Hijackthis Log/ Virus nicht erkennbar?

Eng1ne · 07.01.2008, 19:14

Hallo zusammen,

Ich habe mir anscheinend einen hartnäckigen Virus eingefangen. Er nennt sich "tmpE4.tmp". Es sind mehrere Dateien, da die Zahl immer variiert. Ich habe das Avira AntiVir Programm drauf. Dies zeigt mir den Virus an, kann ihn aber nicht löschen. Die Virusmeldung kommt regelmäßig aber ich kann nichts machen ausser sie zu ignorieren. Ich habe viele Virenprogramme drüberlaufen lassen, aber der Virus ist immernoch drauf.

Mit HijackThis kenn ich mich nicht genau aus und will nichts falsches löschen..drum hoffe ich, dass ich hier Hilfe für mein Problem bekomme.
Der Virus ist im Pfad: C:\Dokumente und Einstellungen\...\tmpE8.tmp
(was anstatt den Punkten kommt weiss ich nicht, da es von dem Virenprogramm nicht angezeigt wird.
Desweiteren steht da noch: "Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Click.A"

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:00:22, on 07.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tools\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: (no name) - {1AC7107A-938F-4347-864C-C51E49EC586E} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\Tools\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\Tools\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\Tools\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: bklgvsf - {4C09D8A3-15A0-4FC2-B312-AF4ED351B6F7} - (no file)
O21 - SSODL: ampkfst - {339F1309-860F-432A-B5DC-940E5B8B0D00} - C:\WINDOWS\ampkfst.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: DiRT Drivers Auto Removal (pr2ah4nc) (pr2ah4nc) - CODEMASTERS - C:\WINDOWS\system32\pr2ah4nc.exe

--
End of file - 3873 bytes

Ich hoffe ich habe nichts vergessen.
Danke schonmal im vorraus

mfg Eng1ne

Edit: Mein Betriebssystem ist Windows XP Professional

**Sunny** · 07.01.2008, 19:38

Hallo.

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\ampkfst.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.

Gruß

Sunny

Eng1ne · 07.01.2008, 22:22

So wie ich das verstanden hab, soll ich nur die eine Datei scannen lassen?!
(siehe Zitat)

hier ist das Ergebnis von VirusTotal

Datei ampkfst.dll empfangen 2008.01.07 16:25:12 (CET)
Status: Beendet
Ergebnis: 3/32 (9.38%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - Virus.Win32.Agent.LTS
Kaspersky - - -
McAfee - - -
Microsoft - - Adware:Win32/SmitFraud
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - Downloader.Zlob
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -
weitere Informationen
MD5: 7de25b7063d6da3a0ddda99c169ce398

Jetzt das Ergebnsi von ComboFix:

ComboFix 08-01-07.5 - jensi 2008-01-07 20:23:14.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1631 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\jensi\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\ampkfst.dll
C:\WINDOWS\foxflpd.exe
C:\WINDOWS\OPTIONS\CABS\_desktop.ini
C:\WINDOWS\system32\_000003_.tmp.dll
C:\WINDOWS\system32\_000005_.tmp.dll
C:\WINDOWS\system32\_000006_.tmp.dll
C:\WINDOWS\system32\_000007_.tmp.dll
C:\WINDOWS\system32\_000008_.tmp.dll
C:\WINDOWS\system32\_000009_.tmp.dll
C:\WINDOWS\system32\_000010_.tmp.dll
C:\WINDOWS\system32\_000011_.tmp.dll
C:\WINDOWS\system32\_000012_.tmp.dll
C:\WINDOWS\system32\_000013_.tmp.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-07 bis 2008-01-07 ))))))))))))))))))))))))))))))
.

2008-01-07 20:22 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-07 00:53 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-01-07 00:53 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-01-07 00:53 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-01-07 00:53 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-01-07 00:53 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-07 00:53 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-06 00:48 . 2008-01-06 00:48 <DIR> d-------- C:\Programme\Guitar Pro 5
2008-01-05 12:58 . 2008-01-06 23:00 <DIR> d-------- C:\Programme\Tool
2008-01-05 12:28 . 2008-01-05 12:28 85 --a------ C:\WINDOWS\wininit.ini
2008-01-05 12:08 . 2008-01-05 12:08 <DIR> d-------- C:\Dokumente und Einstellungen\jensi\DoctorWeb
2008-01-05 11:37 . 2008-01-07 20:15 1,042 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-05 01:38 . 2008-01-05 01:38 <DIR> d-------- C:\Dokumente und Einstellungen\jensi\Anwendungsdaten\ICQ Toolbar
2008-01-05 01:28 . 2008-01-05 01:28 <DIR> d-------- C:\Programme\directx
2008-01-05 00:30 . 2007-07-20 00:57 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll
2008-01-05 00:19 . 2008-01-05 00:19 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2008-01-05 00:19 . 2008-01-05 00:19 <DIR> d-------- C:\Programme\AGEIA Technologies
2008-01-04 01:25 . 2008-01-06 02:45 <DIR> d-------- C:\Dokumente und Einstellungen\jensi\Anwendungsdaten\Hamachi
2008-01-04 01:25 . 2008-01-04 01:25 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-01-03 17:17 . 2008-01-03 17:17 <DIR> d-------- C:\Dokumente und Einstellungen\jensi\Anwendungsdaten\DivX
2008-01-03 06:02 . 2008-01-03 06:02 <DIR> d-------- C:\Dokumente und Einstellungen\jensi\Anwendungsdaten\Microsoft Games
2008-01-03 05:57 . 2008-01-03 05:57 <DIR> d-------- C:\Programme\DivX
2008-01-03 05:57 . 2007-11-29 23:30 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-01-03 05:57 . 2007-11-29 23:30 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-01-03 05:56 . 2008-01-04 03:19 <DIR> d-------- C:\Dokumente und Einstellungen\jensi\Anwendungsdaten\Winamp
2008-01-03 05:47 . 2008-01-04 16:09 <DIR> d--h----- C:\WINDOWS\Icons
2008-01-03 05:31 . 2008-01-03 05:31 <DIR> d-------- C:\Programme\Microsoft Games
2008-01-03 05:13 . 2008-01-03 05:13 <DIR> d-------- C:\Programme\Codemasters
2008-01-03 02:13 . 2008-01-04 01:24 <DIR> d-------- C:\temp
2008-01-03 02:12 . 2008-01-05 00:36 <DIR> d-------- C:\Dokumente und Einstellungen\jensi\Anwendungsdaten\Media Center Programs
2008-01-03 02:05 . 2008-01-03 02:05 <DIR> d-------- C:\Programme\THQ
2008-01-03 02:03 . 2008-01-05 00:30 <DIR> d-------- C:\Dokumente und Einstellungen\jensi\Anwendungsdaten\InstallShield Installation Information
2008-01-03 00:36 . 2008-01-03 00:36 <DIR> dr-h----- C:\Dokumente und Einstellungen\jensi\Anwendungsdaten\SecuROM
2008-01-03 00:36 . 2008-01-03 00:36 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-01-03 00:29 . 2008-01-03 00:29 2,278,400 --a------ C:\WINDOWS\system32\TUKernel.exe
2008-01-03 00:15 . 2008-01-03 00:15 311 --a------ C:\WINDOWS\game.ini
2008-01-03 00:12 . 2008-01-03 00:12 <DIR> d-------- C:\Programme\Activision
2008-01-03 00:02 . 2008-01-03 00:02 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-01-03 00:00 . 2008-01-03 00:00 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2008-01-02 23:59 . 2008-01-03 01:50 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-01-02 23:59 . 2008-01-03 00:16 22,328 --a------ C:\Dokumente und Einstellungen\jensi\Anwendungsdaten\PnkBstrK.sys
2008-01-02 23:58 . 2007-07-19 18:14 3,727,720 --a------ C:\WINDOWS\system32\d3dx9_35.dll
2008-01-02 23:58 . 2007-05-16 16:45 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2008-01-02 23:58 . 2007-07-19 18:14 1,358,192 --a------ C:\WINDOWS\system32\D3DCompiler_35.dll
2008-01-02 23:58 . 2007-05-16 16:45 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2008-01-02 23:58 . 2008-01-02 23:58 669,184 --a------ C:\WINDOWS\system32\pbsvc.exe
2008-01-02 23:58 . 2007-07-19 18:14 444,776 --a------ C:\WINDOWS\system32\d3dx10_35.dll
2008-01-02 23:58 . 2007-05-16 16:45 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2008-01-02 23:58 . 2008-01-03 01:50 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2008-01-02 23:58 . 2007-04-04 18:53 81,768 --a------ C:\WINDOWS\system32\xinput1_3.dll
2008-01-02 23:58 . 2008-01-03 01:50 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2008-01-02 23:54 . 2008-01-02 23:54 <DIR> d-------- C:\Programme\Electronic Arts
2008-01-02 23:49 . 2004-04-30 09:37 160,640 --a------ C:\WINDOWS\system32\drivers\a347bus.sys
2008-01-02 23:49 . 2004-04-30 09:33 5,248 --a------ C:\WINDOWS\system32\drivers\a347scsi.sys
2008-01-02 23:46 . 2008-01-02 23:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2008-01-02 23:42 . 2008-01-02 23:42 <DIR> d-------- C:\Programme\Windows Media Connect 2
2008-01-02 23:41 . 2008-01-02 23:58 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-01-02 23:41 . 2008-01-02 23:41 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-01-02 23:31 . 2008-01-02 23:31 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2008-01-02 23:31 . 2008-01-02 23:31 <DIR> d-------- C:\Dokumente und Einstellungen\jensi\Anwendungsdaten\teamspeak2
2008-01-02 23:31 . 2008-01-02 23:31 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-01-02 23:20 . 2008-01-05 01:38 <DIR> d-------- C:\Programme\ICQToolbar
2008-01-02 23:20 . 2008-01-02 23:21 <DIR> d-------- C:\Dokumente und Einstellungen\jensi\Anwendungsdaten\ICQ
2008-01-02 23:08 . 2008-01-03 15:07 <DIR> d-------- C:\Programme\Musik
2008-01-02 23:07 . 2007-03-28 19:42 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-01-02 23:06 . 2008-01-02 23:06 <DIR> d-------- C:\Dokumente und Einstellungen\jensi\Anwendungsdaten\TuneUp Software
2008-01-02 23:05 . 2008-01-05 00:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-02 23:05 . 2008-01-03 00:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-01-02 23:01 . 2008-01-06 03:14 <DIR> d-------- C:\Programme\AntiVir etc

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-05 15:44 --------- d-----w C:\Programme\Tools
2008-01-05 00:09 --------- d-----w C:\Programme\Gamez
2008-01-04 23:53 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-02 21:43 --------- d-----w C:\Programme\Google Earth
2008-01-02 21:21 --------- d-----w C:\Dokumente und Einstellungen\jensi\Anwendungsdaten\Talkback
2008-01-02 21:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-02 21:03 --------- d-----w C:\Programme\Avira
2008-01-02 21:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-02 20:34 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-01-02 20:34 --------- d-----w C:\Programme\Realtek
2008-01-02 20:34 --------- d-----w C:\Dokumente und Einstellungen\jensi\Anwendungsdaten\InstallShield
2008-01-02 20:33 15,600 ----a-w C:\WINDOWS\gdrv.sys
2008-01-02 20:33 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-01-02 20:32 --------- d-----w C:\Programme\Intel
2008-01-02 20:22 --------- d-----w C:\Programme\microsoft frontpage
2008-01-02 20:21 --------- d-----w C:\Programme\Online-Dienste
2008-01-02 20:20 --------- d-----w C:\Programme\Gemeinsame Dateien\MSSoap
2008-01-02 20:20 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-01-02 20:14 --------- d-----w C:\Programme\Gemeinsame Dateien\SpeechEngines
2008-01-02 20:14 --------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-12-05 01:53 356,352 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2007-12-05 00:41 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-12-05 00:41 81,920 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-12-05 00:41 8,523,776 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-12-05 00:41 753,664 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-12-05 00:41 7,435,392 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys
2007-12-05 00:41 6,901,760 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-12-05 00:41 6,549,504 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-12-05 00:41 5,773,568 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-12-05 00:41 5,611,520 ----a-w C:\WINDOWS\system32\nvdispsr.dll
2007-12-05 00:41 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-12-05 00:41 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll
2007-12-05 00:41 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-12-05 00:41 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-12-05 00:41 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-12-05 00:41 385,024 ----a-w C:\WINDOWS\system32\nvapi.dll
2007-12-05 00:41 356,352 ----a-w C:\WINDOWS\system32\nvudisp.exe
2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-12-05 00:41 35,328 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll
2007-12-05 00:41 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvrshe.dll
2007-12-05 00:41 327,680 ----a-w C:\WINDOWS\system32\nvrsar.dll
2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll
2007-12-05 00:41 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll
2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll
2007-12-05 00:41 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll
2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll
2007-12-05 00:41 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll
2007-12-05 00:41 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll
2007-12-05 00:41 307,200 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll
2007-12-05 00:41 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll
2007-12-05 00:41 3,715,072 ----a-w C:\WINDOWS\system32\nvvitvsr.dll
2007-12-05 00:41 3,710,976 ----a-w C:\WINDOWS\system32\nvvitvs.dll
2007-12-05 00:41 3,420,160 ----a-w C:\WINDOWS\system32\nvgames.dll
2007-12-05 00:41 3,334,144 ----a-w C:\WINDOWS\system32\nvgamesr.dll
2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll
2007-12-05 00:41 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll
2007-12-05 00:41 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll
2007-12-05 00:41 290,816 ----a-w C:\WINDOWS\system32\nvwrsth.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll
2007-12-05 00:41 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrsfr.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrses.dll
2007-12-05 00:41 282,624 ----a-w C:\WINDOWS\system32\nvrsel.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvrsit.dll
2007-12-05 00:41 278,528 ----a-w C:\WINDOWS\system32\nvrsde.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrspt.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrsnl.dll
2007-12-05 00:41 274,432 ----a-w C:\WINDOWS\system32\nvrsesm.dll
2007-12-05 00:41 270,336 ----a-w C:\WINDOWS\system32\nvrsru.dll
2007-12-05 00:41 266,240 ----a-w C:\WINDOWS\system32\nvrsptb.dll
2007-12-05 00:41 266,240 ----a-w C:\WINDOWS\system32\nvrsja.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrstr.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrssl.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrssk.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrsko.dll
2007-12-05 00:41 258,048 ----a-w C:\WINDOWS\system32\nvrshu.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsth.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrssv.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrspl.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsno.dll
2007-12-05 00:41 253,952 ----a-w C:\WINDOWS\system32\nvrsda.dll
2007-12-05 00:41 249,856 ----a-w C:\WINDOWS\system32\nvrsfi.dll
2007-12-05 00:41 249,856 ----a-w C:\WINDOWS\system32\nvrscs.dll
2007-12-05 00:41 245,760 ----a-w C:\WINDOWS\system32\nvrseng.dll
2007-12-05 00:41 229,376 ----a-w C:\WINDOWS\system32\nvmccs.dll
2007-12-05 00:41 225,280 ----a-w C:\WINDOWS\system32\nvrszhc.dll
2007-12-05 00:41 212,992 ----a-w C:\WINDOWS\system32\nvwrsja.dll
2007-12-05 00:41 2,854,912 ----a-w C:\WINDOWS\system32\nvmoblsr.dll
2007-12-05 00:41 2,519,040 ----a-w C:\WINDOWS\system32\nvwssr.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"ICQ"="C:\Programme\Tools\ICQ6\ICQ.exe" [2007-11-21 01:47 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 10:33 16132608 C:\WINDOWS\RTHDCPL.exe]
"JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 13:44 36864]
"36X Raid Configurer"="C:\WINDOWS\system32\JMRaidSetup.exe" [2007-02-06 13:08 1953792]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-02 22:04 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoAktiveDesktop"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ampkfst"= {339F1309-860F-432A-B5DC-940E5B8B0D00} - C:\WINDOWS\ampkfst.dll [ ]

R0 pe3ah4nc;DiRT Environment Driver (pe3ah4nc);C:\WINDOWS\system32\drivers\pe3ah4nc.sys [2007-05-18 20:53]
R0 ps6ah4nc;DiRT Synchronization Driver (ps6ah4nc);C:\WINDOWS\system32\drivers\ps6ah4nc.sys [2007-05-18 20:52]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
S2 pr2ah4nc;DiRT Drivers Auto Removal (pr2ah4nc);C:\WINDOWS\system32\pr2ah4nc.exe svc []
S3 gdrv;gdrv;C:\WINDOWS\gdrv.sys [2008-01-02 21:33]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
"2008-01-04 16:15:56 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\Tools\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-01-07 20:23:45
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-07 20:23:55
ComboFix-quarantined-files.txt 2008-01-07 19:23:53
.
2008-01-04 14:33:49 --- E O F ---

hab das log von escan, aber wie geht das mit der auswerte datei?? ich kann auf deinen link nichts runterladen?!

mfg und danke soweit

Eng1ne · 08.01.2008, 14:31

hier die nachgereichte auswertung des escans:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.6.4
Sprache: English
Virus Database Date: 1/7/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: No Action Taken.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: No Action Taken.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: No Action Taken.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: No Action Taken.
System found infected with winfixer/errorsafe Adware (support.url)! Action taken: No Action Taken.
System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\run//msconfig)! Action taken: No Action Taken.
System found infected with holistyc Dialer (C:\WINDOWS\icons)! Action taken: No Action Taken.
Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
File C:\System Volume Information\_restore{DBAA4570-89F0-4B66-AD4A-BBAC30DC0307}\RP8\A0000446.exe infected by "NULL.Corrupted" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Programme\AntiVir etc\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken.
File C:\Programme\AntiVir etc\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken.
File C:\Programme\Tools\ICQ6\SmitfraudFix\Reboot.exe tagged as "not-a-virus:RiskTool.Win32.Reboot.f". Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\jensi\Startmenü\programme\thq\gas powered games\supreme commander - forged alliance\web\support.url
Offending file found: C:\Dokumente und Einstellungen\jensi\Startmenü\Programme\thq\gas powered games\supreme commander - forged alliance\web\support.url
Offending file found: C:\WINDOWS\icons
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\jensi\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Total Critical Objects: 12
Total Disinfected Objects: 0
Total Objects Renamed: 0
Total Deleted Objects: 0
Total Errors: 12
Time Elapsed: 01:14:52
Total Objects Scanned: 110094
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Memory Check: Enabled
Registry Check: Enabled
System Folder Check: Enabled
System Area Check: Disabled
Services Check: Enabled
Drive Check: Disabled
All Drive Check :Enabled
All Drive Check :Enabled

Batchstart: 14:32:43,32
Batchende: 14:32:45,87

ich hoffe ihr könnt mir helfen

PS: bis jetzt ist die viren warnung nicht nochmal gekommen

**Sunny** · 08.01.2008, 15:51

Schädlinge im Ordner der Systemwiederherstellung:

* Deaktiviere die Systemwiederherstellung -> So wird es gemacht.
* Danach das System neu starten, und mit deinem AV-Scanner nach dem Neustart
alles überprüfen.
(Systemwiederherstellung kann nun wieder aktiviert werden.)

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 2)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

08.01.2008, 17:39

Was ist eigentlich damit?

Zitat:

System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_local_machine\software\microsoft\windows\cur rentversion\run//msconfig)! Action taken: No Action Taken.

Oder ist das ein Fehlalarm von eScan?

Hijackthis Log/ Virus nicht erkennbar?

Log-Analyse und Auswertung: Hijackthis Log/ Virus nicht erkennbar?