hallo...

meine freundin hat mir gestern nacht folgendes problem eingehandelt.
das ganze geschah wohl beim öffnen eines anhangs, einer ihr unbekannten e-mail. was soll man dazu noch sagen!?

viel schlimmes ist bisher jedoch nicht passiert.
soweit ich das beurteilen kann, sind meine daten noch alle vorhanden.
leider hat sich mein desktophintergrund in ein ziemlich stechendes blau verwandelt mit folgender aufschrift: "warning! spyware detected on yout computer! install an antivirus or spyware remover to clean your computer."
dies lässt sich auch nicht mehr ändern, da die anzeige optionen nur noch drei reiter beinhaltet, welche "designs", "darstellung" und "einstellungen" sind.

natürlich habe ich als erstes google bemüht, doch das brachte leider keine so gescheiten ergebnisse.
bin auf ein paar tipps gestoßen, die ich auch befolgt habe, nur leider völlig erfolglos.
unter anderem waren das "ccleaner" und "OTmoveIT".
letzteres ist übrigens nach einem neustart einfach vom desktop verschwunden.

habe jetzt eine logfile mit HJT erstellt. ich kann da nichts bösartiges entdecken, aber schließlich seid ihr ja die experten

ich bedanke mich schonmal im vorraus...danke

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:58:04, on 14.7.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1204134604062
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5937 bytes

Hi Silenzio und

lade bitte den Deckard's System Scanner (DSS) herunter und speichere ihn auf deinem Desktop.
NB: Du musst mit Administrator-Rechten angemeldet sein, um dieses Programm laufen lassen zu können.

1. Schließe ALLE Anwendungen und Fenster.
2. Mach einen Doppelklick auf die dss.exe um sie auszuführen und folge den Prompts.
3. Wenn der Scan vollendet ist, werden sich zwei Textdateien öffnen -

main.txt <- dieses wird maximiert dargestellt und
extra.txt <- dieses wird als minmierte Datei dargestellt
4. Kopiere (STRG+A und STRG+C) und füge (STRG+V) den Inhalt von main.txt und den Inhalt von extra.txt in deine nächste Antwort.

Die Logdateien können sehr lang werden.


gruß

schrauber

hallo schrauber...

danke für die so zügige antwort.

habe dss heruntergeladen und laufen lassen, bin jedoch zu keinem ergebnis gekommen.
an genau der stelle, wo dss die log files erstellen will, stürzt das programm ab.

"dss.exe hat ein problem festgestellt und muss beendet werden"

meinst du ich komme noch irgendwie an einer formatierung vorbei?
schön wäre es jedenfalls...

Hi,

Hast Du Dein Antivirenprogramm temporär ausgeschaltet während DSS arbeitet? Wenn nicht, versuch es mal so. Anonsten machen wir das:

Scanne Dein System mit Malwarebytes Antimalware, lass alle Funde löschen und poste das Logfile.


gruß

schrauber

okay, mit Malwarebytes Antimalware hats funktioniert.
den neustart werde ich nach dem post durchführen.
hier ist die logfile:

Zitat:

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 949
Windows 5.1.2600 Service Pack 2

21:18:08 14.7.2008
mbam-log-7-14-2008 (21-18-08).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|)
Objekte gescannt: 185586
Scan Dauer: 29 minute(s), 45 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysrest32.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Deckard\System Scanner\20080714200103\backup\DOKUME~1\Yeah\LOKALE~1\Temp\.tt7.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Programme\WinRAR\SysTools\Plugins\SlySoft.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysrest32.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\blphcvaqj0ev0v.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcvaqj0ev0v.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcvaqj0ev0v.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Hi,

Vergiss DSS, das machen wir anders.

Drucke diese Anleitung aus oder speichere sie als *.txt Datei, damit du sie bei der Hand hast, wenn du offline arbeitest. Lies sie bitte gruendlich durch bevor du sie anwendest.

Downloade das Combofix, von einem dieser beiden Download Spiegel:

BleepingComputer
Fotospyware
GeeksToGo

Sollten die Links nicht funktionieren
und/oder es zu Problemen mit dem Starten des Programmes kommen,
frag bitte bei uns nach
und teile uns detailliert mit, was passiert ist.

• speichere es auf deinem Desktop.

Während des Scans mit dem ComboFix soll(en):

• vorsichtshalber alle Programme mit Hintergrundwaechtern inklusive deiner Firewall deaktiviert sein

(Liste der zu deaktivierenden Programme)

• nichts am Rechner getan werden

• Schliesse alle Anwendungen, wenn du das Combofix laufen lässt.
• Wird eine Infektion gefunden, startet das Combofix deinen Rechner automatisch neu auf, um die Entfernung zu vervollständigen.
• Schliesse dieses Fenster bitte nicht, sonst wirst du einen leeren Desktop zurück behalten.

1. Mach einen Doppelklick auf die ComboFix.exe.
Gib eine 1 ein, um den Scan zu starten, wenn du danach gefragt wirst.


2. Wenn der Scan beendet ist, wird er ein Logfile erstellen, den C:\ComboFix.txt
3. Poste den Inhalt dieses Logfiles.
4. Starte den Rechner neu auf.

Hinweise:

• Stelle dein Antivirus Programm VOR dem scannen mit ComboFix ab, ebenso alle anderen Hintergrund Scanner, inklusive deiner Firewall, da es sonst zu Problemen kommen kann.
• Klicke nicht mit der Maus in das Fenster des Combofix während es läuft.
  Das könnte dein System einfrieren oder hängen bleiben lassen. Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
• Mach nichts anderes, wenn es dir nicht gelungen ist, das Combofix laufen zu lassen. Warte auf unsere Anweisungen.
• Stelle das Script Blocking ab, wenn du den NAV installiert hast, damit die Programme einander nicht in die Wege kommen.

• Hintergrundwaechter und die Firewall bitte wieder einschalten, wenn das ComboFix seinen Scan beendet und das Logfile ausgegeben hat.

Bitte bei Unklarheiten oder Problemen
mit dem abstellen der Programme
VOR DEM SCAN mit dem ComboFix
bei uns nachfragen.

gruß

schrauber

wir haben uns wohl um 2 minuten verpasst...
hast wahrscheinlich nicht gesehn, das es mit Malwarebytes Antimalware geklappt hat. zumindest ist die warnung auf dem desktop verschwunden und in den anzeige optionen sind alle reiter wieder da.
da ich jetzt zur arbeit muss, kann ich deinem letzten tipp erst morgen früh nachgehen, falls das überhaupt noch nötig ist.
würde mich freuen, wenn du noch antworten würdest, so dass ich morgen früh gleich bescheid weiß.

nochmals vielen dank für deine bemühungen.
alleine hätte ich es womöglich niemals geschafft.

Hi,

Du bist definitiv noch nicht sauber, auch wenn die Symptome weg sind !!

um das mal so in aller Deutlichkeit klar zu machen .

Also arbeite bitte, so schnell es Dir eben möglich ist, meine obige Anleitung ab.


gruß

schrauber

guten morgen...

wie töricht von mir zu denken, dass das problem schon gelöst wäre
nun gut...
ich bin deinen anweisungen gefolgt und zurück blieb ein leerer desktop...
ich habe alle programme im hintergrund geschlossen, habe nicht mit der maus ins fenster geklickt und habe dieses auch nicht geschlossen.

als combofix eine infizierte datei gefunden hatte, startete sich der rechner, wie beschrieben, von selbst neu.
danach blieb, wie schon erwähnt, ein leerer desktop zurück.
bisher habe ich noch keinen klick getan.
die versuchung den taskmanager aufzurufen und explorer.exe zu starten ist zwar enorm, jedoch konnte ich widerstehen.

ich hoffe, dass du bald wach bist, um mir natürlich zu sagen, dass noch nicht alles verloren ist.
bis dahin lass ich die kiste erstmal laufen und rühre natürlich nichts an.

Zitat:

Zitat von Silenzio

guten morgen...

wie töricht von mir zu denken, dass das problem schon gelöst wäre
nun gut...
ich bin deinen anweisungen gefolgt und zurück blieb ein leerer desktop...
ich habe alle programme im hintergrund geschlossen, habe nicht mit der maus ins fenster geklickt und habe dieses auch nicht geschlossen.

als combofix eine infizierte datei gefunden hatte, startete sich der rechner, wie beschrieben, von selbst neu.
danach blieb, wie schon erwähnt, ein leerer desktop zurück.
bisher habe ich noch keinen klick getan.
die versuchung den taskmanager aufzurufen und explorer.exe zu starten ist zwar enorm, jedoch konnte ich widerstehen.

ich hoffe, dass du bald wach bist, um mir natürlich zu sagen, dass noch nicht alles verloren ist.
bis dahin lass ich die kiste erstmal laufen und rühre natürlich nichts an.

bald wach? ich bin schon seit ner halben stunde auf der arbeit

deswegen kann ich auch jetzt nicht so mit Links dienen.

Hast Du die Antivirenprogramme vorher beendet?
Wurde ein Logfile erstellt?

Wenn kein Log erstellt wurde, warte noch etwas, dann schalt den PC aus, lass ihn zehn minuten aus, starte und lass ihn mal in ruhe schnurren.
Wenn dein Desktop wieder da ist schau nach ob es ein Log gibt unter C:/Combofix.txt

gruss

schrauber

bald wach? bin schon seit ner halben stunde auf der arbeit

wenn kein log erstellt wurde, rechner aus, warten, rechner wieder an und nix machen, lass ihn mal so laufen. wenn der desktop dann wieder geht such nach nem log unter C:/Combofix.txt


gruss

schrauber

Zitat:

Zitat von schrauber26

bald wach? bin schon seit ner halben stunde auf der arbeit

seit ner halben Stunde erst?
Da konntest du ja richtig ausschlafen...
"Meiner einer" ist schon seit 5 Uhr bei der Arbeit und dümpelt hier mit Budgetdateien für das Jahr 2009 rum.

Zitat:

Zitat von [GC]Sunny

seit ner halben Stunde erst?
Da konntest du ja richtig ausschlafen...
"Meiner einer" ist schon seit 5 Uhr bei der Arbeit und dümpelt hier mit Budgetdateien für das Jahr 2009 rum.

wach bin ich seit fuenf, muss ja morgens noch meinen pc quaelen



@Silenzio


was macht der Desktop?

soo...nun bin auch ich wach. nachtschicht ist doch was schönes

nachdem ich die kiste jetzt aus und wieder an geschaltet habe, war der desktop noch immer leer. dann konnte ich der versuchung nicht mehr widerstehen und habe explorer.exe im taskmanager selbst gestartet.
und siehe da...icons da, taskbar da und combofix meldete sich auch zurück.

Zitat:

ComboFix 08-07-14.2 - Yeah 2008-07-15 6:34:59.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.693 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Yeah\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\system32\userini.exe

----- BITS: Possible infected sites -----

hxxp://fixaserver.ru
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSREST.SYS
-------\Legacy_TCPSR
-------\Service_tcpsr


((((((((((((((((((((((( Dateien erstellt von 2008-06-15 bis 2008-07-15 ))))))))))))))))))))))))))))))
.

2008-07-14 20:46 . 2008-07-14 20:46 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-14 20:46 . 2008-07-14 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Malwarebytes
2008-07-14 20:46 . 2008-07-14 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-14 20:46 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-14 20:46 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-14 19:59 . 2008-07-14 19:59 <DIR> d-------- C:\Deckard
2008-07-14 18:57 . 2008-07-14 18:57 <DIR> d-------- C:\Programme\Trend Micro
2008-07-14 18:35 . 2008-07-14 18:35 <DIR> d-------- C:\Programme\CCleaner
2008-07-14 02:13 . 2008-07-15 16:15 30,848 --a------ C:\WINDOWS\system32\drivers\Npv70.sys
2008-06-20 19:39 . 2008-06-20 19:39 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 12:44 . 2008-06-20 12:44 138,368 -----c--- C:\WINDOWS\system32\dllcache\afd.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-14 00:39 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\skypePM
2008-07-14 00:39 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Skype
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-18 15:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-13 10:57 --------- d-----w C:\Programme\Garritan Personal Orchestra
2008-06-09 22:13 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Move Networks
2008-06-05 22:45 --------- d-----w C:\Programme\Skype
2008-06-05 22:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-06-05 22:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-06-04 15:15 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\DivX
2008-06-01 22:12 --------- d-----w C:\Programme\Logitech
2008-05-28 18:32 --------- d-----w C:\Programme\DivX
2008-05-28 18:28 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-05-28 18:17 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-28 18:17 --------- d-----w C:\Programme\Veoh Networks
2008-05-18 14:26 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Winamp
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-09-18 16:16 171464]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-05-15 16:11 3644464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"H2O"="C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-12-18 15:18 307200]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 22:46 624248]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Npv70.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-10-22 12:22 86016 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\MSMSGS.EXE" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"LVCOMSX"=C:\WINDOWS\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Autodesk\\Backburner\\monitor.exe"=
"C:\\Programme\\Autodesk\\Backburner\\manager.exe"=
"C:\\Programme\\Autodesk\\Backburner\\server.exe"=
"C:\\Programme\\Autodesk\\3ds Max 2008\\3dsmax.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Dokumente und Einstellungen\\Yeah\\Desktop\\emule\\emule.exe"=
"C:\\Programme\\FlashFXP\\FlashFXP.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 Npv70;Npv70;C:\WINDOWS\system32\Drivers\Npv70.sys [2008-07-15 16:15]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 21:08]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-02-27 19:41]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-07-11 19:31:52 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClick.exe
.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-lphcvaqj0ev0v - C:\WINDOWS\system32\lphcvaqj0ev0v.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-15 16:16:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-15 16:20:29 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-15 14:19:26

8 Verzeichnis(se), 1,845,350,400 Bytes frei
10 Verzeichnis(se), 1,780,367,360 Bytes frei

143 --- E O F --- 2008-07-09 15:12:00

Hi,

Zitat:

C:\WINDOWS\system32\drivers\Npv70.sys

Bitte diese Datei bei Virustotal scannen lassen, Button Filter drücken und das Ergebniss hier posten.


gruß

schrauber