Worm.Win32.Netsky; ständige Installationsaufforderung

blackmurat · 02.02.2008, 13:59

Hallo,

nachdem ich heute meinen Rechner aus dem Standby-Betrieb wieder hochgefahren hab, blinkte im Sys-Tray ein rotes X und ein Fenster poppte auf, dass mir sagte, dass ich den "Worm.Win32.Netsky" auf dem Rechner hätte und ob ich ihn entfernen möchte. Natürlich bin ich auf abbrechen und 2 Minuten später poppte ein weiteres Fenster auf, das mich fragte, ob ich ein Malware-Entferner installieren möchte. Ständig werde ich nun von diesen Meldungen überhäuft. Und neuerdings öffnet sich immer der IE und geht auf h**p://trustedantivirus.com.

kann mir jemand helfen `???

**Sunny** · 02.02.2008, 14:14

Hallo und Willkommen!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen und bereinigen. (Option 2)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis

-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

blackmurat · 02.02.2008, 14:19

SmitFraudFix v2.278

Scan done at 14:17:16,40, 02.02.2008
Run from C:\Dokumente und Einstellungen\Black\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Comodo\Firewall\CPF.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Creative\Sound Blaster X-Fi\Entertainment Center\EAXLoadr.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Logitech\SetPoint II\SetpointII.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Opera\Opera.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

C:\WINDOWS\adsoowf.dll FOUND !
C:\WINDOWS\bgrlsmn.dll FOUND !
C:\WINDOWS\dntpkwo???.dll FOUND !
C:\WINDOWS\ekxdvft.dll FOUND !
C:\WINDOWS\ffvrdgt.exe FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Black

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Black\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Black\FAVORI~1

C:\DOKUME~1\Black\FAVORI~1\Error Cleaner.url FOUND !
C:\DOKUME~1\Black\FAVORI~1\Privacy Protector.url FOUND !
C:\DOKUME~1\Black\FAVORI~1\Spyware?Malware Protection.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix.exe by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
+--------------------------------------------------+
[!] Suspicious: dntpkwomwx.dll
BHO: SXG Advisor - {05CDA8E1-0F88-47BE-8BA0-39C84373432F}
TypeLib: {E9765336-A9CF-400C-8976-B46AD2D683EF}
Interface: {B2932FD8-8FE0-4D84-90A4-7FE0292C22A6}
Interface: {E697BBB0-3154-4DBF-BABC-CDD1577E0D84}
+--------------------------------------------------+
[!] Suspicious: PDFCreator_Toolbar.dll
BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837}
TypeLib Not Found.

[!] Suspicious: PDFCreator_Toolbar.dll
Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4}
TypeLib Not Found.

[!] Suspicious: ekxdvft.dll
Toolbar: ekxdvft - {B3A57C90-D66D-42D7-AAC2-CBB2841008BD}
TypeLib: {85386565-ED72-48A5-897D-6013E9175146}
Interface: {06FD5673-6262-4467-BB02-9E2F319CCFCE}
Classe: ekxdvft.bqro
Classe: ekxdvft.ToolBar.1

[!] Suspicious: adsoowf.dll
SSODL: adsoowf - {D6ACD095-EF0D-4107-8B9B-B86AB85540F2}

[!] Suspicious: bgrlsmn.dll
SSODL: bgrlsmn - {83B3D05B-FA1B-437C-90B4-71BCE3AC05FD}

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 213.191.92.82
DNS Server Search Order: 213.191.74.11

HKLM\SYSTEM\CCS\Services\Tcpip\..\{9B4E0851-C2E8-4998-ADA7-0291941A6C00}: NameServer=213.191.92.82 213.191.74.11
HKLM\SYSTEM\CS1\Services\Tcpip\..\{9B4E0851-C2E8-4998-ADA7-0291941A6C00}: NameServer=213.191.92.82 213.191.74.11

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

blackmurat · 02.02.2008, 14:38

Hier noch mal der Report im Abgesichertenmodus

SmitFraudFix v2.278

Scan done at 14:27:59,92, 02.02.2008
Run from C:\Dokumente und Einstellungen\Black\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\dntpkwomwx.dll deleted.
TypeLib Not Found.
C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll deleted.
C:\WINDOWS\ekxdvft.dll deleted.
C:\WINDOWS\adsoowf.dll deleted.
C:\WINDOWS\bgrlsmn.dll deleted.

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\ffvrdgt.exe Deleted
C:\DOKUME~1\Black\FAVORI~1\Error Cleaner.url Deleted
C:\DOKUME~1\Black\FAVORI~1\Privacy Protector.url Deleted
C:\DOKUME~1\Black\FAVORI~1\Spyware?Malware Protection.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

blackmurat · 02.02.2008, 14:57

ComboFix 08-02.02.5 - Black 2008-02-02 14:51:46.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1602 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Black\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\system32\CJGB04DISK.DLL

----- BITS: Possible infected sites -----

hxxp://onsafepro.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-01-02 bis 2008-02-02 ))))))))))))))))))))))))))))))
.

2008-02-02 14:17 . 2008-02-02 14:28 4,240 --a------ C:\WINDOWS\system32\tmp.reg
2008-02-02 02:58 . 2008-02-02 03:04 <DIR> d-------- C:\Programme\XoftSpySE
2008-02-02 02:17 . 2008-02-02 02:43 <DIR> d-------- C:\VIRUSfighter
2008-02-02 00:57 . 2008-02-02 00:57 <DIR> d-------- C:\Dokumente und Einstellungen\Black\Anwendungsdaten\Comodo
2008-02-02 00:57 . 2008-02-02 00:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Comodo
2008-02-02 00:55 . 2007-08-10 22:37 333 --a------ C:\boot.ini.comodofirewall
2008-02-02 00:54 . 2008-02-02 00:54 <DIR> d-------- C:\Programme\Comodo
2008-02-01 20:37 . 2008-02-01 20:48 91,700 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-02-01 20:37 . 2008-02-01 20:48 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-02-01 20:36 . 2008-02-01 20:36 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-02-01 20:36 . 2008-02-02 14:55 4,553,504 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-02-01 20:36 . 2008-02-02 14:22 63,068 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-02-01 20:36 . 2008-02-02 14:41 32,544 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-02-01 20:36 . 2008-02-02 14:22 4,856 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-02-01 19:06 . 2008-02-02 14:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-02-01 19:04 . 2008-02-01 19:04 <DIR> d-------- C:\kav
2008-02-01 18:45 . 2008-02-01 18:45 823 --a------ C:\WINDOWS\uninst.ini
2008-02-01 02:50 . 2008-02-02 02:44 <DIR> d-------- C:\Programme\IBP 9
2008-02-01 02:50 . 2008-02-02 02:43 <DIR> d-------- C:\Dokumente und Einstellungen\Black\Anwendungsdaten\IBP
2008-01-24 23:30 . 2008-01-24 23:30 32 --a------ C:\WINDOWS\go
2008-01-24 20:34 . 2008-01-24 23:24 <DIR> d-------- C:\Programme\JAP
2008-01-24 19:17 . 1998-02-06 22:37 299,520 --a------ C:\WINDOWS\uninst.exe
2008-01-24 19:16 . 2008-01-24 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\Black\WINDOWS
2008-01-24 17:35 . 2008-01-24 17:35 <DIR> d-------- C:\Programme\VMNetSrv
2008-01-24 17:35 . 2008-01-24 18:50 <DIR> d-------- C:\Dokumente und Einstellungen\Black\Anwendungsdaten\Steganos VPN
2008-01-24 02:30 . 2008-01-24 02:30 2,079 --a------ C:\WINDOWS\system32\M1achardks.dll
2008-01-24 02:28 . 2008-01-24 02:28 4,100 --a------ C:\WINDOWS\system32\hdvirffo.dll
2008-01-24 01:49 . 2008-01-24 01:49 <DIR> d-------- C:\Programme\KLC
2008-01-24 01:49 . 2004-08-08 12:58 749,568 --a------ C:\WINDOWS\system32\VBOLock.ocx
2008-01-24 01:49 . 1996-11-08 02:48 368,912 --a------ C:\WINDOWS\system32\vbar332.dll
2008-01-24 01:49 . 2001-03-13 14:49 140,288 --a------ C:\WINDOWS\system32\COMDLG32.OCX
2008-01-24 01:49 . 1999-12-07 07:00 61,491 --a------ C:\WINDOWS\system32\wbemdisp.TLB
2008-01-20 17:28 . 2008-01-20 17:28 <DIR> d-------- C:\Programme\WinSCP3
2008-01-06 22:45 . 2008-01-06 22:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\HP
2008-01-06 22:43 . 2008-01-06 22:43 <DIR> d-------- C:\Programme\Hewlett-Packard
2008-01-06 22:43 . 2008-01-06 22:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hewlett-Packard
2008-01-06 22:29 . 2008-01-06 22:47 101,598 --a------ C:\WINDOWS\hpoins04.dat
2008-01-06 22:29 . 2004-06-21 14:50 17,176 --------- C:\WINDOWS\hpomdl04.dat
2008-01-06 17:05 . 2008-01-06 16:56 101,494 --------- C:\WINDOWS\hpoins04.dat.temp
2008-01-06 17:05 . 2004-06-21 14:50 17,176 --------- C:\WINDOWS\hpomdl04.dat.temp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-02 02:37 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-02-02 02:37 107,832 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-02-02 01:17 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-01 19:19 --------- d-----w C:\Dokumente und Einstellungen\Black\Anwendungsdaten\uTorrent
2008-02-01 17:45 --------- d-----w C:\Programme\letstrade
2008-02-01 15:48 --------- d-----w C:\Programme\ICQToolbar
2008-02-01 14:31 --------- d-----w C:\Programme\HLSW
2008-02-01 02:24 --------- d-----w C:\Programme\FlashFXP
2008-01-24 16:18 --------- d-----w C:\Dokumente und Einstellungen\Black\Anwendungsdaten\UseNeXT
2008-01-08 10:06 --------- d-----w C:\Programme\UseNeXT
2008-01-06 21:43 --------- d-----w C:\Programme\HP
2007-12-16 14:22 --------- d-----w C:\Programme\Windows Live Safety Center
2007-12-07 03:52 --------- d-----w C:\Dokumente und Einstellungen\Black\Anwendungsdaten\DataDesign
2007-12-07 03:23 --------- d-----w C:\Programme\Gemeinsame Dateien\buhl data service
2007-12-07 03:14 --------- d-----w C:\Dokumente und Einstellungen\Black\Anwendungsdaten\deltra Software GmbH
2007-12-07 03:14 --------- d-----w C:\Dokumente und Einstellungen\Black\Anwendungsdaten\Buhl Data Service GmbH
2007-12-07 00:20 649,216 ------w C:\WINDOWS\fpuninst.exe
2007-12-07 00:20 --------- d-----w C:\Programme\Gemeinsame Dateien\DataDesign
2007-12-07 00:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fun communications
2007-12-07 00:18 --------- d-----w C:\Programme\BMWi
2007-12-07 00:17 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-08 11:56 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2007-11-08 11:25 22,328 ----a-w C:\Dokumente und Einstellungen\Black\Anwendungsdaten\PnkBstrK.sys
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-11-06 16:41 253,952 ------w C:\WINDOWS\Setup1.exe
2007-09-04 04:24 80 --sh--r C:\WINDOWS\system32\5B7D0358F1.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 13:00 15360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]
"nHancer"="C:\Programme\KSE\nHancer 32bit\nHancer.exe" [ ]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-08 10:06 94208]
"AlcoholAutomount"="C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" [ ]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-08-16 12:24 167368]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 23:47 31016]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-28 23:43 8466432]
"nwiz"="nwiz.exe" [2007-06-28 23:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="NvMCTray.dll" [2007-06-28 23:43 81920 C:\WINDOWS\system32\nvmctray.dll]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15 3144800]
"amd_dc_opt"="C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2006-11-17 15:49 77824]
"RCSystem"="C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [2006-11-22 16:55 57344]
"AudioDrvEmulator"="C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" [2006-11-22 16:55 57344]
"VolPanel"="C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2006-12-06 17:10 180224]
"CTHelper"="CTHELPER.EXE" [2006-11-20 20:25 19456 C:\WINDOWS\system32\CtHelper.exe]
"CTxfiHlp"="CTXFIHLP.EXE" [2006-11-20 20:25 19968 C:\WINDOWS\system32\Ctxfihlp.exe]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 00:00 90112]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 18:51 39792]
"NWEReboot"="" []
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-07-17 16:39 55824 C:\WINDOWS\KHALMNPR.Exe]
"Maplom"="C:\Programme\SlySoft\Game Jackal\GameJackal.exe" [2007-10-17 08:26 4912640]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2004-02-12 13:38 49152]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 15:18 241664]
"COMODO Firewall Pro"="C:\Programme\Comodo\Firewall\CPF.exe" [2008-02-02 00:54 1115728]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-06-20 13:04 218376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 13:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2007-08-10 19:55:46 113664]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2004-05-28 22:31:38 241664]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2004-05-28 23:06:36 53248]
SetPointII.lnk - C:\Programme\Logitech\SetPoint II\SetpointII.exe [2007-08-30 17:13:06 319488]

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 04:38]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 04:39]
R2 NwSapAgent;SAP-Agent;C:\WINDOWS\system32\svchost.exe [2006-02-28 13:00]
R3 ha20x2k;Creative 20X HAL Driver;C:\WINDOWS\system32\drivers\ha20x2k.sys [2006-11-20 20:25]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
S3 tap0801;TAP-Win32 Adapter V8;C:\WINDOWS\system32\DRIVERS\tap0801.sys [2006-03-27 16:03]
S3 UsbFltr;Razer Copperhead Driver;C:\WINDOWS\system32\drivers\copperhd.sys [2005-11-02 09:54]

.
Inhalt des "geplante Tasks" Ordners
"2008-02-01 23:00:00 C:\WINDOWS\Tasks\HPpromotions psc 2350 series.job"
- C:\Programme\HP\Digital Imaging\bin\HP Promotions\AiOMVC\HPpromo.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-02 14:55:21
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-02 14:56:34
ComboFix-quarantined-files.txt 2008-02-02 13:56:32
.
2008-01-29 01:33:04 --- E O F ---

blackmurat · 02.02.2008, 15:01

Logfile of HijackThis v1.99.1
Scan saved at 15:00:54, on 02.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Comodo\Firewall\CPF.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Logitech\SetPoint II\SetpointII.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Creative\Sound Blaster X-Fi\Entertainment Center\EAXLoadr.exe
C:\Programme\Creative\ShareDLL\CADI\NotiMan.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Black\Desktop\hijackthis\This.exe.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll (file missing)
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [RCSystem] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" RCSystem * -Startup
O4 - HKLM\..\Run: [AudioDrvEmulator] "C:\Programme\Creative\Shared Files\Module Loader\DLLML.exe" -1 AudioDrvEmulator "C:\Programme\Creative\Shared Files\Module Loader\Audio Emulator\AudDrvEm.dll"
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Maplom] C:\Programme\SlySoft\Game Jackal\GameJackal.exe /silent
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\Comodo\Firewall\CPF.exe" /background
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [nHancer] "C:\Programme\KSE\nHancer 32bit\nHancer.exe" /tray
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: SetPointII.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\Black\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk
O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\Black\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B4E0851-C2E8-4998-ADA7-0291941A6C00}: NameServer = 213.191.92.82 213.191.74.11
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\VIRUSfighter\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

blackmurat · 02.02.2008, 15:04

So wie gehts nun weiter ??

nach den ich mit SmitFraudFix v2.278 gescannt habe und in Abgesichertenmodus die infizierte datei entfernt habe bekomme ich nun die ganzen fehler meldungen nicht mehr. heißt das jetzt der sche... wurm oder trojaner ist weg ???

mfg

**Sunny** · 02.02.2008, 17:15

Zitat:

Zitat von blackmurat

heißt das jetzt der sche... wurm oder trojaner ist weg ???

mfg

Ja, genau das soll es heißen ...

Viel Spass dann noch im Netz.

blackmurat · 02.02.2008, 17:26

cool danke. werde euch bestimmt weiterempfehlen.

PS: kennt von euch jemand eine gute firewall ? die auch kostenlos ist ?

ich benutze zurzeit COMODO Firewall Pro, weiß aber nicht ob die gut genug ist.

TrojanHunter · 02.02.2008, 18:39

Kerio, ZoneAlarm....
Das wichtigste ist jedoch, dass die Firewall so eingestellt ist, dass jedes Programm bei einem Verbindugnsversuch eine Erlaubnis von dir einholen muss ( heisst meistens Trainingsmodus)

Worm.Win32.Netsky; ständige Installationsaufforderung

Log-Analyse und Auswertung: Worm.Win32.Netsky; ständige Installationsaufforderung