Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Probleme mit IE und WAU usw. (Virus)?

Probleme mit IE und WAU usw. (Virus)?


Plagegeister aller Art und deren Bekämpfung: Probleme mit IE und WAU usw. (Virus)?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.06.2008, 16:26   #1
Sp311f0rc3
 
Probleme mit IE und WAU usw. (Virus)? - Unglücklich

Probleme mit IE und WAU usw. (Virus)?


Hi

Ich kam heute heim, schlt den Monitor an und plötzlich seh ich da in der Taskleiste 50 oder wie viele IE-Tabs. Als ich die endlich alle geschlossen hatte (mit Processexplorer, da der Taskmanger nicht mehr startete) und ich nach der Ursache gesucht habe, kam mir immer wieder so ein Fenster hoch mit " Securety Warning!
Worm.Win32.NetBooster detected on your maschine...."
und von wegen das empfohlen wird, JA zu klicken, damit der sofortig deinstalliert werden könne...
Ich habs immer wieder abgebrochen, weil wenn auf nem Deutschen OS schon mal englisches Gelaber kommt, stinkt das für mich nach Fake. Später hab ich dann noch schön auf meinem Desktop einen Hintergrund entdeckt, als ich mal Alles minimiert hatte, "Your privacy is in danger! Download privacy protection software now" und son shit alles
Weiß wer von euch, was das fürn Dreck ist und wie ich den loswerde ohne mein System zum Teufel zu jagen? WAU geht auch nicht mehr...der Dienst lääst sich nicht mehr starten...sobald ich den von deaktiviert auf automatisch umstelle, übernehme und aktualisiere, steht der wieder auf deaktiviert. Hab noch net neu gestartet, weil das letzte Problem, das ich hatte vor nem dreiviertel Jahr, war ein Rootkit und das hat mit dem Neustart endgültig Alles zum Teufel geblasen

Ich bräuchte echt dringed Hilfe, weil der Rechner morgen zu ner Präsentation laufen muss

Danke schonmal


Code:
ATTFilter
Runscanner logfile http://www.runscanner.net 

* = signed file
- = file not found

000 General info
----------------
Computer name : HADES
Creation time : 25.06.2008 17:01:40
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 6.0.2800.1106
OS : Microsoft Windows 2000
OS Build : 2195
OS SP : Service Pack 4
RunScanner Version : 1.6.3.0
User Language : Deutsch (Deutschland)
User rights : Administrator
Windows folder : C:\WINNT

001 Running processes
---------------------
* c:\winnt\system32\services.exe (Microsoft Corporation)
* c:\winnt\system32\csrss.exe (Microsoft Corporation)
* d:\daemon tools\daemon tools lite\daemon.exe (DT Soft Ltd)
* c:\winnt\system32\rundll32.exe (Microsoft Corporation)
* d:\firefox\firefox.exe (Mozilla Corporation)
* c:\winnt\system32\svchost.exe (Microsoft Corporation)
* c:\winnt\system32\svchost.exe (Microsoft Corporation)
* c:\winnt\system32\svchost.exe (Microsoft Corporation)
* c:\programme\internet explorer\iexplore.exe (Microsoft Corporation)
* d:\kaspersky internet security 7.0\avp.exe (Kaspersky Lab)
* d:\kaspersky internet security 7.0\avp.exe (Kaspersky Lab)
* c:\winnt\system32\lsass.exe (Microsoft Corporation)
* c:\winnt\system32\nvsvc32.exe (NVIDIA Corporation)
* c:\winnt\system32\regsvc.exe (Microsoft Corporation)
* c:\programme\cyberlink\shared files\richvideo.exe
* c:\runscanner\runscanner.exe (Runscanner.net)
* c:\runscanner\runscanner.exe (Runscanner.net)
* c:\winnt\system32\scardsvr.exe (Microsoft Corporation)
c:\programme\analog devices\soundmax\smax4pnp.exe (Analog Devices, Inc.)
c:\programme\analog devices\soundmax\smax4.exe (Analog Devices, Inc.)
c:\programme\analog devices\soundmax\smagent.exe (Analog Devices, Inc.)
* c:\winnt\system32\spoolsv.exe (Microsoft Corporation)
* c:\winnt\system32\stisvc.exe (Microsoft Corporation)
* d:\process explorer\procexp.exe (Sysinternals)
* c:\winnt\system32\mstask.exe (Microsoft Corporation)
d:\netdrive fh-sw\wdservice.exe
* c:\winnt\explorer.exe (Microsoft Corporation)
* c:\winnt\system32\smss.exe (Microsoft Corporation)
* c:\winnt\system32\winlogon.exe (Microsoft Corporation)
* c:\winnt\system32\msiexec.exe (Microsoft Corporation)
* c:\winnt\system32\wbem\winmgmt.exe (Microsoft Corporation)

002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
* d:\kaspersky internet security 7.0\avp.exe (Kaspersky Lab)
c:\winnt\system32\iumhdkwa.dll
c:\winnt\system32\spool\drivers\w32x86\3\e_s4i0r2.exe (SEIKO EPSON CORPORATION)
* d:\messenger plus\msgplus.exe (Patchou)
d:\icq\icqnet.exe
C:\WINNT\system32\nwiz.exe
c:\programme\analog devices\soundmax\smax4.exe (Analog Devices, Inc.)
c:\programme\analog devices\soundmax\smax4pnp.exe (Analog Devices, Inc.)

003 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
* d:\daemon tools\daemon tools lite\daemon.exe (DT Soft Ltd)
- c:\dokume~1\admini~1\lokale~1\temp\lprn32.exe
* d:\messenger plus\msgplus.exe (Patchou)

010 HKLM\SYSTEM\CurrentControlSet\Services (Services)
-----------------------------------------------------
c:\programme\gemeinsame dateien\adobe systems shared\service\adobelmsvc.exe (Adobe LM Service)
* c:\programme\cyberlink\shared files\richvideo.exe (Cyberlink RichVideo Service(CRVS))
* d:\kaspersky internet security 7.0\avp.exe (Kaspersky Internet Security 7.0)
* C:\Programme\winpcap\rpcapd.exe (Remote Packet Capture Protocol v.0 (experimental))
c:\programme\analog devices\soundmax\smagent.exe (SoundMAX Agent Service)

011 HKLM\SYSTEM\CurrentControlSet\Services (drivers)
----------------------------------------------------
c:\winnt\system32\drivers\aspi32.sys (Aspi32)
c:\winnt\system32\drivers\cdr4_2k.sys (Cdr4_2K)
c:\winnt\system32\drivers\cdralw2k.sys (Cdralw2k)
- c:\winnt\system32\drivers\changer.sys (Changer)
C:\WINNT\system32\drivers\imagedrv.sys (imagedrv)
C:\WINNT\system32\drivers\imagesrv.sys (imagesrv)
* C:\WINNT\system32\drivers\klim5.sys (Kaspersky Anti-Virus NDIS Filter)
* C:\WINNT\system32\drivers\kl1.sys (Kl1)
c:\winnt\system32\drivers\klif.sys (Klif)
- c:\winnt\system32\drivers\lbrtfdc.sys (lbrtfdc)
* C:\WINNT\system32\drivers\npf.sys (NetGroup Packet Filter Driver)
- c:\winnt\system32\drivers\pcidump.sys (PCIDump)
- c:\winnt\system32\drivers\sglfb.sys (sglfb)
C:\WINNT\system32\drivers\sptd.sys (sptd)
- c:\winnt\system32\drivers\tga.sys (tga)
d:\netdrive fh-sw\rffsd.sys (WebDrive File System Driver)

031 HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
-------------------------------------------
c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (Microsoft Corporation) {E1D2BF42-A96B-11d1-9C6B-0000F875AC61}
c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (Microsoft Corporation) {E1D2BF42-A96B-11d1-9C6B-0000F875AC61}
c:\programme\gemeinsame dateien\microsoft shared\web folders\pkmcdo.dll (Microsoft Corporation) {CD00020A-8B95-11D1-82DB-00C04FB1625D}
c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (Microsoft Corporation) {E1D2BF40-A96B-11d1-9C6B-0000F875AC61}

035 HKLM-HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
------------------------------------------------------------------
C:\WINNT\system32\updcrl.exe (Microsoft Corporation) {9EF0045A-CDD9-438e-95E6-02B9AFEC8E11}

036 HKCU\Software\Microsoft\Internet Explorer\Desktop\Components
----------------------------------------------------------------
- file:

041 HKLM-HKCU\Software\Microsoft\Internet Explorer\Toolbar
----------------------------------------------------------
d:\adobe cs 2\adobe acrobat 7.0\acrobat\acroiefavclient.dll (Adobe Systems Incorporated) {47833539-D0C5-4125-9FA8-0819E2EAAC93}
- c:\dokume~1\admini~1\lokale~1\temp\ac8zt2\gxvpsafm.dll {866A4717-E246-4FDC-B2AA-14607C905E3A}
d:\snagit 8\snagitieaddin.dll (TechSmith Corporation) {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}

042 HKLM\Software\Microsoft\Internet Explorer\Extensions
--------------------------------------------------------
d:\icq\icq.exe (ICQ Inc.) {6224f700-cba3-4071-b251-47cb894244cd}

045 HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser
----------------------------------------------------------------
d:\adobe cs 2\adobe acrobat 7.0\acrobat\acroiefavclient.dll (Adobe Systems Incorporated) {47833539-D0C5-4125-9FA8-0819E2EAAC93}

050 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
-----------------------------------------------------------------------------
c:\winnt\system32\khfeulki.dll {84AA61C2-A977-4FD8-9E2F-C768F0387572}

052 HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
----------------------------------------------------------------------------------
d:\adobe cs 2\adobe acrobat 7.0\acrobat\acroiefavclient.dll (Adobe Systems Incorporated) {AE7CD045-E861-484f-8273-0445EE161910}
* d:\bitcomet\tools\bitcometbho_1.1.9.24.dll (BitComet) {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}
c:\winnt\gfetqaxstmk.dll {A0E0FE98-9C54-4523-BA09-68A7CBB46A8B}
d:\snagit 8\snagitbho.dll (TechSmith Corporation) {00C6482D-C502-44C8-8409-FCE54AD9C208}
c:\winnt\system32\ssqpjifg.dll {1FC65E3B-F46A-4777-8BD0-60218EC3518A}

060 HKLM-HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
-----------------------------------------------------------------------------------
c:\winnt\pntqkflv.dll {5AB84DAF-9D25-495A-8B2E-1E0A836A8CBB}
c:\winnt\qegbdmwf.dll {421A7DA4-5366-4679-968A-3392A62A3585}

061 HKLM-HCKU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
---------------------------------------------------------------------------------
d:\adobe cs 2\adobe acrobat 7.0\acrobat elements\contextmenu.dll (Adobe Systems Inc.) {D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}
- deskpan.dll {42071714-76d4-11d1-8b24-00a0c9068ff3}
c:\winnt\system32\nvshell.dll {1CDB2949-8F65-4355-8456-263E7C208A5D}
c:\winnt\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A47}
d:\icq\icqshext.dll (ICQ) {F802F260-519B-11D1-BB5D-0060974C6013}
c:\winnt\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48}
d:\snagit 8\snagitieaddin.dll (TechSmith Corporation) {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3}
* d:\kaspersky internet security 7.0\scieplgn.dll (Kaspersky Lab) {85E0B171-04FA-11D1-B7DA-00A0C90348D6}
C:\WINNT\system32\rfshext.dll {04466240-beb3-11d1-be1c-00aa006b77f4}
c:\progra~1\gemein~1\micros~1\webfol~1\msonsext.dll (Microsoft Corporation) {BDEADF00-C265-11D0-BCED-00A0C90AB50F}
d:\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

062 HKLM-HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
------------------------------------------------------------
d:\adobe cs 2\adobe acrobat 7.0\activex\pdfshell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}

067 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
---------------------------------------------------------------------
C:\WINNT\system32\khfeulki.dll
* c:\winnt\system32\klogon.dll (Kaspersky Lab)

069 HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors
--------------------------------------------------------
c:\winnt\system32\adobepdf.dll (Adobe Systems Incorporated.)

070 HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages
---------------------------------------------------------------------
c:\winnt\system32\ssqpjifg.dll

100 Internet Explorer settings
------------------------------
Start Page HKCU : http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

102 HKLM - HKCU\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars
------------------------------------------------------------------
d:\adobe cs 2\adobe acrobat 7.0\acrobat\acroiefavclient.dll (Adobe Systems Incorporated) {182EC0BE-5110-49C8-A062-BEB1D02A220B}

104 HKLM\Software\Microsoft\Code Store Database\Distribution Units
------------------------------------------------------------------
* c:\winnt\downloaded program files\sysreqlab2.dll (Husdawg, LLC) {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE}
GUID / CLSID not found {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}

105 HKCU\Software\Microsoft\Internet Explorer\MenuExt
-----------------------------------------------------
&D&ownload &with BitComet : res://D:\BitComet\BitComet.exe/AddLink.htm
&D&ownload all video with BitComet : res://D:\BitComet\BitComet.exe/AddVideo.htm
&D&ownload all with BitComet : res://D:\BitComet\BitComet.exe/AddAllLink.htm
Ausgewählte Verknüpfungen in Adobe PDF konvertieren : res://D:\Adobe CS 2\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren : res://D:\Adobe CS 2\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
Auswahl in Adobe PDF konvertieren : res://D:\Adobe CS 2\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
Auswahl in vorhandene PDF-Datei konvertieren : res://D:\Adobe CS 2\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
Hinzufügen zu Kaspersky Anti-Banner : D:\Kaspersky Internet Security 7.0\ie_banner_deny.htm
In Adobe PDF konvertieren : res://D:\Adobe CS 2\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
In vorhandene PDF-Datei konvertieren : res://D:\Adobe CS 2\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
Nach Microsoft &Excel exportieren : res://D:\MSOFFI~1\Office10\EXCEL.EXE/3000
Verknüpfungsziel in Adobe PDF konvertieren : res://D:\Adobe CS 2\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
Verknüpfungsziel in vorhandene PDF-Datei konvertieren : res://D:\Adobe CS 2\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

121 HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
--------------------------------------------------------------------------
* d:\kasper~1.0\adialhk.dll (Kaspersky Lab)

160 HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
------------------------------------------------------------------
DisableRegistryTools : 1
DisableTaskMgr : 1
NoDispCPL : 1

172 HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order
---------------------------------------------------------------
C:\WINNT\system32\rfnp32.dll (River Front Software)

173 HKCR\*\shellex\ContextMenuHandlers
--------------------------------------
d:\adobe cs 2\adobe acrobat 7.0\acrobat elements\contextmenu.dll (Adobe Systems Inc.) {D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}
* d:\kaspersky internet security 7.0\shellex.dll (Kaspersky Lab) {dd230880-495a-11d1-b064-008048ec2fc5}
d:\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

221 HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
-------------------------------------------------------
d:\adobe cs 2\adobe acrobat 7.0\acrobat elements\contextmenu.dll (Adobe Systems Inc.) {D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}
* d:\kaspersky internet security 7.0\shellex.dll (Kaspersky Lab) {dd230880-495a-11d1-b064-008048ec2fc5}
d:\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

223 HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
--------------------------------------------------------------------------
C:\WINNT\system32\rfshext.dll {04466240-beb3-11d1-be1c-00aa006b77f4}

225 HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers
------------------------------------------------------------
* d:\kaspersky internet security 7.0\shellex.dll (Kaspersky Lab) {dd230880-495a-11d1-b064-008048ec2fc5}
* d:\kaspersky internet security 7.0\shellex.dll (Kaspersky Lab) {dd230880-495a-11d1-b064-008048ec2fc5}
C:\WINNT\system32\rfshext.dll {04466240-beb3-11d1-be1c-00aa006b77f4}
C:\WINNT\system32\rfshext.dll {04466240-beb3-11d1-be1c-00aa006b77f4}
d:\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}
d:\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

227 HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers
---------------------------------------------------------------
d:\winrar\rarext.dll {B41DB860-8EE4-11D2-9906-E49FADC173CA}

229 HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers
--------------------------------------------------------------------------
c:\winnt\system32\nvshell.dll {1E9B04FB-F9E5-4718-997B-B8DA88302A48}

231 HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
-------------------------------------------------------
d:\adobe cs 2\adobe acrobat 7.0\activex\pdfshell.dll (Adobe Systems, Inc.) PDF Column Info

Alt 25.06.2008, 16:51   #2
Sunny
Administrator
> Competence Manager
 
Probleme mit IE und WAU usw. (Virus)? - Standard

Probleme mit IE und WAU usw. (Virus)?


Hallo Sp311f0rc3 und




ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)
__________________

__________________
Alt 25.06.2008, 17:36   #3
Sp311f0rc3
 
Probleme mit IE und WAU usw. (Virus)? - Standard

Probleme mit IE und WAU usw. (Virus)?


Ich danke dir erstmal für die schnelle Antwort und die nette Begrüßung hier

Nun das Log
Code:
ATTFilter
ComboFix 08-06-20.4 - Administrator 25.06.2008 18:20:26.1 - NTFSx86
Microsoft Windows 2000 Professional  5.0.2195.4.1252.1.1031.18.716 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\Administrator\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\Administrator\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Administrator\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Administrator\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Administrator\Favoriten\Spyware&Malware Protection.url
C:\WINNT\evrf.exe
C:\WINNT\privacy_danger
C:\WINNT\privacy_danger\images\capt.gif
C:\WINNT\privacy_danger\images\danger.jpg
C:\WINNT\privacy_danger\images\down.gif
C:\WINNT\privacy_danger\images\spacer.gif
C:\WINNT\privacy_danger\index.htm
C:\WINNT\system32\awkdhmui.ini
C:\WINNT\system32\GfijPqss.ini
C:\WINNT\system32\GfijPqss.ini2
C:\WINNT\system32\mcrh.tmp
C:\WINNT\system32\plkjebxt.ini
C:\WINNT\system32\ssqPjifG.dll
C:\WINNT\Web\default.htt

.
(((((((((((((((((((((((   Dateien erstellt von 2008-05-25 bis 2008-06-25  ))))))))))))))))))))))))))))))
.

2008-06-25 18:26 . 08-06-25 18:27 	1,597,867	---hs----	C:\WINNT\system32\gimdwacb.ini
2008-06-25 18:26 . 08-06-25 18:26 	92,544	--a------	C:\WINNT\system32\bcawdmig.dll
2008-06-25 18:25 . 08-06-25 18:25 	321,920	--a------	C:\WINNT\system32\nnnoPFVm.dll
2008-06-25 18:25 . 08-06-25 18:28 	96,999	--ahs----	C:\WINNT\system32\mVFPonnn.ini
2008-06-25 18:25 . 08-06-25 18:25 	16,384	--a----t-	C:\WINNT\system32\Perflib_Perfdata_314.dat
2008-06-25 18:25 . 08-06-25 18:28 	345	--ahs----	C:\WINNT\system32\mVFPonnn.ini2
2008-06-25 18:25 . 08-06-25 18:25 	294	---hs----	C:\WINNT\system32\awkdhmui.ini
2008-06-25 17:57 . 08-06-25 17:57 	<DIR>	d--------	C:\Deckard
2008-06-25 17:00 . 08-06-25 17:00 	<DIR>	d--------	C:\Runscanner
2008-06-25 05:41 . 08-06-25 05:41 	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sonic Foundry
2008-06-25 05:41 . 01-10-19 14:40 	665,424	--a------	C:\WINNT\system32\wmv8dmoe.dll
2008-06-25 05:41 . 01-10-19 14:39 	572,752	--a------	C:\WINNT\system32\wmvdmoe.dll
2008-06-25 05:41 . 01-10-19 14:40 	438,608	--a------	C:\WINNT\system32\wmv8dmod.dll
2008-06-25 05:41 . 08-06-25 05:41 	156,910	--a------	C:\WINNT\WMSysPr8.prx
2008-06-25 05:41 . 01-10-19 14:40 	117,072	--a------	C:\WINNT\system32\wmsdmoe.dll
2008-06-25 05:41 . 01-07-31 18:16 	86,016	--a------	C:\WINNT\system32\sl_anet.acm
2008-06-25 05:40 . 01-10-19 14:40 	1,683,792	--a------	C:\WINNT\system32\wmvcore2.dll
2008-06-25 05:40 . 01-10-19 02:05 	285,184	--a------	C:\WINNT\system32\wmidx2.ocx
2008-06-25 02:10 . 08-06-25 02:10 	92,032	---------	C:\WINNT\system32\iumhdkwa.dll
2008-06-24 20:03 . 08-06-24 20:03 	28,288	--a------	C:\WINNT\system32\khfEUlki.dll
2008-06-24 19:52 . 08-06-24 19:52 	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd
2008-06-24 19:52 . 08-06-24 18:51 	245,760	--a------	C:\WINNT\gfetqaxstmk.dll
2008-06-24 19:52 . 08-06-24 18:51 	233,472	--a------	C:\WINNT\pntqkflv.dll
2008-06-24 19:52 . 08-06-24 18:51 	180,224	--a------	C:\WINNT\qegbdmwf.dll
2008-06-24 19:52 . 08-06-24 18:51 	155,648	--a------	C:\WINNT\gxvpsafm.dll
2008-06-24 19:52 . 08-06-24 18:51 	81,920	--a------	C:\WINNT\tovafrnm.exe
2008-06-15 18:51 . 08-06-15 18:51 	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Wireshark
2008-06-15 18:49 . 08-06-15 18:49 	<DIR>	d--------	C:\Programme\WinPcap
2008-05-27 17:27 . 08-05-27 17:27 	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Media Player Classic

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-25 16:28	30,700,576	--sha-w	C:\WINNT\system32\drivers\fidbox.dat
2008-06-25 16:26	579,104	--sha-w	C:\WINNT\system32\drivers\fidbox2.dat
2008-06-25 16:22	65,732	--sha-w	C:\WINNT\system32\drivers\fidbox2.idx
2008-06-25 16:22	444,368	--sha-w	C:\WINNT\system32\drivers\fidbox.idx
2008-06-25 14:52	271	---h--w	C:\Programme\desktop.ini
2008-06-25 14:52	22,080	---h--w	C:\Programme\folder.htt
2008-06-24 19:04	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-06-22 18:11	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-20 06:49	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dvdcss
2008-05-29 16:50	88,774	----a-w	C:\WINNT\system32\drivers\klick.dat
2008-05-28 14:26	96,966	----a-w	C:\WINNT\system32\drivers\klin.dat
2008-05-28 14:26	112,144	----a-w	C:\WINNT\system32\drivers\kl1.sys
2008-05-13 13:40	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
2008-04-30 23:37	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\teamspeak2
2008-04-20 22:16	13,656	----a-w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
1999-12-10 13:00	32,528	----a-w	C:\WINNT\inf\wbfirdma.sys
2008-02-05 22:44	56	--sh--r	C:\WINNT\system32\34612BD5F6.sys
2008-02-05 22:44	2,514	--sha-w	C:\WINNT\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84AA61C2-A977-4FD8-9E2F-C768F0387572}]
08-06-24 20:03 	28288	--a------	C:\WINNT\system32\khfEUlki.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A0E0FE98-9C54-4523-BA09-68A7CBB46A8B}]
08-06-24 18:51 	245760	--a------	C:\WINNT\gfetqaxstmk.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA490880-2089-4629-918B-BC0A0F14C581}]
08-06-25 18:25 	321920	--a------	C:\WINNT\system32\nnnoPFVm.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MessengerPlus3"="D:\Messenger Plus\MsgPlus.exe" [08-02-06 20:20  190024]
"DAEMON Tools Lite"="D:\DAEMON Tools\DAEMON Tools Lite\daemon.exe" [08-03-21 10:30  486856]
"msnmsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [07-09-05 00:40  6856704]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ"="D:\ICQ\ICQ.exe" [03-01-16 09:50  2089541]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-19 13:05  112400 C:\WINNT\system32\mobsync.exe]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [03-05-29 17:28  790528]
"EPSON Stylus C86 Series"="C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE" [03-11-25 07:00  99840]
"NvCplDaemon"="C:\WINNT\system32\NvCpl.dll" [06-10-22 12:22  7700480]
"nwiz"="nwiz.exe" [06-10-22 12:22  1622016 C:\WINNT\system32\nwiz.exe]
"Mirabilis ICQ"="D:\ICQ\ICQNet.exe" [03-01-13 15:20  49230]
"MessengerPlus3"="D:\Messenger Plus\MsgPlus.exe" [08-02-06 20:20  190024]
"WebDriveTray"="d:\netdrive fh-sw\netdrive.exe" [03-04-14 17:11  294912]
"NvMediaCenter"="NvMCTray.dll" [06-10-22 12:22  86016 C:\WINNT\system32\nvmctray.dll]
"AVP"="D:\Kaspersky Internet Security 7.0\avp.exe" [07-12-18 01:43  227856]
"bc14b32e"="C:\WINNT\system32\bcawdmig.dll" [08-06-25 18:26  92544]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [99-12-10 15:00  20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 13:05  189712]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{84AA61C2-A977-4FD8-9E2F-C768F0387572}"= C:\WINNT\system32\khfEUlki.dll [08-06-24 20:03  28288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"qegbdmwf"= {421A7DA4-5366-4679-968A-3392A62A3585} - C:\WINNT\qegbdmwf.dll [08-06-24 18:51  180224]
"pntqkflv"= {5AB84DAF-9D25-495A-8B2E-1E0A836A8CBB} - C:\WINNT\pntqkflv.dll [08-06-24 18:51  233472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfEUlki]
khfEUlki.dll 08-06-24 20:03  28288 C:\WINNT\system32\khfEUlki.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=D:\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm
"VIDC.HFYU"= huffyuv.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages	REG_MULTI_SZ   	msv1_0 C:\WINNT\system32\nnnoPFVm
Notification Packages	REG_MULTI_SZ   	scecli scecli scecli

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

R2 WebDriveFSD;WebDrive File System Driver;d:\netdrive fh-sw\rffsd.sys [02-11-27 14:40 ]
R3 EL90BC;3Com EtherLink-XL-B/C-Adaptertreiber;C:\WINNT\system32\DRIVERS\el90xbc5.sys [99-10-23 13:22 ]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINNT\system32\DRIVERS\klim5.sys [07-12-13 14:28 ]
R3 usbhub20;USB 2.0 Root Hub Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 13:05 ]
R3 yukonw2k;NDIS5 Miniport Driver for Marvell Yukon Ethernet Controller;C:\WINNT\system32\DRIVERS\yk50x86.sys [05-09-19 09:41 ]
S3 NPF;NetGroup Packet Filter Driver;C:\WINNT\system32\drivers\npf.sys [07-11-06 22:22 ]

*Newly Created Service* - SHAREDACCESS
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-25 18:25:37
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINNT\system32\Perflib_Perfdata_314.dat 16384 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINNT\system32\winlogon.exe
-> C:\WINNT\system32\khfEUlki.dll

PROCESS: C:\WINNT\explorer.exe
-> C:\WINNT\system32\bcawdmig.dll
-> C:\WINNT\system32\nnnoPFVm.dll
-> C:\WINNT\system32\khfEUlki.dll
-> C:\WINNT\system32\RFHelper.dll
.
Zeit der Fertigstellung: 2008-06-25 18:30:41 - machine was rebooted [Administrator]
ComboFix-quarantined-files.txt  2008-06-25 16:30:27

              11 Verzeichnis(se),   2,374,807,552 Bytes frei
              13 Verzeichnis(se),   2,408,460,288 Bytes frei

167
Ich bin mir nicht sicher ob das von ComboFix kam, aber mein Kaspersky hat sich net - wie üblich - beim Boot geladen...das wäre schön, wenn du mir sagen könntest, ob das an ComboFix lag und wie ich Kaspersky wieder zum starten bring
Positiv ist auf jeden Fall schonmal, dass ich meinen gewohnten Desktop wieder hab :aplaus:
__________________
Alt 25.06.2008, 17:58   #4
Sunny
Administrator
> Competence Manager
 
Probleme mit IE und WAU usw. (Virus)? - Standard

Probleme mit IE und WAU usw. (Virus)?


Wir sind noch nicht ganz fertig, führe bitte nun folgende Aktion durch:


Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:
Code:
ATTFilter
http://www.trojaner-board.de/54731-probleme-mit-ie-und-wau-usw-virus.html#post349291

Collect::
C:\WINNT\system32\gimdwacb.ini
C:\WINNT\system32\bcawdmig.dll
C:\WINNT\system32\nnnoPFVm.dll
C:\WINNT\system32\mVFPonnn.ini
C:\WINNT\system32\mVFPonnn.ini2
C:\WINNT\system32\awkdhmui.ini
C:\WINNT\system32\iumhdkwa.dll
C:\WINNT\system32\khfEUlki.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd
C:\WINNT\gfetqaxstmk.dll
C:\WINNT\pntqkflv.dll
C:\WINNT\qegbdmwf.dll
C:\WINNT\gxvpsafm.dll
C:\WINNT\tovafrnm.exe
C:\WINNT\system32\RFHelper.dll


Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84AA61C2-A977-4FD8-9E2F-C768F0387572}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A0E0FE98-9C54-4523-BA09-68A7CBB46A8B}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA490880-2089-4629-918B-BC0A0F14C581}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"bc14b32e"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{84AA61C2-A977-4FD8-9E2F-C768F0387572}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"qegbdmwf"=-
"pntqkflv"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfEUlki]

Folder::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!



Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten




Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann



Malwarebytes' Anti-Malware
  • Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.
Geändert von Sunny (25.06.2008 um 18:16 Uhr)

Alt 25.06.2008, 18:06   #5
Sp311f0rc3
 
Probleme mit IE und WAU usw. (Virus)? - Standard

Probleme mit IE und WAU usw. (Virus)?


Bekomm leider die Meldung
"Der Zugriff auf das angegebene Gerät, den Pfad oder die Datei wurde verweigert"
wenn ich die cfscript.txt auf die ComboFix.exe zieh.
Alt 25.06.2008, 18:17   #6
Sunny
Administrator
> Competence Manager
 
Probleme mit IE und WAU usw. (Virus)? - Standard

Probleme mit IE und WAU usw. (Virus)?


Kopiere meinen Text nochmal ab (hier aus dem Beitrag - habe ihn nochmal überarbeitet!) und füge ihn in den Editor ein..
__________________
--> Probleme mit IE und WAU usw. (Virus)?

Alt 25.06.2008, 18:34   #7
Sp311f0rc3
 
Probleme mit IE und WAU usw. (Virus)? - Standard

Probleme mit IE und WAU usw. (Virus)?


Ich hab die zip gesendet...dafür hab ich jetzt beim Booten die Meldung bekommen, dass die DLL RFHelper.dll nicht gefunden werden kann.
Ich fürh jetzt nochmal, wie beschrieben, ComboFix nach dem Senden der zip aus und häng dann noch das neue Log an

Alt 25.06.2008, 18:37   #8
Sunny
Administrator
> Competence Manager
 
Probleme mit IE und WAU usw. (Virus)? - Standard

Probleme mit IE und WAU usw. (Virus)?


Zitat:
Zitat von Sp311f0rc3 Beitrag anzeigen
Ich hab die zip gesendet...dafür hab ich jetzt beim Booten die Meldung bekommen, dass die DLL RFHelper.dll nicht gefunden werden kann.
Ich fürh jetzt nochmal, wie beschrieben, ComboFix nach dem Senden der zip aus und häng dann noch das neue Log an
Um die Fehlermeldung kümmern wir uns später, erstmal das neue Log posten!
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 25.06.2008, 18:48   #9
Sp311f0rc3
 
Probleme mit IE und WAU usw. (Virus)? - Standard

Probleme mit IE und WAU usw. (Virus)?


Ok
Dann hab ich hier das Log

Code:
ATTFilter
ComboFix 08-06-20.4 - Administrator 25.06.2008 19:39:22.3 - NTFSx86
Microsoft Windows 2000 Professional  5.0.2195.4.1252.1.1031.18.790 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((   Dateien erstellt von 2008-05-25 bis 2008-06-25  ))))))))))))))))))))))))))))))
.

2008-06-25 19:43 . 08-06-25 19:43 	16,384	--a----t-	C:\WINNT\system32\Perflib_Perfdata_420.dat
2008-06-25 17:57 . 08-06-25 17:57 	<DIR>	d--------	C:\Deckard
2008-06-25 17:00 . 08-06-25 17:00 	<DIR>	d--------	C:\Runscanner
2008-06-25 05:41 . 08-06-25 05:41 	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sonic Foundry
2008-06-25 05:41 . 01-10-19 14:40 	665,424	--a------	C:\WINNT\system32\wmv8dmoe.dll
2008-06-25 05:41 . 01-10-19 14:39 	572,752	--a------	C:\WINNT\system32\wmvdmoe.dll
2008-06-25 05:41 . 01-10-19 14:40 	438,608	--a------	C:\WINNT\system32\wmv8dmod.dll
2008-06-25 05:41 . 08-06-25 05:41 	156,910	--a------	C:\WINNT\WMSysPr8.prx
2008-06-25 05:41 . 01-10-19 14:40 	117,072	--a------	C:\WINNT\system32\wmsdmoe.dll
2008-06-25 05:41 . 01-07-31 18:16 	86,016	--a------	C:\WINNT\system32\sl_anet.acm
2008-06-25 05:40 . 01-10-19 14:40 	1,683,792	--a------	C:\WINNT\system32\wmvcore2.dll
2008-06-25 05:40 . 01-10-19 02:05 	285,184	--a------	C:\WINNT\system32\wmidx2.ocx
2008-06-15 18:51 . 08-06-15 18:51 	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Wireshark
2008-06-15 18:49 . 08-06-15 18:49 	<DIR>	d--------	C:\Programme\WinPcap
2008-05-27 17:27 . 08-05-27 17:27 	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Media Player Classic

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-25 17:42	30,813,472	--sha-w	C:\WINNT\system32\drivers\fidbox.dat
2008-06-25 17:41	66,212	--sha-w	C:\WINNT\system32\drivers\fidbox2.idx
2008-06-25 17:41	583,456	--sha-w	C:\WINNT\system32\drivers\fidbox2.dat
2008-06-25 17:41	446,096	--sha-w	C:\WINNT\system32\drivers\fidbox.idx
2008-06-25 17:37	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-25 14:52	271	---h--w	C:\Programme\desktop.ini
2008-06-25 14:52	22,080	---h--w	C:\Programme\folder.htt
2008-06-24 19:04	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-06-20 06:49	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\dvdcss
2008-05-29 16:50	88,774	----a-w	C:\WINNT\system32\drivers\klick.dat
2008-05-28 14:26	96,966	----a-w	C:\WINNT\system32\drivers\klin.dat
2008-05-28 14:26	112,144	----a-w	C:\WINNT\system32\drivers\kl1.sys
2008-05-13 13:40	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
2008-04-30 23:37	---------	d-----w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\teamspeak2
2008-04-20 22:16	13,656	----a-w	C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-02-05 22:44	56	--sh--r	C:\WINNT\system32\34612BD5F6.sys
2008-02-05 22:44	2,514	--sha-w	C:\WINNT\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MessengerPlus3"="D:\Messenger Plus\MsgPlus.exe" [08-02-06 20:20  190024]
"DAEMON Tools Lite"="D:\DAEMON Tools\DAEMON Tools Lite\daemon.exe" [08-03-21 10:30  486856]
"msnmsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [07-09-05 00:40  6856704]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ"="D:\ICQ\ICQ.exe" [03-01-16 09:50  2089541]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-19 13:05  112400 C:\WINNT\system32\mobsync.exe]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [03-05-29 17:28  790528]
"EPSON Stylus C86 Series"="C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE" [03-11-25 07:00  99840]
"NvCplDaemon"="C:\WINNT\system32\NvCpl.dll" [06-10-22 12:22  7700480]
"nwiz"="nwiz.exe" [06-10-22 12:22  1622016 C:\WINNT\system32\nwiz.exe]
"Mirabilis ICQ"="D:\ICQ\ICQNet.exe" [03-01-13 15:20  49230]
"MessengerPlus3"="D:\Messenger Plus\MsgPlus.exe" [08-02-06 20:20  190024]
"WebDriveTray"="d:\netdrive fh-sw\netdrive.exe" [03-04-14 17:11  294912]
"NvMediaCenter"="NvMCTray.dll" [06-10-22 12:22  86016 C:\WINNT\system32\nvmctray.dll]
"AVP"="D:\Kaspersky Internet Security 7.0\avp.exe" [07-12-18 01:43  227856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [99-12-10 15:00  20752 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [03-06-19 13:05  189712]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=D:\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
"vidc.DIV3"= DivXc32.dll
"vidc.DIV4"= DivXc32f.dll
"msacm.divxa32"= DivXa32.acm
"VIDC.HFYU"= huffyuv.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages	REG_MULTI_SZ   	scecli scecli scecli

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

R2 WebDriveFSD;WebDrive File System Driver;d:\netdrive fh-sw\rffsd.sys [02-11-27 14:40 ]
R3 EL90BC;3Com EtherLink-XL-B/C-Adaptertreiber;C:\WINNT\system32\DRIVERS\el90xbc5.sys [99-10-23 13:22 ]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINNT\system32\DRIVERS\klim5.sys [07-12-13 14:28 ]
R3 usbhub20;USB 2.0 Root Hub Support;C:\WINNT\system32\DRIVERS\usbhub20.sys [03-06-19 13:05 ]
R3 yukonw2k;NDIS5 Miniport Driver for Marvell Yukon Ethernet Controller;C:\WINNT\system32\DRIVERS\yk50x86.sys [05-09-19 09:41 ]
S3 NPF;NetGroup Packet Filter Driver;C:\WINNT\system32\drivers\npf.sys [07-11-06 22:22 ]

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-25 19:43:39
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-25 19:46:40 - machine was rebooted
ComboFix-quarantined-files.txt  2008-06-25 17:46:32
ComboFix2.txt  2008-06-25 17:28:38
ComboFix3.txt  2008-06-25 16:31:09

              11 Verzeichnis(se),   2,426,306,560 Bytes frei
              12 Verzeichnis(se),   2,418,749,440 Bytes frei

105

Alt 25.06.2008, 18:51   #10
Sunny
Administrator
> Competence Manager
 
Probleme mit IE und WAU usw. (Virus)? - Standard

Probleme mit IE und WAU usw. (Virus)?



Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U



Damit ist Combofix und alle weiteren Programme entfernt wurden.


Wie sieht es mit der Fehlermeldung aus, kam diese noch beim Neustart?
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 25.06.2008, 19:17   #11
Sp311f0rc3
 
Probleme mit IE und WAU usw. (Virus)? - Standard

Probleme mit IE und WAU usw. (Virus)?


Ja er meckert immer noch wegen der RFHelper.dll

Ich mach gerade mal ein Windoof Update...mal sehen ob der Dienst und alles wieder einwandfrei funzt

Also Update braucht ewig bis es was enzeigt und dann kann ich keine Daten laden.
Aber da ich verbindung zum Service bekomme, kanns normal nicht an der Interneteinstellungen liegen, oder?
Geändert von Sp311f0rc3 (25.06.2008 um 19:22 Uhr)

Alt 25.06.2008, 19:18   #12
Sunny
Administrator
> Competence Manager
 
Probleme mit IE und WAU usw. (Virus)? - Standard

Probleme mit IE und WAU usw. (Virus)?


Registry Search

Mit diesem kleinen Programm kann man die Registrierung nach verschiedenen Schlüsseln bzw. Einträgen durchsuchen.

Hier das Programm herunterladen -> RegSearch by Bobbi Flekman
Das Archiv entpacken und die regsearch.exe mit einem doppelklick starten.
Danach in den weißen Feldern (Search String) nach Dateien oder Schlüsseln suchen lassen. (auch mehrere Dateien gleichzeitig)

Zitat:
RFHelper


Nach dem Scan wird eine RegSearch.txt geöffnet, diesen gesamten Text abkopieren und in deinen Beitrag einfügen.
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 25.06.2008, 19:38   #13
Sp311f0rc3
 
Probleme mit IE und WAU usw. (Virus)? - Standard

Probleme mit IE und WAU usw. (Virus)?


Also das kam dabei raus..
Hab nach der verursachenden .exe und der .dll gesucht
Code:
ATTFilter
Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 25.06.2008 20:34:59 for strings:
;  'rfhelper.dll'
;  'wdservice.exe'
; Strings excluded from search:
;  (None)
; Search in: 
; Registry Keys  Registry Values  Registry Data  
; HKEY_LOCAL_MACHINE  HKEY_USERS  


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WebDriveService]
; Contents of value:
;   d:\netdrive fh-sw\wdService.exe 
"ImagePath"=hex(2):64,00,3a,00,5c,00,6e,00,65,00,74,00,64,00,72,00,69,00,76,00,\
  65,00,20,00,66,00,68,00,2d,00,73,00,77,00,5c,00,77,00,64,00,53,00,65,00,72,\
  00,76,00,69,00,63,00,65,00,2e,00,65,00,78,00,65,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WebDriveService]
; Contents of value:
;   d:\netdrive fh-sw\wdService.exe 
"ImagePath"=hex(2):64,00,3a,00,5c,00,6e,00,65,00,74,00,64,00,72,00,69,00,76,00,\
  65,00,20,00,66,00,68,00,2d,00,73,00,77,00,5c,00,77,00,64,00,53,00,65,00,72,\
  00,76,00,69,00,63,00,65,00,2e,00,65,00,78,00,65,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WebDriveService]
; Contents of value:
;   d:\netdrive fh-sw\wdService.exe 
"ImagePath"=hex(2):64,00,3a,00,5c,00,6e,00,65,00,74,00,64,00,72,00,69,00,76,00,\
  65,00,20,00,66,00,68,00,2d,00,73,00,77,00,5c,00,77,00,64,00,53,00,65,00,72,\
  00,76,00,69,00,63,00,65,00,2e,00,65,00,78,00,65,00,00,00

; End Of The Log...
Ich versuch nochmal WU hin zu bekommen..evtl gehts ja nach dem reboot jetzt

Also Update will nicht...bricht sofort ab wenn er versucht die Updates zu ziehen
Einzige Meldung ist "Fehlgeschlagen"

Alt 28.06.2008, 17:13   #14
DavidXXL
 
Probleme mit IE und WAU usw. (Virus)? - Standard

Probleme mit IE und WAU usw. (Virus)?


Hallo! ich hatte auch das gleiche:

[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem einen eigenen Beitrag.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.


Danke.

[/edit]

David: Entschuldigung!! Mein Thema ist hier: http://www.trojaner-board.de/54939-v...s-warnung.html
Geändert von DavidXXL (28.06.2008 um 17:43 Uhr)

Alt 30.06.2008, 22:58   #15
Sp311f0rc3
 
Probleme mit IE und WAU usw. (Virus)? - Standard

Probleme mit IE und WAU usw. (Virus)?


Also ich weiß nicht warum das Windows Update immer noch nicht will, aber das wäre denk ich ne wichtige Angelegenheit, das wieder zum Laufen zu bringen, um Sicherheitslücken vorzubeugen, oder nicht?

Antwort

Themen zu Probleme mit IE und WAU usw. (Virus)?
avp.exe, bho, desktop, drivers, excel, firefox, firefox.exe, helper, heulen, iexplore.exe, immer wieder, internet, internet explorer, internet security, kaspersky, konvertieren, location, logfile, logon.exe, monitor, mozilla, msiexec.exe, pdf-datei, privacy protection, problem, rootkit, rundll, scan, scanner.exe, security, services.exe, software, sptd.sys, svchost.exe, system, virus, windows, wmid, \system32\services.exe


« Virtumonde entfernen | Internet explorer öffnet ständig Werbung »


Ähnliche Themen: Probleme mit IE und WAU usw. (Virus)?


  1. Probleme mit Virus/ Spyware
    Plagegeister aller Art und deren Bekämpfung - 27.09.2013 (5)
  2. Probleme mit E-Mail -> Virus ?
    Plagegeister aller Art und deren Bekämpfung - 18.11.2012 (15)
  3. Sicherheitswarnungs Virus, Nach Wiederherstellung ohne Probleme, Virus noch auf dem System?
    Plagegeister aller Art und deren Bekämpfung - 14.02.2012 (9)
  4. Bundespolizei Virus probleme!
    Log-Analyse und Auswertung - 30.10.2011 (7)
  5. Probleme mit svchost.exe Virus
    Log-Analyse und Auswertung - 12.02.2010 (2)
  6. Probleme mit INternetverbindung VIRUS???
    Alles rund um Windows - 16.04.2009 (0)
  7. Probleme mit MSN - Virus
    Plagegeister aller Art und deren Bekämpfung - 22.11.2008 (19)
  8. Probleme mit MSN - Virus
    Mülltonne - 21.11.2008 (1)
  9. Batch-Virus Probleme: VIRUS ALERT! Benötige Hilfe zur vollständigen Reinigung
    Plagegeister aller Art und deren Bekämpfung - 25.08.2008 (15)
  10. Nach Virus PC Probleme
    Plagegeister aller Art und deren Bekämpfung - 16.06.2008 (32)
  11. Probleme mit Laptop, Virus??
    Plagegeister aller Art und deren Bekämpfung - 14.12.2007 (24)
  12. Probleme mit Virus, Trojaner: networm-i.virus@fp, PSW.x-Vir trojan, ...@ms
    Log-Analyse und Auswertung - 07.08.2007 (11)
  13. Probleme mit W32-Virus
    Log-Analyse und Auswertung - 14.06.2007 (2)
  14. probleme mit slsk--> virus?
    Log-Analyse und Auswertung - 15.04.2007 (6)
  15. Probleme mit dem sysvx-Virus
    Plagegeister aller Art und deren Bekämpfung - 17.12.2006 (3)
  16. PC-Probleme: Virus oder mehr?
    Plagegeister aller Art und deren Bekämpfung - 18.04.2005 (16)
  17. Probleme mit FireFox (Virus)
    Plagegeister aller Art und deren Bekämpfung - 30.03.2004 (4)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Probleme mit IE und WAU usw. (Virus)? - Hi Ich kam heute heim, schlt den Monitor an und plötzlich seh ich da in der Taskleiste 50 oder wie viele IE-Tabs. Als ich die endlich alle geschlossen hatte (mit - Probleme mit IE und WAU usw. (Virus)?...
Archiv
Du betrachtest: Probleme mit IE und WAU usw. (Virus)? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131