hallo...

meine freundin hat mir gestern nacht folgendes problem eingehandelt.
das ganze geschah wohl beim öffnen eines anhangs, einer ihr unbekannten e-mail. was soll man dazu noch sagen!?

viel schlimmes ist bisher jedoch nicht passiert.
soweit ich das beurteilen kann, sind meine daten noch alle vorhanden.
leider hat sich mein desktophintergrund in ein ziemlich stechendes blau verwandelt mit folgender aufschrift: "warning! spyware detected on yout computer! install an antivirus or spyware remover to clean your computer."
dies lässt sich auch nicht mehr ändern, da die anzeige optionen nur noch drei reiter beinhaltet, welche "designs", "darstellung" und "einstellungen" sind.

natürlich habe ich als erstes google bemüht, doch das brachte leider keine so gescheiten ergebnisse.
bin auf ein paar tipps gestoßen, die ich auch befolgt habe, nur leider völlig erfolglos.
unter anderem waren das "ccleaner" und "OTmoveIT".
letzteres ist übrigens nach einem neustart einfach vom desktop verschwunden.

habe jetzt eine logfile mit HJT erstellt. ich kann da nichts bösartiges entdecken, aber schließlich seid ihr ja die experten

ich bedanke mich schonmal im vorraus...danke

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:58:04, on 14.7.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1204134604062
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5937 bytes

Hi Silenzio und

lade bitte den Deckard's System Scanner (DSS) herunter und speichere ihn auf deinem Desktop.
NB: Du musst mit Administrator-Rechten angemeldet sein, um dieses Programm laufen lassen zu können.

1. Schließe ALLE Anwendungen und Fenster.
2. Mach einen Doppelklick auf die dss.exe um sie auszuführen und folge den Prompts.
3. Wenn der Scan vollendet ist, werden sich zwei Textdateien öffnen -

main.txt <- dieses wird maximiert dargestellt und
extra.txt <- dieses wird als minmierte Datei dargestellt
4. Kopiere (STRG+A und STRG+C) und füge (STRG+V) den Inhalt von main.txt und den Inhalt von extra.txt in deine nächste Antwort.

Die Logdateien können sehr lang werden.


gruß

schrauber

hallo schrauber...

danke für die so zügige antwort.

habe dss heruntergeladen und laufen lassen, bin jedoch zu keinem ergebnis gekommen.
an genau der stelle, wo dss die log files erstellen will, stürzt das programm ab.

"dss.exe hat ein problem festgestellt und muss beendet werden"

meinst du ich komme noch irgendwie an einer formatierung vorbei?
schön wäre es jedenfalls...

Hi,

Hast Du Dein Antivirenprogramm temporär ausgeschaltet während DSS arbeitet? Wenn nicht, versuch es mal so. Anonsten machen wir das:

Scanne Dein System mit Malwarebytes Antimalware, lass alle Funde löschen und poste das Logfile.


gruß

schrauber

okay, mit Malwarebytes Antimalware hats funktioniert.
den neustart werde ich nach dem post durchführen.
hier ist die logfile:

Zitat:

Malwarebytes' Anti-Malware 1.20
Datenbank Version: 949
Windows 5.1.2600 Service Pack 2

21:18:08 14.7.2008
mbam-log-7-14-2008 (21-18-08).txt

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|)
Objekte gescannt: 185586
Scan Dauer: 29 minute(s), 45 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysrest32.exe (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Deckard\System Scanner\20080714200103\backup\DOKUME~1\Yeah\LOKALE~1\Temp\.tt7.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Programme\WinRAR\SysTools\Plugins\SlySoft.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysrest32.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\blphcvaqj0ev0v.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcvaqj0ev0v.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcvaqj0ev0v.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysrest.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Hi,

Vergiss DSS, das machen wir anders.

Drucke diese Anleitung aus oder speichere sie als *.txt Datei, damit du sie bei der Hand hast, wenn du offline arbeitest. Lies sie bitte gruendlich durch bevor du sie anwendest.

Downloade das Combofix, von einem dieser beiden Download Spiegel:

BleepingComputer
Fotospyware
GeeksToGo

Sollten die Links nicht funktionieren
und/oder es zu Problemen mit dem Starten des Programmes kommen,
frag bitte bei uns nach
und teile uns detailliert mit, was passiert ist.

• speichere es auf deinem Desktop.

Während des Scans mit dem ComboFix soll(en):

• vorsichtshalber alle Programme mit Hintergrundwaechtern inklusive deiner Firewall deaktiviert sein

(Liste der zu deaktivierenden Programme)

• nichts am Rechner getan werden

• Schliesse alle Anwendungen, wenn du das Combofix laufen lässt.
• Wird eine Infektion gefunden, startet das Combofix deinen Rechner automatisch neu auf, um die Entfernung zu vervollständigen.
• Schliesse dieses Fenster bitte nicht, sonst wirst du einen leeren Desktop zurück behalten.

1. Mach einen Doppelklick auf die ComboFix.exe.
Gib eine 1 ein, um den Scan zu starten, wenn du danach gefragt wirst.


2. Wenn der Scan beendet ist, wird er ein Logfile erstellen, den C:\ComboFix.txt
3. Poste den Inhalt dieses Logfiles.
4. Starte den Rechner neu auf.

Hinweise:

• Stelle dein Antivirus Programm VOR dem scannen mit ComboFix ab, ebenso alle anderen Hintergrund Scanner, inklusive deiner Firewall, da es sonst zu Problemen kommen kann.
• Klicke nicht mit der Maus in das Fenster des Combofix während es läuft.
  Das könnte dein System einfrieren oder hängen bleiben lassen. Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
• Mach nichts anderes, wenn es dir nicht gelungen ist, das Combofix laufen zu lassen. Warte auf unsere Anweisungen.
• Stelle das Script Blocking ab, wenn du den NAV installiert hast, damit die Programme einander nicht in die Wege kommen.

• Hintergrundwaechter und die Firewall bitte wieder einschalten, wenn das ComboFix seinen Scan beendet und das Logfile ausgegeben hat.

Bitte bei Unklarheiten oder Problemen
mit dem abstellen der Programme
VOR DEM SCAN mit dem ComboFix
bei uns nachfragen.

gruß

schrauber

bald wach? bin schon seit ner halben stunde auf der arbeit

wenn kein log erstellt wurde, rechner aus, warten, rechner wieder an und nix machen, lass ihn mal so laufen. wenn der desktop dann wieder geht such nach nem log unter C:/Combofix.txt


gruss

schrauber

Zitat:

Zitat von schrauber26

bald wach? bin schon seit ner halben stunde auf der arbeit

seit ner halben Stunde erst?
Da konntest du ja richtig ausschlafen...
"Meiner einer" ist schon seit 5 Uhr bei der Arbeit und dümpelt hier mit Budgetdateien für das Jahr 2009 rum.

Zitat:

Zitat von [GC]Sunny

seit ner halben Stunde erst?
Da konntest du ja richtig ausschlafen...
"Meiner einer" ist schon seit 5 Uhr bei der Arbeit und dümpelt hier mit Budgetdateien für das Jahr 2009 rum.

wach bin ich seit fuenf, muss ja morgens noch meinen pc quaelen



@Silenzio


was macht der Desktop?

soo...nun bin auch ich wach. nachtschicht ist doch was schönes

nachdem ich die kiste jetzt aus und wieder an geschaltet habe, war der desktop noch immer leer. dann konnte ich der versuchung nicht mehr widerstehen und habe explorer.exe im taskmanager selbst gestartet.
und siehe da...icons da, taskbar da und combofix meldete sich auch zurück.

Zitat:

ComboFix 08-07-14.2 - Yeah 2008-07-15 6:34:59.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.693 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Yeah\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\system32\userini.exe

----- BITS: Possible infected sites -----

hxxp://fixaserver.ru
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSREST.SYS
-------\Legacy_TCPSR
-------\Service_tcpsr


((((((((((((((((((((((( Dateien erstellt von 2008-06-15 bis 2008-07-15 ))))))))))))))))))))))))))))))
.

2008-07-14 20:46 . 2008-07-14 20:46 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-14 20:46 . 2008-07-14 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Malwarebytes
2008-07-14 20:46 . 2008-07-14 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-14 20:46 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-14 20:46 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-14 19:59 . 2008-07-14 19:59 <DIR> d-------- C:\Deckard
2008-07-14 18:57 . 2008-07-14 18:57 <DIR> d-------- C:\Programme\Trend Micro
2008-07-14 18:35 . 2008-07-14 18:35 <DIR> d-------- C:\Programme\CCleaner
2008-07-14 02:13 . 2008-07-15 16:15 30,848 --a------ C:\WINDOWS\system32\drivers\Npv70.sys
2008-06-20 19:39 . 2008-06-20 19:39 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 12:44 . 2008-06-20 12:44 138,368 -----c--- C:\WINDOWS\system32\dllcache\afd.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-14 00:39 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\skypePM
2008-07-14 00:39 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Skype
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-18 15:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-13 10:57 --------- d-----w C:\Programme\Garritan Personal Orchestra
2008-06-09 22:13 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Move Networks
2008-06-05 22:45 --------- d-----w C:\Programme\Skype
2008-06-05 22:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-06-05 22:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-06-04 15:15 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\DivX
2008-06-01 22:12 --------- d-----w C:\Programme\Logitech
2008-05-28 18:32 --------- d-----w C:\Programme\DivX
2008-05-28 18:28 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-05-28 18:17 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-28 18:17 --------- d-----w C:\Programme\Veoh Networks
2008-05-18 14:26 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Winamp
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-09-18 16:16 171464]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-05-15 16:11 3644464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"H2O"="C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-12-18 15:18 307200]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 22:46 624248]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Npv70.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-10-22 12:22 86016 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\MSMSGS.EXE" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"LVCOMSX"=C:\WINDOWS\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Autodesk\\Backburner\\monitor.exe"=
"C:\\Programme\\Autodesk\\Backburner\\manager.exe"=
"C:\\Programme\\Autodesk\\Backburner\\server.exe"=
"C:\\Programme\\Autodesk\\3ds Max 2008\\3dsmax.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Dokumente und Einstellungen\\Yeah\\Desktop\\emule\\emule.exe"=
"C:\\Programme\\FlashFXP\\FlashFXP.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 Npv70;Npv70;C:\WINDOWS\system32\Drivers\Npv70.sys [2008-07-15 16:15]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 21:08]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-02-27 19:41]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-07-11 19:31:52 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClick.exe
.
- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-lphcvaqj0ev0v - C:\WINDOWS\system32\lphcvaqj0ev0v.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-15 16:16:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-15 16:20:29 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-15 14:19:26

8 Verzeichnis(se), 1,845,350,400 Bytes frei
10 Verzeichnis(se), 1,780,367,360 Bytes frei

143 --- E O F --- 2008-07-09 15:12:00

Hi,

Zitat:

C:\WINDOWS\system32\drivers\Npv70.sys

Bitte diese Datei bei Virustotal scannen lassen, Button Filter drücken und das Ergebniss hier posten.


gruß

schrauber

Hallo,
sorry, wenn ich in diesem thread schreibe, aber ich habe genau das selbe problem, mit der selben fehlermeldung und dem blauen wallpaper mit der meldung.
selbst auf norton ghost 14 kann ich nicht mehr zugreifen.
nur mit der recovery cd, könnte ich meine system wieder her stellen.
nur das problem ist, das Ghost meinen raid 0 nicht erkennt, und somit müsste ich mein system auf einer anderen platte wieder her stellen, was ich sehr ungern machen würde.
lieber wäre mir, wenn ich den mist, den ich mir eingefangen hätte wieder los werde.
habe mich hier eingelesen, und schon mal den CCleaner wie beschrieben instal. und ausgeführt.
jetzt gerade hab ich den kaspersky onlinescan durchlaufen lassen.
wie soll ich weiter verfahren ?
oder ist es besser einen eigenen thread auf zu machen ?

ok, danke

Hi,

bitte eröffne einen eigenen Thread für dein Problem, sonst wird das zu unübersichtlich, danke .


gruß

schrauber

OK, hier habe ich einen eigenen Thread eröffnet

Danke Schrauber

guten morgen schrauber...

ich hab ganz schlechte neuigkeiten.
hab den rechner über nacht laufen lassen, damit kaspersky den check beenden kann. in der zeit muss irgendwas passiert sein, da ich wieder den blauen desktop mit der warnmeldung habe. zusätzlich war ein programm namens "antivirus xp 2008" geöffnet, dass ich mittels taskmanager geschlossen habe bzw. den prozess beendet habe. auf dem desktop hat sich auch das dazugehörige icon abgelegt.

aber hier erstmal das ergebnis von kaspersky:

Zitat:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 16. Juli 2008 07:25
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 15/07/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 853287
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 156453
Viren gefunden: 5
Infizierte Objekte gefunden: 10
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 02:36:20

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\places.sqlite-stmtjrnl Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\e36ieipx.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Temp\Perflib_Perfdata_408.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Temp\~DFF732.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Yeah\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Veoh Networks\Veoh\client.log Das Objekt ist gesperrt übersprungen
C:\Programme\Veoh Networks\Veoh\upload.log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP1\A0000001.sys Infizierte Objekte: Trojan.Win32.Agent.mwo übersprungen
C:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP1\A0000004.sys Infizierte Objekte: Email-Worm.Win32.Zhelatin.vl übersprungen
C:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP1\A0000009.sys Infizierte Objekte: Trojan.Win32.Agent.ujl übersprungen
C:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP1\A0000012.sys Infizierte Objekte: Email-Worm.Win32.Zhelatin.vl übersprungen
C:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP2\A0000028.sys Infizierte Objekte: Trojan.Win32.Agent.ujl übersprungen
C:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP2\A0000035.sys Infizierte Objekte: Trojan.Win32.Agent.ujl übersprungen
C:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP3\A0000050.sys Infizierte Objekte: Trojan.Win32.Agent.ujl übersprungen
C:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP3\A0000055.sys Infizierte Objekte: Trojan.Win32.Agent.ujl übersprungen
C:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP4\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\userinit.exe Infizierte Objekte: Trojan-Downloader.Win32.Obitel.a übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
D:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP4\change.log Das Objekt ist gesperrt übersprungen
E:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
E:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP4\change.log Das Objekt ist gesperrt übersprungen
F:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
F:\System Volume Information\_restore{A49825D2-F22D-429C-B29B-15B5CE40BB25}\RP4\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.