XP Antivirus 2008

Plaxico · 10.07.2008, 14:42

Mahlzeit!

Ich habe mir heute was ganz böses eingefangen. Es gibt im Netz zwar Anleitungen das vom System zu entfernen, aber das haut bei mir nicht hin. Deswegen hier meine Bitte um Hilfe.

HJT File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:35:42, on 10.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\SMSC\SetIcon.exe
C:\Programme\Home Cinema\TV Enhance\TVEService.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Revoltec\FightMouse\Panel.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\eMule.de 0.46c v17\emule.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w**.metacrawl.ws
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w**.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - {8ADC50B1-E351-EE8C-2424-EA5B242F32C2} - (no file)
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: (no name) - {01E69986-A054-4C52-ABE8-EF63DF1C5211} - (no file)
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SetIcon] \Programme\SMSC\SetIcon.exe
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Programme\Home Cinema\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [TVEService] "C:\Programme\Home Cinema\TV Enhance\TVEService.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [FightMouse Advanced] C:\Programme\Revoltec\FightMouse\Panel.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
O4 - HKLM\..\Run: [lphc76qj0e10n] C:\WINDOWS\system32\lphc76qj0e10n.exe
O4 - HKLM\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - HKLM\..\Run: [SMrhc36qj0e10n] C:\Programme\rhc36qj0e10n\rhc36qj0e10n.exe
O4 - HKLM\..\Run: [ec9072fd] rundll32.exe "C:\WINDOWS\system32\cmftykwq.dll",b
O4 - HKLM\..\Run: [KIT3] C:\WINDOWS\system32\spool\hpprintqueue.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TVBroadcast] C:\Programme\Sceneo\Bonavista\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [Antivirus] C:\Programme\VAV\vav.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Programme\Titan Poker\casino.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/res...lscbase370.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160402350437
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161001832152
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2\adialhk.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TVEnhance Background Capture Service (TBCS) (TVECapSvc) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe
O23 - Service: TVEnhance Task Scheduler (TTS)) (TVESched) - Unknown owner - C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 12467 bytes

raman · 10.07.2008, 15:04

Nutze bitte einmal Combofix:

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als combofex.exe auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die combofex.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja, wenn du dich damit anfreunden kannst.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinen Thread einfuegen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Plaxico · 10.07.2008, 15:37

ComboFix 08-07-09.5 - Administrator 2008-07-10 16:20:31.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.528 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhc36qj0e10n
C:\Programme\Gemeinsame Dateien\{3C907~1
C:\Programme\Gemeinsame Dateien\{EC907~1
C:\Programme\IEToolbar
C:\Programme\IEToolbar\basis.xml
C:\Programme\IEToolbar\icons.bmp
C:\Programme\IEToolbar\inst.bat
C:\Programme\IEToolbar\metacrawl.ws.crc
C:\Programme\IEToolbar\metacrawl.ws.inf
C:\Programme\IEToolbar\metacrawlit.bmp
C:\Programme\IEToolbar\version.txt
C:\Programme\PCHealthCenter
C:\Programme\PCHealthCenter\0.exe
C:\Programme\PCHealthCenter\0.gif
C:\Programme\PCHealthCenter\1.gif
C:\Programme\PCHealthCenter\2.gif
C:\Programme\PCHealthCenter\3.exe
C:\Programme\PCHealthCenter\3.gif
C:\Programme\PCHealthCenter\4.exe
C:\Programme\PCHealthCenter\5.exe
C:\Programme\PCHealthCenter\sex1.ico
C:\Programme\PCHealthCenter\sex2.ico
C:\Programme\rhc36qj0e10n
C:\Programme\VAV
C:\Programme\VAV\vav.cpl
C:\Programme\VAV\vav.exe
C:\Programme\VAV\vav0.dat
C:\Programme\VAV\vav1.dat
C:\WINDOWS\system32\4.tmp
C:\WINDOWS\system32\5.tmp
C:\WINDOWS\system32\6.tmp
C:\WINDOWS\system32\7.tmp
C:\WINDOWS\system32\blphc76qj0e10n.scr
C:\WINDOWS\system32\C.tmp
C:\WINDOWS\system32\clbdll.dll
C:\WINDOWS\system32\clbdll.old
C:\WINDOWS\system32\clbinit.dll
C:\WINDOWS\system32\cmftykwq.dll
C:\WINDOWS\system32\D.tmp
C:\WINDOWS\system32\drivers\clbdriver.sys
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\E.tmp
C:\WINDOWS\system32\F.tmp
C:\WINDOWS\system32\GNmnUvut.ini
C:\WINDOWS\system32\GNmnUvut.ini2
C:\WINDOWS\system32\hook.dll
C:\WINDOWS\system32\lphc76qj0e10n.exe
C:\WINDOWS\system32\mcroso~1.net
C:\WINDOWS\system32\mlJYqPGv.dll
C:\WINDOWS\system32\nnnmlKBs.dll
C:\WINDOWS\system32\oeminfo.ini
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\phc76qj0e10n.bmp
C:\WINDOWS\system32\pphc76qj0e10n.exe
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\qoMdEWmk.dll
C:\WINDOWS\system32\qwkytfmc.ini
C:\WINDOWS\system32\vav.cpl
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\wnstssv.exe
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\yayvSlJD.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CLBDRIVER
-------\Legacy_NPF
-------\Service_NPF

((((((((((((((((((((((( Dateien erstellt von 2008-06-10 bis 2008-07-10 ))))))))))))))))))))))))))))))
.

2008-07-10 13:15 . 2008-07-10 13:15 <DIR> d-------- C:\Programme\Trend Micro
2008-07-10 11:59 . 2008-07-10 11:59 112,256 --a------ C:\WINDOWS\system32\mqoanchd.dll
2008-07-10 11:59 . 2008-07-10 11:59 112,256 --a------ C:\WINDOWS\system32\afiifr.dll
2008-07-10 11:56 . 2008-07-10 11:57 318,720 --a------ C:\WINDOWS\system32\tuvUnmNG.dll
2008-07-10 11:51 . 2008-07-10 11:51 10,752 --a------ C:\WINDOWS\system32\beep.sys
2008-07-10 11:49 . 2008-07-10 13:00 94,208 --a------ C:\WINDOWS\system32\12.tmp
2008-07-10 11:49 . 2008-07-10 12:59 94,208 --a------ C:\WINDOWS\system32\11.tmp
2008-07-07 23:30 . 2008-07-07 23:37 96,966 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-07-07 23:30 . 2008-07-07 23:37 88,774 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-07-07 23:29 . 2008-07-10 16:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-07-07 23:29 . 2008-07-10 16:27 14,293,024 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-07-07 23:29 . 2008-07-10 16:26 192,452 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-07 23:29 . 2008-07-10 16:27 36,640 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-07-07 23:29 . 2008-07-10 16:26 4,436 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-28 16:34 . 2008-06-28 16:34 <DIR> d-------- C:\Programme\Veoh Networks
2008-06-21 12:11 . 2008-06-21 12:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McPoker
2008-06-21 12:09 . 2008-06-21 12:09 <DIR> d-------- C:\Programme\McPoker
2008-06-20 19:46 . 2008-06-20 19:46 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 19:46 . 2008-06-20 19:46 147,968 -----c--- C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 13:51 . 2008-06-20 13:51 361,600 -----c--- C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 13:40 . 2008-06-20 13:40 138,496 -----c--- C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 13:08 . 2008-06-20 13:08 225,856 -----c--- C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-19 15:49 . 2008-07-08 10:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\dwhelper
2008-06-11 06:47 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-11 06:47 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-10 14:17 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-07-10 14:02 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM
2008-07-10 12:27 --------- d-----w C:\Programme\eMule.de 0.46c v17
2008-07-09 23:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-07-07 22:27 --------- d-----w C:\Programme\Java
2008-07-07 21:29 --------- d-----w C:\Programme\Kaspersky Lab
2008-06-28 14:36 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-21 11:48 --------- d-----w C:\Programme\Safari
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-17 17:18 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM
2008-06-14 17:32 273,024 ----a-w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-06 16:53 --------- d-----w C:\Programme\Everest Poker
2008-06-06 16:51 --------- d-----w C:\Programme\Titan Poker
2008-05-27 20:58 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink
2008-05-10 15:07 --------- d-----w C:\Programme\Skype
2008-05-10 15:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-05-10 15:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-04-14 05:53 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-14 05:53 288,768 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 05:53 153,600 ----a-w C:\WINDOWS\regedit.exe
2008-04-14 05:52 70,144 ----a-w C:\WINDOWS\notepad.exe
2008-04-14 05:52 50,688 ----a-w C:\WINDOWS\twain_32.dll
2008-04-14 05:52 451,072 ----a-w C:\WINDOWS\AppPatch\aclayers.dll
2008-04-14 05:52 39,424 ------w C:\WINDOWS\AppPatch\acadproc.dll
2008-04-14 05:52 245,248 ----a-w C:\WINDOWS\AppPatch\acspecfc.dll
2008-04-14 05:52 141,312 ----a-w C:\WINDOWS\AppPatch\aclua.dll
2008-04-14 05:52 116,224 ----a-w C:\WINDOWS\AppPatch\acxtrnal.dll
2008-04-14 05:52 10,752 ----a-w C:\WINDOWS\hh.exe
2008-04-14 05:52 1,852,928 ----a-w C:\WINDOWS\AppPatch\acgenral.dll
2008-04-14 05:52 1,036,800 ----a-w C:\WINDOWS\explorer.exe
2007-07-18 16:21 1 ----a-w C:\Dokumente und Einstellungen\Administrator\SI.bin
2006-10-09 11:55 8 --sha-r C:\WINDOWS\system32\EC23ACB85A.sys
2006-10-09 11:55 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3e53fa40-4427-41bf-97e9-b5271651a2be}]
2008-07-10 11:59 112256 --a------ C:\WINDOWS\system32\afiifr.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D6994059-DB14-4F6D-A91C-F045B12C03F6}]
2008-07-10 11:57 318720 --a------ C:\WINDOWS\system32\tuvUnmNG.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispBackgroundPage"= 1 (0x1)
"NoDispScrSavPage"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~2\adialhk.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\clbdriver.sys]
@="driver"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Games\\CIV IV\\Beyond the Sword\\Civ4BeyondSword.exe"=
"C:\\Games\\CIV IV\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"C:\\Programme\\Messenger\\Msmsgs.exe"=
"C:\\Programme\\BitTorrent_DNA\\dna.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\Games\\Pro Evolution Soccer 2008\\PES2008.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\eMule.de 0.46c v17\\emule.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"E:\\setup.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-09-07 12:17]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-09-07 12:17]
R2 TVECapSvc;TVEnhance Background Capture Service (TBCS);C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2006-10-19 15:01]
R2 TVESched;TVEnhance Task Scheduler (TTS));C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [2006-10-19 15:01]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 07:53]
R3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-10-10 08:16]
R3 GMFilter Filter;GMFilter Filter;C:\WINDOWS\system32\Drivers\GMFilter.sys [2006-06-23 19:03]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 14:28]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 11:45]
R4 hooka;hooka;C:\WINDOWS\system32\spool\hookA.sys []
S3 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe [2006-10-24 11:14]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-06-20 15:16:32 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-06-28 11:47:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
- - - - ORPHANS REMOVED - - - -

BHO-{81025CD5-C017-4579-A18D-8D94C01D3B5F} - C:\WINDOWS\system32\mlJYqPGv.dll
BHO-{8ADC50B1-E351-EE8C-2424-EA5B242F32C2} - (no file)
BHO-{C1B4DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
Toolbar-{C1B4DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
WebBrowser-{C1B4DEC2-2623-438E-9CA2-C9043AB28508} - (no file)
ShellExecuteHooks-{81025CD5-C017-4579-A18D-8D94C01D3B5F} - C:\WINDOWS\system32\mlJYqPGv.dll
Notify-mlJYqPGv - mlJYqPGv.dll

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-10 16:28:17
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\PAStiSvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Programme\SMSC\SetIcon.exe
C:\Programme\Home Cinema\TV Enhance\TVEService.exe
C:\WINDOWS\RTHDCPL.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Revoltec\FightMouse\Panel.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Sceneo\Bonavista\Services\ODSBC\ODSBCApp.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-10 16:32:43 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-10 14:32:40

14 Verzeichnis(se), 230,879,993,856 Bytes frei
17 Verzeichnis(se), 233,287,225,344 Bytes frei

262 --- E O F --- 2008-07-09 23:10:53

raman · 10.07.2008, 16:02

Pruefe bitte folgende Dateien bei Virustotal.com, poste das komplette Ergebnis, im Zweifelsfalle den Link, zu den Ergebnissen:

C:\WINDOWS\system32\afiifr.dll
c:\WINDOWS\system32\tuvUnmNG.dll
C:\WINDOWS\system32\beep.sys
C:\WINDOWS\system32\12.tmp
C:\WINDOWS\explorer.exe

Nach den Errgebnissen http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html nutzen, alle funde Loeschen und den mabam Bericht posten...

Plaxico · 10.07.2008, 16:20

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.10.0 2008.07.10 -
AntiVir 7.8.0.64 2008.07.10 -
Authentium 5.1.0.4 2008.07.10 -
Avast 4.8.1195.0 2008.07.09 -
AVG 7.5.0.516 2008.07.10 -
BitDefender 7.2 2008.07.10 -
CAT-QuickHeal 9.50 2008.07.10 -
ClamAV 0.93.1 2008.07.10 -
DrWeb 4.44.0.09170 2008.07.10 Trojan.Virtumod.based.18
eSafe 7.0.17.0 2008.07.09 Suspicious File
eTrust-Vet 31.6.5943 2008.07.10 -
Ewido 4.0 2008.07.10 -
F-Prot 4.4.4.56 2008.07.10 -
F-Secure 7.60.13501.0 2008.07.10 -
Fortinet 3.14.0.0 2008.07.10 -
GData 2.0.7306.1023 2008.07.10 -
Ikarus T3.1.1.26.0 2008.07.10 -
Kaspersky 7.0.0.125 2008.07.10 -
McAfee 5335 2008.07.09 -
Microsoft 1.3704 2008.07.10 Trojan:Win32/Vundo.gen!R
NOD32v2 3258 2008.07.10 -
Norman 5.80.02 2008.07.10 -
Panda 9.0.0.4 2008.07.10 Suspicious file
Prevx1 V2 2008.07.10 Cloaked Malware
Rising 20.52.32.00 2008.07.10 -
Sophos 4.31.0 2008.07.10 -
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.10 -
TheHacker 6.2.96.374 2008.07.07 -
TrendMicro 8.700.0.1004 2008.07.10 -
VBA32 3.12.6.9 2008.07.10 -
VirusBuster 4.5.11.0 2008.07.10 -
Webwasher-Gateway 6.6.2 2008.07.10 -
weitere Informationen
File size: 112256 bytes
MD5...: f063a06c79191512c89801704d9ddcac
SHA1..: 50de8bbe2b29e33f727d42983478a0b571054860
SHA256: aa50c42617eb47d70f2325833eeed12b9a6cf007d2dd359b8f032805fdd587d4
SHA512: 8df521e83bae48cdd18e3401e78d5bf3d95d110366c836075de49bf22c306de1
2c48ce350d53cb0320277c3549ef600717e1682ddfe511fe51f7d30813f7c851
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001447
timedatestamp.....: 0x4863db34 (Thu Jun 26 18:08:52 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x2000 5.31 f6b8ac2e8da8706e967942a94ae3ea41
.code 0x3000 0x1000 0x400 4.76 e1d526665dbc35c9c715e27781dba36e
.idata 0x4000 0x31000 0x17480 7.99 3da31ae323b5c56ccb2b296a1698cc36

( 1 imports )
> user32.dll: BeginPaint, EndPaint, EndPaint, ExitWindowsEx, FindWindowExA, GetCapture, GetCursorPos, GetDC, GetDesktopWindow, GetSystemMetrics, GetWindow, GetWindowDC, GetWindowTextA, GetWindowTextLengthA, InvalidateRect, IsWindow, KillTimer, LoadCursorA, LoadIconA, LoadStringA, MessageBoxA, PeekMessageA, PostMessageA, PostQuitMessage, RegisterClassA, ReleaseCapture, ReleaseDC, SendMessageA

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=35B3CE6980C9CB14B6FC012DDDE82A00439D0010

--------------------------------------------------------

Datei tuvUnmNG.dll empfangen 2008.07.10 17:12:32 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/33 (6.07%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.10.0 2008.07.10 -
AntiVir 7.8.0.64 2008.07.10 -
Authentium 5.1.0.4 2008.07.10 -
Avast 4.8.1195.0 2008.07.09 -
AVG 7.5.0.516 2008.07.10 -
BitDefender 7.2 2008.07.10 -
CAT-QuickHeal 9.50 2008.07.10 -
ClamAV 0.93.1 2008.07.10 -
DrWeb 4.44.0.09170 2008.07.10 -
eSafe 7.0.17.0 2008.07.09 -
eTrust-Vet 31.6.5943 2008.07.10 -
Ewido 4.0 2008.07.10 -
F-Prot 4.4.4.56 2008.07.10 -
F-Secure 7.60.13501.0 2008.07.10 -
Fortinet 3.14.0.0 2008.07.10 -
GData 2.0.7306.1023 2008.07.10 -
Ikarus T3.1.1.26.0 2008.07.10 Trojan.Win32.Monderb
Kaspersky 7.0.0.125 2008.07.10 -
McAfee 5335 2008.07.09 -
Microsoft 1.3704 2008.07.10 Trojan:Win32/Vundo.gen!R
NOD32v2 3258 2008.07.10 -
Norman 5.80.02 2008.07.10 -
Panda 9.0.0.4 2008.07.10 -
Prevx1 V2 2008.07.10 -
Rising 20.52.32.00 2008.07.10 -
Sophos 4.31.0 2008.07.10 -
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.10 -
TheHacker 6.2.96.374 2008.07.07 -
TrendMicro 8.700.0.1004 2008.07.10 -
VBA32 3.12.6.9 2008.07.10 -
VirusBuster 4.5.11.0 2008.07.10 -
Webwasher-Gateway 6.6.2 2008.07.10 -
weitere Informationen
File size: 318720 bytes
MD5...: fd3c3f45e2a602cb88dce9bdbf3a8f52
SHA1..: 41757c72140c71054a32aaf4a42d64e1fdbc396a
SHA256: d6a4d019939690a0f92a71a12339782efe6eed2c884a08857f5608a5db3bd50f
SHA512: 9137f29f8684f0816e2237f3eb9af06a8efdd80d3e0665cde692dcd87babeea4
b957569f7953d1a8f5832c32776f51c9382756704cfa3407fe69bb1aaaf95784
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001085
timedatestamp.....: 0x485f54bd (Mon Jun 23 07:46:05 2008)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2000 0x2000 5.29 e003f77bdfba67901fa1b645477b8e7b
.data 0x3000 0x1000 0x600 4.62 dca7d5b11d29759ddf80b06f43ece665
CODE 0x4000 0x7000 0x7000 7.99 6f2cb973e93516dfb72fc7c1851e670f
CRT 0xb000 0xe000 0xd800 8.00 040e293616442402633b5a8b47b3329e
BSS 0x19000 0x7000 0x7000 7.99 2abfbf071e59b8825762bb37337d9783
.bss 0x20000 0x7000 0x6200 7.99 e22e49365ad872ccc14e1f3a4c988040
.idata 0x27000 0xe000 0xe000 8.00 6ba09c2bfab464a51137bf592426ad7b
CODE 0x35000 0x68000 0x1b900 8.00 ad27e294c09f4c9646afcab07f1cba4d

( 1 imports )
> user32.dll: BeginPaint, BeginPaint, CheckMenuRadioItem, CheckRadioButton, CreateMenu, CreateWindowExA, DestroyCursor, DestroyWindow, EndPaint, EndPaint, GetDesktopWindow, GetWindowTextA, GetWindowTextLengthA, InvalidateRect, IsWindow, KillTimer, LoadCursorA, LoadIconA, LoadStringA, MessageBoxA, PeekMessageA, PostMessageA, PostQuitMessage, RegisterClassA, ReleaseCapture, ReleaseDC, SendMessageA, SetCursor, SetForegroundWindow, SetMenu, SetMenuItemInfoA, SetPropA, SetScrollPos, SetScrollRange, SetSysColors, SetTimer, SetWindowLongA, SetWindowPos, ShowWindow, SystemParametersInfoA, TranslateMessage, UpdateWindow, ValidateRect, WaitMessage, wvsprintfA

( 0 exports )

---------------------------------------------------------

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.10.0 2008.07.10 -
AntiVir 7.8.0.64 2008.07.10 TR/Rootkit.Gen
Authentium 5.1.0.4 2008.07.10 -
Avast 4.8.1195.0 2008.07.09 -
AVG 7.5.0.516 2008.07.10 -
BitDefender 7.2 2008.07.10 -
CAT-QuickHeal 9.50 2008.07.10 -
ClamAV 0.93.1 2008.07.10 -
DrWeb 4.44.0.09170 2008.07.10 -
eSafe 7.0.17.0 2008.07.09 Suspicious File
eTrust-Vet 31.6.5943 2008.07.10 -
Ewido 4.0 2008.07.10 -
F-Prot 4.4.4.56 2008.07.10 -
F-Secure 7.60.13501.0 2008.07.10 -
Fortinet 3.14.0.0 2008.07.10 -
GData 2.0.7306.1023 2008.07.10 -
Ikarus T3.1.1.26.0 2008.07.10 -
Kaspersky 7.0.0.125 2008.07.10 -
McAfee 5335 2008.07.09 -
Microsoft 1.3704 2008.07.10 -
NOD32v2 3258 2008.07.10 -
Norman 5.80.02 2008.07.10 -
Panda 9.0.0.4 2008.07.10 -
Prevx1 V2 2008.07.10 -
Rising 20.52.32.00 2008.07.10 -
Sophos 4.31.0 2008.07.10 -
Sunbelt 3.1.1509.1 2008.07.04 -
Symantec 10 2008.07.10 -
TheHacker 6.2.96.374 2008.07.07 -
TrendMicro 8.700.0.1004 2008.07.10 WORM_NUCRP.GEN
VBA32 3.12.6.9 2008.07.10 -
VirusBuster 4.5.11.0 2008.07.10 -
Webwasher-Gateway 6.6.2 2008.07.10 Trojan.Rootkit.Gen
weitere Informationen
File size: 10752 bytes
MD5...: b52cdb3326b24fca7665fe76e5cb3b69
SHA1..: 375733113f5fa8379e49b9b7bd792c82bfcb3abe
SHA256: 7f4c6cfd4c45a379bb906973f350dc891d836efd5c8779456d344e45c38effe3
SHA512: 10563c32dde01e3d533445393454b56d5b15596fac690bdfbbe4792ca18a47a8
884885d5f029ae5e836cdf3da6d50b50acb3162d768ceca31bd044c595556077
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40108b
timedatestamp.....: 0x48753528 (Wed Jul 09 22:01:12 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xee0 0x1000 7.96 cd5edb9d65883edc389b6ce2e6f51a11
.rdata 0x2000 0x560 0x600 7.88 af75daf6d3ea2442e927f7c18b407aa3
.reloc 0x3000 0x1000 0x1000 6.24 e5fcd27b480ff8a6dbb9b9a3400ca4d6

( 2 imports )
> NTOSKRNL.EXE: ZwDeleteKey, ZwOpenFile, MmGetSystemRoutineAddress
> HAL.DLL: HalDisplayString, KeRaiseIrql

( 0 exports )

----------------------------------------------

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.10.0 2008.07.10 Win-Trojan/Autodelete.94208
AntiVir 7.8.0.64 2008.07.10 TR/Fakealert.AG
Authentium 5.1.0.4 2008.07.10 -
Avast 4.8.1195.0 2008.07.09 Win32:Adware-gen
AVG 7.5.0.516 2008.07.10 Potentially harmful program WinFixer.ATW
BitDefender 7.2 2008.07.10 Trojan.FakeAlert.TR
CAT-QuickHeal 9.50 2008.07.10 FraudTool.MalwareProtector.d (Not a Virus)
ClamAV 0.93.1 2008.07.10 BAT.AutoDelete.A
DrWeb 4.44.0.09170 2008.07.10 Trojan.Fakealert.949
eSafe 7.0.17.0 2008.07.09 -
eTrust-Vet 31.6.5943 2008.07.10 Win32/FakeAlert.N
Ewido 4.0 2008.07.10 Not-A-Virus.PUP.MalwareProtector.d
F-Prot 4.4.4.56 2008.07.10 -
F-Secure 7.60.13501.0 2008.07.10 Trojan:W32/Renos.DC
Fortinet 3.14.0.0 2008.07.10 Misc/FakAlert
GData 2.0.7306.1023 2008.07.10 Win32:Adware-gen
Ikarus T3.1.1.26.0 2008.07.10 BAT.AutoDelete.A
Kaspersky 7.0.0.125 2008.07.10 not-a-virus:FraudTool.Win32.MalwareProtector.d
McAfee 5335 2008.07.09 FakeAlert-AG
Microsoft 1.3704 2008.07.10 Trojan:Win32/Renos.BAH
NOD32v2 3258 2008.07.10 Win32/Adware.WinFixer
Norman 5.80.02 2008.07.10 W32/Renos.XN
Panda 9.0.0.4 2008.07.10 Adware/MalwareProtector2008
Prevx1 V2 2008.07.10 Cloaked Malware
Rising 20.52.32.00 2008.07.10 Trojan.Win32.Undef.ive
Sophos 4.31.0 2008.07.10 Troj/FakAlert-A
Sunbelt 3.1.1509.1 2008.07.04 CWS.DesktopHijack
Symantec 10 2008.07.10 MalwareProtector2008
TheHacker 6.2.96.374 2008.07.07 Aplicacion/MalwareProtector.d
TrendMicro 8.700.0.1004 2008.07.10 TROJ_RENOS.ZQ
VBA32 3.12.6.9 2008.07.10 Win32.Adware.WinFixer
VirusBuster 4.5.11.0 2008.07.10 -
Webwasher-Gateway 6.6.2 2008.07.10 Trojan.Fakealert.AG
weitere Informationen
File size: 94208 bytes
MD5...: 45684e238403d720ead129a0fb2e2258
SHA1..: 1adab6088f394487d6e57c73931da3d471c30b72
SHA256: daed5971ade8ea2fa88cd4341e467aafef826b3bb620226031161d0aa9395d16
SHA512: b93e937f31758e3e579e5bc33e206f87e97fbde2794b538a16a147b8be516f2e
952096208cf41ff2b139c8765921aa7b9dee79eb66f7899505fde0b04403a418
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x406df5
timedatestamp.....: 0x485c5bc8 (Sat Jun 21 01:39:20 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xda92 0xe000 6.56 04167fd1d49bf06b808aede3e9373fd9
.rdata 0xf000 0x2df4 0x3000 4.87 755a9a883fbaed9e59bd1678dc543db8
.data 0x12000 0x2ac0 0x2000 2.17 9a5b1b0544a0ba83777a36cb94f62677
.tls 0x15000 0x7 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x16000 0x1e20 0x2000 5.42 c257661d6c95eb7c3b5231af545a237d

( 5 imports )
> KERNEL32.dll: WaitForSingleObject, CreateMutexA, Sleep, TerminateProcess, GetTickCount, FindFirstFileA, FindClose, GetTempPathA, lstrcpyA, CreateFileA, WriteFile, CloseHandle, lstrcatA, GetModuleFileNameA, GetEnvironmentVariableA, GetDriveTypeA, GetVolumeInformationA, HeapAlloc, HeapFree, UnmapViewOfFile, OpenFileMappingA, MapViewOfFile, GetModuleHandleA, FindResourceA, GetLastError, LoadLibraryA, GetProcAddress, SetStdHandle, GetOEMCP, IsBadCodePtr, IsBadReadPtr, GetCurrentProcess, SizeofResource, LockResource, LoadResource, DeleteCriticalSection, InitializeCriticalSection, RaiseException, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, GetVersionExA, GetACP, GetLocaleInfoA, GetThreadLocale, InterlockedExchange, InterlockedDecrement, lstrlenA, GetStringTypeW, GetStringTypeA, GetSystemInfo, VirtualProtect, GetCurrentProcessId, QueryPerformanceCounter, SetUnhandledExceptionFilter, VirtualQuery, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, UnhandledExceptionFilter, LocalFree, EnterCriticalSection, LeaveCriticalSection, InterlockedIncrement, GetSystemTimeAsFileTime, GetStartupInfoA, GetCommandLineA, RtlUnwind, ExitProcess, HeapReAlloc, LCMapStringA, LCMapStringW, GetCPInfo, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, HeapSize, TlsAlloc, SetLastError, GetCurrentThreadId, TlsFree, TlsSetValue, TlsGetValue, SetFilePointer, FlushFileBuffers, GetStdHandle
> ADVAPI32.dll: RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> SHELL32.dll: ShellExecuteA
> ole32.dll: OleRun, CoInitialize, CoCreateInstance
> OLEAUT32.dll: -, -, -, -, -, -, -, -

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=D0E9FCDF00D06C1F70A201E481954E0010CAD994

----------------------------------------------------

Datei explorer.exe empfangen 2008.07.10 17:17:17 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/33 (0%)

raman · 10.07.2008, 16:29

Reich bitte den mbam Report nach.

Plaxico · 10.07.2008, 16:33

jopp, scan vorgang läuft grad. danke schonmal für deine hilfe!

Plaxico · 10.07.2008, 17:03

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 937
Windows 5.1.2600 Service Pack 3

18:02:19 10.07.2008
mbam-log-7-10-2008 (18-02-19).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 166863
Scan Dauer: 36 minute(s), 58 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 3
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 5
Infizierte Datei Objekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 26

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
C:\WINDOWS\system32\fsgnvouf.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\tuvUnmNG.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\afiifr.dll (Trojan.Vundo) -> Unloaded module successfully.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2cec7d20-79b2-478c-82e2-86f788458bfe} (Trojan.Vundo) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{2cec7d20-79b2-478c-82e2-86f788458bfe} (Trojan.Vundo) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\VAV (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ec9072fd (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{01e69986-a054-4c52-abe8-ef63df1c5211} (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{01e69986-a054-4c52-abe8-ef63df1c5211} (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc76qj0e10n (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhc36qj0e10n (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\tuvunmng -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\tuvunmng -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\tuvUnmNG.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\GNmnUvut.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\GNmnUvut.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\fsgnvouf.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\fuovngsf.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\afiifr.dll (Trojan.Vundo) -> Delete on reboot.
C:\QooBox\Quarantine\C\Programme\PCHealthCenter\5.exe.vir (Rogue.Installer) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\4.tmp.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\5.tmp.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\6.tmp.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\7.tmp.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\C.tmp.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\cmftykwq.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\D.tmp.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\E.tmp.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\F.tmp.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\pphc76qj0e10n.exe.vir (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP593\A0076898.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP593\A0077956.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP594\A0077980.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP594\A0077991.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP594\A0077992.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{BDB02021-8C9D-4BD9-BAB5-977838CC146D}\RP594\A0078007.dll (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\11.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\12.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mqoanchd.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

raman · 10.07.2008, 17:30

Erstelle bitte ein neues Combofix log....

Plaxico · 10.07.2008, 17:46

istComboFix 08-07-09.5 - Administrator 2008-07-10 18:33:57.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.537 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\fsgnvouf.dll
C:\WINDOWS\system32\GNmnUvut.ini
C:\WINDOWS\system32\GNmnUvut.ini2

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CLBDRIVER
-------\Legacy_NPF
-------\Service_clbdriver
-------\Service_NPF

((((((((((((((((((((((( Dateien erstellt von 2008-06-10 bis 2008-07-10 ))))))))))))))))))))))))))))))
.

2008-07-10 17:23 . 2008-07-10 17:23 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-10 17:23 . 2008-07-10 17:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-10 17:23 . 2008-07-10 17:23 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-07-10 17:23 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-10 17:23 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-10 16:38 . 2008-07-10 16:38 116,864 --a------ C:\WINDOWS\system32\xjlbpwka.dll
2008-07-10 16:38 . 2008-07-10 16:38 116,864 --a------ C:\WINDOWS\system32\vofksn.dll
2008-07-10 13:15 . 2008-07-10 13:15 <DIR> d-------- C:\Programme\Trend Micro
2008-07-10 11:59 . 2008-07-10 18:02 112,256 --------- C:\WINDOWS\system32\afiifr.dll
2008-07-10 11:56 . 2008-07-10 18:02 318,720 --------- C:\WINDOWS\system32\tuvUnmNG.dll
2008-07-10 11:51 . 2008-07-10 11:51 10,752 --a------ C:\WINDOWS\system32\beep.sys
2008-07-07 23:30 . 2008-07-07 23:37 96,966 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-07-07 23:30 . 2008-07-07 23:37 88,774 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-07-07 23:29 . 2008-07-10 18:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-07-07 23:29 . 2008-07-10 18:41 14,411,296 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-07-07 23:29 . 2008-07-10 18:37 193,988 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-07 23:29 . 2008-07-10 18:39 43,552 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-07-07 23:29 . 2008-07-10 18:37 5,060 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-28 16:34 . 2008-06-28 16:34 <DIR> d-------- C:\Programme\Veoh Networks
2008-06-21 12:11 . 2008-06-21 12:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McPoker
2008-06-21 12:09 . 2008-06-21 12:09 <DIR> d-------- C:\Programme\McPoker
2008-06-20 19:46 . 2008-06-20 19:46 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 19:46 . 2008-06-20 19:46 147,968 -----c--- C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 13:51 . 2008-06-20 13:51 361,600 -----c--- C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 13:40 . 2008-06-20 13:40 138,496 -----c--- C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 13:08 . 2008-06-20 13:08 225,856 -----c--- C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-19 15:49 . 2008-07-08 10:42 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\dwhelper
2008-06-11 06:47 . 2008-06-14 19:32 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-11 06:47 . 2008-05-08 16:02 203,136 -----c--- C:\WINDOWS\system32\dllcache\rmcast.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-10 16:33 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-07-10 16:13 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\skypePM
2008-07-10 16:08 --------- d-----w C:\Programme\eMule.de 0.46c v17
2008-07-09 23:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-07-07 22:27 --------- d-----w C:\Programme\Java
2008-07-07 21:29 --------- d-----w C:\Programme\Kaspersky Lab
2008-06-28 14:36 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-21 11:48 --------- d-----w C:\Programme\Safari
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-17 17:18 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\AdobeUM
2008-06-14 17:32 273,024 ----a-w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-06 16:53 --------- d-----w C:\Programme\Everest Poker
2008-06-06 16:51 --------- d-----w C:\Programme\Titan Poker
2008-05-27 20:58 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\CyberLink
2008-05-10 15:07 --------- d-----w C:\Programme\Skype
2008-05-10 15:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-05-10 15:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-04-14 05:53 32,866 ------w C:\WINDOWS\slrundll.exe
2008-04-14 05:53 288,768 ----a-w C:\WINDOWS\winhlp32.exe
2008-04-14 05:53 153,600 ----a-w C:\WINDOWS\regedit.exe
2008-04-14 05:52 70,144 ----a-w C:\WINDOWS\notepad.exe
2008-04-14 05:52 50,688 ----a-w C:\WINDOWS\twain_32.dll
2008-04-14 05:52 451,072 ----a-w C:\WINDOWS\AppPatch\aclayers.dll
2008-04-14 05:52 39,424 ------w C:\WINDOWS\AppPatch\acadproc.dll
2008-04-14 05:52 245,248 ----a-w C:\WINDOWS\AppPatch\acspecfc.dll
2008-04-14 05:52 141,312 ----a-w C:\WINDOWS\AppPatch\aclua.dll
2008-04-14 05:52 116,224 ----a-w C:\WINDOWS\AppPatch\acxtrnal.dll
2008-04-14 05:52 10,752 ----a-w C:\WINDOWS\hh.exe
2008-04-14 05:52 1,852,928 ----a-w C:\WINDOWS\AppPatch\acgenral.dll
2008-04-14 05:52 1,036,800 ----a-w C:\WINDOWS\explorer.exe
2007-07-18 16:21 1 ----a-w C:\Dokumente und Einstellungen\Administrator\SI.bin
2006-10-09 11:55 8 --sha-r C:\WINDOWS\system32\EC23ACB85A.sys
2006-10-09 11:55 4,704 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-07-10_16.31.45.82 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-10 14:26:50 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-10 16:38:17 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-07-07 13:18:19 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-07-10 16:05:06 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-07-07 13:18:19 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-07-10 16:05:06 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{68E5F5FF-09DA-4F24-8CEA-A7A411310D03}]
2008-07-10 18:02 318720 --------- C:\WINDOWS\system32\tuvUnmNG.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7b7c4504-f9f6-42cf-9315-1defb8700218}]
2008-07-10 16:38 116864 --a------ C:\WINDOWS\system32\vofksn.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{81025CD5-C017-4579-A18D-8D94C01D3B5F}]
C:\WINDOWS\system32\mlJYqPGv.dll [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"NoDispScrSavPage"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{81025CD5-C017-4579-A18D-8D94C01D3B5F}"= "C:\WINDOWS\system32\mlJYqPGv.dll" [BU]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~2\adialhk.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\clbdriver.sys]
@="driver"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Games\\CIV IV\\Beyond the Sword\\Civ4BeyondSword.exe"=
"C:\\Games\\CIV IV\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"C:\\Programme\\Messenger\\Msmsgs.exe"=
"C:\\Programme\\BitTorrent_DNA\\dna.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\Games\\Pro Evolution Soccer 2008\\PES2008.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\eMule.de 0.46c v17\\emule.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"E:\\setup.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX32.sys [2006-09-07 12:17]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-09-07 12:17]
R2 TVECapSvc;TVEnhance Background Capture Service (TBCS);C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVECapSvc.exe [2006-10-19 15:01]
R2 TVESched;TVEnhance Task Scheduler (TTS));C:\Programme\Home Cinema\TV Enhance\Kernel\TV\TVESched.exe [2006-10-19 15:01]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 07:53]
R3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-10-10 08:16]
R3 GMFilter Filter;GMFilter Filter;C:\WINDOWS\system32\Drivers\GMFilter.sys [2006-06-23 19:03]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 14:28]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 11:45]
R4 hooka;hooka;C:\WINDOWS\system32\spool\hookA.sys []
S3 srvcPVR;Sceneo PVR Service;C:\Programme\Sceneo\Bonavista\Services\PVR\PVRService.exe [2006-10-24 11:14]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-06-20 15:16:32 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-06-28 11:47:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
- - - - ORPHANS REMOVED - - - -

BHO-{8ADC50B1-E351-EE8C-2424-EA5B242F32C2} - (no file)
BHO-{C1B4DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
Toolbar-{C1B4DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
WebBrowser-{C1B4DEC2-2623-438E-9CA2-C9043AB28508} - (no file)
Notify-mlJYqPGv - mlJYqPGv.dll

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-10 18:39:06
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\PAStiSvc.exe
C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Programme\SMSC\SetIcon.exe
C:\Programme\Home Cinema\TV Enhance\TVEService.exe
C:\WINDOWS\RTHDCPL.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Revoltec\FightMouse\Panel.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Sceneo\Bonavista\Services\ODSBC\ODSBCApp.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-10 18:43:54 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-10 16:43:50
ComboFix2.txt 2008-07-10 14:32:48

14 Verzeichnis(se), 233,311,408,128 Bytes frei
17 Verzeichnis(se), 233,295,355,904 Bytes frei

221 --- E O F --- 2008-07-09 23:10:53

raman · 10.07.2008, 18:09

Hm, es koennte sein, das das nicht so klappt, wie ich das gerne haette. Also immer schoen Daten sichern!

Die (orginal)beep.sys ist durch Malware ersetzt worden und sollte von dir durch ein Orginal von einem anderen PC mit SP3 ersetzt werden
.

1. Starte Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

http://www.trojaner-board.de/55673-xp-antivirus-2008-a.html

collect::[4]
C:\WINDOWS\system32\xjlbpwka.dll
C:\WINDOWS\system32\vofksn.dll
C:\WINDOWS\system32\afiifr.dll
C:\WINDOWS\system32\tuvUnmNG.dll
C:\WINDOWS\system32\beep.sys
C:\WINDOWS\system32\drivers\clbdriver.sys

registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\clbdriver.sys]

filelook::
C:\WINDOWS\system32\drivers\tcpip.sys
C:\WINDOWS\system32\drivers\afd.sys
C:\WINDOWS\system32\drivers\tcpip6.sys

driver::
hooka

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFex.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (falls gefragt wird ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Danach meldet sich Combofix mit der Meldung, das eine Datei zur Ueberpruefung verschickt werden muss. Bestaetige die Meldung und folge den Schritten, die dir im Internetexploerer angezeigt werden.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Plaxico · 10.07.2008, 18:39

ooha^^ich kümmer mich da morgen abend drum, hab jetzt leider keine zeit mehr. das log kommt dann.

insgesamt hat mir das aber schon sehr geholfen, auf meine laien blick ist alles runter und der rechner läuft auch wesentlich schneller als die letzte zeit.

aber wenn du sagts da befindet sich noch was böses auf meinem system werd ich versuchen dass auch noch zu entfernen.

gruß

raman · 10.07.2008, 18:43

Jaha! da ist noch einiges.....

busty82 · 09.08.2008, 19:08

Bitte interpretieren:

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1035
Windows 5.1.2600 Service Pack 2

20:00:07 09.08.2008
mbam-log-8-9-2008 (20-00-01).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 200159
Laufzeit: 1 hour(s), 36 minute(s), 25 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 6
Infizierte Dateien: 7

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SoftLand Ltd\Antivirus 2008 XP\av2008xp.exe (Rogue.XPAntivirus) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\SoftLand Ltd (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SoftLand Ltd (Rogue.XPAntivirus) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SoftLand Ltd\Antivirus 2008 XP (Rogue.XPAntivirus) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SoftLand Ltd\Antivirus 2008 XP\BASE (Rogue.XPAntivirus) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SoftLand Ltd\Antivirus 2008 XP\DELETED (Rogue.XPAntivirus) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SoftLand Ltd\Antivirus 2008 XP\LOG (Rogue.XPAntivirus) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SoftLand Ltd\Antivirus 2008 XP\SAVED (Rogue.XPAntivirus) -> No action taken.

Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SoftLand Ltd\Antivirus 2008 XP\av2008xp.exe (Rogue.XPAntivirus) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SoftLand Ltd\Antivirus 2008 XP\LOG\20080809162224687.log (Rogue.XPAntivirus) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SoftLand Ltd\Antivirus 2008 XP\LOG\20080809162533781.log (Rogue.XPAntivirus) -> No action taken.
C:\Dokumente und Einstellungen\Sebastian Hueber\Desktop\antivirus2008xp_1.JPG (Rogue.Antivirus) -> No action taken.
C:\Dokumente und Einstellungen\Sebastian Hueber\Desktop\antivirus2008xp_2.JPG (Rogue.Antivirus) -> No action taken.
C:\Dokumente und Einstellungen\Sebastian Hueber\Desktop\antivirus2008xp_3.JPG (Rogue.Antivirus) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\services\services.dll (Trojan.Agent) -> No action taken.

yourmusic-fl · 10.08.2008, 10:03

Hey, ich habe mir auch diesen Virus eingefangen.
Das Erschreckende ist, dass ich den Virus von meiner eigenen Site bekommen habe.

Ich leite die Siten www.your-music.at und www.marilynmanson.at . Beim Öffnen von beiden Siten findet bei mir Anti Vir Avira:
"Enthält Erkennungsmust des HTML (oft kommt auch JAVA)-Scriptvirus
HTML/Dldr.lframe.ED"

Bei mir schlägt Anti Vir Avira 2 Mal Alarm beim Öffnen meiner Siten, dannach wird im Internet Explorer vorgeschlagen das Programm Anti Virus XP 2008 herunterzuladen.

Ich habe mir leider nicht viel dabei gedacht und habe das benannte Programm heruntergeladen.

Auf einer anderen Site habe ich gelesen, dass man den Virus umgehen kann, indem man den PC zurücksetzt (Start-Programme-Zubehör-Systemprogramme- Systemwiederherstellung.)

Ich habe meinen Computer mehr mals von "Luke Filewalker" von Avira durchlaufen lassen, dieser fand bisher öfter dieses besagte Erkennungsmuster.

Was soll ich tun? Habe ich mit Systemwiederherstellen den Virus gelöscht?
Wie konnte der Virus auf unsere Site kommen? Ich habe leider keine Ahnung von Viren und Servern. Was kann ich dagegen tun? Ist mein PC geschützt?
Unser Serveradministrator hat erst wieder am Montag die Möglichkeit auf die Site zu zugreifen.

Das ist mein Logfile:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:05:44, on 10.08.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
c:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\x86\eDSLoader.exe
C:\Program Files\SiteAdvisor\6261\SiteAdv.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\nvraidservice.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Common Files\Ulead Systems\AutoDetector\Monitor.exe
C:\Windows\WindowsMobile\wmdc.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Acer\Empowering Technology\ACER.EMPOWERING.FRAMEWORK.SUPERVISOR.EXE
C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
c:\PROGRA~1\mcafee\msc\mcuimgr.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe
C:\Foxmail\Foxmail.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\SearchFilterHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.your-music.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: URL Search Hook - {AA460422-2CEF-400f-AA05-F63368E04706} - C:\Windows\system32\sh.dll
O1 - Hosts: ::1 localhost
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - c:\PROGRA~1\mcafee\msk\mcapbho.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Acer\Empowering Technology\eDataSecurity\x86\ActiveToolBand.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Acer\Empowering Technology\eDataSecurity\x86\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program Files\SiteAdvisor\6261\SiteAdv.dll
O3 - Toolbar: Universal Music Toolbar - {D6223CBC-A263-4CB1-B35E-1AE40FEF3B3B} - C:\Windows\system32\ietoolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Acer\Empowering Technology\SysMonitor.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\x86\eDSloader.exe
O4 - HKLM\..\Run: [PCMMediaSharing] C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
O4 - HKLM\..\Run: [mcagent_exe] C:\Program Files\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SiteAdvisor] "C:\Program Files\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Apanel] C:\ACERSW\config\SetApanel.cmd
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NVRaidService] C:\Windows\system32\nvraidservice.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdc.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: ASETRES.EXE
O4 - Global Startup: Empowering Technology Launcher.lnk = ?
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: StupAssist.lnk = C:\Program Files\Common Files\Nikon\Utilities\StupAssist.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O23 - Service: Acer HomeMedia Connect Service - CyberLink - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe
O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: eDataSecurity Service - Egis Incorporated - C:\Acer\Empowering Technology\eDataSecurity\x86\eDSService.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: eSettings Service (eSettingsService) - Unknown owner - C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\COMMON~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program Files\McAfee\MSK\MskSrver.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Program Files\SiteAdvisor\6261\SAService.exe

--
End of file - 11361 bytes

Bitte helft mir!!!

Danke jetzt schon, lg flo

XP Antivirus 2008

Log-Analyse und Auswertung: XP Antivirus 2008