\WINDOWS\system32\drivers\wmiacpi.sys
2007-09-24 16:26 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2007-09-24 16:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-09-24 16:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ODBC
2007-09-24 16:25 <DIR> dr------- C:\Programme
2007-09-24 16:25 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2007-09-24 16:25 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmen
2007-09-24 16:25 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2007-09-24 16:25 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2007-09-24 16:25 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2007-09-24 16:25 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2007-09-24 16:25 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2007-09-24 16:25 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmen
2007-09-24 16:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten
2007-09-24 16:25 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2007-09-24 16:24 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2007-09-24 16:24 <DIR> d-------- C:\WINDOWS\system32\CatRoot
2007-09-24 16:24 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2007-09-24 16:24 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2007-09-24 16:20 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2007-09-24 16:19 155,648 -ra------ C:\WINDOWS\system32\igfxres.dll
2007-09-24 16:15 <DIR> d-------- C:\Programme\Intel
2007-09-24 16:15 5,504 --a------ C:\WINDOWS\system32\drivers\intelide.sys
2007-09-24 16:15 5,504 --a--c--- C:\WINDOWS\system32\dllcache\intelide.sys
2007-09-24 16:13 <DIR> d-------- C:\Programme\InterVideo
2007-09-24 16:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2007-09-24 16:12 <DIR> d-------- C:\Programme\Gemeinsame Dateien\TiVo Shared
2007-09-24 16:11 <DIR> d-------- C:\WINDOWS\system32\DLA
2007-09-24 16:11 <DIR> d-------- C:\Programme\Sonic
2007-09-24 16:11 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SureThing Shared
2007-09-24 16:11 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sonic Shared
2007-09-24 16:11 94,263 --a------ C:\WINDOWS\DLA.EXE
2007-09-24 16:11 88,752 --a------ C:\WINDOWS\system32\drivers\DRVMCDB.SYS
2007-09-24 16:11 61,500 --a------ C:\WINDOWS\system32\DLAAPI_W.DLL
2007-09-24 16:11 40,544 --a------ C:\WINDOWS\system32\drivers\DRVNDDM.SYS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-20 10:46 9,185,312 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2007-10-20 10:46 108,716 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-10-06 10:00 --------- d-----w C:\Programme\Java
2007-09-27 13:53 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-09-27 13:18 75,932 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2007-09-27 13:18 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2007-09-24 14:14 --------- d-----w C:\Programme\Hewlett-Packard
2007-09-24 14:13 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-09-24 14:09 --------- d-----w C:\Programme\HPQ
2007-09-24 13:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2007-09-24 13:54 --------- d-----w C:\Programme\Sierra Wireless
2007-09-24 13:54 --------- d-----w C:\Programme\Broadcom
2007-09-24 13:52 --------- d-----w C:\Programme\Synaptics
2007-09-24 13:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hpqLog
2007-09-24 13:43 --------- d-----w C:\Programme\Analog Devices
2007-09-24 13:41 1,642 --sha-r C:\WINDOWS\system32\drivers\103C_HP_NTBK_HP Compaq nx6310 (RH620ES#ABD)_YN_0U_QCNU6423J11_EU_46_I30AA_SHP_VKBC Version 58.11_B68YDU Ver. F.08_T060727_WXH2_L407_M1016_J100_7Intel_8T2300_91.66_#070924_N_(RH620ES#ABD)_XMOBILE_CN10_Z_2F.08_G.MRK
2007-09-24 13:33 --------- d-----w C:\Programme\microsoft frontpage
2007-09-24 13:31 --------- d-----w C:\Programme\Online-Dienste
2007-09-24 13:30 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2007-09-24 13:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 10:11]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2005-05-06 14:06]
"PTHOSTTR"="C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.exe" [2006-02-14 11:56]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 18:46]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-03-23 14:17]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-03-23 14:13]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-03-23 14:17]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]
"CognizanceTS"="C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll" [2003-12-22 20:12]
"Cpqset"="C:\Programme\HPQ\Default Settings\cpqset.exe" [2006-01-26 14:35]
"HP Software Update"="C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11]
"hpWirelessAssistant"="C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-02-14 10:49]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-08-31 05:20]
"QlbCtrl"="C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-05-08 09:56]
"WatchDog"="C:\Programme\InterVideo\DVD Check\DVDCheck.exe" [2005-11-08 11:59]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 17:22]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 11:45]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2003-04-17 08:54]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"hostctrl"= {B165649A-1320-47A7-8E41-8BC766355418} - C:\WINDOWS\hostctrl.dll [ ]
"hstsys"= {4AC2BC5A-622B-4B28-8868-70BBC8F30B5C} - C:\WINDOWS\hstsys.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll 2005-07-25 20:41 40960 C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Notification Packages"= scecli AsWlnPkg

R2 ASChannel;Lokaler Verbindungskanal;C:\WINDOWS\System32\svchost.exe -k Cognizance
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 AEAudioService;AEAudio Service;C:\WINDOWS\system32\drivers\AEAudio.sys

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance ASChannel

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2007-10-17 11:04:16 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-21 10:36:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Programme\HPQ\Default Settings\cpqset.exe?????????S??8?9?8?4??????? ??4B??????????????hB??????S?

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-21 10:37:35 - machine was rebooted
.
--- E O F ---
wäre ja ein traum wenn sich die sache mit dem virus nun erledigt hat. brauchste sonst noch was? frisches hijackthis-log oder sowas?

Alt 21.10.2007, 10:26   #8
nochdigger
 
BAT/Fake.Privdanger - Standard

BAT/Fake.Privdanger


Hallo

Zitat:
ich geh mal davon aus, dass du den text der log.txt meinst, den combofix erstellt?!
Jupp

Zitat:
wäre ja ein traum wenn sich die sache mit dem virus nun erledigt hat.
Bisschen was löschen müssen wir noch, versuchen wir mal das hier

Löschen mit OTMoveIt:

Lade dir das Programm von hier --> http://download.bleepingcomputer.com...r/OTMoveIt.exe

* Starte OTMoveIt.exe mit einem doppelklick.
* Kopiere alle Dateien aus dieser Box (Dateien makieren --> rechtsklick --> Kopieren)

Code:
ATTFilter
C:\WINDOWS\nmcuninstall.exe
C:\WINDOWS\ntspknlg.dll
C:\WINDOWS\optnet.dll
* Im Programm OTMoveIt, mach einen rechtsklick in das Fenster unter "Paste List of Files/Folders to be moved" und wähle 'Einfügen'.
* Klick auf den roten Moveit! button.
* Kopiere nun alles (STRG A -->STRG C) aus dem Results Fenster und füge den Inhalt in deinen Beitrag ein (STRG V).
* Beende OTMoveIt


Führe anschließend einen Neustart durch und poste ein frisches HijackThis Log.
Zitat:
brauchste sonst noch was? frisches hijackthis-log oder sowas?
Jaaa bitte

MFG

Alt 24.10.2007, 09:46   #9
weizenchiller
 
BAT/Fake.Privdanger - Standard

BAT/Fake.Privdanger


so sorry für die verzögerrung, hatte ne klausur zu bestehen und meinen umzug zu planen.

Zitat:
C:\WINDOWS\nmcuninstall.exe moved successfully.
C:\WINDOWS\ntspknlg.dll NOT unregistered.
C:\WINDOWS\ntspknlg.dll moved successfully.
File/Folder C:\WINDOWS\optnet.dll not found.

Created on 10.24.2007 10:45:54
restarte jetzt und erstelle neues hjt-log.

Alt 24.10.2007, 16:19   #10
nochdigger
 
BAT/Fake.Privdanger - Standard

BAT/Fake.Privdanger


Hallo

Zitat:
restarte jetzt und erstelle neues hjt-log.
Ich bin gespannt

MFG

Alt 24.10.2007, 17:46   #11
weizenchiller
 
BAT/Fake.Privdanger - Standard

BAT/Fake.Privdanger


so, sorry hat was länger gedauert, wurde spontan von meinen eltern in den Ikea gekarrt und konnte den log noch nicht posten, doch hier ist er endlich, hoffe du bist nicht vor spannung geplatzt in der zwischenzeit

Zitat:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:43:58, on 24.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HiJackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\winampa.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/...an_unicode.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
O21 - SSODL: hostctrl - {B165649A-1320-47A7-8E41-8BC766355418} - C:\WINDOWS\hostctrl.dll (file missing)
O21 - SSODL: hstsys - {4AC2BC5A-622B-4B28-8868-70BBC8F30B5C} - C:\WINDOWS\hstsys.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6906 bytes

Alt 24.10.2007, 20:56   #12
nochdigger
 
BAT/Fake.Privdanger - Standard

BAT/Fake.Privdanger


Hallo

starte bitte HijackThis mit der Option - Scan - und hake diese Einträge an :

O21 - SSODL: hostctrl - {B165649A-1320-47A7-8E41-8BC766355418} - C:\WINDOWS\hostctrl.dll (file missing)
O21 - SSODL: hstsys - {4AC2BC5A-622B-4B28-8868-70BBC8F30B5C} - C:\WINDOWS\hstsys.dll (file missing)

klicke nun den Button - fix checked - und beende Hijackthis.

Lade dir den CCleaner runter -> CCleaner Download

- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
- lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben

Führe ein Update deines Antivirenprogramms durch wechsel anschließend in den abgesicherten Modus (beim start F8 drücken) und mach einen Fullscan.
Zurück in den normalen Modus lass bitte SmitfraudFix mit der Option 1 (Suche) laufen und poste den rapport.txt.

MFG

Alt 25.10.2007, 10:15   #13
weizenchiller
 
BAT/Fake.Privdanger - Standard

BAT/Fake.Privdanger


1. ccleaner ausgeführt, system bereinigt

2. antivir fullscan im abgesicherten modus ausgeführt -> ergebnis keine funde /1 Warnung

3. Smitfraudfix-scan im normalen modus laufen lassen rapport.txt:

Zitat:
SmitFraudFix v2.240

Scan done at 11:13:28,15, 25.10.2007
Run from C:\Dokumente und Einstellungen\Besitzer\Desktop\FucktheVirus\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\HPQ\HP ProtectTools Security Manager\PTHOSTTR.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Besitzer


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Besitzer\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Besitzer\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom 802.11b/g WLAN - Paketplaner-Miniport
DNS Server Search Order: 132.252.184.248
DNS Server Search Order: 134.91.9.38

HKLM\SYSTEM\CCS\Services\Tcpip\..\{12CE9E3F-9F05-4C67-8D38-3A32AC78BA4A}: DhcpNameServer=132.252.184.248 134.91.9.38
HKLM\SYSTEM\CS1\Services\Tcpip\..\{12CE9E3F-9F05-4C67-8D38-3A32AC78BA4A}: DhcpNameServer=132.252.184.248 134.91.9.38
HKLM\SYSTEM\CS2\Services\Tcpip\..\{12CE9E3F-9F05-4C67-8D38-3A32AC78BA4A}: DhcpNameServer=132.252.184.248 134.91.9.38
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=132.252.184.248 134.91.9.38
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=132.252.184.248 134.91.9.38
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=132.252.184.248 134.91.9.38


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
wie gehts weiter chef?

Alt 25.10.2007, 16:57   #14
nochdigger
 
BAT/Fake.Privdanger - Standard

BAT/Fake.Privdanger


Moin

hört sich ja so weit alles tippi toppi an,
aber kannst du etwas mit diesen Adressen anfangen?
Zitat:
Description: Broadcom 802.11b/g WLAN - Paketplaner-Miniport
DNS Server Search Order: 132.252.184.248
DNS Server Search Order: 134.91.9.38

HKLM\SYSTEM\CCS\Services\Tcpip\..\{12CE9E3F-9F05-4C67-8D38-3A32AC78BA4A}: DhcpNameServer=132.252.184.248 134.91.9.38
HKLM\SYSTEM\CS1\Services\Tcpip\..\{12CE9E3F-9F05-4C67-8D38-3A32AC78BA4A}: DhcpNameServer=132.252.184.248 134.91.9.38
HKLM\SYSTEM\CS2\Services\Tcpip\..\{12CE9E3F-9F05-4C67-8D38-3A32AC78BA4A}: DhcpNameServer=132.252.184.248 134.91.9.38
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=132.252.184.248 134.91.9.38
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=132.252.184.248 134.91.9.38
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=132.252.184.248 134.91.9.38
Gibt es noch Probleme mit dem Rechner?

MFG

Alt 25.10.2007, 19:18   #15
weizenchiller
 
BAT/Fake.Privdanger - Standard

BAT/Fake.Privdanger


Description: Broadcom 802.11b/g WLAN ist die bezeichnung meiner wlankarte, mit dem rest kann ich überhaupt nichts anfangen, kann nur erkennen dass es n haufen ips sind die mir nichts sagen, bin allerdings laie.

im moment keine probleme mit dem rechner, allerdings werf ich die systemherstellung besser mal wieder an, dann wird sich zeigen ob er wirklich weg ist denke ich..ich meld mich dann.

[edit] mhm die systemwiederherstellung ist aktiv, wird die automatisch nach nem neustart wieder aktiv? ich weiß genau, dass ich sie beim abarbeiten der von dir aufgezählten dinge wie erklärt abgeschaltet habe aber bisher nicht wieder an..?! na ja fazit, obwohl systemwiederherstellung aktiv keinerlei sichtbare schadcodeauswirkungen

also sind wir durch?

ist dem so, muss ich ein ganz dickes lob aussprechen an dich, du hast mir 1a geholfen, als ich merkte ich hab nen virus drauf dachte ich schon das wars, laptop für die uni bekommen und pünktlich zum vorlesungsbeginn versaubeutel ich mir den, du warst echt meine rettung.

und ein weiteres lob und dank aussprechen möchte ich diesem forum, seinem ersteller und all den vielen ehrenamtlichen helfern die ihre zeit verwenden um andererleuts fehler auszubügeln die sie selber verschuldet haben, so wie ich ^^. ich hatte nie virenprobleme, antivir und zonealarm haben mir das system sauber gehalten bis zu dem verfluchten tag an dem ich mir auf einer dubiosen seite nen crack laden wollte, gut dass ich zu den menschen gehöre, die aus fehlern lernen, und nach diesen worten sehen wir uns besser nie wieder sonst ists peinlich

spitzenarbeit, ich empfehl euch weiter *thumbsup*

mfg Joel
Geändert von weizenchiller (25.10.2007 um 19:30 Uhr)

Antwort
Seite 1 von 2 1 2

Themen zu BAT/Fake.Privdanger
adobe, avira, bho, diverse seiten, downloader, explorers, firefox, hijack, hijackthis, hkus\s-1-5-18, internet explorer, keine ahnung, launch, log, logfile, monitor, mozilla, mozilla firefox, object, pdf, photoshop, problem, programme, rundll, s-1-5-18, security, seiten, shockwave, software, system, temporär, trend micro, virus, windows, windows xp


« HJT-logfile, bitte um Auswertung | C:\WINDOWS\system32\gzmrotate.dll rightonadz browser optimizer »


Ähnliche Themen: BAT/Fake.Privdanger


  1. BAT/Fake.Privdanger
    Plagegeister aller Art und deren Bekämpfung - 31.08.2008 (17)
  2. Fake.Privdanger wiedermal *himmelguck*
    Log-Analyse und Auswertung - 19.08.2008 (5)
  3. Bitte hilfe für: BAT/Fake.Privdanger
    Plagegeister aller Art und deren Bekämpfung - 19.06.2008 (2)
  4. Fake.Privdanger
    Log-Analyse und Auswertung - 04.06.2008 (8)
  5. Bat/fake.privdanger problem
    Plagegeister aller Art und deren Bekämpfung - 13.05.2008 (1)
  6. Problem: BAT/Fake.Privdanger
    Plagegeister aller Art und deren Bekämpfung - 24.04.2008 (37)
  7. BAT/Fake Privdanger eingefangen
    Log-Analyse und Auswertung - 25.03.2008 (13)
  8. BAT/Fake.Privdanger
    Log-Analyse und Auswertung - 23.03.2008 (7)
  9. Bat/Fake.Privdanger
    Log-Analyse und Auswertung - 23.03.2008 (9)
  10. Hilfe bei BAT/Fake.Privdanger
    Log-Analyse und Auswertung - 07.03.2008 (0)
  11. Virus BAT/LuckyA. und BAT/Fake.Privdanger
    Plagegeister aller Art und deren Bekämpfung - 08.02.2008 (7)
  12. bat.fake/privdanger
    Log-Analyse und Auswertung - 31.01.2008 (14)
  13. ebenfalls bat.fake/privdanger
    Log-Analyse und Auswertung - 30.01.2008 (3)
  14. Bitte helft mir BAT/Fake.Privdanger
    Log-Analyse und Auswertung - 29.01.2008 (3)
  15. bat.fake/privdanger - die zweite, hilfe!
    Mülltonne - 27.01.2008 (0)
  16. bat/fake.privdanger
    Log-Analyse und Auswertung - 10.01.2008 (3)
  17. -HILFE- vs. BAT/Fake.Privdanger und VBS/Click.A
    Plagegeister aller Art und deren Bekämpfung - 10.01.2008 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema BAT/Fake.Privdanger - hey leute, ich hab ein problem mit BAT/Fake.Privdanger. hab schon im forum rumgestöbert und zB. habe ich smitfraudfix.exe drüber laufen lassen, dass mein notebook temporär von dem virus befreit, allerdings - BAT/Fake.Privdanger...
Archiv
Du betrachtest: BAT/Fake.Privdanger auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55