-HILFE- vs. BAT/Fake.Privdanger und VBS/Click.A

aleqs · 09.01.2008, 16:37

Hallo,

Ich hab mir anscheinend 2 Viren eingefangen, einmal VBS/Click.A und BAT/Fake.Privdanger.
AntiVir erkennt sie zwar, ist aber mit dem Löschen der Dateien wohl etwas überfordert. Ich somit auch.

Über Hilfe wär ich sehr dankbar...

...ach ja Smitfraudfix hab ich schon ausprobiert, hat aber nicht geholfen

Hier mal das hijackthis.log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:34:03, on 09.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\Programme\Gemeinsame Dateien\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Internet Download Manager\IDMan.exe
C:\WINDOWS\System32\1XConfig.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Programme\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Alice\signup\AliceCnn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Programme\Internet Download Manager\IDMIECC.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: BDEX System - {1AC7107A-938F-4347-864C-C51E49EC586E} - C:\WINDOWS\dxpvqlmtqn.dll (file missing)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {8A04EF81-12FF-32FC-C5E2-3FDB9A2E3C88} - C:\DOKUME~1\Samsung\ANWEND~1\BuildIso\chin lies.exe (file missing)
O2 - BHO: (no name) - {D1C71A27-8F21-36A4-93DB-243D5EFBA444} - C:\DOKUME~1\Samsung\ANWEND~1\BuildIso\chin lies.exe (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [SAMSUNG Keydefin] C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [kindrectflawburn] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Heartonekindrect\debuggrid.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Gram Dvd Math Loud] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\remotesoftwaregramdvd\internet data.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [EEventManager] C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BaseBalm] C:\DOKUME~1\Samsung\ANWEND~1\SCRFOU~1\boobroad.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [IDMan] C:\Programme\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Timezone] "C:\Programme\Microsoft Time Zone\TimeZone.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Picture Motion Browser Medienprüfung.lnk = C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Download aller Links mit IDM - C:\Programme\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV Video Inhalt mit IDM - C:\Programme\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download mit IDM - C:\Programme\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B56CB5D5-ABCD-4736-8CA4-9580F9E11A12}: NameServer = 213.191.92.82 213.191.74.11
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: ampkfst - {AAF0C920-4FE6-4B7A-98CB-619878231B6C} - C:\WINDOWS\ampkfst.dll
O23 - Service: ABBYY FineReader 9.0 PE Licensing Service (ABBYY.Licensing.FineReader.Professional.9.0) - ABBYY (BIT Software) - C:\Programme\Gemeinsame Dateien\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 9556 bytes

**Sunny** · 09.01.2008, 16:43

Hallo aleqs und Willkommen!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:

-- Rouge Spyware --

* Downloade RVAXO.exe von hier --> http://home.hetnet.nl/~stefsmeenk/RVAXO.exe
* Speichere es auf dem Desktop.
* starte die RVAXO.exe mit einem Doppelklick
* eventuell öffnet sich ein Uninstaller
* schliesse ihn nicht, lass das Programm laufen
* Starte deinen Rechner danach neu
* nach dem Neustart mach einen Doppelklick auf die RVAXO.exe
* ist sehr wichtig!
* das Logfile findest du hier: C:\RVAXO-results.log

Entfernung Swizzor.A

* Als erstes folgende Anleitung gut durchlesen und Schritt für Schritt abarbeiten
-> Anleitung Swizzor.A

* Dann die entsprechenden Einträge fixen, relevant sind bei dir folgende:

Zitat:

O4 - HKLM\..\Run: [kindrectflawburn] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Heartonekindrect\debuggrid.e xe

O4 - HKLM\..\Run: [Gram Dvd Math Loud] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\remotesoftwaregramdvd\intern et data.exe

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\DOKUME~1\Samsung\ANWEND~1\SCRFOU~1\boobroad.exe
C:\WINDOWS\ampkfst.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

aleqs · 09.01.2008, 18:46

danke erstmal für die schnelle Antwort...

habe mir die Datei runtergeladen, auf dem Desktop gespeichert und gestartet.
Ein Uninstaller hat sich nicht geöffnet.
Das Programm hat 5 Dateien kopiert und anscheinend irgendwas an der Registry geändert. Zumindest hat sich Spybot gemeldet. Hab die Änderung erlaubt.
Anschließend neu gestartet.
Beim Neustart kam die Meldung das die Datei RVAXO.bat nicht gefunden werden konnte.

Weiter bin ich bis jetzt net gekommen...

das kann noch was werden mit mir, wenn ich noch nichtmal das hinkriege

**Sunny** · 09.01.2008, 18:50

Mach erst einmal mit Punkt 2 und 3 weiter, dann sehen wir weiter.

Wenn das geschehen ist, bitte hiermit weitermachen:

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

aleqs · 09.01.2008, 22:49

so, ich musste kämpfen aber das meiste hab ich hingekriegt

Die Auswertung von Virustotal zu ampkfst.dll:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.10.10 2008.01.09 -
AntiVir 7.6.0.46 2008.01.09 -
Authentium 4.93.8 2008.01.09 -
Avast 4.7.1098.0 2008.01.09 -
AVG 7.5.0.516 2008.01.09 -
BitDefender 7.2 2008.01.09 Trojan.Zlob.CBQ
CAT-QuickHeal 9.00 2008.01.09 -
ClamAV 0.91.2 2008.01.09 -
DrWeb 4.44.0.09170 2008.01.09 -
eSafe 7.0.15.0 2008.01.09 -
eTrust-Vet 31.3.5444 2008.01.09 -
Ewido 4.0 2008.01.09 -
FileAdvisor 1 2008.01.09 -
Fortinet 3.14.0.0 2008.01.09 -
F-Prot 4.4.2.54 2008.01.09 -
F-Secure 6.70.13030.0 2008.01.09 -
Ikarus T3.1.1.20 2008.01.09 Virus.Win32.Agent.LTS
Kaspersky 7.0.0.125 2008.01.09 -
McAfee 5203 2008.01.09 -
Microsoft 1.3109 2008.01.09 Adware:Win32/SmitFraud
NOD32v2 2779 2008.01.09 -
Norman 5.80.02 2008.01.09 -
weitere Informationen
File size: 278528 bytes
MD5: 7de25b7063d6da3a0ddda99c169ce398
SHA1: 1e2a11f84763aa0bd77f7887de3a1565d7853a10
PEiD: -

Die andere Datei konnte ich leider nirgends finden!?

Das hier war glaub ich ComboFix:

ComboFix 08-01-10.2 - Samsung 2008-01-09 22:12:27.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.199 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Samsung\Eigene Dateien\Downloads\Programs\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\ampkfst.dll
C:\WINDOWS\bklgvsf.dll
C:\WINDOWS\dat.txt
C:\WINDOWS\ensfolr.dll
C:\WINDOWS\foxflpd.exe
C:\WINDOWS\system32\system
C:\WINDOWS\system32\system\DVA.386
C:\WINDOWS\system32\system\GPM2MICP.INI
C:\WINDOWS\system32\system\WING.DLL
C:\WINDOWS\system32\system\WING32.DLL
C:\WINDOWS\system32\system\WINGDE.DLL
C:\WINDOWS\system32\system\WINGDIB.DRV
C:\WINDOWS\system32\system\WINGPAL.WND

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-10 bis 2008-01-10 ))))))))))))))))))))))))))))))
.

2008-01-09 22:10 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-09 20:49 . 2008-01-09 20:49 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-01-09 17:19 . 2001-10-01 14:51 69,632 --a------ C:\WINDOWS\system32\remove.exe
2008-01-09 17:19 . 2007-07-04 20:32 16,384 --a------ C:\WINDOWS\system32\Restart.exe
2008-01-09 17:19 . 2007-12-13 16:46 7,048 --a------ C:\WINDOWS\system32\fixp.bat
2008-01-09 15:00 . 2008-01-09 15:00 <DIR> d-------- C:\Programme\Trend Micro
2008-01-09 07:39 . 2008-01-09 07:39 3,468 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-09 07:38 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-01-09 07:38 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-01-09 07:38 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-01-09 07:38 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-01-09 07:38 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-09 07:38 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-12-17 20:55 . 2007-12-17 20:55 <DIR> d-------- C:\Dokumente und Einstellungen\Samsung\Anwendungsdaten\ABBYY
2007-12-17 20:17 . 2007-12-17 20:17 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ABBYY
2007-12-17 20:08 . 2007-12-17 20:29 <DIR> d-------- C:\Programme\ABBYY FineReader 9.0
2007-12-17 20:08 . 2007-12-17 21:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ABBYY
2007-12-15 19:52 . 2007-12-15 19:52 <DIR> d-------- C:\Dokumente und Einstellungen\Samsung\.jogl_ext
2007-12-13 17:08 . 2007-12-13 17:08 <DIR> d-------- C:\WINDOWS\speech
2007-12-13 16:30 . 2007-12-13 17:28 <DIR> d-------- C:\Programme\Microsoft Time Zone

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-10 21:13 --------- d-----w C:\Dokumente und Einstellungen\Samsung\Anwendungsdaten\skypePM
2008-01-09 20:52 --------- d-----w C:\Dokumente und Einstellungen\Samsung\Anwendungsdaten\Skype
2008-01-09 20:33 --------- d-----w C:\Dokumente und Einstellungen\Samsung\Anwendungsdaten\DMCache
2008-01-04 23:50 --------- d-----w C:\Programme\ICQToolbar
2008-01-04 23:50 --------- d-----w C:\Dokumente und Einstellungen\Samsung\Anwendungsdaten\IDM
2007-12-31 18:26 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-12-31 18:25 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2007-12-12 22:37 --------- d-----w C:\Programme\You Don't Know Jack 4
2007-12-02 21:19 --------- d-----w C:\Programme\Rockstar Games
2007-12-02 20:01 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-02 16:59 --------- d-----w C:\Programme\Skype
2007-12-02 16:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-12-02 16:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2007-11-27 19:07 --------- d-----w C:\Programme\Lionhead Studios Ltd
2007-11-27 14:08 --------- d-----w C:\Dokumente und Einstellungen\Samsung\Anwendungsdaten\Leadertech
2007-11-27 13:57 --------- d-----w C:\Programme\NovaLogic
2007-11-26 07:52 --------- d-----w C:\Programme\Internet Download Manager
2007-11-25 14:57 --------- d-----w C:\Programme\Gemeinsame Dateien\xing shared
2007-11-25 14:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Real
2007-11-25 14:56 --------- d-----w C:\Programme\Real
2007-11-24 15:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SMSI
2007-11-24 01:20 --------- d-----w C:\Programme\Gemeinsame Dateien\Macromedia
2007-11-24 01:17 --------- d-----w C:\Programme\Macromedia
2007-11-22 23:20 --------- d-----w C:\Programme\Alcohol Soft
2007-11-22 23:14 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-11-22 23:10 --------- d-----w C:\Programme\Gemeinsame Dateien\SWF Studio
2007-11-21 14:10 --------- d-----w C:\Programme\Canon
2007-11-21 11:12 --------- d-----w C:\Programme\Alice
2007-11-21 11:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Alice
2006-10-15 12:29 496 ----a-w C:\Programme\Verknüpfung mit Digital Reality.lnk
2006-10-04 17:26 4,713 -c--a-w C:\Programme\audiograbber.ini
2005-06-29 18:48 138,240 -c----w C:\Programme\vorbis.dll
2005-06-29 18:47 9,216 -c----w C:\Programme\ogg.dll
2005-06-23 15:47 178,412 -c----w C:\Programme\Erste_Schritte.pdf
2002-01-03 20:50 155,648 -c----w C:\Programme\WMA8Connect.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"BaseBalm"="C:\DOKUME~1\Samsung\ANWEND~1\SCRFOU~1\boobroad.exe" [ ]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04 1415824]
"IDMan"="C:\Programme\Internet Download Manager\IDMan.exe" [2007-11-24 02:09 2553264]
"AlcoholAutomount"="C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-07-02 11:29 220544]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-11-16 12:36 21760296]
"Timezone"="C:\Programme\Microsoft Time Zone\TimeZone.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2004-02-24 18:08 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-02-03 21:10 335872]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-06-17 02:40 126976]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-06-17 02:40 561152]
"Hcontrol"="C:\WINDOWS\ATK0100\Hcontrol.exe" [2003-09-08 16:02 61440]
"SAMSUNG Keydefin"="C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe" [2004-01-15 21:48 28672]
"PRONoMgr.exe"="C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe" [2004-02-05 16:33 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43 83608]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-10 03:37 87751 C:\WINDOWS\AGRSMMSG.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-19 18:49 249896]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [ ]
"EEventManager"="C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe" [2005-04-08 13:09 102400]
"Easy-PrintToolBox"="C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 02:10 409600]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-11-25 15:56 185896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]

C:\Dokumente und Einstellungen\Samsung\Startmen\Programme\Autostart\
Picture Motion Browser Medienprfung.lnk - C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2007-01-22 00:02:39]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-04-29 21:00:00]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"ampkfst"= {AAF0C920-4FE6-4B7A-98CB-619878231B6C} - C:\WINDOWS\ampkfst.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="logonuiSS.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
C:\WINDOWS\System32\LgNotify.dll 2004-03-03 16:48 110592 C:\WINDOWS\system32\LgNotify.dll

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-16 19:01]
R0 rmedia;Ricoh MediaCard Driver;C:\WINDOWS\system32\DRIVERS\rmedia.sys [2002-12-24 19:52]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-16 19:01]
R2 ABBYY.Licensing.FineReader.Professional.9.0;ABBYY FineReader 9.0 PE Licensing Service;"C:\Programme\Gemeinsame Dateien\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe" [2007-12-06 21:03]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 12:13]
S3 DOSMEMIO;MEMIO;E:\Application\SmartScreen\MEMIO.SYS []
S3 fpcmbase;AVM ISDN-Controller FRITZ!Card PCMCIA;C:\WINDOWS\system32\DRIVERS\fpcmbase.sys [2001-08-17 12:14]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 22:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 22:46]
S3 vncdrv;vncdrv;C:\WINDOWS\system32\DRIVERS\vncdrv.sys [2004-06-26 13:22]

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
"2008-01-09 21:00:00 C:\WINDOWS\Tasks\A5B54E4F91BAFEF3.job"
- c:\dokume~1\samsung\anwend~1\scrfou~1\That Dog Cool.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-10 22:15:41
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-10 22:17:04
ComboFix-quarantined-files.txt 2008-01-10 21:16:23
.
2007-12-24 02:18:33 --- E O F ---

und dann das:

SmitFraudFix v2.274

Scan done at 22:36:02,23, 10.01.2008
Run from C:\Dokumente und Einstellungen\Samsung\Anwendungsdaten\IDM\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\Programme\Gemeinsame Dateien\ABBYY\FineReader\9.00\Licensing\PE\NetworkLicenseServer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\SAMSUNG\Keydefin\KeyDefin.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Download Manager\IDMan.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
C:\Programme\Alice\signup\AliceCnn.exe
C:\Programme\Internet Download Manager\IEMonitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Samsung

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Samsung\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Samsung\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix.exe by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 213.191.92.82
DNS Server Search Order: 213.191.74.11

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B56CB5D5-ABCD-4736-8CA4-9580F9E11A12}: NameServer=213.191.92.82 213.191.74.11
HKLM\SYSTEM\CS1\Services\Tcpip\..\{B56CB5D5-ABCD-4736-8CA4-9580F9E11A12}: NameServer=213.191.92.82 213.191.74.11

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

ich glaub meinem PC gehts jetzt schonwieder ein wenig besser.
AntiVir hat sich zumindest nicht mehr gemeldet.
Hab aber trotzdem das Gefühl das da noch so einiges schlummert

aleqs · 10.01.2008, 14:05

hmm... bin ich so ein hoffnungsloser Fall oder ist jetzt alles wieder gut?

soweit erstmal vielen Dank für die Hilfe war ja schon kurz davor zu formatieren..

-HILFE- vs. BAT/Fake.Privdanger und VBS/Click.A

Plagegeister aller Art und deren Bekämpfung: -HILFE- vs. BAT/Fake.Privdanger und VBS/Click.A