|
Plagegeister aller Art und deren Bekämpfung: Warning Spayware detectet...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
06.06.2008, 23:32 | #1 |
Gesperrt | Warning Spayware detectet... Hallo, Seit einigen Tagen bekomm ich wenn ich den PC neu starte automatisch den Bildschirmhintergund in: Warning! Spayware detectet on your Computer!!! Install an antivirus or spayware remover... Auserdem öffnen sich automatisch seiten mit antvir programmen zum downloaden Und wenn ich auf download klicke zeigt mein Anti vir ( avast) an das es ein virus sei ich hab gleich mal ein HijackThis gemacht: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:21:26, on 07.06.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\lphcebbj0eabj.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Windows Live\Messenger\MsnMsgr.Exe C:\Programme\DNA\btdna.exe C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Sonstige\ICQ6\ICQ.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Sonstige\Vista skin\Vista Inspirat 2\UberIcon\UberIcon Manager.exe C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Sonstige\x-fire\Xfire\xfire.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\PROGRA~1\ALWILS~1\Avast4\ashQuick.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll O2 - BHO: (no name) - {10B5E5C2-8901-4E3C-BF61-AC6E11039292} - C:\WINDOWS\system32\tuvTkjJa.dll (file missing) O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: atfxqogp - {910EF077-8B76-4A3C-B201-A5CAABA866F8} - C:\WINDOWS\atfxqogp.dll O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [DrvLsnr] C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [advap32] C:\DOKUME~1\Martin\LOKALE~1\Temp\rbnpsrv.exe/r O4 - HKLM\..\Run: [lphcebbj0eabj] C:\WINDOWS\system32\lphcebbj0eabj.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe" O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 O4 - HKCU\..\Run: [ICQ] "C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Sonstige\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1 O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: UberIcon.lnk = C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\Vista skin\Vista Inspirat 2\UberIcon\UberIcon Manager.exe O4 - Startup: Xfire.lnk = C:\Dokumente und Einstellungen\XXX\Eigene Dateien\Sonstige\x-fire\Xfire\xfire.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C3B45453-C46E-4E18-AB01-F1F6E427B97E}: NameServer = 217.237.150.141,194.25.2.129 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: tuvTkjJa - tuvTkjJa.dll (file missing) O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing) O21 - SSODL: vltdfabw - {EF8CC376-DB07-4991-8C57-D720C1514CA6} - C:\WINDOWS\vltdfabw.dll (file missing) O21 - SSODL: vregfwlx - {2C9AC911-A211-46B0-A252-3A7CA2C10064} - C:\WINDOWS\vregfwlx.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe -- End of file - 8926 bytes Ich hoffe mir kann einer helfen will meinen PC nicht schon wieder formatieren -.- Danke im vorraus schonmal |
06.06.2008, 23:50 | #2 |
Administrator > Competence Manager | Warning Spayware detectet... Hallo und
__________________ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________ |
07.06.2008, 12:43 | #3 |
Gesperrt | Warning Spayware detectet... danke erstmal für deine antwort
__________________so hab das mit dem Combofix da genau so gemacht wie es angegeben war und das kam dabei raus: ComboFix 08-06-06.6 - Martin 2008-06-07 13:24:53.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1114 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Martin\Desktop\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\ShoppingReport C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\ShoppingReport\cs\Config.xml C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\ShoppingReport\cs\report\aggr_storage.xml C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\ShoppingReport\cs\report\send_storage.xml C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\ShoppingReport\cs\res1\WhiteList.dbs C:\Programme\ShoppingReport C:\Programme\ShoppingReport\Uninst.exe C:\WINDOWS\atfxqogp.dll C:\WINDOWS\system32\_000007_.tmp.dll C:\WINDOWS\system32\_000008_.tmp.dll C:\WINDOWS\system32\_000009_.tmp.dll C:\WINDOWS\system32\msssc.dll C:\WINDOWS\vregfwlx.dll C:\WINDOWS\xmpstean.exe . ((((((((((((((((((((((( Dateien erstellt von 2008-05-07 bis 2008-06-07 )))))))))))))))))))))))))))))) . 2008-06-07 00:20 . 2008-06-07 00:20 <DIR> d-------- C:\Programme\Trend Micro 2008-06-06 19:18 . 2008-06-06 19:18 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer 2008-06-05 16:00 . 2008-06-05 16:00 <DIR> d-------- C:\Programme\GameSpy Arcade 2008-06-04 13:46 . 2008-06-03 13:52 163,840 --a------ C:\WINDOWS\esbq.exe 2008-06-04 13:42 . 2008-06-04 13:42 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj 2008-06-04 13:41 . 2008-06-04 13:41 92,160 --a------ C:\WINDOWS\system32\lphcebbj0eabj.exe 2008-06-04 13:41 . 2008-06-07 13:30 90,838 --a------ C:\WINDOWS\system32\phcebbj0eabj.bmp 2008-06-04 13:41 . 2008-06-07 13:30 52,736 --a------ C:\WINDOWS\system32\blphcebbj0eabj.scr 2008-06-01 19:32 . 2008-06-01 19:32 311 --a------ C:\WINDOWS\game.ini 2008-06-01 19:14 . 2008-06-01 19:14 <DIR> d-------- C:\Programme\Activision 2008-06-01 17:47 . 2008-06-01 17:47 <DIR> d--hs---- C:\WINDOWS\ftpcache 2008-06-01 17:46 . 2008-06-06 21:34 107,832 --a------ C:\WINDOWS\system32\PnkBstrB.exe 2008-06-01 17:46 . 2008-06-05 19:26 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe 2008-06-01 17:46 . 2008-06-06 21:37 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-06-01 17:46 . 2008-06-01 20:25 22,328 --a------ C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\PnkBstrK.sys 2008-06-01 08:28 . 2008-06-01 08:28 <DIR> d-------- C:\WINDOWS\system32\AGEIA 2008-06-01 08:28 . 2008-06-01 08:28 <DIR> d-------- C:\Programme\AGEIA Technologies 2008-06-01 08:28 . 2008-06-01 08:29 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\FarmingSimulator2008 2008-06-01 08:27 . 2008-06-01 08:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-06-01 08:26 . 2000-08-19 19:29 268,048 --a------ C:\WINDOWS\system32\dxtmeta2.dll 2008-06-01 08:24 . 2008-06-01 08:38 <DIR> d-------- C:\Programme\DAEMON Tools Lite 2008-06-01 08:04 . 2008-06-01 16:33 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\DAEMON Tools 2008-06-01 08:04 . 2008-06-01 08:04 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys 2008-05-26 20:29 . 2008-05-26 20:29 <DIR> d-------- C:\Programme\uTorrent 2008-05-26 20:29 . 2008-06-01 16:34 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\uTorrent 2008-05-23 18:56 . 2008-05-23 18:56 <DIR> d-------- C:\Programme\EuroGrand Casino 2008-05-22 11:31 . 2008-05-22 11:31 <DIR> d-------- C:\WINDOWS\nvidia icons 2008-05-22 11:30 . 2008-05-23 09:30 <DIR> d-------- C:\WINDOWS\NV38163216.TMP 2008-05-22 11:24 . 2008-05-22 11:24 <DIR> d-------- C:\Programme\SystemRequirementsLab 2008-05-18 12:21 . 2008-05-30 07:17 <DIR> d-------- C:\Programme\Star Divx Converter 2008-05-18 12:21 . 2008-05-18 17:13 67 --a------ C:\WINDOWS\Star Divx Converter.INI 2008-05-18 11:47 . 2008-05-13 03:53 129,784 --------- C:\WINDOWS\system32\pxafs.dll 2008-05-18 11:47 . 2008-05-13 03:53 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe 2008-05-18 11:47 . 2008-05-13 03:53 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe 2008-05-18 11:47 . 2008-05-13 03:53 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys 2008-05-18 11:47 . 2008-05-13 03:53 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys 2008-05-14 03:29 . 2008-05-14 03:29 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll 2008-05-13 14:41 . 2003-03-19 07:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll 2008-05-13 14:41 . 2003-03-19 06:14 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll 2008-05-13 14:41 . 2003-02-21 14:42 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll 2008-05-13 03:53 . 2008-05-13 03:53 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll 2008-05-13 03:53 . 2008-05-13 03:53 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe 2008-05-13 03:53 . 2008-05-13 03:53 10,152 --a------ C:\WINDOWS\system32\dsm_de.qm 2008-05-13 03:53 . 2008-05-13 03:53 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb 2008-05-13 03:51 . 2008-05-13 03:51 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll 2008-05-13 03:51 . 2008-05-13 03:51 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll 2008-05-13 03:49 . 2008-05-13 03:49 630,784 --a------ C:\WINDOWS\system32\divxdec.ax 2008-05-13 03:49 . 2008-05-13 03:49 161,096 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2008-05-13 03:49 . 2008-05-13 03:49 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll 2008-05-13 03:48 . 2008-05-13 03:48 8,523 --a------ C:\WINDOWS\system32\dpude.qm . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-07 11:32 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Skype 2008-06-07 11:28 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\DNA 2008-06-07 11:21 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Xfire 2008-06-07 11:13 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\skypePM 2008-06-06 18:40 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-06-05 13:52 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-05-19 13:40 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AdobeUM 2008-05-18 10:29 --------- d-----w C:\Programme\DivX 2008-05-14 22:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-05-03 03:46 6,554,496 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys 2008-04-24 19:41 --------- d-----w C:\Programme\Yahoo! 2008-04-23 15:12 --------- d-----w C:\Programme\Microsoft Works 2008-04-23 15:11 --------- d-----w C:\Programme\MSBuild 2008-04-23 15:08 --------- d-----w C:\Programme\Microsoft.NET 2008-04-23 15:02 --------- d-----w C:\Programme\Microsoft Visual Studio 8 2008-04-21 12:42 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Engelmann Media 2008-04-11 21:45 --------- d-----w C:\Programme\Microsoft Visual Studio .NET 2003 2008-04-11 21:17 --------- d-----w C:\Programme\Microsoft Silverlight 2008-04-07 19:17 --------- d-----w C:\Programme\Google 2008-03-16 22:54 88,516 ----a-w C:\WINDOWS\BricoPackUninst.cmd 2008-03-16 22:54 8,456 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd 2008-03-16 22:22 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll 2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll . ------- Sigcheck ------- 2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\explorer.exe 2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 2004-08-04 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe 2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\system32\dllcache\explorer.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{910EF077-8B76-4A3C-B201-A5CAABA866F8}"= "C:\WINDOWS\atfxqogp.dll" [ ] [HKEY_CLASSES_ROOT\clsid\{910ef077-8b76-4a3c-b201-a5caaba866f8}] [HKEY_CLASSES_ROOT\atfxqogp.1] [HKEY_CLASSES_ROOT\TypeLib\{F25C07D1-1C0E-416F-8147-20AF5007A3F5}] [HKEY_CLASSES_ROOT\atfxqogp] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-12-12 16:23 21686568] "MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184] "BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-05-08 12:32 289088] "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [ ] "ICQ"="C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\ICQ6\ICQ.exe" [2008-04-01 12:40 172280] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 15:00 79224] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 05:46 13529088] "nwiz"="nwiz.exe" [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe] "DrvLsnr"="C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe" [2002-05-28 09:37 69632] "NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [ ] "GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 05:46 86016] "lphcebbj0eabj"="C:\WINDOWS\system32\lphcebbj0eabj.exe" [2008-06-04 13:41 92160] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "NoDispBackgroundPage"= 1 (0x1) "NoDispScrSavPage"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvTkjJa] tuvTkjJa.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= i420vfw.dll "VIDC.XFR1"= xfcodec.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\chL62.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\nsW83.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\puY72.sys] @="Driver" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Dokumente und Einstellungen\\Martin\\Eigene Dateien\\Sonstige\\x-fire\\Xfire\\xfire.exe"= "C:\\Dokumente und Einstellungen\\Martin\\Eigene Dateien\\Sonstige\\ICQ6\\ICQ.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\DNA\\btdna.exe"= "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "C:\\Programme\\uTorrent\\uTorrent.exe"= "C:\\WINDOWS\\system32\\PnkBstrA.exe"= "C:\\WINDOWS\\system32\\PnkBstrB.exe"= "C:\\Dokumente und Einstellungen\\Martin\\Eigene Dateien\\games\\Battlefield 2\\BF2.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= S0 chL62;chL62;C:\WINDOWS\system32\Drivers\chL62.sys [] S0 nsW83;nsW83;C:\WINDOWS\system32\Drivers\nsW83.sys [] S0 puY72;puY72;C:\WINDOWS\system32\Drivers\puY72.sys [] S3 sejt1;sejt1;C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\AkumaEngine33\sejt.sys [] S3 SHAK31;SHAK31;C:\Dokumente und Einstellungen\Martin\Eigene Dateien\SHAK3.sys [] . Inhalt des "geplante Tasks" Ordners "2008-06-05 14:15:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-07 13:30:38 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\explorer.exe -> C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\Vista skin\Vista Inspirat 2\UberIcon\UberIcon.dll . ------------------------ Other Running Processes ------------------------ . C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Alwil Software\Avast4\ashDisp.exe C:\WINDOWS\system32\rundll32.exe C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\Vista skin\Vista Inspirat 2\UberIcon\UberIcon Manager.exe C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\x-fire\Xfire\xfire.exe C:\Programme\Skype\Plugin Manager\skypePM.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-06-07 13:36:49 - machine was rebooted [Martin] ComboFix-quarantined-files.txt 2008-06-07 11:36:41 8 Verzeichnis(se), 22,469,464,064 Bytes frei 11 Verzeichnis(se), 25,103,437,824 Bytes frei 217 --- E O F --- 2008-05-29 01:02:00 wie geht es jetzt weiter? was soll oder kann ich tun? Der Computer läuft ja eigentlich wie immer bis auf das es den Bildschirmhintergund halt immer automatisch ändert.. Hab jetzt mal den Popup blocker eingeschlatet das ich von den seiten ruhe hab |
07.06.2008, 12:57 | #4 |
Administrator > Competence Manager | Warning Spayware detectet... Scripten mit Combofix
Code:
ATTFilter http://www.trojaner-board.de/53590-warning-spayware-detectet.html Killall:: Collect:: C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj C:\WINDOWS\system32\lphcebbj0eabj.exe C:\WINDOWS\system32\phcebbj0eabj.bmp C:\WINDOWS\system32\blphcebbj0eabj.scr C:\WINDOWS\atfxqogp.dll Registry:: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{910EF077-8B76-4A3C-B201-A5CAABA866F8}"=- [-HKEY_CLASSES_ROOT\clsid\{910ef077-8b76-4a3c-b201-a5caaba866f8}] [-HKEY_CLASSES_ROOT\atfxqogp.1] [-HKEY_CLASSES_ROOT\TypeLib\{F25C07D1-1C0E-416F-8147-20AF5007A3F5}] [-HKEY_CLASSES_ROOT\atfxqogp] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "lphcebbj0eabj"=- [-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tuvTkjJa]
Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.
__________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare. |
07.06.2008, 17:18 | #5 |
Gesperrt | Warning Spayware detectet... ok hab alles gemacht hier ist das logg: ComboFix 08-06-06.6 - Martin 2008-06-07 18:22:47.2 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1179 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Martin\Desktop\ComboFix.exe Command switches used :: C:\Dokumente und Einstellungen\Martin\Desktop\cfscript.txt * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere L”schungen )))))))))))))))))))))))))))))))))))))))))))))))) . C:\WINDOWS\system32\blphcebbj0eabj.scr C:\WINDOWS\system32\lphcebbj0eabj.exe C:\WINDOWS\system32\phcebbj0eabj.bmp . ((((((((((((((((((((((( Dateien erstellt von 2008-05-07 bis 2008-06-07 )))))))))))))))))))))))))))))) . 2008-06-07 00:20 . 2008-06-07 00:20 <DIR> d-------- C:\Programme\Trend Micro 2008-06-06 19:18 . 2008-06-06 19:18 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer 2008-06-05 16:00 . 2008-06-05 16:00 <DIR> d-------- C:\Programme\GameSpy Arcade 2008-06-04 13:46 . 2008-06-03 13:52 163,840 --a------ C:\WINDOWS\esbq.exe 2008-06-04 13:42 . 2008-06-04 13:42 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj 2008-06-01 19:32 . 2008-06-01 19:32 311 --a------ C:\WINDOWS\game.ini 2008-06-01 19:14 . 2008-06-01 19:14 <DIR> d-------- C:\Programme\Activision 2008-06-01 17:47 . 2008-06-01 17:47 <DIR> d--hs---- C:\WINDOWS\ftpcache 2008-06-01 17:46 . 2008-06-07 14:21 107,832 --a------ C:\WINDOWS\system32\PnkBstrB.exe 2008-06-01 17:46 . 2008-06-05 19:26 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe 2008-06-01 17:46 . 2008-06-07 14:24 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys 2008-06-01 17:46 . 2008-06-01 20:25 22,328 --a------ C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\PnkBstrK.sys 2008-06-01 08:28 . 2008-06-01 08:28 <DIR> d-------- C:\WINDOWS\system32\AGEIA 2008-06-01 08:28 . 2008-06-01 08:28 <DIR> d-------- C:\Programme\AGEIA Technologies 2008-06-01 08:28 . 2008-06-01 08:29 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\FarmingSimulator2008 2008-06-01 08:27 . 2008-06-01 08:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard 2008-06-01 08:26 . 2000-08-19 19:29 268,048 --a------ C:\WINDOWS\system32\dxtmeta2.dll 2008-06-01 08:24 . 2008-06-01 08:38 <DIR> d-------- C:\Programme\DAEMON Tools Lite 2008-06-01 08:04 . 2008-06-01 16:33 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\DAEMON Tools 2008-06-01 08:04 . 2008-06-01 08:04 717,296 --a------ C:\WINDOWS\system32\drivers\sptd.sys 2008-05-26 20:29 . 2008-05-26 20:29 <DIR> d-------- C:\Programme\uTorrent 2008-05-26 20:29 . 2008-06-01 16:34 <DIR> d-------- C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\uTorrent 2008-05-23 18:56 . 2008-05-23 18:56 <DIR> d-------- C:\Programme\EuroGrand Casino 2008-05-22 11:31 . 2008-05-22 11:31 <DIR> d-------- C:\WINDOWS\nvidia icons 2008-05-22 11:30 . 2008-05-23 09:30 <DIR> d-------- C:\WINDOWS\NV38163216.TMP 2008-05-22 11:24 . 2008-05-22 11:24 <DIR> d-------- C:\Programme\SystemRequirementsLab 2008-05-18 12:21 . 2008-05-30 07:17 <DIR> d-------- C:\Programme\Star Divx Converter 2008-05-18 12:21 . 2008-05-18 17:13 67 --a------ C:\WINDOWS\Star Divx Converter.INI 2008-05-18 11:47 . 2008-05-13 03:53 129,784 --------- C:\WINDOWS\system32\pxafs.dll 2008-05-18 11:47 . 2008-05-13 03:53 120,056 --------- C:\WINDOWS\system32\pxcpyi64.exe 2008-05-18 11:47 . 2008-05-13 03:53 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe 2008-05-18 11:47 . 2008-05-13 03:53 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys 2008-05-18 11:47 . 2008-05-13 03:53 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys 2008-05-14 03:29 . 2008-05-14 03:29 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll 2008-05-13 14:41 . 2003-03-19 07:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll 2008-05-13 14:41 . 2003-03-19 06:14 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll 2008-05-13 14:41 . 2003-02-21 14:42 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll 2008-05-13 03:53 . 2008-05-13 03:53 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll 2008-05-13 03:53 . 2008-05-13 03:53 524,288 --a------ C:\WINDOWS\system32\DivXsm.exe 2008-05-13 03:53 . 2008-05-13 03:53 10,152 --a------ C:\WINDOWS\system32\dsm_de.qm 2008-05-13 03:53 . 2008-05-13 03:53 4,816 --a------ C:\WINDOWS\system32\divxsm.tlb 2008-05-13 03:51 . 2008-05-13 03:51 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll 2008-05-13 03:51 . 2008-05-13 03:51 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll 2008-05-13 03:49 . 2008-05-13 03:49 630,784 --a------ C:\WINDOWS\system32\divxdec.ax 2008-05-13 03:49 . 2008-05-13 03:49 161,096 --a------ C:\WINDOWS\system32\DivXCodecVersionChecker.exe 2008-05-13 03:49 . 2008-05-13 03:49 12,288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll 2008-05-13 03:48 . 2008-05-13 03:48 8,523 --a------ C:\WINDOWS\system32\dpude.qm . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-06-07 16:20 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Xfire 2008-06-07 16:20 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Skype 2008-06-07 16:18 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\DNA 2008-06-07 16:09 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\skypePM 2008-06-06 18:40 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-06-05 13:52 --------- d--h--w C:\Programme\InstallShield Installation Information 2008-05-19 13:40 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AdobeUM 2008-05-18 10:29 --------- d-----w C:\Programme\DivX 2008-05-14 22:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help 2008-05-03 03:46 86,016 ----a-w C:\WINDOWS\system32\nvmctray.dll 2008-04-30 15:27 442,368 ----a-w C:\WINDOWS\system32\NVUNINST.EXE 2008-04-24 19:41 --------- d-----w C:\Programme\Yahoo! 2008-04-23 15:12 --------- d-----w C:\Programme\Microsoft Works 2008-04-23 15:11 --------- d-----w C:\Programme\MSBuild 2008-04-23 15:08 --------- d-----w C:\Programme\Microsoft.NET 2008-04-23 15:02 --------- d-----w C:\Programme\Microsoft Visual Studio 8 2008-04-21 12:42 --------- d-----w C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\Engelmann Media 2008-04-11 21:45 --------- d-----w C:\Programme\Microsoft Visual Studio .NET 2003 2008-04-11 21:17 --------- d-----w C:\Programme\Microsoft Silverlight 2008-04-07 19:17 --------- d-----w C:\Programme\Google 2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll 2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-16 22:54 88,516 ----a-w C:\WINDOWS\BricoPackUninst.cmd 2008-03-16 22:54 8,456 ----a-w C:\WINDOWS\BricoPackFoldersDelete.cmd 2008-03-16 22:54 219,648 ----a-w C:\WINDOWS\system32\uxtheme.dll 2008-03-16 22:22 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat 2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll 2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll 2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll . ------- Sigcheck ------- 2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\explorer.exe 2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe 2004-08-04 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe 2007-06-13 15:21 978944 01a48faef0ffc2e6a0763de98f5ba4a6 C:\WINDOWS\system32\dllcache\explorer.exe . ((((((((((((((((((((((((((((( snapshot@2008-06-07_13.36.15.20 ))))))))))))))))))))))))))))))))))))))))) . - 2008-06-07 11:29:50 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-06-07 16:25:55 2,048 --s-a-w C:\WINDOWS\bootstat.dat + 2008-06-07 16:26:00 16,384 ----atw C:\WINDOWS\TEMP\Perflib_Perfdata_604.dat . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360] "Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-12-12 16:23 21686568] "MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184] "BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-05-08 12:32 289088] "IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" [ ] "ICQ"="C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\ICQ6\ICQ.exe" [2008-04-01 12:40 172280] "updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 15:00 79224] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 05:46 13529088] "nwiz"="nwiz.exe" [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe] "DrvLsnr"="C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe" [2002-05-28 09:37 69632] "NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [ ] "GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-05-03 05:46 86016] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system] "NoDispBackgroundPage"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I420"= i420vfw.dll "VIDC.XFR1"= xfcodec.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\chL62.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\nsW83.sys] @="Driver" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\puY72.sys] @="Driver" [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Dokumente und Einstellungen\\Martin\\Eigene Dateien\\Sonstige\\x-fire\\Xfire\\xfire.exe"= "C:\\Dokumente und Einstellungen\\Martin\\Eigene Dateien\\Sonstige\\ICQ6\\ICQ.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\DNA\\btdna.exe"= "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "C:\\Programme\\uTorrent\\uTorrent.exe"= "C:\\WINDOWS\\system32\\PnkBstrA.exe"= "C:\\WINDOWS\\system32\\PnkBstrB.exe"= "C:\\Dokumente und Einstellungen\\Martin\\Eigene Dateien\\games\\Battlefield 2\\BF2.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= S0 chL62;chL62;C:\WINDOWS\system32\Drivers\chL62.sys [] S0 nsW83;nsW83;C:\WINDOWS\system32\Drivers\nsW83.sys [] S0 puY72;puY72;C:\WINDOWS\system32\Drivers\puY72.sys [] S3 sejt1;sejt1;C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\AkumaEngine33\sejt.sys [] S3 SHAK31;SHAK31;C:\Dokumente und Einstellungen\Martin\Eigene Dateien\SHAK3.sys [] . Inhalt des "geplante Tasks" Ordners "2008-06-05 14:15:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-07 18:26:27 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\explorer.exe -> C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\Vista skin\Vista Inspirat 2\UberIcon\UberIcon.dll . ------------------------ Other Running Processes ------------------------ . C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Analog Devices\SoundMAX\SMAgent.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Alwil Software\Avast4\ashDisp.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\Vista skin\Vista Inspirat 2\UberIcon\UberIcon Manager.exe C:\Dokumente und Einstellungen\Martin\Eigene Dateien\Sonstige\x-fire\Xfire\xfire.exe C:\Programme\Skype\Plugin Manager\skypePM.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-06-07 18:32:55 - machine was rebooted [Martin] ComboFix-quarantined-files.txt 2008-06-07 16:32:44 ComboFix2.txt 2008-06-07 11:36:52 8 Verzeichnis(se), 25,002,991,616 Bytes frei 11 Verzeichnis(se), 25,116,848,128 Bytes frei 205 --- E O F --- 2008-05-29 01:02:00 Der Bildschirm wird seit dem restart nicht mehr jedesmal geändert... hat das script jetzt den virus gelöscht ? Geändert von GShock2 (07.06.2008 um 17:44 Uhr) |
07.06.2008, 21:20 | #6 | |
Administrator > Competence Manager | Warning Spayware detectet...OTMoveIt by OldTimer Folgendes Tool herunterladen -> OTMoveIt2.exe --> Starte nun die OTMoveIt.exe --> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren: Zitat:
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein! Combofix Deinstallieren Klick auf Start -> Ausführen -> eintippen combofix /U Damit ist Combofix und alle weiteren Programme entfernt wurden. Malwarebytes' Anti-Malware
__________________ --> Warning Spayware detectet... |
07.06.2008, 22:19 | #7 | |
> MalwareDB | Warning Spayware detectet... Schau mal, ob Du diese Dateien bei VirusTotal - Free Online Virus and Malware Scan hochgeladen bekommst Zitat:
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
07.06.2008, 22:39 | #8 |
Gesperrt | Warning Spayware detectet... OTMoveIt by OldTimer: C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine\Packages moved successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine\BrowserObjects moved successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine\Autorun\StartMenuCurrentUser moved successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine\Autorun\StartMenuAllUsers moved successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine\Autorun\HKLM\RunOnce moved successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine\Autorun\HKLM moved successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine\Autorun\HKCU\RunOnce moved successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine\Autorun\HKCU moved successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine\Autorun moved successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj\Quarantine moved successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\shc9bbj0eabj moved successfully. OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06072008_230314 ------------------------------------------------------------------------ Malwarebytes: Malwarebytes' Anti-Malware 1.15 Datenbank Version: 839 23:37:48 07.06.2008 mbam-log-6-7-2008 (23-37-48).txt Scan Art: Komplett Scan (C:\|) Objekte gescannt: 89138 Scan Dauer: 26 minute(s), 58 second(s) Infizierte Speicher Prozesse: 0 Infizierte Speicher Module: 0 Infizierte Registrierungsschlüssel: 4 Infizierte Registrierungswerte: 0 Infizierte Datei Objekte der Registrierung: 1 Infizierte Verzeichnisse: 12 Infizierte Dateien: 1 Infizierte Speicher Prozesse: (Keine Malware Objekte gefunden) Infizierte Speicher Module: (Keine Malware Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\Interface\{529f1e0d-e241-4642-a560-00bda0df44e6} (Trojan.FakeAlert) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\AXPFixer (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\atfxqogp.bqva (Trojan.FakeAlert) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine Malware Objekte gefunden) Infizierte Datei Objekte der Registrierung: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\BrowserObjects (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Packages (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\HKCU (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\HKLM (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\StartMenuAllUsers (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\StartMenuCurrentUser (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\HKCU\RunOnce (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\Martin\Anwendungsdaten\AXPFixer\AXPFixer\Quarantine\Autorun\HKLM\RunOnce (Rogue.AdvancedXPFixer) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\esbq.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully. |
07.06.2008, 22:47 | #9 | |
Gesperrt | Warning Spayware detectet...Zitat:
|
07.06.2008, 22:56 | #10 |
> MalwareDB | Warning Spayware detectet... Ok. kann sein, dass es nur temp Treiber für Avast waren.
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
08.06.2008, 11:33 | #11 |
Gesperrt | Warning Spayware detectet... PC läuft jetzt wieder perfect Vielen dank für die hilfe |
Themen zu Warning Spayware detectet... |
add-on, adobe, antivirus, antvir, avast, avast!, bho, browser, compare, computer, dll, einstellungen, excel, explorer, helfen, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, nmindexstoresvr.exe, object, rundll, seiten, senden, sich automatisch, software, system, temp, toolbars, vista, windows, windows xp |