Download von Messenger Skinner bewirkt nervige Popups

tom.licht · 15.02.2008, 21:16

Hallo,

ich bin zur Zeit völlig am Ende mit meinem Latein. Ich kümmere mich von Zeit zu Zeit bei einer Bekannten um deren Computer. Jetzt hat Sie sich den MESSENGER SKINNER irgendwo runtergeladen und sich dabei wohl einen Trojaner eingefangen. Damit habe ich bisher aber keinerlei Erfahrungen...

Bisher hatte ich wohl immer Glück bzw war wohl gut genug geschützt um mich nicht zu infizieren.

Das größte Problem ist jetzt, dass der Computer halt nicht bei mir Zuhause steht > ich muß jedesmal dorthin fahren um weitere Sachen prüfen / LOGS erstellen zu können. Zur Zeit werden im Abstand zwischen 10 Sekunden bis ca. 30 Minuten (nach jeder Anmeldung scheinbar anders) verschiedene Seiten aufgerufen > ADVANCE CLEANER; FESTPALTTEN CLEANER;QUELLE und viele andere. Meistens bringen diese Seiten dann auch noch einen Virus aufs Syste, welcher zum Glück durch AVG FREE immer abgefangen wird. Zusätzlich wurde von Ihrem Bruder noch AntiVir PersonalEdition Classic installiert. Beide laufen zur Zeit parallel, was mir nicht gefällt aber es läuft...

SPYBOT in der neuesten Version / updates hat nicht gefunden.

Habe erstmal für den Anfang folgendes LOG erstellt:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:40:16, on 15.02.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\System32\keyhook.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Java\jre1.6.0_02\bin\jusched.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Programme\ICQLite\ICQLite.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Programme\QuickTime\qttask.exe

C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe

C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe

C:\Programme\Motherboard Monitor 5\MBM5.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE

C:\Programme\Yahoo!\Messenger\YahooMessenger.exe

C:\Programme\Windows Media Player\WMPNSCFG.exe

C:\Programme\Skype\Phone\Skype.exe

C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe

C:\Programme\Google\Google Updater\GoogleUpdater.exe

C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Programme\NETGEAR\WG111v2\WG111v2.exe

C:\Programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe

C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\PROGRA~1\INCRED~1\bin\IMOLApp.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht?p://w?w.erziehung-online.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht?p://g?.microsoft.c?m/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht?p://g?.microsoft.c?m/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht?p://g?.microsoft.c?m/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht?p://g?.microsoft.c?m/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe

O4 - HKLM\..\Run: [CTStartup] C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run

O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"

O4 - HKLM\..\Run: [Device Detection] C:\Programme\fotokasten comfort\dd.exe

O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe

O4 - HKLM\..\Run: [MBM 5] "C:\Programme\Motherboard Monitor 5\MBM5.EXE"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [Device Detection] C:\Programme\fotokasten comfort\dd.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Lexware Info Service.lnk = C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe

O4 - Global Startup: NETGEAR WG111v2 Smart Wizard.lnk = C:\Programme\NETGEAR\WG111v2\WG111v2.exe

O4 - Global Startup: Smart Wizard Wireless Settings.lnk = ?

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - ht?p://g?.microsoft.c?m/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ht?p://update.microsoft.c?m/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1151160620654

O18 - Protocol: haufereader - (no CLSID) - (no file)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--

End of file - 11180 bytes

Wäre euch wirklich sehr dankbar wenn Ihr eine Lösung für dieses Problem hättet. Die sind gerade dabei ein BABY-Bilderalbum zu erstellen und es gibt leider keine Datensicherung.

Hoffentlich kann ich mit eurer Hilfe noch was retten ohne das System neu aufsetzen zu müssen.

Tom

11Boy11 · 15.02.2008, 21:22

Hi

Bitte eScan und Combofix durchlaufen lassen, und Berichte posten!

tom.licht · 16.02.2008, 20:01

Hallo,

heute konnte ich leider nicht rüberfahren, aber der Bruder meiner Bekannten hat die gewünschten Programmen durchlaufen lassen. Hier die entsprechenden LOG-FILES:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.7.4
Sprache: German
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with lophtcrack Spyware/Adware ({179b6120-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Maßnahme ergriffen.
System found infected with lophtcrack Spyware/Adware ({179b6121-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Maßnahme ergriffen.
System found infected with lophtcrack Spyware/Adware ({179b6122-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Maßnahme ergriffen.
System found infected with lophtcrack Spyware/Adware ({179b6123-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Maßnahme ergriffen.
System found infected with lophtcrack Spyware/Adware ({179b6125-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Maßnahme ergriffen.
System found infected with lophtcrack Spyware/Adware ({179b6126-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Maßnahme ergriffen.
System found infected with lophtcrack Spyware/Adware ({179b6127-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Maßnahme ergriffen.
System found infected with lophtcrack Spyware/Adware ({179b6128-3bea-11d1-8fd4-00aa00bd091c})! Action taken: Keine Maßnahme ergriffen.
System found infected with lophtcrack Spyware/Adware ({608e8b11-3690-11d1-8fd4-00aa00bd091c})! Action taken: Keine Maßnahme ergriffen.
System found infected with lophtcrack Spyware/Adware ({9f37c431-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Maßnahme ergriffen.
System found infected with lophtcrack Spyware/Adware ({9f37c432-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Maßnahme ergriffen.
System found infected with lophtcrack Spyware/Adware ({9f37c433-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Maßnahme ergriffen.
System found infected with lophtcrack Spyware/Adware ({9f37c434-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Maßnahme ergriffen.
System found infected with lophtcrack Spyware/Adware ({9f37c435-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Maßnahme ergriffen.
System found infected with lophtcrack Spyware/Adware ({9f37c436-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Maßnahme ergriffen.
System found infected with lophtcrack Spyware/Adware ({8996b0a4-d7be-101b-8650-00aa003a5593})! Action taken: Keine Maßnahme ergriffen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung aller Laufwerke:Aktiviert

Batchstart: 15:36:42,75
Batchende: 15:36:48,85

und dann noch

ComboFix 08-02-16.2 - xxx 2008-02-16 18:17:14.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.325 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Manja\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\edheeylbk.dat
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\edheeylbk.exe
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\edheeylbk_nav.dat
c:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\edheeylbk_navps.dat
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\lsprst7.dll
C:\WINDOWS\system32\ssprs.dll
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-16 bis 2008-02-16 ))))))))))))))))))))))))))))))
.

2008-02-16 18:10 . 2004-08-04 08:57 401,408 --a------ C:\kmd.exe
2008-02-16 15:34 . 2008-02-16 15:34 0 --a------ C:\23990098.$$$
2008-02-16 13:36 . 2008-02-16 13:36 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-02-16 13:36 . 2008-02-16 13:36 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-02-16 13:36 . 2008-02-16 13:36 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-02-16 13:36 . 2008-02-16 13:36 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-02-16 13:36 . 2008-02-16 13:36 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-02-16 13:36 . 2008-02-16 13:36 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-02-16 13:36 . 2008-02-16 13:38 7,249,127 --a------ C:\WINDOWS\REGBK00.ZIP
2008-02-16 13:33 . 2008-02-16 15:29 50 --a------ C:\WINDOWS\Lic.xxx
2008-02-16 13:32 . 2004-08-04 08:58 153,600 --a------ C:\WINDOWS\R.COM
2008-02-16 13:32 . 2004-08-04 08:58 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-02-15 17:33 . 2008-02-15 17:33 <DIR> d-------- C:\Programme\Trend Micro
2008-02-15 16:25 . 2008-02-15 16:22 691,545 --a------ C:\WINDOWS\unins000.exe
2008-02-15 16:25 . 2008-02-15 16:25 3,457 --a------ C:\WINDOWS\unins000.dat
2008-02-14 15:11 . 2008-02-14 15:11 <DIR> d-------- C:\Programme\Lavasoft
2008-02-14 15:11 . 2008-02-14 15:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-14 15:10 . 2008-02-14 15:10 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-14 00:00 . 2008-02-14 00:00 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\DoctorWeb
2008-02-12 13:28 . 2008-02-12 20:59 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2008-02-02 16:39 . 2008-02-16 14:16 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Skype
2008-02-01 15:07 . 2008-02-10 18:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-01-27 21:45 . 2008-01-27 21:45 <DIR> d-------- C:\Programme\Skype
2008-01-27 21:45 . 2008-01-27 21:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-01-27 21:44 . 2008-01-27 21:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-01-27 18:42 . 2008-01-27 18:42 <DIR> d-------- C:\Programme\MSXML 6.0
2008-01-27 18:38 . 2008-01-27 18:38 <DIR> d-------- C:\Programme\MSBuild
2008-01-27 18:31 . 2008-01-27 18:41 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2008-01-27 18:29 . 2008-01-27 18:29 <DIR> d-------- C:\Programme\Reference Assemblies
2008-01-27 18:27 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-01-27 17:12 . 2008-02-13 20:20 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-01-27 17:12 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-01-27 17:09 . 2008-02-16 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-01-25 09:33 . 2008-01-30 12:14 219 --a------ C:\WINDOWS\system32\lsprst7.tgz
2008-01-22 08:34 . 2008-01-24 11:00 <DIR> d-------- C:\Programme\Macrogaming
2008-01-16 11:55 . 2008-01-16 11:55 <DIR> d-------- C:\Programme\eBay
2008-01-16 11:55 . 2008-01-16 11:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\eBay
2008-01-16 11:54 . 2008-01-16 11:54 <DIR> d-------- C:\WINDOWS\Downloaded Installations

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-16 09:33 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
2008-02-15 16:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-15 15:32 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-02-14 18:29 --------- d-----w C:\Dokumente und Einstellungen\Manja\Anwendungsdaten\AVG7
2008-02-13 19:18 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-12 14:54 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-12 12:35 --------- d-----w C:\Programme\Gemeinsame Dateien\Lexware
2008-01-27 16:09 --------- d-----w C:\Programme\Google
2008-01-24 10:01 --------- d-----w C:\Programme\Yahoo!
2008-01-24 08:03 --------- d-----w C:\Dokumente und Einstellungen\Manja\Anwendungsdaten\AdobeUM
2008-01-03 07:29 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hps
2008-01-03 07:28 --------- d-----w C:\Programme\BUDNI Fotowelt
2008-01-02 16:38 --------- d-----w C:\Programme\Motherboard Monitor 5
2007-12-20 18:18 --------- d-----w C:\Dokumente und Einstellungen\Manja\Anwendungsdaten\Ahead
2007-12-19 18:59 1,044,480 ----a-r C:\WINDOWS\system32\roboex32.dll
2007-12-18 09:51 179,584 ----a-w C:\WINDOWS\system32\drivers\mrxdav.sys
2007-12-07 02:04 824,832 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:40 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
2007-10-31 19:14 40,227 ----a-w C:\Dokumente und Einstellungen\Manja\Anwendungsdaten\mdb.bin
1999-06-10 08:34 570,128 ----a-w C:\Programme\Gemeinsame Dateien\DAO350.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2002-01-12 02:43 401496]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" [2007-03-27 14:22 4670968]
"Device Detection"="C:\Programme\fotokasten comfort\dd.exe" [ ]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 08:56 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 17:15 106496]
"SiS Windows KeyHook"="C:\WINDOWS\System32\keyhook.exe" [2003-10-30 13:09 249856]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 16:23 249896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00 132496]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"WINDVDPatch"="CTHELPER.EXE" [2002-02-07 19:01 40960 C:\WINDOWS\system32\CTHELPER.EXE]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 00:00 90112]
"Jet Detection"="C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-10-04 00:00 28672]
"CTStartup"="C:\Programme\Creative\Splash Screen\CTEaxSpl.exe" [2001-12-20 00:00 28672]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-05-07 17:49 3139164]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2007-12-21 10:55 579072]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-03 13:21 98304]
"mmtask"="C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" [2006-01-17 13:26 53248]
"Device Detection"="C:\Programme\fotokasten comfort\dd.exe" [ ]
"Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2004-11-26 11:43 90112]
"MBM 5"="C:\Programme\Motherboard Monitor 5\MBM5.EXE" [2004-06-12 09:40 594944]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"LexwareInfoService"="C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 13:59 532776]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [2007-10-25 09:25 219136]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 00:19:50 217193]
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-01-27 17:09:24 124400]
hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 01:17:18 147456]
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 01:06:58 28672]
Lexware Info Service.lnk - C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe [2007-09-25 13:59:52 532776]
NETGEAR WG111v2 Smart Wizard.lnk - C:\Programme\NETGEAR\WG111v2\WG111v2.exe [2006-03-29 14:53:20 2297856]
Smart Wizard Wireless Settings.lnk - C:\Programme\NETGEAR\WG111 Configuration Utility\WG111CFG.exe [2006-06-24 20:57:31 1077344]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ImInstaller_Magentic]
--a------ 2008-01-27 10:06 398880 C:\DOKUME~1\xxx\LOKALE~1\Temp\ImInstaller\Magentic\magentic_install.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Magentic]
C:\PROGRA~1\Magentic\bin\Magentic.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"LightScribeService"=2 (0x2)
"sdCoreService"=2 (0x2)
"sdAuxService"=2 (0x2)

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-11 14:13]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-11 14:13]

.
Inhalt des "geplante Tasks" Ordners
"2008-02-10 18:00:00 C:\WINDOWS\Tasks\backup.job"
- C:\WINDOWS\system32\ntbackup.exeKbackup
"2007-03-22 04:21:49 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1100 series#1166214141.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-16 18:20:17
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTStartup = C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run???????h??????s?????\?w? ?w???????w???w4???????.??w4???????4???TA?s4???????L&2???6~??6~????????\???\???????????U?6~??6~\???\????????$a??????C@?\???\??????s????\??????s\???0&2? A??s0&2??C@?x???`|?w\?????@

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-16 18:21:16
ComboFix-quarantined-files.txt 2008-02-16 17:21:01
.
2008-02-15 02:04:28 --- E O F ---

Ich hoffe das diese LOG's weiterhelfen.

tom.licht

tom.licht · 17.02.2008, 20:28

Hallo,

hier nochmal eine gute Nachricht. Nach dem gestrigen ESCAN und COMBOFIX gab es bisher keine weiteren POP-UPs...

Könnte es das schon gewesen sein?

Ich traue der Sache noch nicht so ganz.

TOM.LICHT

Download von Messenger Skinner bewirkt nervige Popups

Log-Analyse und Auswertung: Download von Messenger Skinner bewirkt nervige Popups