hallo, jetzt nochmal mit einem eigenen fred
rechner spielt total verrückt.
es werden andauert system alert und windows security alert angezeigt.
dann gibt es auch dieses schöne fenster in dem dann steht ich hätte irgendeinen wurm.
hinzu kommen irgendwelche antivirenprogramme die auf meinem rechner gar nichts zu suhen haben, jedoch trotz löschens immer wieder auf den schirm kommen.
ich weiß dass es dieses thema schon gibt, denn ich hatte es schon gefunden. habe dann jedoch die site gewechselt und es nicht mehr wiedergefunden SORRY

außerdem wollte ich fragen ob spybot search and destroy ein rouge programm ist.

mein viren scan per antivir:


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 3. März 2008 16:49

Es wird nach 1127934 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: *****
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: ***

Versionsinformationen:
BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00
AVSCAN.EXE : 7.0.6.1 290856 Bytes 06.09.2007 08:46:21
AVSCAN.DLL : 7.0.6.0 57384 Bytes 06.09.2007 08:46:21
LUKE.DLL : 7.0.5.3 147496 Bytes 06.09.2007 08:46:22
LUKERES.DLL : 7.0.6.0 10792 Bytes 06.09.2007 08:46:22
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 07:04:27
ANTIVIR1.VDF : 7.0.1.95 3367424 Bytes 14.12.2007 09:21:51
ANTIVIR2.VDF : 7.0.2.181 1993728 Bytes 24.02.2008 07:59:17
ANTIVIR3.VDF : 7.0.2.209 103424 Bytes 28.02.2008 07:59:17
AVEWIN32.DLL : 7.6.0.67 3293696 Bytes 20.02.2008 09:02:10
AVWINLL.DLL : 1.0.0.7 14376 Bytes 19.04.2007 19:23:19
AVPREF.DLL : 7.0.2.2 25640 Bytes 06.09.2007 08:46:21
AVREP.DLL : 7.0.0.1 155688 Bytes 19.04.2007 19:23:21
AVPACK32.DLL : 7.6.0.3 360488 Bytes 23.01.2008 04:58:50
AVREG.DLL : 7.0.1.6 30760 Bytes 06.09.2007 08:46:21
AVARKT.DLL : 1.0.0.20 278568 Bytes 06.09.2007 08:46:18
AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 06.09.2007 08:46:18
NETNT.DLL : 7.0.0.0 7720 Bytes 19.04.2007 19:23:20
RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 06.09.2007 08:46:12
RCTEXT.DLL : 7.0.62.0 90152 Bytes 06.09.2007 08:46:12
SQLITE3.DLL : 3.3.17.1 339968 Bytes 06.09.2007 08:46:24

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 3. März 2008 16:49

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'usnsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hprblog.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alicecnn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alicecnn.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'epmworker.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Generic.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WINWORD.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtHSP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosA2dp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TosBtMng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CapabilityManager.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Plauto.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'apdproxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Application Launcher.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '51' Prozesse mit '51' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '35' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HDLW1>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\kdmob.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <HDLW2>
Beginne mit der Suche in 'E:\' <HDLW3>


Ende des Suchlaufs: Montag, 3. März 2008 17:30
Benötigte Zeit: 41:18 min

Der Suchlauf wurde vollständig durchgeführt.

6821 Verzeichnisse wurden überprüft
182620 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
182620 Dateien ohne Befall
1546 Archive wurden durchsucht
3 Warnungen
0 Hinweise

sind die drei warnungen normal?

würde mich total freuen, wenn mir da jemand mal helfn könnte, hab gar keinen plan.
danke

hallo jase,
sbybot sd ist kein rogue programm, pagefile.sys und hiberfil.sys
sind windows-systemdateien.

lade dir bitte hier
http://www.trendsecure.com/portal/en...HiJackThis.exe
hijackthis herunter, nenne die HiJackThis.exe in abc.exe um,
dann
- do a system scan and save a logfile
und dann poste das log hier.

dann lade dir hier
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe
blacklight herunter
dann als admin :
- i accept the agreement
- next
- scan
und dann poste das log, das du im blacklight-ordner findest.

dann versuche, die datei
C:\WINDOWS\system32\kdmob.exe
im abgesicherten modus(bevor das windows-logo kommt, f8 drücken) als admin in einen anderen ordner zu kopieren.
von diesem anderen ordner die datei dann bitte bei
VirusTotal - Kostenloser online Viren- und Malwarescanner
überprüfen lassen
und die komplette analyse hier posten.

danke schon mal für die schnelle antwort

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:13:32, on 04.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\WINDOWS\ISW\alice\signup\alicecnn.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Dokumente und Einstellungen\Jasmin\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alice-dsl.de
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=1031
O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - C:\Programme\Super Codec\isaddon.dll (file missing)
O2 - BHO: (no name) - {1da7dbe8-c51b-4ae4-bc6e-21863349b0b4} - C:\Programme\IntCodec\isaddon.dll (file missing)
O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7A8F5B7A-A74F-495E-8A33-DF6226D2BAD8} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {B8C5186E-EC37-4889-9C2E-F73649FFB7BB} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing)
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: (no name) - {E26CEADA-67B0-4543-BE8B-307F00265118} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing)
O3 - Toolbar: Protection Bar - {a2595f37-48d0-46a1-9b51-478591a97764} - C:\Programme\IntCodec\iesplugin.dll (file missing)
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: enlfxgw - {19548442-F344-4F08-A1D3-26C3B696F790} - C:\WINDOWS\enlfxgw.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NI.UWA6PU_0001_N91M2107] "C:\Dokumente und Einstellungen\Jasmin\Desktop\WinAntiVirusPro2006FreeInstall_de.exe" -nag
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKLM\..\Policies\Explorer\Run: [homepage.monitor.exe] C:\Programme\IntCodec\isamonitor.exe
O4 - HKLM\..\Policies\Explorer\Run: [pmsngr.exe] C:\Programme\Super Codec\pmsngr.exe
O4 - HKLM\..\Policies\Explorer\Run: [isamonitor.exe] C:\Programme\Super Codec\isamonitor.exe
O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Programme\Video ActiveX Access\iesmn.exe
O4 - HKLM\..\Policies\Explorer\Run: [rare] C:\Programme\Video ActiveX Access\imsmain.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140103463606
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{781DED60-0950-4709-965B-40ACCBAAF220}: NameServer = 62.109.123.196 213.191.74.18
O17 - HKLM\System\CCS\Services\Tcpip\..\{8B0C0B04-9B25-4128-8232-61393DEA6642}: NameServer = 85.255.114.78,85.255.112.120
O17 - HKLM\System\CCS\Services\Tcpip\..\{8E805026-747D-4A39-AFF8-1A0252E6FB42}: NameServer = 85.255.114.78,85.255.112.120
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.78 85.255.112.120
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.78 85.255.112.120
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.78 85.255.112.120
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\WINDOWS\system32\viruxz.dll (file missing)
O21 - SSODL: apdqnxp - {151BA07E-7E96-4576-9207-14ECB099CF04} - C:\WINDOWS\apdqnxp.dll
O21 - SSODL: btrklfr - {97B2BBCF-FE00-4B7E-B1FA-ECB6C45E716B} - C:\WINDOWS\btrklfr.dll
O22 - SharedTaskScheduler: {874443fe-aa33-4ebf-a6ac-73208787e62d} - bestreak - (no file)
O22 - SharedTaskScheduler: heterandrous - {735e980d-45d2-4777-af82-9923d3c8d3ae} - C:\WINDOWS\system32\kgkdbsk.dll (file missing)
O22 - SharedTaskScheduler: auditioned - {44e670f2-d57b-4815-a576-955d17dbbf2d} - C:\WINDOWS\system32\eeuydc.dll (file missing)
O22 - SharedTaskScheduler: discommodiousness - {33b8d257-07f6-4c06-8605-94bc21728635} - C:\WINDOWS\system32\onljweo.dll (file missing)
O22 - SharedTaskScheduler: araca - {8068bf35-3711-4dce-a2f3-f008cecfe894} - C:\WINDOWS\system32\afzdbl.dll (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O24 - Desktop Component 0: (no name) - file:///C:/Programme/CASIO/Photo%20Loader/Image%20Library/20020101/HTML/ICON/UNKNOWN.GIF

--
End of file - 11198 bytes

das mit black light hab ich auch gemacht, finde aber den ordner nicht...?
sorry, hab halt wirklich keine ahnung von computern.
vielleicht kannst du mir ja sagen was ich falsch mache.
nach dem scan stand nur close. hab dann immer versucht irgendwo irgendwas zu finden, aber diese suche war erfolglos.
schande auf mein haupt.
die windows analyse werd ich später einschicken. muss schnell zur uni.
tausend dank bis hierhin schonmal.

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Hallöle.

Du hast dir einen Zlob eingefangen und surfst zusätzlich grade mit Umleitung über die Ukraine zu uns.

Als erste folge mal bitte dieser Anleitung.

Danach solltest du die DNS-Einträge entfernen die dich in die Ukraine führen:

Achtung:
Solltest du Probleme mit deiner Internet Verbindung bekommen:
Systemsteuerung > wähle Netzwerk und Internet Verbindungen oder mach einen
Doppelklick auf Netzwerk-Verbindungen > Klick mit der rechten Maustaste
auf Default Connection (Normale Verindung), das ist normalerweise die
örtliche Umgebung, Kabel oder DSL Verbindung > Klick mit der linken
Maustaste auf Eigenschaften > Doppelklick auf Internet Protocol (TCP/IP) >
wähle den Knopf der dafür steht, dass die DNS Verbindung automatisch
aufrecht erhalten wird > zweimal auf "OK" klicken > den Rechner neu
starten (Diese Einstellungen sind nicht auf allen Systemen gleich oder
vorhanden)

-Lade dir Fixwareout.exe herunter und speichere es auf dem Desktop.
-installiere das Tool und achte darauf das "Run fixit" aktiviert ist.
-klicke nun auf "Finish", der Scan wird starten und bald wirst du aufgefordert
einen Neustart durchzuführen, tu dieses. (der Neustart wird sich dann etwas verzögern, das ist normal!)
-achte nun auf die Hinweise die gegeben werden

{mfg an [Gc]Sunny}

Fixe nun mit HijackThis folgende Einträge im Logfile (sofern vorhanden):

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://soft*arereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: (no name) - {192c5b4a-3efd-40c7-9f99-c472deb8efc0} - C:\Programme\Super Codec\isaddon.dll (file missing)

O2 - BHO: (no name) - {1da7dbe8-c51b-4ae4-bc6e-21863349b0b4} - C:\Programme\IntCodec\isaddon.dll (file missing)

O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing)

O2 - BHO: (no name) - {7A8F5B7A-A74F-495E-8A33-DF6226D2BAD8} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {B8C5186E-EC37-4889-9C2E-F73649FFB7BB} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing)

O2 - BHO: (no name) - {E26CEADA-67B0-4543-BE8B-307F00265118} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing)

O3 - Toolbar: Protection Bar - {a2595f37-48d0-46a1-9b51-478591a97764} - C:\Programme\IntCodec\iesplugin.dll (file missing)

O3 - Toolbar: enlfxgw - {19548442-F344-4F08-A1D3-26C3B696F790} - C:\WINDOWS\enlfxgw.dll

O4 - HKLM\..\Run: [NI.UWA6PU_0001_N91M2107] "C:\Dokumente und Einstellungen\Jasmin\Desktop\WinAntiVirusPro2006Fr eeInstall_de.exe" -nag

O4 - HKLM\..\Policies\Explorer\Run: [homepage.monitor.exe] C:\Programme\IntCodec\isamonitor.exe

O4 - HKLM\..\Policies\Explorer\Run: [pmsngr.exe] C:\Programme\Super Codec\pmsngr.exe

O4 - HKLM\..\Policies\Explorer\Run: [isamonitor.exe] C:\Programme\Super Codec\isamonitor.exe

O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Programme\Video ActiveX Access\iesmn.exe

O4 - HKLM\..\Policies\Explorer\Run: [rare] C:\Programme\Video ActiveX Access\imsmain.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{8B0C0B04-9B25-4128-8232-61393DEA6642}: NameServer = 85.255.114.78,85.255.112.120

O17 - HKLM\System\CCS\Services\Tcpip\..\{8E805026-747D-4A39-AFF8-1A0252E6FB42}: NameServer = 85.255.114.78,85.255.112.120

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.78 85.255.112.120

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.78 85.255.112.120

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.78 85.255.112.120

O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - C:\WINDOWS\system32\viruxz.dll (file missing)

O21 - SSODL: apdqnxp - {151BA07E-7E96-4576-9207-14ECB099CF04} - C:\WINDOWS\apdqnxp.dll

O21 - SSODL: btrklfr - {97B2BBCF-FE00-4B7E-B1FA-ECB6C45E716B} - C:\WINDOWS\btrklfr.dll

O22 - SharedTaskScheduler: {874443fe-aa33-4ebf-a6ac-73208787e62d} - bestreak - (no file)

O22 - SharedTaskScheduler: heterandrous - {735e980d-45d2-4777-af82-9923d3c8d3ae} - C:\WINDOWS\system32\kgkdbsk.dll (file missing)

O22 - SharedTaskScheduler: auditioned - {44e670f2-d57b-4815-a576-955d17dbbf2d} - C:\WINDOWS\system32\eeuydc.dll (file missing)

O22 - SharedTaskScheduler: discommodiousness - {33b8d257-07f6-4c06-8605-94bc21728635} - C:\WINDOWS\system32\onljweo.dll (file missing)

O22 - SharedTaskScheduler: araca - {8068bf35-3711-4dce-a2f3-f008cecfe894} - C:\WINDOWS\system32\afzdbl.dll (file missing)

Danach melde dich mit frischem HJT log sowie dem SmitfraudFix log (C:\rapport.txt).


PS: Was ist das?:
"C:/Programme/CASIO/Photo%20Loader/Image%20Library/20020101/HTML/ICON/UNK NOWN.GIF"


[EDIT] Huch. Hi Bata.

mensch, ist ja der wahnsinn. ich glaub es hat funktioniert.
zumindest ist erst mal alles weg

danke!! danke!!! dankeshöööön!!!!
du hast mir den tag gerettet undoreal!
Danke auch an boston für die antwort

SmitFraudFix v2.300

Scan done at 19:39:35,50, 06.03.2008
Run from C:\Dokumente und Einstellungen\Jasmin\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Jasmin


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Jasmin\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»»


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"system"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HJT

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

ach so: "C:/Programme/CASIO/Photo%20Loader/Image%20Library/20020101/HTML/ICON/UNK NOWN.GIF", ist irgendein zubehör für eine digicam. es lädt die fotos automatisch auf den rechner und öffnetsie zum angucken...
aber hey, ich lege dafür nicht meine hand ins feuer.

hey gua, hast du das jetzt für mich gemacht??
auf jeden fall ist die analyse von hjt jetzt weg.
sorry, ih hatte verstanden ich solle es so machen
hab halt keen plan...

hier ist ist was schiefgegangen! nochmal!

http://rapidshare.com/files/12701921...sinfo.htm.html

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\system32\ubmnetjn.dll
C:\WINDOWS\system32\78.dat
C:\WINDOWS\system32\762.dat
C:\WINDOWS\system32\4.dat
C:\WINDOWS\system32\gmrcwhfe.dll
C:\WINDOWS\system32\xuaexmdy.ini
C:\WINDOWS\system32\lwbiblvd.ini
C:\WINDOWS\system32\lungiscf.ini
C:\WINDOWS\system32\fcsignul.dll
C:\WINDOWS\system32\xdmfusjq.dll
C:\WINDOWS\system32\lrqwofck.ini
C:\WINDOWS\system32\kcfowqrl.dll
C:\WINDOWS\system32\gjtbmfky.dll
C:\WINDOWS\system32\hotalnwh.dll
C:\WINDOWS\mdtgkswr.exe
C:\Programme\Uninstall_CDS.exe
C:\WINDOWS\bootstat.dat
C:\WINDOWS\bootstat.dat
C:\WINDOWS\Nircmd.exe
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Führe danach dieses Skript unter AVZ->File->Custom Skripts aus:

Code: Alles auswählenAufklappen

ATTFilter

begin
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DelBHO('{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}');
 DelBHO('{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}');
end.
         

gut, dann hier erst mal das logfile...

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\ubmnetjn.dll" deleted successfully.
File "C:\WINDOWS\system32\78.dat" deleted successfully.
File "C:\WINDOWS\system32\762.dat" deleted successfully.
File "C:\WINDOWS\system32\4.dat" deleted successfully.
File "C:\WINDOWS\system32\gmrcwhfe.dll" deleted successfully.
File "C:\WINDOWS\system32\xuaexmdy.ini" deleted successfully.
File "C:\WINDOWS\system32\lwbiblvd.ini" deleted successfully.
File "C:\WINDOWS\system32\lungiscf.ini" deleted successfully.
File "C:\WINDOWS\system32\fcsignul.dll" deleted successfully.
File "C:\WINDOWS\system32\xdmfusjq.dll" deleted successfully.
File "C:\WINDOWS\system32\lrqwofck.ini" deleted successfully.
File "C:\WINDOWS\system32\kcfowqrl.dll" deleted successfully.
File "C:\WINDOWS\system32\gjtbmfky.dll" deleted successfully.
File "C:\WINDOWS\system32\hotalnwh.dll" deleted successfully.
File "C:\WINDOWS\mdtgkswr.exe" deleted successfully.
File "C:\Programme\Uninstall_CDS.exe" deleted successfully.
File "C:\WINDOWS\bootstat.dat" deleted successfully.

Error: file "C:\WINDOWS\bootstat.dat" not found!
Deletion of file "C:\WINDOWS\bootstat.dat" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\Nircmd.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

danke für die schnelle antwort

bei part zwei sagt mir der schlingel,
script executed without errors.
aber ich hab immer noch das
SETUPAPI.DLL problem
und hinzu kommt, dass ich die audios im netz nicht
hören kann, aber sonst mein soundsystem gut funktioniert.

so jetzt gerade ist kein SETUPAPI.DLL fenster, aber der ton im netz fehlt...ich bin total verwirrt;p

guten abend an alle!

ich hatte vor 2 tagen ca. das gleiche problem wie von jase oben beschrieben wurde

(es werden andauernd system alert und windows security alert angezeigt.
dann gibt es auch dieses schöne fenster in dem dann steht ich hätte irgendeinen wurm.)

durch dieses forum habe ich es geschafft die meldungen und bösartigen dateien zu entfernen. allerdings bezweifel ich stark das das alles war, denn seit dem kann ich mein kaspersky nicht mehr öffnen und es wird auch nicht in der leiste unten rechts angezeigt wie sonst immer. habe dann kaspersky deinstalliert und eine aktuellere version aufgespielt (kav10). auch die lässt sich nicht öffnen. dann habe ich antivir installiert...auch antivir lässt sich nicht öffnen! (aber immerhin kann ich c: über rechtsklick mit antivir überprüfen lassen...antivir findet aber nichts ungewöhnliches)...auch das programm Malwarebytes' Anti-Malware lässt sich zwar installieren aber nicht öffnen. habe dann noch versucht auf einen früheren wiederherstellungspunkt zu setzen, aber auch da passiert gar nichts...solangsam verzweifel ich und glaube das sich da was fettes auf meinem laptop breit gemacht hat..habe übrigens win xp; sp3

ich hoffe wirklich sehr das mir jemand helfen kann! für die mühe sage ich schonmal vielen dank im vorraus!