habe seit heute morgen auf blauen hintergrund stehen: "Warning: spware threat has been detected on your Pc!!!
Dann habe ich HijackThis Log-File gemacht und benötige jetzt unbedingt eure Hilfe!!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:08:47, on 24.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmlkncfw\dmpujyfq.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\BitDefender\bdagent.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
C:\Programme\BitDefender\vsserv.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\zknirurm.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis202.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: free-*******.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programme\free-downloads.net\tbfree.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programme\free-downloads.net\tbfree.dll
O3 - Toolbar: elfwgps - {74415C3D-DB1D-40BF-9F91-1D1A31027A31} - (no file)
O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Programme\BitDefender\IEToolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Programme\free-downloads.net\tbfree.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [BitDefender Antiphishing Helper] "C:\Programme\BitDefender\IEShow.exe"
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\BitDefender\bdagent.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [SSBkgdUpdate] C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot
O4 - HKLM\..\Run: [DNS7reminder] "C:\Programme\Nuance\NaturallySpeaking9\Program\ereg.exe" -r "C:\Programme\Nuance\NaturallySpeaking9\Program\ereg.ini"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [duzvekss] C:\WINDOWS\system32\zknirurm.exe
O4 - HKLM\..\Policies\Explorer\Run: [Cr2tO32Uhq] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmlkncfw\dmpujyfq.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: WISO Bewerbung 2007 Reminder.lnk = C:\Programme\Bewerbung 2007\KCReminder.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {733A5CA7-C0E1-41D7-9506-F4AA354B4500} (ActiveFormX Control) - file://C:\Programme\AnimatedDesktop\advThemes\WorkDir\13584093\Files\ActiveFormProj1.inf
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A02402B1-6147-47D9-9968-AE04DE72039E}: NameServer = 192.168.2.1
O21 - SSODL: aswmklt - {0A5DA47F-47C7-4C06-8AFF-EB5D26DFAEA7} - (no file)
O21 - SSODL: bqxomdo - {C51E5FD4-E165-47BA-9E5E-C947199F1CDE} - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Programme\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Programme\BitDefender\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - BitDefender - C:\Programme\Gemeinsame Dateien\BitDefender\BitDefender Communicator\xcommsvr.exe

--
End of file - 11701 bytes

Wie muss ich jetzt weiter vorgehen???

Hallo Meller01 und Willkommen!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:



Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\zknirurm.exe

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmlkncfw\dmpujyfq.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)



Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 2)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

C:\WINDOWS\system32\zknirurm.exe:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.22.1 2008.03.24 -
AntiVir 7.6.0.75 2008.03.23 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.03.22 -
Avast 4.7.1098.0 2008.03.24 -
AVG 7.5.0.516 2008.03.23 -
BitDefender 7.2 2008.03.24 -
CAT-QuickHeal 9.50 2008.03.21 -
ClamAV 0.92.1 2008.03.24 -
DrWeb 4.44.0.09170 2008.03.24 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5633 2008.03.21 -
Ewido 4.0 2008.03.24 -
F-Prot 4.4.2.54 2008.03.23 -
F-Secure 6.70.13260.0 2008.03.24 -
FileAdvisor 1 2008.03.24 -
Fortinet 3.14.0.0 2008.03.24 -
Ikarus T3.1.1.20 2008.03.24 -
Kaspersky 7.0.0.125 2008.03.24 -
McAfee 5257 2008.03.21 -
Microsoft 1.3301 2008.03.24 -
NOD32v2 2968 2008.03.24 -
Norman 5.80.02 2008.03.20 -
Panda 9.0.0.4 2008.03.23 -
Prevx1 V2 2008.03.24 Covert.Sys.Exec
Rising 20.37.02.00 2008.03.24 -
Sophos 4.27.0 2008.03.24 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.24 -
TheHacker 6.2.92.252 2008.03.22 -
VBA32 3.12.6.3 2008.03.21 -
VirusBuster 4.3.26:9 2008.03.23 -
Webwasher-Gateway 6.6.2 2008.03.24 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 114688 bytes
MD5: 95111a5d23a82af66033e2ca59d3c086
SHA1: 330e0bf0778b920a2f50c68e2eb135c9495ef27f
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=0CD5C3F700AE6D46C02B01694638700089B56622


C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmlkncfw\dmpujyfq.exe:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.22.1 2008.03.24 -
AntiVir 7.6.0.75 2008.03.23 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2008.03.22 -
Avast 4.7.1098.0 2008.03.24 -
AVG 7.5.0.516 2008.03.23 -
BitDefender 7.2 2008.03.24 -
CAT-QuickHeal 9.50 2008.03.21 Win32.Trojan.Obfuscated.gx.3
ClamAV 0.92.1 2008.03.24 -
DrWeb 4.44.0.09170 2008.03.24 -
eSafe 7.0.15.0 2008.03.18 suspicious Trojan/Worm
eTrust-Vet 31.3.5633 2008.03.21 -
Ewido 4.0 2008.03.24 -
F-Prot 4.4.2.54 2008.03.23 -
F-Secure 6.70.13260.0 2008.03.24 -
FileAdvisor 1 2008.03.24 -
Fortinet 3.14.0.0 2008.03.24 -
Ikarus T3.1.1.20 2008.03.24 -
Kaspersky 7.0.0.125 2008.03.24 -
McAfee 5257 2008.03.21 -
Microsoft 1.3301 2008.03.24 Trojan:Win32/Agent.AEA
NOD32v2 2968 2008.03.24 -
Norman 5.80.02 2008.03.20 -
Panda 9.0.0.4 2008.03.23 Suspicious file
Prevx1 V2 2008.03.24 Generic.Malware
Rising 20.37.02.00 2008.03.24 -
Sophos 4.27.0 2008.03.24 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.24 -
TheHacker 6.2.92.252 2008.03.22 -
VBA32 3.12.6.3 2008.03.21 -
VirusBuster 4.3.26:9 2008.03.23 -
Webwasher-Gateway 6.6.2 2008.03.24 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 30208 bytes
MD5: d8d9afbcf6ab99ac02d15e7fa7d8dd83
SHA1: 81c67c600a64aefaf52cfa7bcaaaf319df8ccc1d
PEiD: Crypto-Lock v2.02 (Eng) -> Ryan Thian
packers: UPX
packers: UPX
packers: UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=0CE83FDD006815C2766F009F1A6C7A004E2D8A94

SmitfraudFix

SmitFraudFix v2.307

Scan done at 14:07:02,82, 24.03.2008
Run from C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\Programme\akl\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA-kompatibler Fast Ethernet-Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.2.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A02402B1-6147-47D9-9968-AE04DE72039E}: NameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A02402B1-6147-47D9-9968-AE04DE72039E}: NameServer=192.168.2.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{A02402B1-6147-47D9-9968-AE04DE72039E}: NameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Folge dieser Anleitung zum Avenger -> The Avenger

Kopiere dieses Script in das weiße Fenster und gehe vor wie es dir vorgegeben wurde in der Anleitung:

Zitat:

Files to delete:
C:\WINDOWS\system32\zknirurm.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmlkncfw\dmpujyfq.exe

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis

-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

Avenger
C:\WINDOWS\system32\zknirurm.exe:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Mon Mar 24 17:36:04 2008

17:36:04: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Mon Mar 24 17:36:09 2008

17:36:09: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Mon Mar 24 17:36:13 2008

17:36:13: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Mon Mar 24 17:36:27 2008

17:36:27: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\zknirurm.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmlkncfw\dmpujyfq.exe:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmlkncfw\dmpujyfq.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

ComboFix 08-03-23.2 - Administrator 2008-03-24 17:49:45.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1531 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
-- Other TimeOuts --
Findstr -MIF:/ sursen
CF20708.exe /c " VFind.exe -ltf -s-1000000 -d+2007-12-24 "C:\Programme\*" >progfile.dat"
VFind.exe -ltf -s-1000000 -d+2007-12-24 "C:\Programme\*"
CF20708.exe /c " dir /a/s/b C:\_desktop.ini C:\desktop_.ini C:\cnsmin* C:\_install.exe >DirRoot"
Findstr -MIF:/ "\\TTC\.pdb InsertAdvertisement"
GREP -i "C:\\Programme\\[^\\]*\\[^\\]*$"
VFind -tf -s282624 "C:\Programme\????????*[0-9].dll"
CF20708.exe /c " VFind.exe -ltf -s-1000000 -d+2007-12-24 "C:\Programme\*" >progfile.dat"
VFind.exe -ltf -s-1000000 -d+2007-12-24 "C:\Programme\*"
CF20708.exe /c " dir /a/s/b C:\_desktop.ini C:\desktop_.ini C:\cnsmin* C:\_install.exe >DirRoot"

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ShoppingReport
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ShoppingReport\cs\Config.xml
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ShoppingReport\cs\res1\WhiteList.dbs
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Programme\ShoppingReport
C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
C:\Programme\ShoppingReport\Uninst.exe
C:\WINDOWS\dat.txt
C:\WINDOWS\mslagent
C:\WINDOWS\mslagent\2_mslagent.dll
C:\WINDOWS\mslagent\mslagent.exe
C:\WINDOWS\mslagent\uninstall.exe
C:\WINDOWS\search_res.txt
C:\WINDOWS\system32\systeminfo.dll

----- BITS: Possible infected sites -----

hxxp://softworldnetwork.com
hxxp://216.40.219.141
hxxp://77.91.228.186
hxxp://onsafepro.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-02-24 bis 2008-03-24 ))))))))))))))))))))))))))))))
.

2008-03-24 17:48 . 2008-03-24 17:48 <DIR> d-------- C:\ComboFix(2)
2008-03-24 11:57 . 2008-03-24 11:57 <DIR> d-------- C:\Programme\Inet Delivery
2008-03-24 11:57 . 2008-03-24 11:57 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Desktopvirii
2008-03-24 11:57 . 2008-03-24 11:57 4,096 --a------ C:\Dokumente und Einstellungen\Administrator\DesktopTrojan.Win32.BlackBird.exe
2008-03-24 11:57 . 2008-03-24 11:57 4,096 --a------ C:\Dokumente und Einstellungen\Administrator\DesktopFWebdEditor.exe
2008-03-24 11:57 . 2008-03-24 11:57 4,096 --a------ C:\Dokumente und Einstellungen\Administrator\Desktopfwebd.exe
2008-03-24 11:57 . 2008-03-24 11:57 4,096 --a------ C:\Dokumente und Einstellungen\Administrator\Desktopfkwp2.0.exe
2008-03-24 11:57 . 2008-03-24 11:57 4,096 --a------ C:\Dokumente und Einstellungen\Administrator\Desktopfkwp1.5.exe
2008-03-24 11:57 . 2008-03-24 11:57 4,096 --a------ C:\Dokumente und Einstellungen\Administrator\Desktopfilemanagerclient.exe
2008-03-24 11:57 . 2008-03-24 11:57 4,096 --a------ C:\Dokumente und Einstellungen\Administrator\DesktopEditorFKWP2.0.exe
2008-03-24 11:57 . 2008-03-24 11:57 4,096 --a------ C:\Dokumente und Einstellungen\Administrator\DesktopEditorFKWP1.5.exe
2008-03-24 00:05 . 2008-03-24 00:08 4 --a------ C:\WINDOWS\num41.jbd
2008-03-24 00:05 . 2008-03-24 00:08 4 --a------ C:\WINDOWS\kernel102.win
2008-03-24 00:05 . 2008-03-24 00:08 4 --a------ C:\WINDOWS\info147.sys
2008-03-24 00:05 . 2008-03-24 00:08 4 --a------ C:\WINDOWS\data4711.bak
2008-03-24 00:01 . 2008-03-24 00:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Totem Shared
2008-03-23 20:22 . 2008-03-22 15:49 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-03-23 20:14 . 2008-03-24 17:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmlkncfw
2008-03-23 20:00 . 2008-03-23 20:00 <DIR> d-------- C:\Programme\EA Sports
2008-03-23 11:57 . 2008-03-23 12:07 <DIR> d-------- C:\Programme\adslTV
2008-03-23 11:50 . 2008-03-23 11:50 135 --a------ C:\DelUS.bat
2008-03-19 13:41 . 2008-03-19 13:41 <DIR> d-------- C:\Program Files
2008-03-19 03:58 . 2008-03-19 03:58 <DIR> d-------- C:\Programme\Intelore
2008-03-18 20:20 . 2008-03-23 11:50 <DIR> d-------- C:\Programme\Fifa Master
2008-03-17 18:35 . 2008-03-17 18:35 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Nuance
2008-03-17 18:31 . 2008-03-17 18:31 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Scansoft Shared
2008-03-17 18:31 . 2008-03-17 18:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2008-03-17 18:30 . 2008-03-17 18:30 <DIR> d-------- C:\Programme\Nuance
2008-03-17 18:30 . 2008-03-17 18:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nuance
2008-03-17 17:21 . 2008-03-17 17:21 0 --a------ C:\WINDOWS\plclient.INI
2008-03-17 16:27 . 2008-03-21 12:25 2,114 --a------ C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SAS7_000.DAT
2008-03-17 16:02 . 2008-03-17 18:35 <DIR> d-------- C:\WINDOWS\speech
2008-03-15 13:41 . 2008-03-15 13:41 <DIR> d-------- C:\Programme\TGTSoft
2008-03-14 16:59 . 2008-03-14 17:44 2,648,799,232 --a------ C:\VTS_01_9.VOB
2008-03-14 13:10 . 2008-03-14 13:11 <DIR> d-------- C:\Programme\Picasa2
2008-03-09 13:50 . 2008-03-09 13:50 <DIR> d-------- C:\Programme\Real Alternative
2008-03-09 13:50 . 2008-03-09 13:50 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Media Player Classic
2008-03-08 18:38 . 2008-03-08 18:38 12 --a------ C:\WINDOWS\dirsaver.ini
2008-03-08 18:31 . 2008-03-08 18:31 1,270,777 --a------ C:\WINDOWS\screensaver_taff.exe
2008-03-08 18:31 . 2008-03-08 18:31 267,249 --a------ C:\WINDOWS\screensaver_taff.prv
2008-03-08 18:31 . 2008-03-08 18:31 104,360 --a------ C:\WINDOWS\screensaver_taff.scr
2008-03-08 18:31 . 2008-03-08 18:31 28,672 --a------ C:\WINDOWS\gscr.dll
2008-03-07 19:11 . 2008-03-07 19:11 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2008-03-07 19:11 . 2008-03-07 19:11 <DIR> d-------- C:\Programme\AGEIA Technologies
2008-03-07 19:10 . 2008-03-07 19:11 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-07 15:30 . 2008-03-07 18:37 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Apple Computer
2008-03-07 15:30 . 2008-03-24 17:43 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-07 15:30 . 2008-03-07 15:30 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-07 15:29 . 2008-03-07 15:29 <DIR> d-------- C:\Programme\iPod
2008-03-07 15:28 . 2008-03-07 15:29 <DIR> d-------- C:\Programme\iTunes
2008-03-07 15:27 . 2008-03-07 15:28 <DIR> d-------- C:\Programme\QuickTime
2008-03-07 15:27 . 2008-03-07 15:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-03-07 15:26 . 2008-03-07 15:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2008-03-07 15:26 . 2008-03-07 15:26 <DIR> d-------- C:\Programme\Apple Software Update
2008-03-07 15:26 . 2008-03-07 15:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-03-05 17:32 . 2008-03-05 17:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems
2008-03-05 17:27 . 2008-03-05 17:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2008-03-03 20:10 . 2008-03-03 20:10 <DIR> d-------- C:\Programme\Bertelsmann
2008-03-03 20:10 . 2000-02-25 12:43 302,592 --a------ C:\WINDOWS\mauninst.exe
2008-03-02 21:10 . 2008-03-02 21:10 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Move Networks
2008-03-02 20:55 . 2004-08-03 23:10 51,328 --a------ C:\WINDOWS\system32\drivers\msdv.sys
2008-03-02 20:55 . 2004-08-03 23:10 51,328 --a--c--- C:\WINDOWS\system32\dllcache\msdv.sys
2008-03-02 20:55 . 2004-08-03 23:10 48,128 --a------ C:\WINDOWS\system32\drivers\61883.sys
2008-03-02 20:55 . 2004-08-03 23:10 48,128 --a--c--- C:\WINDOWS\system32\dllcache\61883.sys
2008-03-02 20:55 . 2004-08-03 23:10 38,912 --a------ C:\WINDOWS\system32\drivers\avc.sys
2008-03-02 20:55 . 2004-08-03 23:10 38,912 --a--c--- C:\WINDOWS\system32\dllcache\avc.sys
2008-03-02 20:44 . 2004-08-03 23:10 61,056 --a------ C:\WINDOWS\system32\drivers\ohci1394.sys
2008-03-02 20:44 . 2004-08-03 23:10 61,056 --a--c--- C:\WINDOWS\system32\dllcache\ohci1394.sys
2008-03-02 20:44 . 2004-08-03 23:10 53,248 --a------ C:\WINDOWS\system32\drivers\1394bus.sys
2008-03-02 20:44 . 2004-08-03 23:10 53,248 --a--c--- C:\WINDOWS\system32\dllcache\1394bus.sys
2008-03-02 20:44 . 2001-08-17 13:46 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2008-03-02 20:44 . 2001-08-17 13:46 6,400 --a--c--- C:\WINDOWS\system32\dllcache\enum1394.sys
2008-03-02 19:37 . 2008-03-02 19:37 <DIR> d-------- C:\WINDOWS\system32\System47 dir
2008-03-02 19:37 . 2008-03-02 19:37 1,023,035 --a------ C:\WINDOWS\system32\worldclock.scr
2008-03-02 19:37 . 2008-03-02 19:37 197,120 --a------ C:\WINDOWS\system32\System47.scr
2008-03-02 12:00 . 2008-03-02 12:02 <DIR> d-------- C:\Programme\ICQ6
2008-03-02 12:00 . 2008-03-02 12:01 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
2008-03-02 11:59 . 2008-03-02 11:59 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InstallShield
2008-02-28 19:55 . 2008-02-28 19:58 <DIR> d-------- C:\WINDOWS\uninstall
2008-02-28 19:49 . 2008-02-28 19:51 <DIR> d-------- C:\Programme\Nobox Bildschirmschoner
2008-02-28 19:38 . 2008-02-28 19:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2008-02-25 19:43 . 2008-02-25 19:43 <DIR> d-------- C:\Programme\Zattoo

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-24 16:53 81,984 ----a-w C:\WINDOWS\system32\bdod.bin
2008-03-24 16:43 --------- d-----w C:\Programme\BitDefender
2008-03-24 13:07 3,486 ----a-w C:\WINDOWS\system32\tmp.reg
2008-03-23 10:57 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc
2008-03-20 15:05 --------- d-----w C:\Programme\IsoBuster
2008-03-19 14:58 --------- d-----w C:\Programme\Winamp
2008-03-18 21:07 --------- d-----w C:\Programme\BlazeDTV2.1
2008-03-17 11:33 85,520 ----a-w C:\WINDOWS\system32\drivers\bdfndisf.sys
2008-03-15 16:29 --------- d-----w C:\Programme\MediaEntertainmentCodec
2008-03-12 12:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-03-07 23:16 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Hamachi
2008-03-07 18:08 --------- d-----w C:\Programme\THQ
2008-03-07 18:07 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-07 14:28 --------- d-----w C:\Programme\Bonjour
2008-03-05 16:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-29 14:34 --------- d-----w C:\Programme\PartyGaming
2008-02-29 14:33 --------- d-----w C:\Programme\AD2007
2008-02-29 14:31 --------- d-----w C:\Programme\Google
2008-02-29 14:31 --------- d-----w C:\Programme\Bus-Simulator 2008
2008-02-28 18:38 1,386,496 ----a-w C:\WINDOWS\system32\msvbvm60.dll
2008-02-22 19:10 --------- d-----w C:\Programme\CS 1.6
2008-02-22 19:05 --------- d-----w C:\Programme\Counter-Strike 1.6
2008-02-16 20:37 --------- d-----w C:\Programme\Premiere TV Guide 1.0
2008-02-16 12:23 --------- d-----w C:\Programme\IrfanView
2008-02-12 14:00 --------- d-----w C:\Programme\Hamachi
2008-02-12 13:59 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2008-02-11 20:37 --------- d-----w C:\Programme\Trillians
2008-02-11 20:18 --------- d-----w C:\Programme\Elaborate Bytes
2008-02-08 15:09 --------- d-----w C:\Programme\ICQToolbar
2008-02-07 19:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2008-02-05 19:06 97,216 ------w C:\WINDOWS\system32\drivers\AnyDVD.sys
2008-02-05 11:12 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Leadertech
2008-02-04 15:39 --------- d-----w C:\Programme\Bus-Simulator 2008 Demo
2008-02-04 11:21 --------- d-----w C:\Programme\DivX
2008-02-03 10:16 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ Toolbar
2008-02-02 17:24 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Autodesk
2008-02-02 14:21 --------- d-----w C:\Programme\DAEMON Tools
2008-02-02 12:32 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin
2008-02-02 12:32 --------- d-----w C:\Programme\Wintergarten Privat
2008-02-02 12:32 --------- d-----w C:\Programme\Gemeinsame Dateien\WETO-Software
2008-02-02 11:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
2008-02-02 11:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Autodesk Shared
2008-02-02 11:57 --------- d-----w C:\Programme\Revit Architecture 2008
2008-02-01 14:58 --------- d-----w C:\Programme\free-downloads.net
2008-02-01 14:58 --------- d-----w C:\Programme\Alcohol Soft
2008-02-01 13:09 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\THQ
2008-02-01 12:23 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-02-01 12:20 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-01-31 12:34 --------- d-----w C:\Programme\LEGO RACERS
2008-01-29 17:24 --------- d-----w C:\Programme\AnfyTeam
2008-01-29 17:18 --------- d-----w C:\Programme\Java
2008-01-29 17:17 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2008-01-29 17:03 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Aston
2008-01-28 21:18 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender
2008-01-27 10:11 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\BitDefender
2008-01-27 10:10 --------- d-----w C:\Programme\Gemeinsame Dateien\BitDefender
2008-01-27 10:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-01-26 20:26 99,708 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-26 20:26 7,137,312 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-26 20:13 --------- d-----w C:\Programme\Video mp3 Extractor
2008-01-26 20:11 --------- d-----w C:\Programme\Naevius YouTube Converter
2008-01-26 15:50 --------- d-----w C:\Programme\Config
2008-01-26 15:50 --------- d-----w C:\Programme\Bin
2008-01-26 14:47 --------- d-----w C:\Programme\UT2004
2008-01-26 14:47 --------- d-----w C:\Programme\Qtn
2008-01-26 14:47 --------- d-----w C:\Programme\Nvc
2008-01-26 14:46 --------- d-----w C:\Programme\Temp
2008-01-26 10:52 --------- d-----w C:\Programme\Logs
2008-01-26 10:46 554,528 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-26 10:46 55,148 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-26 10:27 --------- d-----w C:\Programme\Nse
2008-01-25 22:53 --------- d-----w C:\Programme\GameSpy
2008-01-25 22:51 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-01-25 22:51 --------- d--h--r C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SecuROM
2008-01-25 22:25 669,184 ----a-w C:\WINDOWS\system32\pbsvc.exe
2008-01-25 22:25 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-01-25 22:25 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-01-25 22:25 22,328 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\PnkBstrK.sys
2008-01-25 22:25 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-01-25 22:18 --------- d-----w C:\Programme\Electronic Arts
2008-01-24 16:04 --------- d-----w C:\Programme\Project64 1.6
2008-01-24 15:53 --------- d-----w C:\Programme\1964
2007-12-24 12:49 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{ecdee021-0d17-467f-a1ff-c7a115230949}]
2007-12-10 13:46 1510424 --a------ C:\Programme\free-downloads.net\tbfree.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{ECDEE021-0D17-467F-A1FF-C7A115230949}"= "C:\Programme\free-downloads.net\tbfree.dll" [2007-12-10 13:46 1510424]

[HKEY_CLASSES_ROOT\clsid\{ecdee021-0d17-467f-a1ff-c7a115230949}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2001-10-02 14:00 15360]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-02-02 12:28 68856]
"AlcoholAutomount"="C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-07-02 11:29 220544]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-03 23:29 165784]
"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2008-01-10 15:40 1661888]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-12-19 15:48 172280]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 19:31 1372160]
"duzvekss"="C:\WINDOWS\system32\zknirurm.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 09:12 90112]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-01-06 19:20 185896]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [ ]
"BitDefender Antiphishing Helper"="C:\Programme\BitDefender\IEShow.exe" [2007-10-09 15:46 61440]
"BDAgent"="C:\Programme\BitDefender\bdagent.exe" [2008-03-17 12:33 360448]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-01-31 23:13 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 13:10 267048]
"ISUSPM"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [2006-05-16 11:58 213936]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-29 16:00 155648]
"DNS7reminder"="C:\Programme\Nuance\NaturallySpeaking9\Program\ereg.exe" [2006-06-30 13:57 1409024]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2001-10-02 14:00 15360]

C:\Dokumente und Einstellungen\Administrator\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50 113664]
WISO Bewerbung 2007 Reminder.lnk - C:\Programme\Bewerbung 2007\KCReminder.exe [2006-06-07 11:54:12 1236480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"Cr2tO32Uhq"= C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmlkncfw\dmpujyfq.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\Programme\\CS 1.6\\hl.exe"=
"C:\\Programme\\Zattoo\\zattood.exe"=
"C:\\Programme\\Zattoo\\Zattoo2.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\THQ\\Frontlines-Fuel of War Beta\\Binaries\\FFOW-Beta.exe"=
"C:\\Programme\\adslTV\\adslTV.exe"=

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-02-23 04:38]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 04:39]
R2 A4SII300;A4SII300;C:\WINDOWS\system32\drivers\A4SII300.SYS [1998-02-26 15:10]
R2 IJPLMSVC;PIXMA Extended Survey Program;C:\Programme\Canon\IJPLM\IJPLMSVC.EXE [2007-04-13 17:20]
R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;C:\WINDOWS\system32\DRIVERS\bdfndisf.sys [2008-03-17 12:33]
S3 AF05BDA;AF9005 BDA Device;C:\WINDOWS\system32\drivers\AF05BDA.sys [2006-03-02 17:24]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9cd80964-c0fb-11dc-943a-0019db57604c}]
\Shell\AutoRun\command - acomnwqg.exe
\Shell\explore\Command - acomnwqg.exe
\Shell\open\Command - acomnwqg.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-24 17:53:50
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-24 17:54:08
ComboFix-quarantined-files.txt 2008-03-24 16:54:06
.
2008-03-12 12:58:01 --- E O F ---

Jetzt hat sich mein destktop hintergrund wieder verändert: Links in der mitte ist ein "!" und daneben steht ein Text: "Active Desktop...."!!! Soll ich auf die Schaltfläche "Active Desktop wiederherstellen" klicken???

Zitat:

Zitat von Meller01

Soll ich auf die Schaltfläche "Active Desktop wiederherstellen" klicken???

Ja, das kannst du nun wieder ausführen.

Okay... funktioniert alles wieder!!! Mir wurde in nen Forum noch nie so schnell und ausführlich geantwortet!!!

Dankeschön

Zitat:

Zitat von Meller01

Okay... funktioniert alles wieder!!! Mir wurde in nen Forum noch nie so schnell und ausführlich geantwortet!!!

Dankeschön

Es freut mich das alles geklappt hat.

Jedoch sind mir und meinem Kollegen BataAlexander noch einige Dateien aufgefallen, diese werden wir jedoch heute Nachmittag noch von mir entfernt.

THX an Bata.

CCleaner

Temporäre Dateien mit CCleaner bereinigen
Download CCleaner und installiere ihn, (klicke die Toolbar weg!).

Danach CCleaner starten und => unter options settings => german einstellen.

Gehe auf den Button links oben "Cleaner", setze Häkchen unter Reiter "Windows" (alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner").

Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".

Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner".




OTMoveIt by OldTimer

Folgendes Tool herunterladen -> OTMoveIt2.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

Zitat:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\tmlkncfw

--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!



ComboFix

-Lade dir das Tool hier herunter -> KLICK

Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

Anleitung Combofix

Hallo,

ich habe seit einiger zeit ...

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA
[/edit]