Hallo.



Fixen/Löschen mit Hijackthis


Hijackthis starten -> Do a system scan only -> einen Haken setzen in folgende weiße Kästchen:

Zitat:

O2 - BHO: {3ab9f39a-0e78-47a8-2914-ae9473c4a995} - {599a4c37-49ea-4192-8a74-87e0a93f9ba3} - C:\WINDOWS\system32\xdhjchqy.dll (file missing)

O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - C:\Programme\YourSiteBar\ysb.dll (file missing)

Wenn alle Einträge angehakt sind, klick auf den Button -> "Fix checked"
Der Rechner startet nun neu...




Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Zitat:

Files to delete:

C:\WINDOWS\system32\vdbhdlwb.dll
C:\WINDOWS\system32\oniftqmr.dll
C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\Windows\rfqncthv.exe

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

huhu, hiermit schick ich die logdatei, hoffe irgendwann wird mein pc sauber.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\vdbhdlwb.dll" not found!
Deletion of file "C:\WINDOWS\system32\vdbhdlwb.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\oniftqmr.dll" not found!
Deletion of file "C:\WINDOWS\system32\oniftqmr.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\ Windows\rfqncthv.exe"
Deletion of file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\ Windows\rfqncthv.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.

Hallo

Zitat:

bad path / the parent directory does not exist

versuch es nochmal mit diesem Pfad (Leerzeichen entfernt)

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:

C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\Windows\rfqncthv.exe
         

MFG

Zitat:

Zitat von nochdigger

Hallo


versuch es nochmal mit diesem Pfad (Leerzeichen entfernt)

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:

C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\Windows\rfqncthv.exe
         

MFG

huhu,
was soll ich mit welchem programm versuchen. netterweise genauer beschreiben
danke

Zitat:

Zitat von Brittaaaa

huhu,
was soll ich mit welchem programm versuchen. netterweise genauer beschreiben
danke

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Zitat:

Files to replace with dummy:

C:\WINDOWS\system32\vdbhdlwb.dll
C:\WINDOWS\system32\oniftqmr.dll
C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\windows\rfqncthv.exe

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\vdbhdlwb.dll" not found!
Deletion of file "C:\WINDOWS\system32\vdbhdlwb.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\oniftqmr.dll" not found!
Deletion of file "C:\WINDOWS\system32\oniftqmr.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\ Windows\rfqncthv.exe"
Deletion of file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\ Windows\rfqncthv.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.



//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sat Mar 29 16:11:57 2008

16:11:57: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 2)
Sat Mar 29 16:12:06 2008

16:12:06: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\WINDOWS\system32\vdbhdlwb.dll" not found!
Replacement with dummy of file "C:\WINDOWS\system32\vdbhdlwb.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\system32\oniftqmr.dll" not found!
Replacement with dummy of file "C:\WINDOWS\system32\oniftqmr.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\ windows\rfqncthv.exe"
Replacement with dummy of file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\ windows\rfqncthv.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.

Ok, zwei von beiden Dateien scheinen nicht mehr zu existieren, die andere jedoch schon.
Versuch bitte nochmal sie zu löschen:


kopiere diesen Text in den Avenger, so wie ebend auch schon:

Code: Alles auswählenAufklappen

ATTFilter

Files to replace with dummy:

C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\windows\rfqncthv.exe
         

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\windows\rfqncthv.exe" not found!
Replacement with dummy of file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\windows\rfqncthv.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

huhu zwischendurch noch mal eben schnell logfile vom hijacker



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:29:54, on 29.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\TVG\DasTelefonbuch Deutschland\http_tfd.exe
C:\Programme\FRITZ!\FriFon32.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\TVG\DasTelefonbuch Deutschland\win32\officemanager\OMAlarm.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [f8ffb474] rundll32.exe "C:\WINDOWS\system32\vdbhdlwb.dll",b
O4 - HKLM\..\Run: [BMfbcc87e8] Rundll32.exe "C:\WINDOWS\system32\oniftqmr.dll",s
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [ReJf5vH] C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\Windows\rfqncthv.exe
O4 - HKCU\..\Run: [Performance Center] C:\Programme\Ascentive\Performance Center\APCMain.exe -m
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: DasTelefonbuch Browserlösung.lnk = C:\Programme\TVG\DasTelefonbuch Deutschland\http_tfd.exe
O4 - Global Startup: FRITZ!fon.lnk = C:\Programme\FRITZ!\FriFon32.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: OfficeManager Terminerinnerung.lnk = C:\Programme\TVG\DasTelefonbuch Deutschland\win32\officemanager\OMAlarm.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202565131583
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1202565263136
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 7021 bytes

@britta..

Achte bitte darauf wenn du den Text kopiert hast in den Avenger, das es hier...

Zitat:

...ten\Microsoft\_windows\rfqncthv.exe

das was rot ist, kein Leerzeichen gibt, es muss so aussehen:

Zitat:

...ten\Microsoft\windows\rfqncthv.exe

Versuche es bitte nochmal mit dem Text aus meinem vorletzten Beitrag!

Zitat:

Zitat von [GC]Sunny

@britta..

Achte bitte darauf wenn du den Text kopiert hast in den Avenger, das es hier...




das was rot ist, kein Leerzeichen gibt, es muss so aussehen:



Versuche es bitte nochmal mit dem Text aus meinem vorletzten Beitrag!

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\windows\rfqncthv.exe" not found!
Replacement with dummy of file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\windows\rfqncthv.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

Error: file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\windows\rfqncthv.exe" not found!
Replacement with dummy of file "C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\windows\rfqncthv.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

huhu in der originalen logdatei ist dort kein leerzeichen!!!!! wenn ich die log poste ja sonst nicht

Das habe ich mir schon gedacht dieses Leerzeichen automatisch erstellt wurde.


Irgendwie müssen wir diese Dateien löschen da sie schädlich sind:



Anleitung Killbox:

• Lade dir folgendes Tool herunter -> KILLBOX

• Starte dann das Programm mit einem Doppelklick

• klick auf die Option -> "delete on reboot"

• kopiere diesen Text unter -> "Full Path of File to delete"

Zitat:

C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\windows\rfqncthv.exe

Nun auf das rote "x" klicken und das System neustarten lassen



---------------------------------

ComboFix

• Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

• Anleitung Combofix

ComboFix 08-03-27.5 - PETRA3000 2008-03-29 17:11:22.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.626 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\PETRA3000\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\_000003_.tmp.dll
C:\WINDOWS\system32\_000005_.tmp.dll
C:\WINDOWS\system32\_000006_.tmp.dll
C:\WINDOWS\system32\_000007_.tmp.dll
C:\WINDOWS\system32\_000008_.tmp.dll
C:\WINDOWS\system32\_000009_.tmp.dll
C:\WINDOWS\system32\_000010_.tmp.dll
C:\WINDOWS\system32\_000011_.tmp.dll
C:\WINDOWS\system32\_000012_.tmp.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_npf


((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-29 ))))))))))))))))))))))))))))))
.

2008-03-27 19:18 . 2008-03-27 19:18 <DIR> d-------- C:\Dokumente und Einstellungen\PETRA3000\DoctorWeb
2008-03-27 18:48 . 2008-03-27 18:48 <DIR> d-------- C:\Dokumente und Einstellungen\PETRA3000\Eigene Dateien drw
2008-03-27 18:45 . 2008-03-27 18:45 <DIR> d-------- C:\Dokumente und Einstellungen\PETRA3000\Desktop otwobel
2008-03-27 18:05 . 2008-03-27 18:05 <DIR> d-------- C:\_OTMoveIt
2008-03-27 17:42 . 2008-03-27 17:42 <DIR> d-------- C:\Programme\Trend Micro
2008-03-27 17:05 . 2008-03-27 17:05 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-03-27 16:33 . 2008-03-27 16:33 <DIR> d-------- C:\Programme\MSXML 6.0
2008-03-27 14:55 . 2008-03-27 14:55 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-03-27 14:55 . 2008-03-27 14:55 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-03-26 23:21 . 2008-03-27 15:52 1,479,572 ---hs---- C:\WINDOWS\system32\bwldhbdv.ini
2008-03-25 22:28 . 2008-03-27 19:05 81,984 --a------ C:\WINDOWS\system32\bdod.bin
2008-03-25 22:23 . 2008-03-27 19:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender
2008-03-25 22:22 . 2008-03-27 19:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Softwin
2008-03-25 22:08 . 2008-03-25 22:08 <DIR> d-------- C:\Program Files
2008-03-24 23:19 . 2008-03-25 23:09 1,578,389 ---hs---- C:\WINDOWS\system32\mpmgidhj.ini
2008-03-24 22:02 . 2008-03-24 23:15 <DIR> d-------- C:\Programme\SPYWAREfighter
2008-03-24 21:03 . 2008-03-24 21:03 <DIR> d-------- C:\Programme\Enigma Software Group
2008-03-23 21:51 . 2008-03-27 18:10 <DIR> d-------- C:\Programme\CCleaner
2008-03-23 21:06 . 2008-03-24 23:14 <DIR> d-------- C:\Programme\DFš-Optimierer
2008-03-23 21:06 . 2008-03-23 21:06 1,128 -r------- C:\WINDOWS\DFš-Optimierer_Uninstall.in
2008-03-23 21:04 . 2008-03-24 23:14 <DIR> d-------- C:\Dokumente und Einstellungen\PETRA3000\Eigene Dateien internet
2008-03-23 00:44 . 2008-03-23 02:30 <DIR> d-------- C:\Programme\Zylom Games
2008-03-23 00:44 . 2008-03-23 01:28 <DIR> d-------- C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Zylom
2008-03-23 00:44 . 2008-03-23 00:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
2008-03-22 22:44 . 2008-03-24 23:17 1,577,845 ---hs---- C:\WINDOWS\system32\ebynbbyj.ini
2008-03-21 22:43 . 2008-03-21 22:45 1,543,529 ---hs---- C:\WINDOWS\system32\eryhekox.ini
2008-03-20 22:42 . 2008-03-21 22:43 1,543,451 ---hs---- C:\WINDOWS\system32\ondppofd.ini
2008-03-20 05:51 . 2008-03-27 17:07 <DIR> d-------- C:\VundoFix Backups
2008-03-19 22:25 . 2008-03-12 14:13 208,896 --a------ C:\WINDOWS\system32\ConTest.dll
2008-03-19 22:25 . 2007-10-17 10:19 20,480 --a------ C:\WINDOWS\system32\SysRestore.dll
2008-03-18 22:40 . 2008-03-19 16:51 1,526,045 ---hs---- C:\WINDOWS\system32\mgaagbmk.ini
2008-03-18 10:34 . 2008-03-18 10:34 <DIR> d-------- C:\Programme\LimeWire Turbo Accelerator
2008-03-06 23:45 . 2008-03-06 23:45 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2008-03-06 23:45 . 2008-03-06 23:45 <DIR> d-------- C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\teamspeak2
2008-03-06 23:45 . 2008-03-06 23:45 34,064 --a------ C:\WINDOWS\system32\lhacm.acm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-29 02:25 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-03-24 22:14 --------- d-----w C:\Programme\DFÜ-Optimierer
2008-03-21 20:40 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-21 19:01 --------- d-----w C:\Programme\ICQToolbar
2008-03-20 05:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-19 21:25 --------- d-----w C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\ICQ Toolbar
2008-03-19 19:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-17 22:26 --------- d-----w C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\ICQ
2008-02-17 17:47 --------- d-----w C:\Programme\Gemeinsame Dateien\TVG
2008-02-17 17:47 --------- d-----w C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\TVG
2008-02-17 17:44 --------- d-----w C:\Programme\TVG
2008-02-11 21:07 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-11 21:00 --------- d-----w C:\Programme\Google
2008-02-11 14:22 --------- d-----w C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\FRITZ!
2008-02-10 11:05 --------- d-----w C:\Programme\Gemeinsame Dateien\PocketSoft
2008-02-10 10:53 97,792 ----a-w C:\WINDOWS\system32\drivers\ACEDRV05.sys
2008-02-10 10:28 78,848 ----a-w C:\WINDOWS\system32\drivers\SSHDRV85.sys
2008-02-10 00:04 --------- d-----w C:\Programme\Ascaron Entertainment
2008-02-09 23:03 --------- d-----w C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\ATI
2008-02-09 23:01 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-02-09 23:01 --------- d-----w C:\Programme\ATI Technologies
2008-02-09 17:21 --------- d-----w C:\Programme\ICQ6
2008-02-09 17:16 --------- d-----w C:\Programme\Microsoft Works
2008-02-09 17:12 --------- d-----w C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\InstallShield
2008-02-09 17:11 --------- d-----w C:\Programme\MSBuild
2008-02-09 17:07 --------- d-----w C:\Programme\Reference Assemblies
2008-02-09 17:06 --------- d-----w C:\Programme\Windows Media Connect 2
2008-02-09 15:46 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-02-09 15:46 --------- d-----w C:\Programme\Ahead
2008-02-09 15:26 --------- d-----w C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\U3
2008-02-09 15:20 --------- d-----w C:\Programme\EPSON
2008-02-09 14:56 --------- d-----w C:\Programme\FRITZ!
2008-02-09 14:55 --------- d-----w C:\Programme\Gemeinsame Dateien\AVM
2008-02-09 14:55 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ISDNWatch
2008-02-09 14:47 --------- d-----w C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\vlc
2008-02-09 14:45 --------- d-----w C:\Programme\Realtek Sound Manager
2008-02-09 14:45 --------- d-----w C:\Programme\Realtek AC97
2008-02-09 14:45 --------- d-----w C:\Programme\AvRack
2008-02-09 14:32 --------- d-----w C:\Programme\AVM_update
2008-02-09 12:31 --------- d-----w C:\Programme\Sygate
2008-02-09 12:29 --------- d-----w C:\Programme\XviD
2008-02-09 12:29 --------- d-----w C:\Programme\VideoLAN
2008-02-09 12:29 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-02-09 12:29 --------- d-----w C:\Programme\AC3Filter
2008-02-09 12:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CyberLink
2008-02-09 12:26 --------- d-----w C:\Programme\CyberLink
2008-02-09 12:24 --------- d-----w C:\Programme\Avira
2008-02-09 12:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-02-09 12:05 --------- d-----w C:\Programme\microsoft frontpage
2008-02-09 12:03 --------- d-----w C:\Programme\Online-Dienste
2008-02-09 12:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{86227D9C-0EFE-4F8A-AA55-30386A3F5686}"= C:\Programme\YourSiteBar\ysb.dll [ ]

[HKEY_CLASSES_ROOT\clsid\{86227d9c-0efe-4f8a-aa55-30386a3f5686}]
[HKEY_CLASSES_ROOT\Ysb.YsbObj.1]
[HKEY_CLASSES_ROOT\TypeLib\{86227D9C-0EFE-4f8a-AA55-30386A3F5686}]
[HKEY_CLASSES_ROOT\Ysb.YsbObj]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2003-04-14 20:05 1498032]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-12-19 15:48 172280]
"ReJf5vH"="C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\Windows\rfqncthv.exe" [ ]
"Performance Center"="C:\Programme\Ascentive\Performance Center\APCMain.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-09 13:56 249896]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-03-14 21:01 71216]
"LanguageShortcut"="C:\Programme\CyberLink\PowerDVD\Language\Language.exe" [2007-03-14 21:01 54832]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-19 12:34 2372760]
"SoundMan"="SOUNDMAN.EXE" [2006-08-03 05:12 577536 C:\WINDOWS\soundman.exe]
"NVRaidService"="C:\WINDOWS\system32\nvraidservice.exe" [2004-06-11 04:15 83968]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 15:40 155648]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-11-24 21:10 344064]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2004-11-25 00:27 32768]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"f8ffb474"="C:\WINDOWS\system32\vdbhdlwb.dll" [ ]
"BMfbcc87e8"="C:\WINDOWS\system32\oniftqmr.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2004-11-25 00:27 32768]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Ascaron Entertainment\\Sacred Underworld\\sacred.exe"=
"C:\\DAten Februar 2008\\Sacred neu\\Sacred\\Sacred.exe"=
"C:\\DAten Februar 2008\\Sacred neu\\Sacred\\GameServer.exe"=
"C:\\Programme\\Ascaron Entertainment\\Sacred\\Sacred.exe"=
"C:\\Programme\\Ascaron Entertainment\\Sacred Underworld\\gameserver.exe"=
"D:\\Shareaza\\Shareaza.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=

R1 SSHDRV85;SSHDRV85;C:\WINDOWS\system32\drivers\SSHDRV85.sys [2008-02-10 11:28]
R2 {95808DC4-FA4A-4C74-92FE-5B863F82066B};{95808DC4-FA4A-4C74-92FE-5B863F82066B};C:\Programme\CyberLink\PowerDVD\000.fcl [2007-09-19 21:37]
R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2005-06-08 02:00]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2005-06-08 02:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys [2005-06-08 02:00]
R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fdslbase.sys [2005-06-08 02:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\LaunchU3.exe -a

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-29 17:14:54
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\C:\Programme\CyberLink\PowerDVD\000.fcl"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\TVG\DasTelefonbuch Deutschland\http_tfd.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\TVG\DasTelefonbuch Deutschland\win32\officemanager\OMAlarm.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-29 17:17:31 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-29 16:17:28
ComboFix2.txt 2008-03-27 17:22:12
14 Verzeichnis(se), 264,357,216,256 Bytes frei
17 Verzeichnis(se), 264,341,594,112 Bytes frei

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

ACHTE WIEDER AUF DAS LEERZEICHEN!

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

FILE::
C:\Dokumente und Einstellungen\PETRA3000\Anwendungsdaten\Microsoft\Windows\rfqncthv.exe

FOLDER::
C:\Programme\YourSiteBar
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten