Hey,
ich habe seit kurzem einen Virus oder ähnliches auf meinem PC. Der Virus öffnet einfach Seiten von angeblichen Antivirusprogrammen im Internet-Explorer, obwohl ich diesen so gut wie nie benutze.
Außerdem öffnen sich alle paar Minuten Fenster, wie z.B.: Windows Security Alert-Windows has detected an Internet attack attempt...Somebody's trying to infect your PC with spyware or harmful viruses. Run full system scan now to protect your PC from Internet attacks, hijacking attempts and spyware! Click here to download spyware remover for total protection.
Auch diese Meldung kommt zwischendurch:Security Warning!
Worm.Win32.NetBooster detected on your machine. This virus is distributed via the Internet through e-mail and Active-X objects. The womr has its own SMTP engine which means it gathers e-mails form your local computer and re-distributes itself. In worst cases this worm can allow attackers to access your computer, stealing passwords and personal data. This process should be removed from your system.
Type:Virus
System Affected: Windows 2000, NT, ME, XP, Vista
Security Risk (0-5): 5
Recomendations: Click Yes to remove it from your Pc immediately.

habe in anderen Beitrag schon gelsen, dass ich die Protokolle einstellen soll:

Hier:

Hijack:

Logfile of HijackThis v1.99.1
Scan saved at 19:43:00, on 05.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Corel\Corel Photo Album 6\MediaDetect.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\OM 809 Mouse Driver\MouseDrv.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\BOSS\Desktop\hijackthis\This.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: qtvglped - {65C76A0A-B5A4-4170-8F62-947A0145677C} - C:\WINDOWS\qtvglped.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [NI.UGESU_0001_N122M0303] "C:\Dokumente und Einstellungen\BOSS\Anwendungsdaten\setup_de[1].exe"
O4 - HKLM\..\Run: [WireLessMouse] C:\Programme\OM 809 Mouse Driver\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Programme\Corel\Corel Photo Album 6\MediaDetect.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Bild zum Bildarchiv senden - file://C:\Dokumente und Einstellungen\BOSS\Anwendungsdaten\MGI\PhotoSuite4\Temp\MGI00000.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: eBay Startseite - {8B69DB2E-015D-4c4f-B97E-95EF5326BDA8} - http://adfarm.mediaplex.com/ad/ck/707-1170-5704-77?RedirectEnter&partner=36420&loc=http://pages.ebay.de (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.getfirefox.de
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: rqRJBrPh - rqRJBrPh.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: pmsoarbf - {63DDC0B6-290B-4EF3-97F9-DA5735430B75} - C:\WINDOWS\pmsoarbf.dll (file missing)
O21 - SSODL: omlbpkaw - {75AF5F22-0041-40FE-8837-76FBC5A6834A} - C:\WINDOWS\omlbpkaw.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PACSPTISVR - Unknown owner - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe



und


ComboFix 08-06-05.2 - BOSS 2008-06-05 19:32:03.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.509 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\BOSS\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080511191757203.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080512165902437.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080513175255875.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080514094257265.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080515161028468.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080517133024078.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080517135203593.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080518192348265.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080524122157448.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080525162044171.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080526101750562.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080527142359218.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080527164521046.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080529095731703.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080529211054250.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080531165907320.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080601150903218.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080602101035500.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080603124701671.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080603181446531.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080603184045984.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080604122903640.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080605102236656.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080605123311750.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080605173451234.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080605185443843.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe
C:\Dokumente und Einstellungen\BOSS\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\BOSS\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\BOSS\Favoriten\Spyware&Malware Protection.url
C:\Programme\VirusIsolator
C:\Programme\VirusIsolator\VirusIsolator.exe
C:\Programme\VirusIsolator\vscan.tsi
C:\Programme\VirusIsolator\zlib.dll
C:\Programme\XP Antivirus
C:\Programme\XP Antivirus\xpa.exe
C:\WINDOWS\omlbpkaw.dll
C:\WINDOWS\pmsoarbf.dll
C:\WINDOWS\privacy_danger
C:\WINDOWS\privacy_danger\images\capt.gif
C:\WINDOWS\privacy_danger\images\danger.jpg
C:\WINDOWS\privacy_danger\images\down.gif
C:\WINDOWS\privacy_danger\images\spacer.gif
C:\WINDOWS\privacy_danger\index.htm
C:\WINDOWS\qtvglped.dll
C:\WINDOWS\system32\Twyyyccf.ini
C:\WINDOWS\system32\Twyyyccf.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-05 bis 2008-06-05 ))))))))))))))))))))))))))))))
.

2008-06-05 19:24 . 2002-02-21 17:56 24,576 --a------ C:\WINDOWS\system32\msxml3a.dll
2008-06-05 19:15 . 2008-06-05 19:15 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2008-06-05 18:55 . 2008-06-05 19:24 <DIR> d-------- C:\Programme\Yahoo!
2008-06-05 18:55 . 2008-06-05 18:56 <DIR> d-------- C:\Programme\CCleaner
2008-06-05 18:25 . 2008-06-05 18:25 1,169 --a------ C:\WINDOWS\mozver.dat
2008-06-05 18:04 . 2008-06-05 18:04 0 --a------ C:\WINDOWS\nsreg.dat
2008-05-17 14:41 . 2008-05-17 14:41 197 --a------ C:\WINDOWS\system32\MRT.INI
2008-05-14 09:44 . 2008-05-14 09:44 264,208 --a--c--- C:\Dokumente und Einstellungen\BOSS\Anwendungsdaten\setup_de[3].exe
2008-05-14 09:44 . 2008-05-14 09:44 264,208 --a--c--- C:\Dokumente und Einstellungen\BOSS\Anwendungsdaten\setup_de[2].exe
2008-05-12 17:26 . 2008-05-15 16:18 264,208 --a--c--- C:\Dokumente und Einstellungen\BOSS\Anwendungsdaten\setup_de[1].exe
2008-05-11 19:18 . 2008-05-11 19:18 <DIR> d-------- C:\Programme\CenterLock

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-05 17:24 --------- d-----w C:\Programme\Common Files
2008-06-05 17:00 --------- d-----w C:\Programme\Dell
2008-06-05 16:49 --------- d-----w C:\Programme\AskTBar
2008-05-03 12:09 --------- dc----w C:\Dokumente und Einstellungen\BOSS\Anwendungsdaten\phonostar-Player
2008-04-24 15:09 0 -c--a-w C:\winxplogon.sys
2008-04-19 12:32 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2008-04-18 10:23 --------- dc----w C:\Dokumente und Einstellungen\BOSS\Anwendungsdaten\Canon
2008-04-18 08:18 94,208 ----a-w C:\WINDOWS\npqtsrak.exe
2008-04-18 08:18 81,920 ----a-w C:\WINDOWS\rtqmekwg.exe
2008-04-17 07:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2001-01-10 09:23 162,304 -c--a-w C:\WINDOWS\inf\UNWISE.EXE
1999-04-16 09:28 151,552 -c--a-r C:\WINDOWS\inf\AGFA\Message.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{65C76A0A-B5A4-4170-8F62-947A0145677C}"= "C:\WINDOWS\qtvglped.dll" [ ]

[HKEY_CLASSES_ROOT\clsid\{65c76a0a-b5a4-4170-8f62-947a0145677c}]
[HKEY_CLASSES_ROOT\qtvglped.1]
[HKEY_CLASSES_ROOT\TypeLib\{CFD245BD-52AE-4AF0-B891-812470B45F78}]
[HKEY_CLASSES_ROOT\qtvglped]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 20:03 152872]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15:00 15360]
"PhonostarTimer"="C:\Programme\phonostar\ps_timer.exe" [2007-03-19 17:37 126976]
"PhonostarAgent"="C:\Programme\phonostar\ps_agent.exe" [2007-03-19 17:31 98304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-10-14 21:46 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-10-14 21:50 114688]
"DMXLauncher"="C:\Programme\Dell\Media Experience\DMXLauncher.exe" [2005-11-01 04:12 94208]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2006-03-01 12:35 327680]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-16 10:46 262401]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-01 16:57 153136]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2005-09-28 20:11 172544]
"NI.UGESU_0001_N122M0303"="C:\Dokumente und Einstellungen\BOSS\Anwendungsdaten\setup_de[1].exe" [2008-05-15 16:18 264208]
"WireLessMouse"="C:\Programme\OM 809 Mouse Driver\StartAutorun.exe" [2005-11-30 12:48 94208]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"MSKDetectorExe"="C:\Programme\McAfee\SpamKiller\MSKDetct.exe" [2005-07-12 20:05 1117184]
"Corel Photo Downloader"="C:\Programme\Corel\Corel Photo Album 6\MediaDetect.exe" [2005-08-31 12:06 106496]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-10-14 21:49 94208]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 15:00 208952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"pmsoarbf"= {63DDC0B6-290B-4EF3-97F9-DA5735430B75} - C:\WINDOWS\pmsoarbf.dll [ ]
"omlbpkaw"= {75AF5F22-0041-40FE-8837-76FBC5A6834A} - C:\WINDOWS\omlbpkaw.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRJBrPh]
rqRJBrPh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero ShowTime\\ShowTime.exe"=
"C:\\Programme\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Ahead\\Nero Web\\SetupX.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R3 MOUSEWDFilter;MOUSEWDFilter;C:\WINDOWS\System32\Drivers\MOUSEWD.SYS [2006-07-10 06:28]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-02-23 01:04]
S3 TS111_USB;T-Sinus 111data Driver;C:\WINDOWS\system32\DRIVERS\TS111USB.sys [2003-09-09 13:50]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a9806350-f70d-11da-b489-806d6172696f}]
\Shell\AutoRun\command - E:\pushinst.exe

.
Inhalt des "geplante Tasks" Ordners
"2006-04-21 19:31:13 C:\WINDOWS\Tasks\ISP-Anmeldungserinnerung 1.job"
- C:\WINDOWS\system32\OOBE\oobebaln.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-05 19:36:10
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Windows Media Player\wmpnetwk.exe
C:\Programme\OM 809 Mouse Driver\MouseDrv.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-05 19:40:30 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-05 17:40:24

13 Verzeichnis(se), 165,741,723,648 Bytes frei
18 Verzeichnis(se), 166,430,355,456 Bytes frei

172 --- E O F --- 2008-05-29 08:11:35




VIELEN DANK!

Hallo heinzel und






Dateien Online überprüfen lassen:

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• lass auch die versteckten Dateien anzeigen!

Zitat:

C:\winxplogon.sys

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{65C76A0A-B5A4-4170-8F62-947A0145677C}"=-
[-HKEY_CLASSES_ROOT\clsid\{65c76a0a-b5a4-4170-8f62-947a0145677c}]
[-HKEY_CLASSES_ROOT\qtvglped.1]
[-HKEY_CLASSES_ROOT\TypeLib\{CFD245BD-52AE-4AF0-B891-812470B45F78}]
[-HKEY_CLASSES_ROOT\qtvglped]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"pmsoarbf"=-
"omlbpkaw"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRJBrPh]


FILE::
C:\WINDOWS\npqtsrak.exe
C:\WINDOWS\rtqmekwg.exe
C:\WINDOWS\qtvglped.dll
C:\Dokumente und Einstellungen\BOSS\Anwendungsdaten\setup_de[3].exe
C:\Dokumente und Einstellungen\BOSS\Anwendungsdaten\setup_de[2].exe
C:\Dokumente und Einstellungen\BOSS\Anwendungsdaten\setup_de[1].exe
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann



Malwarebytes' Anti-Malware

• Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

• Download von Malwarebytes' Anti-Malware