Virtumonde! Hilfe!!!

destinator · 04.04.2008, 17:12

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: file "C:\WINDOWS\system32\nylpbwxn.dll" not found!
Deletion of file "C:\WINDOWS\system32\nylpbwxn.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BM6764c813" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BM6764c813" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry value "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run|BM6764c813" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

**Sunny** · 04.04.2008, 17:19

Hast du die Registry schon editiert und die Einträge entfernt?

ausserdem:

ComboFix

Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

Anleitung Combofix

destinator · 04.04.2008, 17:19

Ich habe jetzt eben nochmals einen Neustart durchgeführt und dabei ist folgende Fehlermeldung nicht mehr aufgetreten!!!

---------------------------
RUNDLL
---------------------------
Fehler beim Laden von C:\WINDOWS\system32\nylpbwxn.dll

Das angegebene Modul wurde nicht gefunden.

---------------------------
OK
---------------------------

[/QUOTE]

destinator · 04.04.2008, 17:23

[QUOTE='[GC]Sunny;332401']Hast du die Registry schon editiert und die Einträge entfernt?

Ja ich habe den Registry eintrag (eonrugr.dll Wert) bereits entfernt!!!

ausserdem:

ComboFix

Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

Ich habe Combofix 2x genau wie in der Anleitung beschrieben (Alle Programme aus, Maus nicht bewegen.....) ausgeführt!
Das 2. Mal musste der Rechner nicht mehr rebooten!!!

Soll ich nochmal ein Hijacklog ins forum setzten???

**Sunny** · 04.04.2008, 17:26

Deine Beiträge sind gerade etwas schwer zu lesen.

Wenn du den Rechner neu startest, kommt keine Fehlermeldung mehr?

Poste bitte noch das letzte Log von Combofix..ich möchte doch sicher gehen das wirklich alles weg ist.

destinator · 04.04.2008, 17:27

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:28:10, on 04.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Schmaili90\schmaili.exe
C:\Programme\Mobile Net Switch\MNS.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Mozilla Firefox 3 Beta 4\firefox.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\***.AF\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**t://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**t://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PSUtility] C:\AddOn\Fujitsu\PSUtility\TrayManager.exe
O4 - HKLM\..\Run: [LoadFUJ02E3] C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe
O4 - HKLM\..\Run: [IndicatorUtility] C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe
O4 - HKLM\..\Run: [LoadFujitsuQuickTouch] C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe
O4 - HKLM\..\Run: [LoadBtnHnd] C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Schmaili] C:\Programme\Schmaili90\schmaili.exe
O4 - HKCU\..\Run: [MNS] C:\Programme\Mobile Net Switch\MNS.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - h**t://go.microsoft.com/fwlink/?linkid=58813
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = af.local
O17 - HKLM\Software\..\Telephony: DomainName = af.local
O17 - HKLM\System\CCS\Services\Tcpip\..\{C95E3C70-EE9D-4515-AD61-4F44F5D1D039}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = af.local
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = af.local
O20 - Winlogon Notify: FJWSEL - C:\WINDOWS\SYSTEM32\FJWSWNP.dll
O20 - Winlogon Notify: PSUTY - C:\WINDOWS\SYSTEM32\PSUWNP.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

--
End of file - 9203 bytes

destinator · 04.04.2008, 17:30

ComboFix 08-04-03.3 - *** 2008-04-03 21:14:00.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1507 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***.AF\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-03 bis 2008-04-03 ))))))))))))))))))))))))))))))
.

2008-04-03 19:30 . 2008-04-03 19:30 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-03 19:30 . 2008-04-03 19:30 <DIR> d-------- C:\Dokumente und Einstellungen\***.AF\Anwendungsdaten\Malwarebytes
2008-04-03 19:30 . 2008-04-03 19:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-03 19:27 . 2008-04-03 19:27 <DIR> d-------- C:\Programme\CCleaner
2008-04-02 01:06 . 2008-04-02 01:29 <DIR> d-------- C:\Programme\RegCleaner
2008-04-02 01:01 . 2008-04-02 01:01 <DIR> d-------- C:\Programme\Enigma Software Group
2008-04-02 00:49 . 2008-04-02 02:00 260 --a------ C:\WINDOWS\wininit.ini
2008-04-02 00:18 . 2008-04-02 00:18 691,545 --a------ C:\WINDOWS\unins000.exe
2008-04-02 00:18 . 2008-04-02 00:18 2,553 --a------ C:\WINDOWS\unins000.dat
2008-03-28 10:12 . 2008-04-02 00:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-28 10:10 . 2008-04-02 00:20 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-03-27 00:30 . 2008-03-27 00:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-03-27 00:29 . 2008-03-27 00:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2008-03-26 14:10 . 2008-04-03 20:27 <DIR> d-------- C:\Programme\Mozilla Firefox 3 Beta 4
2008-03-19 20:59 . 2008-03-19 20:59 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-03-19 20:59 . 2008-03-19 20:59 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Talkback
2008-03-19 20:26 . 2008-03-19 20:26 <DIR> d-------- C:\Programme\Sygate
2008-03-19 20:26 . 2004-02-02 13:06 83,096 --a------ C:\WINDOWS\system32\SSSensor.dll
2008-03-19 20:26 . 2004-02-02 11:51 55,891 --a------ C:\WINDOWS\system32\drivers\Teefer.sys
2008-03-19 20:26 . 2004-02-02 11:53 18,518 --a------ C:\WINDOWS\system32\drivers\wpsdrvnt.sys
2008-03-19 20:26 . 2004-02-02 11:37 11,914 --a------ C:\WINDOWS\system32\drivers\wg3n.sys
2008-03-19 20:25 . 2008-03-19 20:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-13 19:16 . 2008-03-13 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2008-03-13 19:15 . 2008-03-13 19:16 <DIR> d-------- C:\Programme\Winamp Remote
2008-03-13 19:12 . 2008-03-13 20:09 <DIR> d-------- C:\Programme\Winamp
2008-03-13 19:12 . 2008-03-13 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\***.AF\Anwendungsdaten\Winamp
2008-03-07 17:37 . 2008-03-07 17:37 <DIR> d-------- C:\WINDOWS\Sun
2008-03-07 17:37 . 2008-02-22 03:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-03-07 17:36 . 2008-03-07 17:37 <DIR> d-------- C:\Programme\Java
2008-03-07 17:35 . 2008-03-07 17:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-03-05 15:36 . 2008-04-01 22:17 <DIR> d-------- C:\Programme\Everest Poker.net

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-03 09:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avg7
2008-04-03 06:19 --------- d-----w C:\Dokumente und Einstellungen\***.AF\Anwendungsdaten\AVG7
2008-04-01 07:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-03-30 19:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-27 16:49 --------- d-----w C:\Dokumente und Einstellungen\***.AF\Anwendungsdaten\Ahead
2008-02-27 16:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-02-27 16:48 --------- d-----w C:\Programme\Ahead
2008-02-26 11:49 --------- d-----w C:\Programme\METEOTEST
2008-02-25 16:19 --------- d-----w C:\Programme\PRIMA
2008-02-22 09:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-22 09:04 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-02-21 13:36 --------- d-----w C:\Programme\MSECache
2008-02-13 16:33 --------- d-----w C:\Dokumente und Einstellungen\***.AF\Anwendungsdaten\ScanSoft
2008-02-13 10:13 --------- d-----w C:\Dokumente und Einstellungen\***.AF\Anwendungsdaten\Brother
2008-02-12 17:32 --------- d-----w C:\Programme\ScanSoft
2008-02-12 17:32 --------- d-----w C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2008-02-12 17:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2008-02-12 17:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Brother
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"Schmaili"="C:\Programme\Schmaili90\schmaili.exe" [2007-08-03 08:46 536576]
"MNS"="C:\Programme\Mobile Net Switch\MNS.exe" [2007-02-26 09:54 904456]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-10 08:16 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 06:34 16143872 C:\WINDOWS\RTHDCPL.EXE]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-11-03 14:22 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-11-03 14:26 118784]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-01-05 09:03 761946]
"PSUtility"="C:\AddOn\Fujitsu\PSUtility\TrayManager.exe" [2006-07-05 11:57 118784]
"LoadFUJ02E3"="C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe" [2006-04-20 13:08 73728]
"IndicatorUtility"="C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe" [2005-09-10 00:12 81920]
"LoadFujitsuQuickTouch"="C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe" [2005-07-21 14:21 353792]
"LoadBtnHnd"="C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe" [2005-07-21 14:20 61440]
"AGRSMMSG"="AGRSMMSG.exe" [2006-06-29 13:32 89541 C:\WINDOWS\AGRSMMSG.exe]
"Synchronization Manager"="C:\WINDOWS\system32\mobsync.exe" [2004-08-04 14:00 144384]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-01-04 14:38 579072]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 11:22 155648]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-10 14:18 57393]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-10 14:31 40960]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 17:35 2372760]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 20:52 483328]
"BM6764c813"="C:\WINDOWS\system32\nylpbwxn.dll" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-12-31 12:34 219136]
"Schmaili"="C:\Programme\Schmaili90\schmaili.exe" [2007-08-03 08:46 536576]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisablePersonalDirChange"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\FJWSEL]
FJWSWNP.dll 2006-06-29 15:45 32768 C:\WINDOWS\system32\FJWSWNP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PSUTY]
PSUWNP.dll 2006-06-02 17:04 32768 C:\WINDOWS\system32\PSUWNP.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***.AF^Startmenü^Programme^Autostart^VirtuaGirl2.lnk.disabled]
path=C:\Dokumente und Einstellungen\***.AF\Startmenü\Programme\Autostart\VirtuaGirl2.lnk.disabled
backup=C:\WINDOWS\pss\VirtuaGirl2.lnk.disabledStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM6764c813]
C:\WINDOWS\system32\eonqrugr.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-02-16 23:11 49152 C:\Programme\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"RichVideo"=2 (0x2)
"MNSFramework"=2 (0x2)
"MDM"=2 (0x2)
"gusvc"=2 (0x2)
"AgereModemAudio"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"LanguageShortcut"=C:\Programme\CyberLink\PowerDVD\Language\Language.exe
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\HP1005MC.EXE"=
"C:\\Programme\\Network Stumbler\\NetStumbler.exe"=
"C:\\Programme\\mg7\\prog\\mgstart.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R3 FUJ02E1;%FUJ02E1.DeviceDesc%;C:\WINDOWS\system32\Drivers\FUJ02E1.sys [2004-10-18 23:08]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;C:\WINDOWS\system32\DRIVERS\FUJ02E3.sys [2004-01-17 12:15]
S3 ADM851X;Infineon ADM851X USB To Fast Ethernet MII Adapter Driver;C:\WINDOWS\system32\DRIVERS\ADM851X.SYS [2006-04-21 06:26]
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 13:50]
S3 BrSerIf;Brother MFC Serial Port Interface WDM Driver;C:\WINDOWS\system32\Drivers\BrSerIf.sys [2006-01-18 23:44]
S3 BrUsbSer;Brother MFC USB Serial WDM Driver;C:\WINDOWS\system32\Drivers\BrUsbSer.sys [2006-01-19 04:17]
S3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-06-29 19:27]
S3 GTUQBUS;GT UQ BUS;C:\WINDOWS\system32\DRIVERS\gtuqbus.sys [2007-06-29 19:27]
S3 HPFXBULK;HPFXBULK;C:\WINDOWS\system32\drivers\hpfxbulk.sys [2006-06-12 16:36]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 04:12]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);C:\WINDOWS\system32\DRIVERS\s115bus.sys [2007-04-23 15:54]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s115mdfl.sys [2007-04-23 15:54]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s115mdm.sys [2007-04-23 15:54]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s115mgmt.sys [2007-04-23 15:54]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s115obex.sys [2007-04-23 15:54]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-04-03 21:14:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-03 21:15:10
ComboFix-quarantined-files.txt 2008-04-03 19:15:08
ComboFix2.txt 2008-04-03 18:22:39
15 Verzeichnis(se), 16,055,488,512 Bytes frei
20 Verzeichnis(se), 16,041,652,224 Bytes frei
.
2008-03-12 07:51:14 --- E O F ---

**Sunny** · 04.04.2008, 17:33

Scripten mit Combofix

Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Zitat:

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM6764c813]

File::
C:\WINDOWS\system32\eonqrugr.dll

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

destinator · 04.04.2008, 17:35

[QUOTE='[GC]Sunny;332405']Deine Beiträge sind gerade etwas schwer zu lesen.

Wenn du den Rechner neu startest, kommt keine Fehlermeldung mehr?

Sorry aber genau das hab ich damit gemeint!

Keine Fehlermeldung mehr!!!

AVG Virenscan:

C:\WINDOWS\system32\drivers\etc\host
Result: Change
Status: Changed

Das spricht der Virenscanner!
Sonst keinerlei Probleme mehr

**Sunny** · 04.04.2008, 17:46

DNS-Informationen aus hosts extrahieren

Starte HijackThis -> Do a system scan only

rechts unten den Button "Config" anklicken

"Misc Tools"

"Open hosts file manager" öffnen

"Open in notepad"

und den gesamten Text abkopieren und in deinen Beitrag einfügen

So sollte es dann aussehen:

Zitat:

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

destinator · 04.04.2008, 17:51

ComboFix 08-04-03.5 - *** 2008-04-04 18:44:25.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1625 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***.AF\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\***.AF\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\eonqrugr.dll
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-04 bis 2008-04-04 ))))))))))))))))))))))))))))))
.

2008-04-03 19:30 . 2008-04-03 19:30 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-04-03 19:30 . 2008-04-03 19:30 <DIR> d-------- C:\Dokumente und Einstellungen\***.AF\Anwendungsdaten\Malwarebytes
2008-04-03 19:30 . 2008-04-03 19:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-03 19:27 . 2008-04-03 19:27 <DIR> d-------- C:\Programme\CCleaner
2008-04-02 01:06 . 2008-04-02 01:29 <DIR> d-------- C:\Programme\RegCleaner
2008-04-02 01:01 . 2008-04-02 01:01 <DIR> d-------- C:\Programme\Enigma Software Group
2008-04-02 00:49 . 2008-04-02 02:00 260 --a------ C:\WINDOWS\wininit.ini
2008-04-02 00:18 . 2008-04-02 00:18 691,545 --a------ C:\WINDOWS\unins000.exe
2008-04-02 00:18 . 2008-04-02 00:18 2,553 --a------ C:\WINDOWS\unins000.dat
2008-03-28 10:12 . 2008-04-02 00:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-28 10:10 . 2008-04-02 00:20 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-03-27 00:30 . 2008-03-27 00:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared
2008-03-27 00:29 . 2008-03-27 00:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real
2008-03-26 14:10 . 2008-04-04 18:19 <DIR> d-------- C:\Programme\Mozilla Firefox 3 Beta 4
2008-03-19 20:59 . 2008-03-19 20:59 <DIR> dr------- C:\Dokumente und Einstellungen\NetworkService\Favoriten
2008-03-19 20:59 . 2008-03-19 20:59 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Talkback
2008-03-19 20:26 . 2008-03-19 20:26 <DIR> d-------- C:\Programme\Sygate
2008-03-19 20:26 . 2004-02-02 13:06 83,096 --a------ C:\WINDOWS\system32\SSSensor.dll
2008-03-19 20:26 . 2004-02-02 11:51 55,891 --a------ C:\WINDOWS\system32\drivers\Teefer.sys
2008-03-19 20:26 . 2004-02-02 11:53 18,518 --a------ C:\WINDOWS\system32\drivers\wpsdrvnt.sys
2008-03-19 20:26 . 2004-02-02 11:37 11,914 --a------ C:\WINDOWS\system32\drivers\wg3n.sys
2008-03-19 20:25 . 2008-03-19 20:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-13 19:16 . 2008-03-13 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2008-03-13 19:15 . 2008-03-13 19:16 <DIR> d-------- C:\Programme\Winamp Remote
2008-03-13 19:12 . 2008-03-13 20:09 <DIR> d-------- C:\Programme\Winamp
2008-03-13 19:12 . 2008-03-13 19:40 <DIR> d-------- C:\Dokumente und Einstellungen\***.AF\Anwendungsdaten\Winamp
2008-03-07 17:37 . 2008-03-07 17:37 <DIR> d-------- C:\WINDOWS\Sun
2008-03-07 17:37 . 2008-02-22 03:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-03-07 17:36 . 2008-03-07 17:37 <DIR> d-------- C:\Programme\Java
2008-03-07 17:35 . 2008-03-07 17:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-03-05 15:36 . 2008-04-01 22:17 <DIR> d-------- C:\Programme\Everest Poker.net

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-04 12:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avg7
2008-04-04 10:59 --------- d-----w C:\Dokumente und Einstellungen\***.AF\Anwendungsdaten\AVG7
2008-04-01 07:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-03-30 19:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-27 16:49 --------- d-----w C:\Dokumente und Einstellungen\***.AF\Anwendungsdaten\Ahead
2008-02-27 16:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2008-02-27 16:48 --------- d-----w C:\Programme\Ahead
2008-02-26 11:49 --------- d-----w C:\Programme\METEOTEST
2008-02-25 16:19 --------- d-----w C:\Programme\PRIMA
2008-02-22 09:04 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-22 09:04 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-02-21 13:36 --------- d-----w C:\Programme\MSECache
2008-02-13 16:33 --------- d-----w C:\Dokumente und Einstellungen\***.AF\Anwendungsdaten\ScanSoft
2008-02-13 10:13 --------- d-----w C:\Dokumente und Einstellungen\***.AF\Anwendungsdaten\Brother
2008-02-12 17:32 --------- d-----w C:\Programme\ScanSoft
2008-02-12 17:32 --------- d-----w C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2008-02-12 17:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2008-02-12 17:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Brother
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"Schmaili"="C:\Programme\Schmaili90\schmaili.exe" [2007-08-03 08:46 536576]
"MNS"="C:\Programme\Mobile Net Switch\MNS.exe" [2007-02-26 09:54 904456]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-10 08:16 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 06:34 16143872 C:\WINDOWS\RTHDCPL.EXE]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-11-03 14:22 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-11-03 14:26 118784]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-01-05 09:03 761946]
"PSUtility"="C:\AddOn\Fujitsu\PSUtility\TrayManager.exe" [2006-07-05 11:57 118784]
"LoadFUJ02E3"="C:\Programme\Fujitsu\FUJ02E3\FUJ02E3.exe" [2006-04-20 13:08 73728]
"IndicatorUtility"="C:\AddOn\Fujitsu\Fujitsu Hotkey Utility\IndicatorUty.exe" [2005-09-10 00:12 81920]
"LoadFujitsuQuickTouch"="C:\AddOn\Fujitsu\Application Panel\QuickTouch.exe" [2005-07-21 14:21 353792]
"LoadBtnHnd"="C:\Programme\Fujitsu\BtnHnd\BtnHnd.exe" [2005-07-21 14:20 61440]
"AGRSMMSG"="AGRSMMSG.exe" [2006-06-29 13:32 89541 C:\WINDOWS\AGRSMMSG.exe]
"Synchronization Manager"="C:\WINDOWS\system32\mobsync.exe" [2004-08-04 14:00 144384]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-01-04 14:38 579072]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 11:22 155648]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-10 14:18 57393]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-10 14:31 40960]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 17:35 2372760]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 20:52 483328]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-12-31 12:34 219136]
"Schmaili"="C:\Programme\Schmaili90\schmaili.exe" [2007-08-03 08:46 536576]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoWelcomeScreen"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisablePersonalDirChange"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\FJWSEL]
FJWSWNP.dll 2006-06-29 15:45 32768 C:\WINDOWS\system32\FJWSWNP.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PSUTY]
PSUWNP.dll 2006-06-02 17:04 32768 C:\WINDOWS\system32\PSUWNP.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^***.AF^Startmenü^Programme^Autostart^VirtuaGirl2.lnk.disabled]
path=C:\Dokumente und Einstellungen\***.AF\Startmenü\Programme\Autostart\VirtuaGirl2.lnk.disabled
backup=C:\WINDOWS\pss\VirtuaGirl2.lnk.disabledStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM6764c813]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-02-16 23:11 49152 C:\Programme\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"RichVideo"=2 (0x2)
"MNSFramework"=2 (0x2)
"MDM"=2 (0x2)
"gusvc"=2 (0x2)
"AgereModemAudio"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-disabled]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"LanguageShortcut"=C:\Programme\CyberLink\PowerDVD\Language\Language.exe
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\HP1005MC.EXE"=
"C:\\Programme\\Network Stumbler\\NetStumbler.exe"=
"C:\\Programme\\mg7\\prog\\mgstart.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R3 FUJ02E1;%FUJ02E1.DeviceDesc%;C:\WINDOWS\system32\Drivers\FUJ02E1.sys [2004-10-18 23:08]
R3 FUJ02E3;Fujitsu FUJ02E3 Device Driver;C:\WINDOWS\system32\DRIVERS\FUJ02E3.sys [2004-01-17 12:15]
S3 ADM851X;Infineon ADM851X USB To Fast Ethernet MII Adapter Driver;C:\WINDOWS\system32\DRIVERS\ADM851X.SYS [2006-04-21 06:26]
S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 13:50]
S3 BrSerIf;Brother MFC Serial Port Interface WDM Driver;C:\WINDOWS\system32\Drivers\BrSerIf.sys [2006-01-18 23:44]
S3 BrUsbSer;Brother MFC USB Serial WDM Driver;C:\WINDOWS\system32\Drivers\BrUsbSer.sys [2006-01-19 04:17]
S3 GTPTSER;GT PT SER;C:\WINDOWS\system32\DRIVERS\gtptser.sys [2007-06-29 19:27]
S3 GTUQBUS;GT UQ BUS;C:\WINDOWS\system32\DRIVERS\gtuqbus.sys [2007-06-29 19:27]
S3 HPFXBULK;HPFXBULK;C:\WINDOWS\system32\drivers\hpfxbulk.sys [2006-06-12 16:36]
S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\NSNDIS5.SYS [2004-03-24 04:12]
S3 s115bus;Sony Ericsson Device 115 driver (WDM);C:\WINDOWS\system32\DRIVERS\s115bus.sys [2007-04-23 15:54]
S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\s115mdfl.sys [2007-04-23 15:54]
S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\s115mdm.sys [2007-04-23 15:54]
S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\s115mgmt.sys [2007-04-23 15:54]
S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\s115obex.sys [2007-04-23 15:54]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net
Rootkit scan 2008-04-04 18:47:57
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Sygate\SPF\smc.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-04 18:50:03 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-04 16:50:00
ComboFix2.txt 2008-04-03 19:15:11
16 Verzeichnis(se), 15,930,490,880 Bytes frei
20 Verzeichnis(se), 15,915,274,240 Bytes frei
.
2008-03-12 07:51:14 --- E O F ---

destinator · 04.04.2008, 17:53

Das ist alles was da drin steht!

127.0.0.1 localhost

**Sunny** · 04.04.2008, 17:57

Zitat:

Zitat von destinator

Das ist alles was da drin steht!

127.0.0.1 localhost

Sehr gut!

Nun zum Abschluss nochmal folgendes:

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Zitat:

Registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM6764c813

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

Damit ist Combofix und alle weiteren Programme entfernt wurden.

Wenn dann keine Probleme mehr bestehen, bist du entlassen..

destinator · 04.04.2008, 18:06

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BM6764c813" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Ist jetzt alles in Ordnung?

**Sunny** · 04.04.2008, 18:07

Zitat:

Zitat von destinator

Ist jetzt alles in Ordnung?

Ich für meinen Teil sehe keine Probleme mehr, sofern dich keine Probleme mehr plagen?!

Schönes Wochenende..

04.04.2008, 17:19	#17
Sunny Administrator > Competence Manager	Virtumonde! Hilfe!!! Hast du die Registry schon editiert und die Einträge entfernt? ausserdem: ComboFix Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist: Anleitung Combofix __________________ __________________

Virtumonde! Hilfe!!!

Plagegeister aller Art und deren Bekämpfung: Virtumonde! Hilfe!!!