Wieder das problem mit der 2. iexplorer.exe !

Pandora · 20.12.2007, 19:25

Ich habe die Tage mit erheblichen Perfomanceproblemen meines PC'S zu kämpfen gehabt. Daraufhin hab ich mir mal meine Prozesse angeschaut und die 2. iexplorer.exe gefunden, die zeitweise 97% von meiner CPU zieht und bin dann halt relativ schnell auf Trojaner gekommen.. Antivir vollen Systemscan durchlaufen lassen. Adaware durchlaufen lassen nichts geholfen und dann halt hier auf das Forum gestoßen...

Ich habe mir hier schon ein paar posts tiefer umgesehen und hier sind mal so die Sachen die ihr da haben wolltet:
Ein Neuaufsetzen des Systems kommt für mich nicht in Frage, da ich meinen PC zur Zeit dringend für die Schule brauche.....
Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:57:38, on 20.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
E:\Software\Treiber\winfast\WFWIZ.exe
E:\Software\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Software\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDLL32.exe
E:\Software\Treiber\Mx510\MouseWare\system\em_exec.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Software\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\svchost.exe
E:\Software\Programme\Xfire\Xfire.exe
E:\Software\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Software\Programme\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = Search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Search
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = Search
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [QuickTime Task] "E:\software\programme\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [WinFast Schedule] E:\Software\Treiber\winfast\WFWIZ.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "E:\Software\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Online chin internet bolt] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin\Meet owns.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] E:\Software\Programme\incd\InCD.exe
O4 - HKLM\..\Run: [AceGain LiveUpdate] E:\LiveUpdate.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RdrOnce] C:\DOKUME~1\*****\ANWEND~1\OBJPRO~1\byteholddata.exe
O4 - HKCU\..\Run: [LDM] E:\Software\Programme\Logitech Desktop Manager\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\wtsap32.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C0F62FB4-9D65-4E7B-B020-9A554CE24992}: NameServer = 192.168.0.1
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - E:\Software\Programme\Logitech Desktop Manager\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Software\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Software\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2.2 - Apache Software Foundation - E:\Software\Programme\Apache\bin\httpd.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Software\Programme\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

--
End of file - 7535 bytes

Und gleich hinterher der Combofix:

ComboFix 07-12-20.1 - ***** 2007-12-20 19:03:07.1 - NTFSx86
ausgeführt von:: D:\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-11-20 bis 2007-12-20 ))))))))))))))))))))))))))))))
.

2007-12-13 23:22 . 2007-12-13 23:22 <DIR> d--h----- C:\WINDOWS\PIF
2007-12-13 23:02 . 2007-12-13 23:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin
2007-12-13 23:00 . 2007-12-13 23:00 <DIR> d-------- C:\Programme\obj proxy soap
2007-12-13 23:00 . 2007-12-13 23:03 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\obj proxy soap
2007-12-13 23:00 . 2007-12-13 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\NetPumper
2007-12-05 12:52 . 2007-12-05 12:52 <DIR> d-------- C:\Dokumente und Einstellungen\*****i\workspace

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-19 17:26 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\teamspeak2
2007-12-18 22:46 --------- d---a-w C:\Programme\BearShare applications
2007-12-11 15:53 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Xfire
2007-11-25 19:38 --------- d-----w C:\Programme\Mozilla Thunderbird
2007-11-14 18:35 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Hamachi
2007-11-14 12:32 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-11-14 12:26 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Hamachi-Backup
2007-11-14 12:13 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-05 11:55 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-05 11:54 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\InstallShield
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 17:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2001-11-23 10:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"RdrOnce"="C:\DOKUME~1\*****\ANWEND~1\OBJPRO~1\byteholddata.exe" [2007-12-13 23:00]
"LDM"="E:\Software\Programme\Logitech Desktop Manager\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-25 12:46]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="E:\software\programme\QTTask.exe" [2007-06-29 05:24]
"Cmaudio"="RunDll32 cmicnfg.cpl" []
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 02:10]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"WinFast Schedule"="E:\Software\Treiber\winfast\WFWIZ.exe" [2005-09-30 08:18]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2002-10-08 11:03]
"avgnt"="E:\Software\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 19:32]
"NvMediaCenter"="RunDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 09:50 C:\WINDOWS\LOGI_MWX.EXE]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 10:45]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-05-14 22:07]
"Online chin internet bolt"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin\Meet owns.exe" [2007-12-20 18:39]
"nwiz"="nwiz.exe" [2006-10-22 12:22 C:\WINDOWS\system32\nwiz.exe]
"InCD"="E:\Software\Programme\incd\InCD.exe" [2002-09-26 10:30]
"AceGain LiveUpdate"="E:\LiveUpdate.exe" [2004-01-01 02:12]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{329247c2-2eb4-11db-b571-806d6172696f}]
\Shell\AutoRun\command - G:\autoplay.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
"2007-12-20 18:00:00 C:\WINDOWS\Tasks\AAF0993A91DF0A3E.job"
- c:\dokume~1\*****\anwend~1\objpro~1\mess about ball.exe
"2007-10-10 21:25:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-20 19:04:32
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

C:\WINDOWS\system32\wtsap32.exe [168] 0x86023DA0

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-20 19:05:19
.
2007-12-12 23:07:18 --- E O F ---

und die files.txt:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC3A-6C64

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

28.11.2006 17:15 305 addr_file.html
18.11.2007 20:45 <DIR> Adobe
09.09.2007 09:40 <DIR> AntiVir PersonalEdition Classic
10.10.2007 22:25 <DIR> Apple
25.10.2007 18:32 <DIR> Apple Computer
13.12.2007 23:02 <DIR> Bags Plus Online Chin
07.07.2007 23:39 <DIR> Google
27.06.2007 20:36 <DIR> LogiShrd
12.02.2007 22:37 <DIR> Macrovision
02.08.2007 23:45 <DIR> MAGIX
19.08.2006 13:16 <DIR> NVIDIA
31.12.2006 17:20 <DIR> nView_Profiles
10.09.2006 09:52 <DIR> QuickTime
07.03.2007 23:48 <DIR> Skype
23.10.2006 01:56 <DIR> Ulead Systems
19.08.2006 12:59 <DIR> Windows Genuine Advantage
1 Datei(en) 305 Bytes
15 Verzeichnis(se), 11.214.344.192 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC3A-6C64

Verzeichnis von C:\Dokumente und Einstellungen\*****\Anwendungsdaten

18.11.2007 20:45 <DIR> Adobe
16.08.2007 14:59 <DIR> AdobeUM
29.07.2007 20:14 <DIR> Command & Conquer 3 Tiberium Wars
07.07.2007 19:44 <DIR> DivX
04.03.2007 17:56 <DIR> dvdcss
03.11.2006 17:33 <DIR> Google
14.11.2007 19:35 <DIR> Hamachi
14.11.2007 13:26 <DIR> Hamachi-Backup
18.08.2006 11:52 <DIR> Identities
05.11.2007 12:54 <DIR> InstallShield
24.05.2007 21:49 <DIR> Lavasoft
18.08.2006 13:03 <DIR> Macromedia
02.08.2007 23:45 <DIR> MAGIX
01.03.2007 18:32 <DIR> Mozilla
13.12.2007 23:00 <DIR> NetPumper
13.12.2007 23:03 <DIR> obj proxy soap
29.07.2007 20:04 <DIR> OpenOffice.org2
14.05.2007 22:11 <DIR> Real
01.10.2007 09:58 <DIR> Skype
06.10.2006 17:15 <DIR> Sun
18.08.2006 12:04 <DIR> Talkback
19.12.2007 18:26 <DIR> teamspeak2
01.03.2007 18:32 <DIR> Thunderbird
15.08.2007 01:14 <DIR> uTorrent
30.08.2006 21:25 <DIR> vlc
19.06.2007 16:08 <DIR> WinRAR
11.12.2007 16:53 <DIR> Xfire
0 Datei(en) 0 Bytes
27 Verzeichnis(se), 11.214.344.192 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC3A-6C64

Verzeichnis von C:\Windows\tasks

10.10.2007 22:25 276 AppleSoftwareUpdate.job
1 Datei(en) 276 Bytes
0 Verzeichnis(se), 11.214.344.192 Bytes frei

PS: Ja das netpumper n Wurm drinhat hab ich auch gemerkt letzte Woche und das teil sollte eigentlich deinstalliert sein

Da ist ein paar Threads tiefer schon ne Lösung dafür... kann ich das einfach kopieren ?

mfg ein sehr genervter PC User, der bei Wow Standbilder hat X,x

**Sunny** · 20.12.2007, 19:37

Als erstes brauchen wir mehr Informationen zu deinem System, arbeite dazu folgende Anleitungen ab:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\wtsap32.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Entfernung Swizzor.A

* Als erstes folgende Anleitung gut durchlesen und Schritt für Schritt abarbeiten
-> Anleitung Swizzor.A

* Dann die entsprechenden Einträge fixen, relevant sind bei dir folgende:

Zitat:

O4 - HKLM\..\Run: [Online chin internet bolt] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin\Meet owns.exe

O4 - HKCU\..\Run: [RdrOnce] C:\DOKUME~1\*****\ANWEND~1\OBJPRO~1\byteholddata.e xe

Pandora · 20.12.2007, 19:58

Hier das Log vom hochladen:

Antivirus Version Last Update Result
AhnLab-V3 2007.12.21.10 2007.12.20 Win-AppCare/Hiderun.827392
AntiVir 7.6.0.46 2007.12.20 -
Authentium 4.93.8 2007.12.20 -
Avast 4.7.1098.0 2007.12.20 Win32:Trojan-gen {Other}
AVG 7.5.0.503 2007.12.20 BackDoor.Generic7.MRM
BitDefender 7.2 2007.12.20 Spyware.Dvd.Settec.DLL
CAT-QuickHeal 9.00 2007.12.20 -
ClamAV 0.91.2 2007.12.20 -
DrWeb 4.44.0.09170 2007.12.20 Trojan.Inject.239
eSafe 7.0.15.0 2007.12.20 -
eTrust-Vet 31.3.5390 2007.12.20 -
Ewido 4.0 2007.12.20 Rootkit.Settec
FileAdvisor 1 2007.12.20 High threat detected
Fortinet 3.14.0.0 2007.12.20 Misc/Settec
F-Prot 4.4.2.54 2007.12.20 -
F-Secure 6.70.13030.0 2007.12.20 -
Ikarus T3.1.1.15 2007.12.20 Virus.Win32.Trojan
Kaspersky 7.0.0.125 2007.12.20 -
McAfee 5190 2007.12.20 potentially unwanted program Settec
Microsoft 1.3109 2007.12.20 Program:Win32/Settec
NOD32v2 2739 2007.12.20 Win32/Rootkit.Settec
Norman 5.80.02 2007.12.20 -
Panda 9.0.0.4 2007.12.20 Application/Settec.A
Prevx1 V2 2007.12.20 Generic.Malware
Rising 20.23.32.00 2007.12.20 -
Sophos 4.24.0 2007.12.20 -
Sunbelt 2.2.907.0 2007.12.20 Settec
Symantec 10 2007.12.20 SecurityRisk.Settec
TheHacker 6.2.9.165 2007.12.19 -
VBA32 3.12.2.5 2007.12.20 -
VirusBuster 4.3.26:9 2007.12.20 Rootkit.Inject.A
Webwasher-Gateway 6.6.2 2007.12.20 Riskware.DVD.Settec.1
Additional information
File size: 827392 bytes
MD5: 4e7797f813c10cb172b3f219638c8114
SHA1: 4b7e5d37875d48d1cf5a82ad1ba77fd93e8bc971
PEiD: Armadillo v1.71
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=4e7797f813c10cb172b3f219638c8114
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=665E2F5500E39534A00C0C8B4E37AE003C179F5D

und ich werde mich jetzt mal in den abgesicherten modus begeben

**Sunny** · 20.12.2007, 20:00

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\wtsap32.exe

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass eScan nochmal laufen, erstelle und poste ein neues Logfile.
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Pandora · 20.12.2007, 20:41

so den swizzor.a müsst eich gekillt haben....

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\oinnksdv

*******************

Script file located at: \??\C:\WINDOWS\system32\gvuyhqsg.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\wtsap32.exe deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Ich lass jetzt noch mal panda und combofix laufen und melde mich dann gleich wieder

Pandora · 21.12.2007, 00:35

So hatte eigentlich geglaubt, dass ich das schlimmste überstanden habe, aber 12 Viren und 140 Fehler naja

So als erstes der Escan log:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.6.3
Sprache: German
Virus-Datenbank Datum: 12/19/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei D:\NetPumper-1.50-setup-0207.exe//data0079 infiziert von "Trojan.Win32.Obfuscated.mb" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\WoW-2.0.0.5991-deDE-Installer\Installer.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\Software\Spiele\Patrician 2.exe infiziert von "Packed.Win32.PePatch.dk" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei E:\Software\Spiele\World of Warcraft\WoW-1.12.0.5595-to-1.12.1.5875-deDE-patch.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File D:\Daemon Tools\SetupDTSB.exe markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei D:\girc500.exe//stream//data0009 markiert als not-a-virus:Client-IRC.Win32.mIRC.62. Keine Aktion vorgenommen.
File E:\DAEMON Tools\SetupDTSB.exe markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei E:\Software\Programme\Gamers.IRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.62. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\acegain liveupdate
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\acegain liveupdate
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Programme\Adobe\Acrobat 7.0\Setup Files\RdrBig708\DEU_\Data1.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\Adobe\Acrobat 7.0\Setup Files\RdrBig709\DEU\Data1.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\Temp\Web.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\cp600w2k.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
D:\webxp.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 215903
Gefundene Viren: 13
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 140
Dauer des Scans bisher: 03:09:31
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 0:16:45,85
Batchende: 0:16:58,76

Und der neue Combofix:

ComboFix 07-12-20.1 - ***** 2007-12-21 0:27:19.2 - NTFSx86
ausgeführt von:: D:\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-20 bis 2007-12-20 ))))))))))))))))))))))))))))))
.

2007-12-21 00:16 . 2007-12-21 00:16 <DIR> d-------- C:\bases_x
2007-12-21 00:01 . 2007-12-21 00:01 0 --a------ C:\23990098.$$$
2007-12-20 20:53 . 2007-12-20 20:53 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-12-20 20:53 . 2007-12-20 20:53 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-12-20 20:53 . 2007-12-20 20:53 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-12-20 20:53 . 2007-12-20 20:53 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-12-20 20:53 . 2007-12-20 20:53 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-12-20 20:53 . 2007-12-20 20:53 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-12-20 20:50 . 2004-08-04 13:00 153,600 --a------ C:\WINDOWS\R.COM
2007-12-20 20:50 . 2004-08-04 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-12-20 20:50 . 2007-12-21 00:06 26 --a------ C:\WINDOWS\Lic.xxx
2007-12-20 20:31 . 2007-12-20 20:33 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-12-20 20:31 . 2007-12-20 20:31 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2007-12-20 20:31 . 2007-12-20 20:31 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2007-12-20 20:31 . 2007-12-20 20:31 1,406 --a------ C:\WINDOWS\system32\Help.ico
2007-12-13 23:22 . 2007-12-13 23:22 <DIR> d-------- C:\WINDOWS\PIF
2007-12-13 23:02 . 2007-12-13 23:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bags Plus Online Chin
2007-12-13 23:00 . 2007-12-13 23:00 <DIR> d-------- C:\Programme\obj proxy soap
2007-12-13 23:00 . 2007-12-13 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\*****\Anwendungsdaten\NetPumper
2007-12-05 12:52 . 2007-12-05 12:52 <DIR> d-------- C:\Dokumente und Einstellungen\*****\workspace

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-20 18:50 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\teamspeak2
2007-12-18 22:46 --------- d---a-w C:\Programme\BearShare applications
2007-12-11 15:53 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Xfire
2007-11-25 19:38 --------- d-----w C:\Programme\Mozilla Thunderbird
2007-11-14 18:35 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Hamachi
2007-11-14 12:32 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-11-14 12:26 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\Hamachi-Backup
2007-11-14 12:13 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-05 11:55 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-05 11:54 --------- d-----w C:\Dokumente und Einstellungen\*****\Anwendungsdaten\InstallShield
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 17:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2001-11-23 10:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

((((((((((((((((((((((((((((( snapshot@2007-12-20_19.04.34,76 )))))))))))))))))))))))))))))))))))))))))
.
+ 2006-08-24 07:28:54 141,424 ----a-w C:\WINDOWS\Downloaded Program Files\asinst.dll
+ 2007-03-29 08:20:50 110,592 ----a-w C:\WINDOWS\system32\ActiveScan\as.dll
+ 2006-10-05 15:15:26 233,472 ----a-w C:\WINDOWS\system32\ActiveScan\ascontrol.dll
+ 2005-06-03 13:03:18 96,256 ----a-w C:\WINDOWS\system32\ActiveScan\asmdat.dll
+ 2003-08-01 10:00:16 36,864 ----a-w C:\WINDOWS\system32\ActiveScan\certdll.dll
+ 2005-05-20 12:42:44 86,016 ----a-w C:\WINDOWS\system32\ActiveScan\instlsp.dll
+ 2007-11-12 08:46:18 26,112 ----a-w C:\WINDOWS\system32\ActiveScan\JID.dll
+ 2006-02-16 17:20:20 4,608 ----a-w C:\WINDOWS\system32\ActiveScan\memvfile.dll
+ 2005-10-25 17:08:32 348,160 ----a-w C:\WINDOWS\system32\ActiveScan\msvcr71.dll
+ 2007-11-26 10:10:36 61,440 ----a-w C:\WINDOWS\system32\ActiveScan\NanoWrapper.dll
+ 2004-05-04 14:01:02 139,264 ----a-w C:\WINDOWS\system32\ActiveScan\pavaleas.dll
+ 2006-07-14 12:04:10 45,056 ----a-w C:\WINDOWS\system32\ActiveScan\pavdr.exe
+ 2006-04-10 09:50:02 159,832 ----a-w C:\WINDOWS\system32\ActiveScan\pavexcom.dll
+ 2006-02-14 12:05:38 94,208 ----a-w C:\WINDOWS\system32\ActiveScan\pavinas.dll
+ 2006-02-16 17:35:38 180,224 ----a-w C:\WINDOWS\system32\ActiveScan\pavoe.dll
+ 2006-10-05 15:15:38 122,880 ----a-w C:\WINDOWS\system32\ActiveScan\pavpz.dll
+ 2007-06-04 10:31:52 57,344 ----a-w C:\WINDOWS\system32\ActiveScan\pavsddl.dll
+ 2006-06-30 13:13:38 8,704 ----a-w C:\WINDOWS\system32\ActiveScan\pfdnnt.exe
+ 2004-02-04 13:08:42 49,152 ----a-w C:\WINDOWS\system32\ActiveScan\port32.dll
+ 2007-10-30 09:04:14 36,864 ----a-w C:\WINDOWS\system32\ActiveScan\Prescan.dll
+ 2006-08-01 12:23:10 69,632 ----a-w C:\WINDOWS\system32\ActiveScan\pscpu.dll
+ 2007-11-21 09:00:06 376,832 ----a-w C:\WINDOWS\system32\ActiveScan\pskahk.dll
+ 2007-10-31 12:05:06 32,768 ----a-w C:\WINDOWS\system32\ActiveScan\PSKAHKPRESCAN.dll
+ 2006-08-17 10:38:14 10,752 ----a-w C:\WINDOWS\system32\ActiveScan\pskalloc.dll
+ 2006-09-04 10:49:54 61,440 ----a-w C:\WINDOWS\system32\ActiveScan\pskas.dll
+ 2006-08-18 07:46:18 779,264 ----a-w C:\WINDOWS\system32\ActiveScan\pskavs.dll
+ 2007-03-26 13:25:34 417,792 ----a-w C:\WINDOWS\system32\ActiveScan\pskcmp.dll
+ 2006-08-09 09:42:24 90,112 ----a-w C:\WINDOWS\system32\ActiveScan\pskfss.dll
+ 2006-07-19 09:55:58 208,896 ----a-w C:\WINDOWS\system32\ActiveScan\pskhtml.dll
+ 2006-01-20 15:57:00 9,728 ----a-w C:\WINDOWS\system32\ActiveScan\pskmas.dll
+ 2006-05-17 08:50:12 14,336 ----a-w C:\WINDOWS\system32\ActiveScan\pskmdfs.dll
+ 2006-08-16 09:58:12 33,280 ----a-w C:\WINDOWS\system32\ActiveScan\pskpack.dll
+ 2006-06-30 13:42:36 266,240 ----a-w C:\WINDOWS\system32\ActiveScan\pskscs.dll
+ 2006-08-17 13:33:14 62,976 ----a-w C:\WINDOWS\system32\ActiveScan\pskutil.dll
+ 2006-08-08 12:13:10 13,312 ----a-w C:\WINDOWS\system32\ActiveScan\pskvfile.dll
+ 2006-08-18 07:53:08 69,632 ----a-w C:\WINDOWS\system32\ActiveScan\pskvfs.dll
+ 2006-08-18 07:49:50 167,936 ----a-w C:\WINDOWS\system32\ActiveScan\pskvm.dll
+ 2007-10-18 08:30:16 105,472 ----a-w C:\WINDOWS\system32\ActiveScan\psnahk.dll
+ 2007-11-23 13:29:08 10,752 ----a-w C:\WINDOWS\system32\ActiveScan\psndsk.dll
+ 2007-10-18 08:30:38 42,496 ----a-w C:\WINDOWS\system32\ActiveScan\psnflg.dll
+ 2007-10-30 10:19:22 98,304 ----a-w C:\WINDOWS\system32\ActiveScan\psnglknt.dll
+ 2007-08-22 07:52:00 20,272 ----a-w C:\WINDOWS\system32\ActiveScan\psnhsh.dll
+ 2007-11-12 14:49:34 11,776 ----a-w C:\WINDOWS\system32\ActiveScan\psnjidsign.dll
+ 2007-08-22 07:52:04 76,080 ----a-w C:\WINDOWS\system32\ActiveScan\psnkrnl.dll
+ 2007-08-22 07:52:06 21,296 ----a-w C:\WINDOWS\system32\ActiveScan\psnmem.dll
+ 2007-10-04 14:26:28 28,672 ----a-w C:\WINDOWS\system32\ActiveScan\PsnPen.dll
+ 2007-10-23 10:40:10 86,016 ----a-w C:\WINDOWS\system32\ActiveScan\psntuc.dll
+ 2007-05-24 10:27:36 27,136 ----a-w C:\WINDOWS\system32\ActiveScan\PSNXprs.dll
+ 2007-04-18 16:16:04 353,840 ----a-w C:\WINDOWS\system32\ActiveScan\psscan.dll
+ 2007-01-22 13:42:48 35,328 ----a-w C:\WINDOWS\system32\ActiveScan\rawvfile.dll
+ 2007-06-08 08:44:36 8,576 ----a-w C:\WINDOWS\system32\ActiveScan\RKPavProc.sys
+ 2007-06-05 09:56:40 44,928 ----a-w C:\WINDOWS\system32\ActiveScan\sdthook.sys
+ 1997-09-18 05:12:32 9,488 ----a-w C:\WINDOWS\system32\ActiveScan\sporder.dll
+ 2006-02-28 16:23:40 69,632 ----a-w C:\WINDOWS\system32\ActiveScan\tcpvfile.dll
+ 2007-09-17 08:14:08 126,976 ----a-w C:\WINDOWS\system32\ActiveScan\Tucan.dll
+ 2006-08-02 11:39:06 73,728 ----a-w C:\WINDOWS\system32\asuninst.exe
+ 2003-03-25 17:53:50 11,776 ----a-w C:\WINDOWS\system32\ZPORT4AS.dll
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"RdrOnce"="C:\DOKUME~1\*****\ANWEND~1\OBJPRO~1\byteholddata.exe" []
"LDM"="E:\Software\Programme\Logitech Desktop Manager\8876480\Program\LogitechDesktopMessenger.exe" [2007-02-25 12:46]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="E:\software\programme\QTTask.exe" [2007-06-29 05:24]
"Cmaudio"="RunDll32 cmicnfg.cpl" []
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 02:10]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"WinFast Schedule"="E:\Software\Treiber\winfast\WFWIZ.exe" [2005-09-30 08:18]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2002-10-08 11:03]
"avgnt"="E:\Software\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 19:32]
"NvMediaCenter"="RunDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 09:50 C:\WINDOWS\LOGI_MWX.EXE]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 10:45]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-05-14 22:07]
"nwiz"="nwiz.exe" [2006-10-22 12:22 C:\WINDOWS\system32\nwiz.exe]
"InCD"="E:\Software\Programme\incd\InCD.exe" [2002-09-26 10:30]
"AceGain LiveUpdate"="E:\LiveUpdate.exe" [2004-01-01 02:12]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{329247c2-2eb4-11db-b571-806d6172696f}]
\Shell\AutoRun\command - G:\autoplay.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e7198192-4536-11dc-b173-806d6172696f}]
\Shell\AutoRun\command - F:\autoplay.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ec00aecf-3e2f-11dc-aaa3-000b6a16c598}]
\Shell\AutoRun\command - H:\Autorun.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-10-10 21:25:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-21 00:28:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-21 0:29:23
C:\ComboFix2.txt ... 2007-12-20 19:05
.
2007-12-12 23:07:18 --- E O F ---

Ich wünsche eine gute Nacht und hoffe, das ich nichts vergessen habe und du damit etwas anfangen kannst

Pandora · 21.12.2007, 13:46

Also einen Erfolg kann ich vermelden: Des Swizzor.a ist weg. meine Systemperfomance hat sich wieder normalisiert und auch die iexploererprozesse sind weg....

Wär halt cool, wenn ihr mir für meine andern 14 Schädlinge nen Tipp geben könnte, weil avira erkennt die nicht -,-

**Sunny** · 21.12.2007, 15:23

abgesehen von diesem Eintrag aus dem Protokoll von eScan:

Zitat:

Datei D:\NetPumper-1.50-setup-0207.exe//data0079 infiziert von "Trojan.Win32.Obfuscated.mb" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Kann ich nichts weiter erkennen. Alles andere sind false-positiv Meldungen!

Durch die o.g. Datei Netpumperxxxx.exe wurde im übrigen der Swizzor installiert.

Lösche diese Datei und alles sollte gut werden.

Pandora · 21.12.2007, 15:52

hmm dachte ich hätte die gelöscht... naja jetzt ist sie weg.. danke für eure schnelle und hervorragende hilfe !

Ich werde euch weiterempfehlen!

**Sunny** · 21.12.2007, 15:53

Zitat:

Zitat von Pandora

hmm dachte ich hätte die gelöscht... naja jetzt ist sie weg.. danke für eure schnelle und hervorragende hilfe !

Ich werde euch weiterempfehlen!

Bitteschön ...

Wieder das problem mit der 2. iexplorer.exe !

Log-Analyse und Auswertung: Wieder das problem mit der 2. iexplorer.exe !