Ich habe Windows Vista und gehe mit Firefox ins Internet. Seit Mitte April gehen bei mir trotz PopupBlocker jedesmal Werbung auf wenn ich ins Internet gehe oder die Seite wechsle. Manchmal komme ich weder bei Google oder MSN rein. Lösche schon dauernd die temporären Dateien und Cookies.
Könnt ihr bitte den Logfile auswerten. Danke

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:40:44, on 29.04.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Windows\system32\rundll32.exe
C:\Windows\livemessenger.com
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Hijackthis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {3A976454-549A-4ACE-AADD-08ADF6FE3E7B} - C:\Users\xxx\AppData\Local\Temp\vtUnmNGY.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: {40d5330e-de2b-7839-c7b4-6148225a3d08} - {80d3a522-8416-4b7c-9387-b2ede0335d04} - C:\Windows\system32\hcqgpogf.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless N DWA-140] C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [Microsoft Update] livemessenger.com
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [5cc4d7cd] rundll32.exe "C:\Windows\system32\kwcelqeb.dll",b
O4 - HKLM\..\Run: [BM5ff7e451] Rundll32.exe "C:\Windows\system32\ngcveefv.dll",s
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\xx\AppData\Local\Temp\urqQhIcC.dll,#1
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\xx\AppData\Local\Temp\vtUnmNGY.dll,c
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6D5C03D-FF27-46FF-AC6D-A47A11EA9A53}: NameServer = 213.191.74.18 62.109.123.196
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

--
End of file - 9013 bytes

Hallo Miffi und





Dateien Online überprüfen lassen:

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• (lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\Users\xxx\AppData\Local\Temp\vtUnmNGY.dll
C:\Windows\system32\hcqgpogf.dll
C:\Windows\livemessenger.com

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

CCleaner

• Anleitung zum CrapCleaner abarbeiten -> Hier gehts weiter

ComboFix

• Lade dir das Tool hier herunter -> KLICK

• Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

• Anleitung Combofix

vielen Dank Sunny,
jetzt hab ich aber ein Problem mit Virus Total. Der braucht leider nicht nur 2 Minuten um die Dateien zu laden. Bei der ersten hab ich nach ca 5 Minuten dann abgebrochen um es nochmal zu probieren. Da kam dann es schonmal gescannt wurde und ein leerer Bericht wurde angezeigt. Da drunter waren dann noch zwei Kästchen mit aktuellen Bericht anzeigen oder nochmal scannen. Leider konnte ich beide nicht anklicken. Die zweite Datei wird nun schon seit 12 Minuten geladen.
Kann ich die Dateien noch irgendwo anders überprüfen lassen?
Vielen Dank für eure Hilfe
Miffi

Dann versuche es mal bei -> Online Malware scan
Gleiche Verfahrensweise wie bei Virustotal.

Sollte das auch nicht klappen, mach mit dem nächsten Anleitungsschritt weiter.

Edit:
Moin digger

Hallo

hier noch eine alternative
VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080422)

MFG

EDIT: Moin Sunny

Danke ihr Lieben,

könnt ihr mir bitte noch sagen, wo ich mein JavaScript aktiviere. Online Malware Scan reklamiert, dass er nicht aktiviert ist. Ich weiß aber nicht wie.
danke nochmals
Miffi

Hi, mein Javascript hab ich jetzt aktiviert bekommen. Jetzt funktioniert auch Virustotal. Leider konnte ich von C:Windows/livemessenger.com keinen scan machen, weil die Datei nicht oder nicht mehr vorhanden ist. (seltsam)
Jetzt aber die scans (ich hoffe ich habe alles richtig gemacht)
1.scan
Datei vtUnmNGY.dll empfangen 2008.04.29 21:22:54 (CET)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.30.0 2008.04.29 -
AntiVir 7.8.0.10 2008.04.29 TR/Vundo.Gen
Authentium 4.93.8 2008.04.27 -
Avast 4.8.1169.0 2008.04.29 Win32:Virtumonde-IU
AVG 7.5.0.516 2008.04.29 BHO.DPR
CAT-QuickHeal 9.50 2008.04.29 -
ClamAV 0.92.1 2008.04.29 Trojan.Vundo-2663
DrWeb 4.44.0.09170 2008.04.29 Trojan.Virtumod.based
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5744 2008.04.29 Win32/Vundo!generic
Ewido 4.0 2008.04.29 -
F-Prot 4.4.2.54 2008.04.28 -
F-Secure 6.70.13260.0 2008.04.29 Packed.Win32.Monder.gen
FileAdvisor 1 2008.04.29 -
Fortinet 3.14.0.0 2008.04.29 -
Ikarus T3.1.1.26.0 2008.04.29 Trojan.Vundo.EHV
Kaspersky 7.0.0.125 2008.04.29 not-a-virus:AdWare.Win32.Virtumonde.qol
McAfee 5284 2008.04.29 -
Microsoft 1.3408 2008.04.22 Trojan:Win32/Vundo.gen!D
NOD32v2 3064 2008.04.29 -
Norman 5.80.02 2008.04.29 Vundo.gen148
Panda 9.0.0.4 2008.04.29 Spyware/Virtumonde
Prevx1 V2 2008.04.29 Trojan.Vundo
Rising 20.42.12.00 2008.04.29 AdWare.Win32.Vundo.f
Sophos 4.28.0 2008.04.29 Troj/Virtum-Gen
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.29 Trojan.Vundo.B
TheHacker 6.2.92.297 2008.04.29 -
VBA32 3.12.6.5 2008.04.29 AdWare.Win32.Virtumonde.plj
VirusBuster 4.3.26:9 2008.04.29 Adware.Vundo.Gen!Pac.21
Webwasher-Gateway 6.6.2 2008.04.29 Trojan.Vundo.Gen
weitere Informationen
File size: 274432 bytes
MD5...: 180a096d90ee1528b4a6ab663e658e72
SHA1..: 8687a34a6ce8e0bbc0abff6eba40d746bc5128a0
SHA256: 130c70fb3f471ae838ec64b01da1b31917bd7530d912a3a47fa3057957a9730b
SHA512: 43c8634bec7bd8aa7e0b55c4b34f97efef7de52b1bef0756c3ea0d9c3b061405
9694e365f453326f96ffb2aeccb0c9e7c36212e1c8f844d05a3a54b606f1b28a
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10005a2e
timedatestamp.....: 0x4bf95cbf (Sun May 23 16:50:07 2010)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x65000 0x4e00 7.26 e1ee276e4c268e95878a6a7b795b1e26
.data 0x66000 0x3d000 0x3ce00 8.00 6050cdd9fac5c4af6ca37964fb8ccff2
.rdata 0xa3000 0x1000 0xa00 7.15 f24028f0a13efd27bb4ad2e6de0b4601
.idata 0xa4000 0x1000 0x600 3.48 0317dbcf32c5772e72600c73592ad1fb

( 3 imports )
> user32.dll: ShowScrollBar, ShowOwnedPopups, OemToCharA, LoadMenuA, IsCharUpperA, CreateMDIWindowA, CreateIconFromResourceEx, CreateDialogParamA
> kernel32.dll: LoadResource, TlsSetValue, ReadFile, OpenFileMappingA, GetTimeFormatA, GetStartupInfoA, GetPrivateProfileStringA, lstrcatA, EnumResourceNamesA, UnmapViewOfFile
> oleaut32.dll: OleTranslateColor, SafeArrayAccessData, SafeArrayAllocData, SetErrorInfo, OleLoadPicture, ClearCustData

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=69CEBDA7001DFF6A305404B4FC8AC5000D26E457


2.scan
Datei hcqgpogf.dll empfangen 2008.04.29 21:29:43 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.30.0 2008.04.29 -
AntiVir 7.8.0.10 2008.04.29 TR/Vundo.Gen
Authentium 4.93.8 2008.04.27 -
Avast 4.8.1169.0 2008.04.29 Win32:TratBHO
AVG 7.5.0.516 2008.04.29 -
BitDefender 7.2 2008.04.29 -
CAT-QuickHeal 9.50 2008.04.29 -
ClamAV None 2008.04.29 -
DrWeb 4.44.0.09170 2008.04.29 Trojan.Virtumod.based
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5744 2008.04.29 -
Ewido 4.0 2008.04.29 -
F-Prot 4.4.2.54 2008.04.28 -
F-Secure 6.70.13260.0 2008.04.29 W32/Vundo.dam
Fortinet 3.14.0.0 2008.04.29 -
Ikarus T3.1.1.26.0 2008.04.29 Win32.Rigel.6468
Kaspersky 7.0.0.125 2008.04.29 Packed.Win32.Monder.gen
McAfee 5284 2008.04.29 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3064 2008.04.29 -
Norman 5.80.02 2008.04.29 W32/Vundo.dam1
Panda 9.0.0.4 2008.04.29 Suspicious file
Prevx1 V2 2008.04.29 -
Rising 20.42.12.00 2008.04.29 AdWare.Win32.Vundo.d
Sophos 4.28.0 2008.04.29 Troj/Virtum-Gen
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.29 Trojan.Vundo.B
TheHacker 6.2.92.297 2008.04.29 -
VBA32 3.12.6.5 2008.04.29 -
VirusBuster 4.3.26:9 2008.04.29 Adware.Vundo.Gen!Pac.21
Webwasher-Gateway 6.6.2 2008.04.29 Trojan.Vundo.Gen
weitere Informationen
File size: 107072 bytes
MD5...: 57ec6afbd4f376fec1543801ebff7ab5
SHA1..: 0e4df985641ad6255f6e6c6b778b2d57e447ede3
SHA256: 79e6c19c65f00bfe54e686d289866a107e7aca54497073aad51094b79908b031
SHA512: 60794122d80714613dea62372a99d7ec559de3ef9c9563ec2717a6137ad8960e
14ce2ee1568e99ead9dfc8ffc8887ce1e8caba6385845145ee40ad0d0b3d2e4a
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000783f
timedatestamp.....: 0x84996b58L (invalid)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x20000 0x6e00 7.60 c1343e05d8192897fce4172866d166e4
.data 0x21000 0x13000 0x12600 8.00 43f4a94f2ed4ea0dfc7544371c2f1943
.rdata 0x34000 0x1000 0x400 6.47 75657b87d4f036729927b6a2eaf84932
.idata 0x35000 0x1000 0x600 2.75 523ad642e1621df7ea04cb65467f3fa0

( 3 imports )
> user32.dll: ToAscii, ShowCursor, SetCursor, OffsetRect, EnableScrollBar, DestroyCursor, CreateIconFromResource, CreateIcon, CreateDialogParamA, CreateDesktopW, CopyImage
> kernel32.dll: ExitProcess, GetTimeFormatA, SetLastError, VirtualAlloc, FlushFileBuffers
> oleaut32.dll: SafeArrayAccessData, SafeArrayAllocData, SysReAllocString, SysStringLen, OleTranslateColor, RevokeActiveObject

( 0 exports )
packers (Kaspersky): PE_Patch

3.scan
Datei kwcelqeb.dll empfangen 2008.04.29 21:46:39 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.30.0 2008.04.29 -
AntiVir 7.8.0.10 2008.04.29 TR/PCK.Monder.95232
Authentium 4.93.8 2008.04.27 -
Avast 4.8.1169.0 2008.04.29 Win32:TratBHO
AVG 7.5.0.516 2008.04.29 -
BitDefender 7.2 2008.04.29 -
CAT-QuickHeal 9.50 2008.04.29 -
ClamAV None 2008.04.29 -
DrWeb 4.44.0.09170 2008.04.29 Trojan.Virtumod.based
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5744 2008.04.29 Win32/Vundo!generic
Ewido 4.0 2008.04.29 -
F-Prot 4.4.2.54 2008.04.28 -
F-Secure 6.70.13260.0 2008.04.29 Packed.Win32.Monder.gen
FileAdvisor 1 2008.04.29 -
Fortinet 3.14.0.0 2008.04.29 -
Ikarus T3.1.1.26 2008.04.29 Win32.Rigel.6468
Kaspersky 7.0.0.125 2008.04.29 Packed.Win32.Monder.gen
McAfee 5284 2008.04.29 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3064 2008.04.29 -
Norman 5.80.02 2008.04.29 Vundo.gen165
Panda 9.0.0.4 2008.04.29 Suspicious file
Prevx1 V2 2008.04.29 Trojan.Vundo
Rising 20.42.12.00 2008.04.29 -
Sophos 4.28.0 2008.04.29 Troj/Virtum-Gen
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.29 Trojan.Vundo
TheHacker 6.2.92.297 2008.04.29 -
VBA32 3.12.6.5 2008.04.29 -
VirusBuster 4.3.26:9 2008.04.29 Adware.Vundo.Gen!Pac.21
Webwasher-Gateway 6.6.2 2008.04.29 Trojan.PCK.Monder.95232
weitere Informationen
File size: 95296 bytes
MD5...: ed9f0a9aa7b79f86d3ab721588657a5f
SHA1..: 3282dec4b9b810329f5a1781305cb1cf1c42c58b
SHA256: 452da62dc15cd82dd6d465bae0ed413b8eb28a62d05186f0cf51e721f14d33dd
SHA512: 081dbe7f98aea0d178ed3287c8846bdd94c35a6fbdc386610ec763067825c3cc
74452d93b49d9bd267a6828c6639714a2985aeadc2341201af5fee0543917c45
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10006d84
timedatestamp.....: 0x7f6f341a (Thu Oct 01 07:17:46 2037)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x18000 0x6400 7.59 c91baa1c549cf1523a7f53f050575aae
.data 0x19000 0x10000 0x10000 7.99 7a67b036156d3492f78eb3e736eddeaf
.rdata 0x29000 0x1000 0x400 6.36 ff08784d0e868a10f2826eef5ffc6ce2
.idata 0x2a000 0x1000 0x800 3.38 21172af8d54fb76d6265c09a23256356

( 3 imports )
> user32.dll: OffsetRect, LoadImageA, IsCharLowerA, EqualRect, EndDeferWindowPos, DrawTextA, DrawMenuBar, DispatchMessageA, DestroyCaret, CreateMenu, CreateDialogParamA, CreateCursor, CreateAcceleratorTableA, CharToOemA
> kernel32.dll: GetTimeFormatA, SetCurrentDirectoryA, OpenFileMappingA, OpenFile, MapViewOfFile, lstrlenA, lstrcpynA, lstrcpyA, lstrcmpA, WriteFile, VirtualFree, UnmapViewOfFile, TlsFree, TlsAlloc, CompareStringA, EnterCriticalSection, EnumResourceLanguagesW, EnumResourceTypesA, FreeResource, GetLocalTime, GetStartupInfoA, GetVersion, SleepEx
> oleaut32.dll: SafeArrayCreate, SafeArrayDestroy, VarBstrCmp, SafeArrayAllocData

( 0 exports )
packers: PE_Patch
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6E394EFD403AF459744001EA9464580034260E96

4.scan
ngcveefv.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.30.0 2008.04.29 -
AntiVir 7.8.0.10 2008.04.29 ADSPY/Virtumonde.qrt
Authentium 4.93.8 2008.04.27 -
Avast 4.8.1169.0 2008.04.29 Win32:TratBHO
AVG 7.5.0.516 2008.04.29 Vundo.N
BitDefender 7.2 2008.04.29 -
CAT-QuickHeal 9.50 2008.04.29 -
ClamAV 0.92.1 2008.04.29 -
DrWeb 4.44.0.09170 2008.04.29 Trojan.Virtumod.based
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5744 2008.04.29 -
Ewido 4.0 2008.04.29 -
F-Prot 4.4.2.54 2008.04.28 -
F-Secure 6.70.13260.0 2008.04.29 W32/Vundo.dam
FileAdvisor 1 2008.04.29 -
Fortinet 3.14.0.0 2008.04.29 -
Ikarus T3.1.1.26 2008.04.29 Win32.Rigel.6468
Kaspersky 7.0.0.125 2008.04.29 not-a-virus:AdWare.Win32.Virtumonde.qrt
McAfee 5284 2008.04.29 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3064 2008.04.29 -
Norman 5.80.02 2008.04.29 W32/Vundo.dam1
Panda 9.0.0.4 2008.04.29 Suspicious file
Prevx1 V2 2008.04.29 Trojan.Vundo
Rising 20.42.12.00 2008.04.29 -
Sophos 4.28.0 2008.04.29 Troj/Virtum-Gen
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.29 Trojan.Vundo
TheHacker 6.2.92.297 2008.04.29 -
VBA32 3.12.6.5 2008.04.29 -
VirusBuster 4.3.26:9 2008.04.29 Adware.Vundo.Gen!Pac.21
Webwasher-Gateway 6.6.2 2008.04.29 Ad-Spyware.Virtumonde.qrt
weitere Informationen
File size: 104000 bytes
MD5...: 459a77285e58bf3dc9327b876ca9ed31
SHA1..: 8af2ff926bd4cd1ae83bc5823ddae204484aba1f
SHA256: 7bd81925010758a6dced249a199989daa28f53d5602a077a93d988ded22fbd6a
SHA512: 3856f1ddc36e68cbd31f992348df29d7f629782b765f26da2e7d25f335f8d901
df536938b535c463b716e4ec2f7e562233cdec0c6e8fe78ee3a60e0cf088a44c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10007317
timedatestamp.....: 0x7f755d11 (Mon Oct 05 23:26:09 2037)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1a000 0x6600 7.63 76b1fa42747e3ea0a55a99c5fb123bce
.data 0x1b000 0x12000 0x12000 7.99 9484892969ef3033a1eb7d04cc1aee23
.rdata 0x2d000 0x1000 0x400 7.13 cf0b2701f9a039f042ed68b8af59ff49
.idata 0x2e000 0x1000 0x800 3.51 4628bae34fbeb66bdc31f3b928e11dcf

( 3 imports )
> user32.dll: OemToCharA, LoadMenuA, GetDlgItem, DrawCaption, DestroyWindow, DestroyIcon, DeleteMenu, CreateIconFromResourceEx, CreateIcon, CharUpperA, CharToOemBuffA, CharToOemA
> kernel32.dll: OpenFileMappingA, TlsSetValue, TlsAlloc, SleepEx, Sleep, SetLastError, SetEndOfFile, SetCurrentDirectoryA, lstrcpynA, lstrcpyA, lstrcatA, WriteFile, CloseHandle, EnumResourceLanguagesA, EnumResourceNamesA, ExitProcess, FreeResource, GetLastError, GetSystemTime, GetVersion, InitializeCriticalSection, LoadResource, RaiseException, VirtualAlloc
> oleaut32.dll: GetErrorInfo, OleLoadPicturePath, RevokeActiveObject, SafeArrayAllocData, SafeArrayCreate, SafeArrayDestroy, SysReAllocString

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DE14098F40356465960901972324F50060EBB3EF


Die Dateien von Scan 3 und 4 habe ich über die Auswertung von HijackThis gefunden (hatte ich auch noch ausprobiert und dadrüber euer Board gefunden)

Dies hier wurde dort auch noch gefunden

C:\Users\Maaike\AppData\Local\Temp\urqQhIcC.dll,#1

Art


Fuzzy Algorithmusprüfung (2.83 / 5.00), Schädlich

und noch eins

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Loading...

Art

Schädlich
Schädlich
Sofort fixen! Dieser Eintrag wurde von unseren Besuchern als schädlich eingestuft.


so dass war jetzt hoffentlich alles

Miffi

Das auswerten der Dateien ist vollbracht, fahre nun mit dem Schritt CCleaner und Combofix weiter fort..

Hi Sunny,
der Link zum CCleaner funzt nicht.
LG Miffi

Zitat:

Zitat von Miffi

Hi Sunny,
der Link zum CCleaner funzt nicht.
LG Miffi

Dann versuch es mal mit diesem hier : http://www.trojaner-board.de/51464-a...-ccleaner.html

Hi Sunny,
nun noch mal das Log von Combofix

ComboFix 08-04-29.5 - Maaike 2008-05-03 23:42:54.5 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1325 [GMT 2:00]
ausgeführt von:: C:\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-03 bis 2008-05-03 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-03 18:53 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-05-03 18:52 --------- d-----w C:\Users\Maaike\AppData\Roaming\Malwarebytes
2008-05-03 18:52 --------- d-----w C:\ProgramData\Malwarebytes
2008-05-01 14:27 --------- d-----w C:\Program Files\Windows Mail
2008-05-01 14:20 1,780,380 ----a-w C:\ComboFix.exe
2008-05-01 14:16 --------- d-----w C:\Program Files\Windows Live Toolbar
2008-05-01 14:12 --------- d-----w C:\Program Files\GameSpy Arcade
2008-05-01 14:06 --------- d-----w C:\Program Files\CCleaner
2008-05-01 14:04 671,968 ----a-w C:\ccsetup205_slim.exe
2008-04-29 19:08 --------- d-----w C:\Users\Maaike\AppData\Roaming\Skype
2008-04-27 17:35 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-27 17:35 --------- d-----w C:\Program Files\RTL Playtainment
2008-04-25 14:13 --------- d-----w C:\Program Files\Brightstar Entertainment
2008-04-25 14:10 2,855 ----a-w C:\Windows\PIF\INSTALL.PIF
2008-04-23 15:08 --------- d-----w C:\Program Files\Java
2008-04-23 15:07 --------- d-----w C:\Program Files\Common Files\Java
2008-04-22 19:32 --------- d-----w C:\ProgramData\Symantec
2008-04-22 19:32 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-04-22 19:31 --------- d-----w C:\Program Files\Symantec
2008-04-22 19:31 --------- d-----w C:\Program Files\Norton 360
2008-04-18 17:40 39,424 --sh--r C:\Windows\livemessenger.com
2008-04-18 17:40 39,424 ----a-w C:\Users\Maaike\IMG00231.JPG-www.imageupload.com
2008-04-17 15:48 --------- d-----w C:\Program Files\Deep Silver
2008-04-14 10:47 --------- d-----w C:\Program Files\Ulead Systems
2008-04-14 10:43 11,014,144 ----a-w C:\Users\Maaike\UGA5TBYB_E_USG.exe
2008-04-14 10:37 --------- d-----w C:\ProgramData\Ulead Systems
2008-04-14 08:43 --------- d-----w C:\Program Files\Packard Bell
2008-04-14 07:40 --------- d-----w C:\Users\Maaike\AppData\Roaming\Ulead Systems
2008-04-13 15:43 --------- d-----w C:\Program Files\PopTop Software
2008-04-10 16:04 --------- d-----w C:\Program Files\CyberQix
2008-04-09 14:29 --------- d-----w C:\Program Files\QuickTime
2008-04-09 14:26 --------- d-----w C:\Program Files\Activision
2008-04-09 14:24 --------- d-----w C:\Program Files\Google
2008-04-09 14:23 --------- d-----w C:\Program Files\CyberLink
2008-04-08 18:19 --------- d-----w C:\ProgramData\QuickTime
2008-04-08 18:16 --------- d-----w C:\Program Files\LEGO Software
2008-04-08 18:11 --------- d-----w C:\Program Files\Microsoft.NET
2008-04-08 15:03 --------- d-----w C:\Users\Maaike\AppData\Roaming\DesktopPlayer
2008-04-08 15:03 --------- d-----w C:\Program Files\Jimi Blue Player
2008-04-03 14:59 --------- d-----w C:\Program Files\EA SPORTS
2008-04-02 19:08 --------- d-----w C:\ProgramData\WLInstaller
2008-04-02 19:08 --------- d-----w C:\Program Files\Windows Live
2008-03-31 20:53 --------- d-----w C:\Program Files\ANI
2008-03-31 20:52 --------- d-----w C:\Program Files\D-Link
2008-03-31 20:51 --------- d-----w C:\Users\Maaike\AppData\Roaming\InstallShield
2008-03-25 21:14 --------- d-----w C:\Program Files\sixteen tons entertainment
2008-03-25 16:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Roxio
2008-03-24 18:57 --------- d-----w C:\Program Files\Meine Tierpension
2008-03-23 17:42 --------- d-----w C:\Program Files\Common Files\Adobe
2008-03-23 14:53 --------- d-----w C:\Program Files\Windows Media-Komponenten
2008-03-23 14:52 --------- d-----w C:\Program Files\Common Files\Ulead Systems
2008-03-23 14:13 --------- d-----w C:\Users\Maaike\AppData\Roaming\HP
2008-03-22 22:25 --------- d-----w C:\Users\Maaike\AppData\Roaming\Packard Bell
2008-03-22 20:33 --------- d-----w C:\Program Files\Common Files\LogiShrd
2008-03-22 20:20 127,034 ------r C:\Windows\bwUnin-8.1.1.50-8876480SL.exe
2008-03-22 20:20 --------- d-----w C:\Program Files\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\LogiShrd
2008-03-22 18:48 --------- d-----w C:\Program Files\Atari
2008-03-22 18:47 9,472 ----a-w C:\Windows\system32\drivers\lemsgt.sys
2008-03-22 18:47 137,344 ----a-w C:\Windows\system32\drivers\hwpsgt.sys
2008-03-22 17:26 --------- d-----w C:\Program Files\AMP Font Viewer
2008-03-22 14:09 --------- d-----w C:\ProgramData\HP
2008-03-22 14:02 --------- d-----w C:\Program Files\Midway
2008-03-22 13:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Printer Info Cache
2008-03-22 13:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Image Zone Express
2008-03-22 12:35 --------- d-----w C:\Program Files\Norton Security Scan
2008-03-22 11:27 --------- d-----w C:\ProgramData\WEBREG
2008-03-22 11:26 --------- d-----w C:\ProgramData\HPSSUPPLY
2008-03-22 11:26 --------- d-----w C:\Program Files\HP
2008-03-22 11:26 --------- d-----w C:\Program Files\Common Files\HP
2008-03-22 11:24 --------- d-----w C:\Program Files\Hewlett-Packard
2008-03-22 11:24 --------- d-----w C:\Program Files\Common Files\Hewlett-Packard
2008-03-22 10:51 --------- d-----w C:\Users\Maaike\AppData\Roaming\Symantec
2008-03-22 06:46 174 --sha-w C:\Program Files\desktop.ini
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Sidebar
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Calendar
2008-03-22 06:21 8,192 ----a-w C:\Windows\System32\riched32.dll
2008-03-22 06:21 77,824 ----a-w C:\Windows\System32\rascfg.dll
2008-03-22 06:21 61,952 ----a-w C:\Windows\system32\drivers\wanarp.sys
2008-03-22 06:21 52,736 ----a-w C:\Windows\System32\rasdiag.dll
2008-03-22 06:21 48,640 ----a-w C:\Windows\system32\drivers\ndproxy.sys
2008-03-22 06:21 384,000 ----a-w C:\Windows\System32\netcfgx.dll
2008-03-22 06:21 32,768 ----a-w C:\Windows\System32\rasmxs.dll
2008-03-22 06:21 22,016 ----a-w C:\Windows\System32\rasser.dll
2008-03-22 06:21 20,480 ----a-w C:\Windows\system32\drivers\ndistapi.sys
2008-03-22 06:18 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-03-22 06:18 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-03-22 06:15 41,984 ----a-w C:\Windows\system32\drivers\monitor.sys
2008-03-22 06:15 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys
2008-03-22 06:14 8,147,968 ----a-w C:\Windows\System32\wmploc.DLL
2008-03-22 06:14 7,680 ----a-w C:\Windows\System32\spwmp.dll
2008-03-22 06:14 4,096 ----a-w C:\Windows\System32\dxmasf.dll
2008-03-22 06:14 356,864 ----a-w C:\Windows\System32\MediaMetadataHandler.dll
2008-03-22 06:12 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-03-22 06:12 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-03-22 06:12 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-03-22 06:12 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-03-22 06:12 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-03-22 06:12 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2007-08-10 20:13 65,536 --sha-w C:\Windows\oem\mp\boot\bootstat.dat
.

((((((((((((((((((((((((((((( snapshot_2008-05-03_23.33.59.80 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-03 21:28:53 67,584 --s-a-w C:\Windows\bootstat.dat
+ 2008-05-03 21:41:27 67,584 --s-a-w C:\Windows\bootstat.dat
- 2008-05-03 21:28:54 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2008-05-03 21:41:28 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2008-05-03 21:28:54 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2008-05-03 21:41:28 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2008-05-03 21:30:20 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 21:42:48 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-03 21:30:24 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-05-03 21:42:58 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
- 2008-05-03 21:31:48 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 21:42:42 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-03 21:33:10 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-05-03 21:44:51 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
- 2008-05-03 21:14:47 425,636 ----a-w C:\Windows\System32\perfc007.dat
+ 2008-05-03 21:40:11 435,460 ----a-w C:\Windows\System32\perfc007.dat
- 2008-05-03 21:14:47 385,248 ----a-w C:\Windows\System32\perfc009.dat
+ 2008-05-03 21:40:13 394,224 ----a-w C:\Windows\System32\perfc009.dat
- 2008-05-03 21:14:47 1,612,804 ----a-w C:\Windows\System32\perfh007.dat
+ 2008-05-03 21:40:12 1,643,484 ----a-w C:\Windows\System32\perfh007.dat
- 2008-05-03 21:14:47 908,200 ----a-w C:\Windows\System32\perfh009.dat
+ 2008-05-03 21:40:14 917,560 ----a-w C:\Windows\System32\perfh009.dat
- 2008-05-03 21:30:48 7,114 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1966895989-983207608-2434261987-1002_UserData.bin
+ 2008-05-03 21:43:28 7,114 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1966895989-983207608-2434261987-1002_UserData.bin
- 2008-05-03 21:30:48 57,764 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-05-03 21:43:27 58,032 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43128818-37A4-452D-B84B-F51BA0FD8710}]
C:\Users\Maaike\AppData\Local\Temp\vtUnmNGY.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-03-22 08:09 1232896]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-08-10 22:24 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 17:10 4468736 C:\Windows\RtHDVCpl.exe]
"Skytel"="Skytel.exe" [2007-05-07 18:51 1826816 C:\Windows\SkyTel.exe]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-09-11 23:28 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-09-11 23:28 8497696]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-09-11 23:28 81920]
"Symantec PIF AlertEng"="C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 18:38 583048]
"LogitechCommunicationsManager"="C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 17:02 563984]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [2007-07-25 17:06 2027792]
"RoxWatchTray"="C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-11 11:40 232184]
"ANIWZCS2Service"="C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 11:49 49152]
"D-Link D-Link Wireless N DWA-140"="C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe" [2007-03-14 18:29 1388544]
"Ulead AutoDetector v2"="C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe" [2007-08-02 22:08 95504]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-03-22 22:20:37 67128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv32"= C:\Windows\system32\ir32_32.dll
"vidc.iv31"= C:\Windows\system32\ir32_32.dll

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=C:\Windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2006-12-10 22:52 49152 C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPService]
C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2007-02-21 03:18 366400 C:\Program Files\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\toolbar_eula_launcher]
--a------ 2007-02-20 18:20 28672 C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
--a------ 2007-08-02 22:08 95504 C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{85364961-8DD7-43C3-AF40-69D4D839DB2F}"= UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{CAAF4B51-03DE-412A-AA4E-96C85D58B807}"= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{3F9B2452-81AA-4084-8727-A648FE55904A}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{F0CC14FE-4303-4E8F-A09B-0296B8A8744F}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{D629062B-F0DF-47B6-9873-19E80A19C6A8}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{75401C2F-6D67-433D-8295-2BDC52413F58}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{50BEEBCA-4A67-4C55-B6FE-9EC529FF0DB0}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{AACF5E19-25EE-4ADC-BB63-66F21578F325}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{84A7D554-74BF-4340-9E22-D05CAD60B2AC}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"TCP Query User{B8E24EB8-A2D1-40E6-8976-EE9650378198}D:\\d-link.exe"= UDP:\d-link.exe:Setup Wizard Template
"UDP Query User{76F3E38D-6A60-4E2A-8CC1-4F157EF9A01A}D:\\d-link.exe"= TCP:\d-link.exe:Setup Wizard Template
"{FC420349-C1E8-4B1C-8325-52DF8B2379DE}"= Disabled:UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{224FD273-20C8-46A3-A50C-6D419632ADF6}"= Disabled:TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

S3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver;C:\Windows\system32\DRIVERS\rt2870.sys [2007-07-05 04:16]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{306c3741-f765-11dc-9158-806e6f6e6963}]
\shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
\shell\configure\command - D:\SETUP.EXE
\shell\install\command - D:\SETUP.EXE

.
Inhalt des "geplante Tasks" Ordners
"2008-05-03 21:29:59 C:\Windows\Tasks\Erweiterte Garantie.job"
- C:\Program Files\Packard Bell\SetupmyPC\PBCarNot.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-03 23:45:11
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-03 23:46:06
ComboFix-quarantined-files.txt 2008-05-03 21:46:03
ComboFix2.txt 2008-05-03 20:05:03
ComboFix3.txt 2008-05-03 17:59:13

Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.

245 --- E O F --- 2008-05-01 13:40:13

LG Miffi

Sorry, da steckt schon wieder ein Fehler drin, irgendwie läuft da was schief, versuch es nochmal:



Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

FILE::
C:\Users\Maaike\AppData\Local\Temp\vtUnmNGY.dll
C:\Users\Maaike\AppData\Local\Temp\urqQhIcC.dll


Registry::
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43128818-37A4-452D-B84B-F51BA0FD8710}]
C:\Users\Maaike\AppData\Local\Temp\vtUnmNGY.dll
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis:
Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Hi,
das Log

ComboFix 08-04-29.5 - Maaike 2008-05-03 23:59:52.7 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1319 [GMT 2:00]
ausgeführt von:: C:\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-03 bis 2008-05-03 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-03 18:53 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-05-03 18:52 --------- d-----w C:\Users\Maaike\AppData\Roaming\Malwarebytes
2008-05-03 18:52 --------- d-----w C:\ProgramData\Malwarebytes
2008-05-01 14:27 --------- d-----w C:\Program Files\Windows Mail
2008-05-01 14:20 1,780,380 ----a-w C:\ComboFix.exe
2008-05-01 14:16 --------- d-----w C:\Program Files\Windows Live Toolbar
2008-05-01 14:12 --------- d-----w C:\Program Files\GameSpy Arcade
2008-05-01 14:06 --------- d-----w C:\Program Files\CCleaner
2008-05-01 14:04 671,968 ----a-w C:\ccsetup205_slim.exe
2008-04-29 19:08 --------- d-----w C:\Users\Maaike\AppData\Roaming\Skype
2008-04-27 17:35 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-27 17:35 --------- d-----w C:\Program Files\RTL Playtainment
2008-04-25 14:13 --------- d-----w C:\Program Files\Brightstar Entertainment
2008-04-25 14:10 2,855 ----a-w C:\Windows\PIF\INSTALL.PIF
2008-04-23 15:08 --------- d-----w C:\Program Files\Java
2008-04-23 15:07 --------- d-----w C:\Program Files\Common Files\Java
2008-04-22 19:32 --------- d-----w C:\ProgramData\Symantec
2008-04-22 19:32 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-04-22 19:31 --------- d-----w C:\Program Files\Symantec
2008-04-22 19:31 --------- d-----w C:\Program Files\Norton 360
2008-04-18 17:40 39,424 --sh--r C:\Windows\livemessenger.com
2008-04-18 17:40 39,424 ----a-w C:\Users\Maaike\IMG00231.JPG-www.imageupload.com
2008-04-17 15:48 --------- d-----w C:\Program Files\Deep Silver
2008-04-14 10:47 --------- d-----w C:\Program Files\Ulead Systems
2008-04-14 10:43 11,014,144 ----a-w C:\Users\Maaike\UGA5TBYB_E_USG.exe
2008-04-14 10:37 --------- d-----w C:\ProgramData\Ulead Systems
2008-04-14 08:43 --------- d-----w C:\Program Files\Packard Bell
2008-04-14 07:40 --------- d-----w C:\Users\Maaike\AppData\Roaming\Ulead Systems
2008-04-13 15:43 --------- d-----w C:\Program Files\PopTop Software
2008-04-10 16:04 --------- d-----w C:\Program Files\CyberQix
2008-04-09 14:29 --------- d-----w C:\Program Files\QuickTime
2008-04-09 14:26 --------- d-----w C:\Program Files\Activision
2008-04-09 14:24 --------- d-----w C:\Program Files\Google
2008-04-09 14:23 --------- d-----w C:\Program Files\CyberLink
2008-04-08 18:19 --------- d-----w C:\ProgramData\QuickTime
2008-04-08 18:16 --------- d-----w C:\Program Files\LEGO Software
2008-04-08 18:11 --------- d-----w C:\Program Files\Microsoft.NET
2008-04-08 15:03 --------- d-----w C:\Users\Maaike\AppData\Roaming\DesktopPlayer
2008-04-08 15:03 --------- d-----w C:\Program Files\Jimi Blue Player
2008-04-03 14:59 --------- d-----w C:\Program Files\EA SPORTS
2008-04-02 19:08 --------- d-----w C:\ProgramData\WLInstaller
2008-04-02 19:08 --------- d-----w C:\Program Files\Windows Live
2008-03-31 20:53 --------- d-----w C:\Program Files\ANI
2008-03-31 20:52 --------- d-----w C:\Program Files\D-Link
2008-03-31 20:51 --------- d-----w C:\Users\Maaike\AppData\Roaming\InstallShield
2008-03-25 21:14 --------- d-----w C:\Program Files\sixteen tons entertainment
2008-03-25 16:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Roxio
2008-03-24 18:57 --------- d-----w C:\Program Files\Meine Tierpension
2008-03-23 17:42 --------- d-----w C:\Program Files\Common Files\Adobe
2008-03-23 14:53 --------- d-----w C:\Program Files\Windows Media-Komponenten
2008-03-23 14:52 --------- d-----w C:\Program Files\Common Files\Ulead Systems
2008-03-23 14:13 --------- d-----w C:\Users\Maaike\AppData\Roaming\HP
2008-03-22 22:25 --------- d-----w C:\Users\Maaike\AppData\Roaming\Packard Bell
2008-03-22 20:33 --------- d-----w C:\Program Files\Common Files\LogiShrd
2008-03-22 20:20 127,034 ------r C:\Windows\bwUnin-8.1.1.50-8876480SL.exe
2008-03-22 20:20 --------- d-----w C:\Program Files\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\LogiShrd
2008-03-22 18:48 --------- d-----w C:\Program Files\Atari
2008-03-22 18:47 9,472 ----a-w C:\Windows\system32\drivers\lemsgt.sys
2008-03-22 18:47 137,344 ----a-w C:\Windows\system32\drivers\hwpsgt.sys
2008-03-22 17:26 --------- d-----w C:\Program Files\AMP Font Viewer
2008-03-22 14:09 --------- d-----w C:\ProgramData\HP
2008-03-22 14:02 --------- d-----w C:\Program Files\Midway
2008-03-22 13:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Printer Info Cache
2008-03-22 13:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Image Zone Express
2008-03-22 12:35 --------- d-----w C:\Program Files\Norton Security Scan
2008-03-22 11:27 --------- d-----w C:\ProgramData\WEBREG
2008-03-22 11:26 --------- d-----w C:\ProgramData\HPSSUPPLY
2008-03-22 11:26 --------- d-----w C:\Program Files\HP
2008-03-22 11:26 --------- d-----w C:\Program Files\Common Files\HP
2008-03-22 11:24 --------- d-----w C:\Program Files\Hewlett-Packard
2008-03-22 11:24 --------- d-----w C:\Program Files\Common Files\Hewlett-Packard
2008-03-22 10:51 --------- d-----w C:\Users\Maaike\AppData\Roaming\Symantec
2008-03-22 06:46 174 --sha-w C:\Program Files\desktop.ini
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Sidebar
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Calendar
2008-03-22 06:21 8,192 ----a-w C:\Windows\System32\riched32.dll
2008-03-22 06:21 77,824 ----a-w C:\Windows\System32\rascfg.dll
2008-03-22 06:21 61,952 ----a-w C:\Windows\system32\drivers\wanarp.sys
2008-03-22 06:21 52,736 ----a-w C:\Windows\System32\rasdiag.dll
2008-03-22 06:21 48,640 ----a-w C:\Windows\system32\drivers\ndproxy.sys
2008-03-22 06:21 384,000 ----a-w C:\Windows\System32\netcfgx.dll
2008-03-22 06:21 32,768 ----a-w C:\Windows\System32\rasmxs.dll
2008-03-22 06:21 22,016 ----a-w C:\Windows\System32\rasser.dll
2008-03-22 06:21 20,480 ----a-w C:\Windows\system32\drivers\ndistapi.sys
2008-03-22 06:18 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-03-22 06:18 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-03-22 06:15 41,984 ----a-w C:\Windows\system32\drivers\monitor.sys
2008-03-22 06:15 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys
2008-03-22 06:14 8,147,968 ----a-w C:\Windows\System32\wmploc.DLL
2008-03-22 06:14 7,680 ----a-w C:\Windows\System32\spwmp.dll
2008-03-22 06:14 4,096 ----a-w C:\Windows\System32\dxmasf.dll
2008-03-22 06:14 356,864 ----a-w C:\Windows\System32\MediaMetadataHandler.dll
2008-03-22 06:12 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-03-22 06:12 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-03-22 06:12 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-03-22 06:12 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-03-22 06:12 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-03-22 06:12 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2007-08-10 20:13 65,536 --sha-w C:\Windows\oem\mp\boot\bootstat.dat
.

((((((((((((((((((((((((((((( snapshot_2008-05-03_23.33.59.80 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-03 21:28:53 67,584 --s-a-w C:\Windows\bootstat.dat
+ 2008-05-03 21:58:30 67,584 --s-a-w C:\Windows\bootstat.dat
- 2008-05-03 21:28:54 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2008-05-03 21:58:31 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2008-05-03 21:28:54 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2008-05-03 21:58:31 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2008-05-03 21:30:20 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 22:01:09 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-03 21:30:24 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-05-03 22:00:07 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
- 2008-05-03 21:31:48 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 22:02:03 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-03 21:33:10 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-05-03 22:01:51 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
- 2008-05-03 21:14:47 425,636 ----a-w C:\Windows\System32\perfc007.dat
+ 2008-05-03 21:46:31 440,372 ----a-w C:\Windows\System32\perfc007.dat
- 2008-05-03 21:14:47 385,248 ----a-w C:\Windows\System32\perfc009.dat
+ 2008-05-03 21:46:31 398,712 ----a-w C:\Windows\System32\perfc009.dat
- 2008-05-03 21:14:47 1,612,804 ----a-w C:\Windows\System32\perfh007.dat
+ 2008-05-03 21:46:31 1,658,824 ----a-w C:\Windows\System32\perfh007.dat
- 2008-05-03 21:14:47 908,200 ----a-w C:\Windows\System32\perfh009.dat
+ 2008-05-03 21:46:31 922,240 ----a-w C:\Windows\System32\perfh009.dat
- 2008-05-03 21:30:48 7,114 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1966895989-983207608-2434261987-1002_UserData.bin
+ 2008-05-03 22:00:38 7,114 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1966895989-983207608-2434261987-1002_UserData.bin
- 2008-05-03 21:30:48 57,764 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-05-03 22:00:38 58,244 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43128818-37A4-452D-B84B-F51BA0FD8710}]
C:\Users\Maaike\AppData\Local\Temp\vtUnmNGY.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-03-22 08:09 1232896]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-08-10 22:24 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 17:10 4468736 C:\Windows\RtHDVCpl.exe]
"Skytel"="Skytel.exe" [2007-05-07 18:51 1826816 C:\Windows\SkyTel.exe]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-09-11 23:28 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-09-11 23:28 8497696]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-09-11 23:28 81920]
"Symantec PIF AlertEng"="C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 18:38 583048]
"LogitechCommunicationsManager"="C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 17:02 563984]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [2007-07-25 17:06 2027792]
"RoxWatchTray"="C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-11 11:40 232184]
"ANIWZCS2Service"="C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 11:49 49152]
"D-Link D-Link Wireless N DWA-140"="C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe" [2007-03-14 18:29 1388544]
"Ulead AutoDetector v2"="C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe" [2007-08-02 22:08 95504]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-03-22 22:20:37 67128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv32"= C:\Windows\system32\ir32_32.dll
"vidc.iv31"= C:\Windows\system32\ir32_32.dll

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=C:\Windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2006-12-10 22:52 49152 C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPService]
C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2007-02-21 03:18 366400 C:\Program Files\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\toolbar_eula_launcher]
--a------ 2007-02-20 18:20 28672 C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
--a------ 2007-08-02 22:08 95504 C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{85364961-8DD7-43C3-AF40-69D4D839DB2F}"= UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{CAAF4B51-03DE-412A-AA4E-96C85D58B807}"= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{3F9B2452-81AA-4084-8727-A648FE55904A}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{F0CC14FE-4303-4E8F-A09B-0296B8A8744F}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{D629062B-F0DF-47B6-9873-19E80A19C6A8}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{75401C2F-6D67-433D-8295-2BDC52413F58}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{50BEEBCA-4A67-4C55-B6FE-9EC529FF0DB0}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{AACF5E19-25EE-4ADC-BB63-66F21578F325}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{84A7D554-74BF-4340-9E22-D05CAD60B2AC}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"TCP Query User{B8E24EB8-A2D1-40E6-8976-EE9650378198}D:\\d-link.exe"= UDP:\d-link.exe:Setup Wizard Template
"UDP Query User{76F3E38D-6A60-4E2A-8CC1-4F157EF9A01A}D:\\d-link.exe"= TCP:\d-link.exe:Setup Wizard Template
"{FC420349-C1E8-4B1C-8325-52DF8B2379DE}"= Disabled:UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{224FD273-20C8-46A3-A50C-6D419632ADF6}"= Disabled:TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

S3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver;C:\Windows\system32\DRIVERS\rt2870.sys [2007-07-05 04:16]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{306c3741-f765-11dc-9158-806e6f6e6963}]
\shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
\shell\configure\command - D:\SETUP.EXE
\shell\install\command - D:\SETUP.EXE

.
Inhalt des "geplante Tasks" Ordners
"2008-05-03 22:00:00 C:\Windows\Tasks\Erweiterte Garantie.job"
- C:\Program Files\Packard Bell\SetupmyPC\PBCarNot.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-04 00:02:12
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


C:\Users\Maaike\AppData\Local\Temp\~DF17C6.tmp 65536 bytes
C:\Users\Maaike\AppData\Local\Temp\~DF2D21.tmp 32768 bytes
C:\Users\Maaike\AppData\Local\Temp\~DF40BE.tmp 512 bytes
C:\Users\Maaike\AppData\Local\Temp\~DF40D1.tmp 16384 bytes
C:\Users\Maaike\AppData\Local\Temp\~DF52A9.tmp 512 bytes
C:\Users\Maaike\AppData\Local\Temp\~DF8D89.tmp 512 bytes
C:\Users\Maaike\AppData\Local\Temp\~DF8D9A.tmp 65536 bytes
C:\Users\Maaike\AppData\Local\Temp\~DFDDC.tmp 512 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 8

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-04 0:03:18
ComboFix-quarantined-files.txt 2008-05-03 22:03:14
ComboFix2.txt 2008-05-03 21:46:07
ComboFix3.txt 2008-05-03 20:05:03
ComboFix4.txt 2008-05-03 17:59:13

Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.

254 --- E O F --- 2008-05-01 13:40:13

LG Miffi

Ok einen noch, dann machen wir Schluss für heute..


Unhackme Rootkit Killer

• Lade dir das unhackme herunter und überprüfe dein System -> UnHackMe - Rootkits finden

• Im Anschluss wird ein Report erstellt, kopiere diesen hier in deinen Beitrag

SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

Hi Sunny,
das mit dem unhack me muss ich später ausprobieren. Hab es zwar schon versucht, aber der will nicht so ganz. Er sagt es ist kein Trojaner vorhanden. Bericht zeigt er keinen an. Es gibt da dann einen Testbericht an regrun selber, den wollte ich dann posten, aber der hat viel zu viele Zeichen. Müßte glaub ich dann 10 posts einstellen. Jetzt werd ich erstmal schlafen gehen.

Vielen vielen Dank für deine Geduld und Hilfe
LG Miffi