Hilfe bei Adware.Agent.BN habe null Ahnung

jörg1236 · 03.04.2008, 14:37

Hallo,

habe seid einigen Tagen das Problem mit irgendwelchen Würmern oder Trojanern die mich ständig mit dem Internet Explorer auf dubiose Viren Vernichter Seiten bringen wollen.(dabei benutze ich den IE eigentlich nicht)

Dann werden 3 Icon´s auf meinem Desktop abgelegt die das selbe Ziel verfolgen.

Unten in der Taskleiste erscheint plötzlich ein roter Kreis mit einem weißen x darin das mich warnt mein Computer sei von Viren und Trojanern befallen.

Es erscheint eine Windows (sieht so aus) Fehlermeldung ich müsse meinen PC im Internet checken lassen.

Dann habe ich hier im Forum darüber gelesen, kann aber nicht soviel damit anfangen da ich von sowas keine Ahnung habe.(irgend welche Regestry Dateien usw.)

Habe mir den Spyware Doctor runter geladen und der findet ständig Bedrohungen. Lösche diese dann immer und am nächsten Tag oder manchmal sogar ein paar Stunden später das selbe wieder!

Meistens findet er diese:

01.04.2008 14:05:34:740
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Adware.Agent.BN
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VideoPlugin, at

01.04.2008 14:05:34:740
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Adware.Agent.BN
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VideoPlugin, it

01.04.2008 14:05:34:750
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Adware.Agent.BN
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VideoPlugin, last-update-check

01.04.2008 14:05:34:750
Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Adware.Agent.BN
Typ - Registry Key
Risiko-Stufe - Hoch
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VideoPlugin

Habe mir dann das Programm SmitFraudFix herunter geladen aber irgendwie sieht das Ergebniss der Suche bei mir ganz anders aus als in dem Beitrag den ich gelesen hatte:

SmitFraudFix v2.309

Scan done at 14:39:22,06, 03.04.2008
Run from C:\Dokumente und Einstellungen\user\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\user

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\user\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Mache ich da was Falsch?

Bitte genau erklären ich habe nicht so viel Ahnung von sowas.

MfG Jörg

**Sunny** · 03.04.2008, 14:42

Hallo jörg1236 und

Erstellung eines Hijacklog

Hier gibt es das Tool -> HijackThis

Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'

(Klick auf die Datei mit der rechten Maustaste -> umbenennen)

Starte nun mit Doppelklick auf This.exe

Klicke auf den Button "Do a system scan and save a log file"

Nach der Überprüfung öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag hier Forum ein

CCleaner

Temporäre Dateien mit CCleaner bereinigen
Download CCleaner und installiere ihn, (klicke die Toolbar weg!).

Danach CCleaner starten und => unter options settings => german einstellen.

Gehe auf den Button links oben "Cleaner"

Setze Häkchen unter Reiter "Windows"

(alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner").

Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".

Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner".

ComboFix

Lade dir das Tool hier herunter -> KLICK

Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

Anleitung Combofix

jörg1236 · 03.04.2008, 15:01

Erstmal Danke für die Super schnelle Antwort!!!!

Habe das Hijack gerade gemacht:

Logfile of HijackThis v1.99.1
Scan saved at 15:51:23, on 03.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Dell\OpenManage\Client\Iap.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\System32\WLTRYSVC.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\WLTRAY.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mm_server.exe
C:\WINDOWS\system32\mmrtkrnl.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\MMDiag.exe
C:\WINDOWS\CameraFixer.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\Musicmatch\Musicmatch Jukebox\mim.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spyware Doctor\pctsGui.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\user\LOKALE~1\Temp\Rar$EX00.589\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\System32\WLTRAY.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe
O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe"
O4 - HKLM\..\Run: [mm_server] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_server.exe"
O4 - HKLM\..\Run: [PhilipsRemote] "C:\Programme\Musicmatch\Musicmatch Jukebox\PhilipsRemote.exe"
O4 - HKLM\..\Run: [Realtime Audio Engine] "mmrtkrnl.exe" /i
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\wianmpa.exe
O4 - HKLM\..\Run: [CameraFixer] C:\WINDOWS\CameraFixer.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [PackageAware] "C:\Dokumente und Einstellungen\user\Local Settings\Application Data\PackageAware\mpa.exe"
O4 - HKCU\..\Run: [Orb] "C:\Programme\Winamp Remote\bin\OrbTray.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Winamp Toolbar Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1178656688979
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Iap - Dell Inc - C:\Programme\Dell\OpenManage\Client\Iap.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

Was sagt mir das???

**Sunny** · 03.04.2008, 15:04

zusätzlich zum Combofix:

Dateien Online überprüfen lassen:

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\Programme\Musicmatch\Musicmatch Jukebox\mm_server.exe

C:\WINDOWS\system32\mmrtkrnl.exe

C:\Dokumente und Einstellungen\user\Local Settings\Application Data\PackageAware\mpa.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

jörg1236 · 03.04.2008, 20:36

Datei mm_server.exe empfangen 2008.04.03 16:15:56 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Datei mmrtkrnl.exe empfangen 2008.03.20 23:15:08 (CET)
Status: Beendet
Ergebnis: 1/32 (3.12%)
F-Secure 6.70.13260.0 2008.03.20 Suspicious:W32/Malware!Gemini

Die letzte Datei kann ich nicht finden. Kann es sein,dass der Pfad falsch ist?

Das ist der Pfad den ich genommen habe:

C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Anwendungsdaten

und dann finde ich nicht PackageAware habe alle Ordner geöffnet die da waren aber nirgends eine mpa.exe

Gruss Jörg

jörg1236 · 03.04.2008, 23:37

So hier jetzt das Ergebnis von ComboFix:

ComboFix 08-04-02.1 - user 2008-04-04 0:25:39.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\user\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\user\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\user\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\user\Favoriten\Spyware&Malware Protection.url

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-03 bis 2008-04-03 ))))))))))))))))))))))))))))))
.

2008-04-03 16:01 . 2008-04-03 16:01 <DIR> d-------- C:\Programme\Yahoo!
2008-04-03 16:01 . 2008-04-03 16:01 <DIR> d-------- C:\Programme\CCleaner
2008-04-03 15:27 . 2008-04-03 15:32 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-04-03 11:49 . 2008-04-03 11:49 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.USER-0U71N0AY9O\Vorlagen
2008-04-03 09:34 . 2008-04-03 15:12 <DIR> d-------- C:\Dokumente und Einstellungen\user\SmitfraudFix
2008-04-03 09:24 . 2008-04-03 14:39 3,348 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-03 09:21 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-04-03 09:21 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-04-03 09:21 . 2008-03-28 23:19 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-04-03 09:21 . 2008-03-26 08:50 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-04-03 09:21 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-04-03 09:21 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-04-03 09:21 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-04-03 01:13 . 2008-04-03 01:13 101,376 --a------ C:\WINDOWS\system32\drivers\ACEDRV07.sys
2008-04-02 19:26 . 2008-04-02 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.USER-0U71N0AY9O\Startmenü
2008-04-02 19:26 . 2008-04-02 19:30 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.USER-0U71N0AY9O\Lokale Einstellungen
2008-04-02 19:26 . 2008-04-02 19:26 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.USER-0U71N0AY9O\Favoriten
2008-04-02 13:42 . 2008-04-02 13:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-04-02 13:42 . 2008-04-02 13:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-02 13:42 . 2008-04-02 13:42 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-28 21:00 . 2008-03-28 21:00 <DIR> d-------- C:\WINDOWS\wb
2008-03-28 21:00 . 2008-03-28 21:00 <DIR> d-------- C:\WINDOWS\occache
2008-03-28 21:00 . 1998-03-20 18:14 1,128,448 --a------ C:\WINDOWS\system32\WebPro32.ocx
2008-03-28 21:00 . 1996-08-16 16:44 87,552 -ra------ C:\WINDOWS\system\url.dll
2008-03-28 21:00 . 1996-09-30 15:32 9,728 -ra------ C:\WINDOWS\system\rnaph.dll
2008-03-28 20:22 . 2008-03-28 20:22 <DIR> d-------- C:\Dokumente und Einstellungen\user\WINDOWS
2008-03-24 15:29 . 2008-03-24 15:29 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-03-24 15:01 . 2008-04-04 00:22 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-24 15:01 . 2007-12-10 15:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-03-24 15:01 . 2007-12-10 15:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-03-24 15:01 . 2008-02-01 13:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-03-24 15:01 . 2007-12-10 15:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-03-24 15:00 . 2008-04-02 09:19 <DIR> d-------- C:\Programme\Spyware Doctor
2008-03-24 15:00 . 2008-03-24 15:00 <DIR> d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\PC Tools
2008-03-20 23:57 . 2008-03-20 23:57 <DIR> d-------- C:\Programme\avmwlanstick
2008-03-20 23:57 . 2005-05-13 02:00 452,736 -ra------ C:\WINDOWS\system32\drivers\fwlanusb.sys
2008-03-20 23:57 . 2005-05-13 02:00 97,392 -ra------ C:\WINDOWS\system32\drivers\Fwusb1b.bin
2008-03-20 23:57 . 2005-05-13 02:00 32,768 -ra------ C:\WINDOWS\system32\avmcowlan.dll
2008-03-20 23:57 . 2005-05-13 02:00 5,584 -ra------ C:\WINDOWS\instwcli.inf
2008-03-03 23:55 . 2004-08-04 09:56 96,768 --a------ C:\WINDOWS\system32\dpcdll.dll.wga
2008-03-03 23:55 . 2004-08-04 09:54 24,064 --a------ C:\WINDOWS\system32\pidgen.dll.wga
2008-03-03 23:55 . 2008-03-03 23:55 13,588 --a------ C:\WINDOWS\system32\wpa.bak

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-03 22:16 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-03 22:15 --------- d--h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\~0
2008-04-03 22:10 --------- d-----w C:\Programme\Winamp
2008-04-03 21:46 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\XnView
2008-04-03 11:45 --------- d-----w C:\Programme\FotoWorks
2008-03-27 16:14 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\AdobeUM
2008-03-04 23:14 --------- d-----w C:\Programme\ICQToolbar
2008-02-23 07:11 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-02-22 23:20 129,495,341 ----a-w C:\Dokumente und Einstellungen\user\aptmp.exe
2008-02-20 19:45 --------- d-----w C:\Programme\ICQ6
2008-02-16 19:11 --------- d-----w C:\Programme\Radiotracker
2008-02-16 19:10 --------- d-----w C:\Programme\Rapid Solution Software AG
2008-02-16 19:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\RapidSolution
2008-02-13 00:12 --------- d-----w C:\Programme\Sygate
2008-02-13 00:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-12 21:27 --------- d-----w C:\Programme\Illusion Softworks
2008-02-12 19:24 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\Engelmann Media
2008-02-12 19:20 --------- d-----w C:\Programme\S.A.D
2008-02-11 21:02 --------- d-----w C:\Programme\Medion GoPal Assistant
2008-02-11 20:44 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\GoPal Assistant
2008-02-11 20:43 --------- d-----w C:\Programme\Microsoft ActiveSync
2008-02-08 22:02 --------- d-----w C:\Programme\PixiePack Codec Pack
2008-02-08 21:33 --------- d-----w C:\Programme\RapidSolution
2008-02-08 20:22 --------- d-----w C:\Programme\Network Stumbler
2008-01-29 19:15 72,748 ----a-w C:\WINDOWS\unins000.exe
2007-12-25 20:01 284 ----a-w C:\Dokumente und Einstellungen\user\Anwendungsdaten\ViewerApp.dat
2007-09-20 06:21 117,769 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_09_19_23_00_58_small.dmp.zip
2007-09-20 06:21 113,373 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_09_19_22_59_05_small.dmp.zip
2007-09-20 06:20 124,395 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_09_19_22_54_58_small.dmp.zip
2007-07-06 21:54 16,014,766 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_07_06_22_45_56_full.dmp.zip
2007-07-06 21:53 16,016,450 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_07_06_22_44_32_full.dmp.zip
2007-07-06 21:52 16,023,679 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_07_06_22_43_47_full.dmp.zip
2007-07-06 21:51 126,305 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_07_06_22_43_30_small.dmp.zip
2007-07-06 21:51 113,267 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_07_06_22_45_48_small.dmp.zip
2007-07-06 21:51 101,794 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_07_06_22_44_19_small.dmp.zip
2007-07-06 21:51 101,173 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_07_06_22_46_29_small.dmp.zip
2003-08-29 23:44 592 ----a-w C:\Dokumente und Einstellungen\user\BPM_Studio_Pro_v4.0_Full.zip
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-12-13 18:49 1185120 --a------ C:\Programme\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Programme\Winamp Toolbar\winamptb.dll" [2007-12-13 18:49 1185120]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Programme\Winamp Toolbar\winamptb.dll [2007-12-13 18:49 1185120]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" [2007-08-02 13:40 313088]
"Orb"="C:\Programme\Winamp Remote\bin\OrbTray.exe" [2007-12-18 03:02 471040]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\Wcescomm.exe" [2006-11-13 14:50 1289000]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-12-19 16:48 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-11-10 21:05 344064]
"Broadcom Wireless Manager UI"="C:\WINDOWS\System32\WLTRAY.exe" [2005-12-19 09:08 1347584]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2006-04-06 14:58 1032192]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 11:51 667718]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 11:52 602182]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 20:14 249896]
"MimBoot"="C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe" [2006-11-07 16:41 8192]
"MMTray"="C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe" [2006-11-07 16:41 110592]
"mm_server"="C:\Programme\Musicmatch\Musicmatch Jukebox\mm_server.exe" [2006-11-07 16:41 102400]
"PhilipsRemote"="C:\Programme\Musicmatch\Musicmatch Jukebox\PhilipsRemote.exe" [2006-11-07 16:41 745472]
"Realtime Audio Engine"="mmrtkrnl.exe" [2007-07-18 16:52 70144 C:\WINDOWS\system32\mmrtkrnl.exe]
"WinampAgent"="C:\Programme\Winamp\wianmpa.exe" [ ]
"CameraFixer"="C:\WINDOWS\CameraFixer.exe" [2005-12-06 14:08 20480]
"snpstd"="C:\WINDOWS\vsnpstd.exe" [2005-10-11 14:54 339968]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 17:38 2372760]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2005-05-13 02:00 1800408]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]
"PcSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 17:15 1634304]

C:\Dokumente und Einstellungen\user\Startmen\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe [2007-05-08 20:59:49 679936]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableLockWorkstation"= 0 (0x0)
"NoClose"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoShutDown"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogOff"= 00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"PhonostarAgent"=C:\Programme\phonostar\ps_agent.exe
"PhonostarTimer"=C:\Programme\phonostar\ps_timer.exe
"CTFMON.EXE"=C:\WINDOWS\System32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"PCSuiteTrayApplication"=C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
"Haushaltsbuch 4"=C:\Programme\DATA BECKER\Haushaltsbuch 4\hhb4tray.exe
"GC75-Manager-Class"="C:\Programme\Dell TrueMobile 5100\GPRSMgr.exe" -startup
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"HP Software Update"=C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"C:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\Programme\Microsoft ActiveSync\rapimgr.exe"= C:\Programme\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Programme\Microsoft ActiveSync\wcescomm.exe"= C:\Programme\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Programme\Microsoft ActiveSync\WCESMgr.exe"= C:\Programme\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Programme\\Musicmatch\\Musicmatch Jukebox\\mm_server.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\DRIVERS\avgntmgr.sys [2007-09-15 10:09]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-15 10:09]
R2 ACEDRV08;ACEDRV08;C:\WINDOWS\System32\drivers\ACEDRV08.sys [2007-05-08 23:47]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
R3 OZSCR;O2Micro SmartCardBus Smartcard Reader;C:\WINDOWS\system32\DRIVERS\ozscr.sys [2005-04-21 21:58]
R3 uscbs109;uscbs109;C:\WINDOWS\system32\DRIVERS\uscbs109.sys [2005-03-22 01:00]
R3 uscsc109;uscsc109;C:\WINDOWS\system32\DRIVERS\uscsc109.sys [2005-03-22 01:00]
S3 cel90xbe;cel90xbe;C:\DOKUME~1\user\LOKALE~1\Temp\cel90xbe.sys []
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2005-05-13 02:00]
S3 sonypvs1;Sony Digital Imaging Video2;C:\WINDOWS\system32\DRIVERS\sonypvs1.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0fafee20-b7a8-11dc-8344-0013ce2dcba7}]
\Shell\AutoRun\command - F:\setupSNK.exe

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
C:\Programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-01-11 16:15:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-04 00:27:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-04 0:28:13
ComboFix-quarantined-files.txt 2008-04-03 22:28:02
11 Verzeichnis(se), 13,101,826,048 Bytes frei
15 Verzeichnis(se), 13,158,039,552 Bytes frei
.
2008-03-22 02:01:36 --- E O F ---

Hilfe bei Adware.Agent.BN habe null Ahnung

Plagegeister aller Art und deren Bekämpfung: Hilfe bei Adware.Agent.BN habe null Ahnung