Infektion mit Spyware-Secure

kupferboy · 05.08.2008, 20:27

Ein Bekannter hat mich wegen einer Infektion mit dem falschen Antivirus-Programm 'Spyware-Secure' auf seinem XP-SP2 um Hilfe gebeten.

Als erstes hatte ich über den Taskmanager den Programmprozess der 'secure.exe' gestoppt und dann den Programmordner 'Spyware-Secure' komplett gelöscht.
Danach Cleanup und SUPERAntiSpyware laufen lassen. Nach den Neustart lief nur der Abgesicherte Modus. Dabei habe ich manuell alle Registry-Einträge gelöscht, die auf 'Spyware-Secure' hinwiesen. Danach startete der PC wieder im normalen Modus und per HJT und hjtscanlist wurden die Log-Dateien erstellt.

Anschliessend wollte ich noch den Kaspersky-Online-Scan laufen lassen aber dabei öffnete sich wieder ein Fenster mit 'Spyware-Secure', so dass ich den Scan dann abgebrochen hab.
Da ich hier auch nur der Einäugige unter den Blinden bin möchte ich um eure Hilfe bitten.

Besten Dank,

kupferboy

Hier das HJT Logfile:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:07:20, on 04.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\LogMeIn\LogMeInSystray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\vsnp2uvc.exe
C:\Programme\Hercules\DualPix Exchange\CamService.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\fwgfwhg.exe
C:\Programme\MessengerSkinner\MessengerSkinner.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?linkid=677
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programme\LogMeIn\LogMeInSystray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SetIcon] C:\Program Files\Icons\SetIcon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe
O4 - HKLM\..\Run: [HerculesCamService] C:\Programme\Hercules\DualPix Exchange\CamService.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [fwgfwhg] c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\fwgfwhg.exe fwgfwhg
O4 - HKCU\..\Run: [messengerskinner] C:\Programme\MessengerSkinner\MessengerSkinner.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dualpix Exchange
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - h**p://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - h**p://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1132930606578
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - h**p://activex.webcam.nl/AxisCamControl.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8718 bytes

Die Logs von hjtscanlist und SUPERAntiSpyware hätte ich auch noch.

kupferboy · 09.08.2008, 17:07

Hi,

habe inzwischen auf ohne Hilfe herausgefunden, das sehr wahrscheinlich das Programm "MessengerSkinner.exe" der Auslöser des Problems sein könnte.
Habe dazu folgendes gefunden:

Zitat:

MessengerSkinner.exe is a part of MessengerSkinner software. MessengerSkinner is a potentially unwanted application that may drop a copy of Trojan.Skintrim on to the computer. It may also display pop-up advertisements on the computer.

Also werde ich das erstmal entfernen und dann weiter sehen.

cosinus · 09.08.2008, 17:10

Hallo

Installiere in absehbarer Zeit das SP3 für Windows XP!

Acker das hier für weitere Analysen ab:

1.) Folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\fwgfwhg.exe
C:\Programme\MessengerSkinner\MessengerSkinner.exe

2.) Malwarebytes Antimalware ausführen und Logfile posten

3.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

kupferboy · 09.08.2008, 17:22

Hallo root24,

Vielen Dank, das hilft mir sehr weiter.
Noch der "fwgfwhg.exe" wollte ich gerade fragen, die kommt mir auch suspekt vor. Bei Google hab ich dazu keine Ergebnisse gefunden.

cosinus · 09.08.2008, 17:33

Zitat:

Zitat von kupferboy

Hallo root24,

Vielen Dank, das hilft mir sehr weiter.
Noch der "fwgfwhg.exe" wollte ich gerade fragen, die kommt mir auch suspekt vor. Bei Google hab ich dazu keine Ergebnisse gefunden.

"fwgfwhg.exe" ist ein zufälliger Dateiname, zufällig zusammengewürfelte Buchstaben. Ist so vom Schädlingsautor veranlaßt worden.

Solche Dateinamen findet man meist nie über Google.

kupferboy · 13.08.2008, 21:42

Hallo,

hier die Log-Dateien zur Auswertung. Die Datei" fwgfwhg.exe" ist inzwischen nicht mehr vorhanden. Dafür findet sich an der gleichen Stelle die Datei "egymowk.exe".
Log von MessengerSkinner.exe:

Code:

ATTFilter

 Datei MessengerSkinner.exe empfangen 2008.08.13 18:18:16 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 12/35 (34.29%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 62 und 88 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.8.13.0	2008.08.13	-
AntiVir	7.8.1.19	2008.08.13	ADSPY/Bho.bzk
Authentium	5.1.0.4	2008.08.13	-
Avast	4.8.1195.0	2008.08.13	-
AVG	8.0.0.161	2008.08.13	Dropper.Eesbin.H
BitDefender	7.2	2008.08.13	GenPack:Adware.MSNSkinner.B
CAT-QuickHeal	9.50	2008.08.13	AdWare.BHO.bzk (Not a Virus)
ClamAV	0.93.1	2008.08.13	-
DrWeb	4.44.0.09170	2008.08.13	-
eSafe	7.0.17.0	2008.08.13	-
eTrust-Vet	31.6.6030	2008.08.13	-
Ewido	4.0	2008.08.13	-
F-Prot	4.4.4.56	2008.08.13	-
F-Secure	7.60.13501.0	2008.08.13	AdWare.Win32.BHO.bzk
Fortinet	3.14.0.0	2008.08.13	Adware/BHO
GData	2.0.7306.1023	2008.08.13	-
Ikarus	T3.1.1.34.0	2008.08.13	Trojan-Downloader.Win32.Wintrim.A
K7AntiVirus	7.10.413	2008.08.13	-
Kaspersky	7.0.0.125	2008.08.13	not-a-virus:AdWare.Win32.BHO.bzk
McAfee	5359	2008.08.12	Generic Dropper.az
Microsoft	1.3807	2008.08.13	TrojanDropper:Win32/MessengerSkinner
NOD32v2	3352	2008.08.13	-
Norman	5.80.02	2008.08.13	-
Panda	9.0.0.4	2008.08.13	-
PCTools	4.4.2.0	2008.08.13	-
Rising	20.57.22.00	2008.08.13	-
Sophos	4.32.0	2008.08.13	Mal/Generic-A
Sunbelt	3.1.1542.1	2008.08.13	-
Symantec	10	2008.08.13	-
TheHacker	6.3.0.3.046	2008.08.13	-
TrendMicro	8.700.0.1004	2008.08.13	-
VBA32	3.12.8.3	2008.08.13	-
ViRobot	2008.8.13.1335	2008.08.13	-
VirusBuster	4.5.11.0	2008.08.13	-
Webwasher-Gateway	6.6.2	2008.08.13	Ad-Spyware.Bho.bzk
weitere Informationen
File size: 348160 bytes
MD5...: 2ed85a77d0b593794384a4c50443259d
SHA1..: c07f669a06ef42485e8b21a20e3e4cfaa3bc3017
SHA256: 0ee615efb514d5b417e1b2aea9d3b5952141c836c1907446cfca733fb0f48af7
SHA512: 0088f7a1a0924640efd25e6343c064cb5e2f7f61798056a56da223b70153287c
88c3b7a78c43b19ed4dc313f56c460487bdc242307bfae003ab4f2ed831d8f4f
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401c19
timedatestamp.....: 0x4811cd4c (Fri Apr 25 12:23:40 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4ba80 0x2000 6.57 0ba4350a2372bf46ff6325689f6b445b
.data 0x4d000 0x4ab28 0x4b000 8.00 a33c5e58e621cd068318365528e27d0d
.rsrc 0x98000 0x6c30 0x7000 5.03 09d555990b5616051e317f058a4f3613

( 0 imports )

( 0 exports )

Der Log von egymowk.exe:

Code:

ATTFilter

 Datei egymowk.exe empfangen 2008.08.13 18:29:31 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/35 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 4.
Geschätzte Startzeit is zwischen 62 und 88 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email: 	
	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.8.13.0	2008.08.13	-
AntiVir	7.8.1.19	2008.08.13	-
Authentium	5.1.0.4	2008.08.13	-
Avast	4.8.1195.0	2008.08.13	-
AVG	8.0.0.161	2008.08.13	-
BitDefender	7.2	2008.08.13	-
CAT-QuickHeal	9.50	2008.08.13	-
ClamAV	0.93.1	2008.08.13	-
DrWeb	4.44.0.09170	2008.08.13	-
eSafe	7.0.17.0	2008.08.13	-
eTrust-Vet	31.6.6030	2008.08.13	-
Ewido	4.0	2008.08.13	-
F-Prot	4.4.4.56	2008.08.13	-
F-Secure	7.60.13501.0	2008.08.13	-
Fortinet	3.14.0.0	2008.08.13	-
GData	2.0.7306.1023	2008.08.13	-
Ikarus	T3.1.1.34.0	2008.08.13	-
K7AntiVirus	7.10.413	2008.08.13	-
Kaspersky	7.0.0.125	2008.08.13	-
McAfee	5359	2008.08.12	-
Microsoft	1.3807	2008.08.13	-
NOD32v2	3352	2008.08.13	-
Norman	5.80.02	2008.08.13	-
Panda	9.0.0.4	2008.08.13	-
PCTools	4.4.2.0	2008.08.13	-
Rising	20.57.22.00	2008.08.13	-
Sophos	4.32.0	2008.08.13	-
Sunbelt	3.1.1542.1	2008.08.13	-
Symantec	10	2008.08.13	-
TheHacker	6.3.0.3.046	2008.08.13	-
TrendMicro	8.700.0.1004	2008.08.13	-
VBA32	3.12.8.3	2008.08.13	-
ViRobot	2008.8.13.1335	2008.08.13	-
VirusBuster	4.5.11.0	2008.08.13	-
Webwasher-Gateway	6.6.2	2008.08.13	-
weitere Informationen
File size: 299008 bytes
MD5...: 988f7a44a6a4f721d49296fadb1b337e
SHA1..: de482642c991d12e7373c8797206b43b75b866ef
SHA256: 418f16bfc73db0b007140abcd9d266436e6cc9170da2030bd084988d18e3bb3e
SHA512: cd1c3a58447a5415de6f0b0df6081b0fe44704dd950e32e3440787632547faf7
e44865ca237664c75dcb60e9a6f01a8b435771a53d96dd689d303a3d27c6452b
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401940
timedatestamp.....: 0x43b1a792 (Tue Dec 27 20:44:02 2005)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xacc 0x1000 5.02 eb3f4566b0c508062d09adb89cda414c
.rdata 0x2000 0xf72 0x1000 5.17 571c7df552b1f4ac33572662a6c97dee
.data 0x3000 0x45f9c 0x46000 7.35 8007ba9505b14ffb10c8d437715a4340

( 11 imports )
> KERNEL32.dll: GetTapeParameters, GetCommState, FindResourceExW, ClearCommBreak, ReadConsoleInputW, AllocConsole, EnumCalendarInfoW, TryEnterCriticalSection, GetProcessHeap, EnumTimeFormatsW, SetFileAttributesA, GetDateFormatA, LocalFileTimeToFileTime, lstrcmpA, LCMapStringA, OutputDebugStringW, PeekNamedPipe, GetCompressedFileSizeW, EndUpdateResourceA, AreFileApisANSI, FatalAppExitA, GetFileAttributesA, EnumResourceLanguagesW, GetLogicalDriveStringsA, FindCloseChangeNotification, GetProcessTimes, GetCommandLineW, FindFirstFileW, lstrcatW, WritePrivateProfileSectionA, RemoveDirectoryA, OpenFile, IsValidLocale, SetEnvironmentVariableW, VirtualUnlock, WriteConsoleOutputCharacterA, FormatMessageA, ExpandEnvironmentStringsW, FlushConsoleInputBuffer, GetThreadPriority, GetNumberFormatW, FindFirstFileA, SetConsoleWindowInfo, ExitProcess, MultiByteToWideChar, LocalAlloc, DuplicateHandle, FreeEnvironmentStringsA, IsProcessorFeaturePresent, FlushFileBuffers, PrepareTape, WritePrivateProfileStructA, SetCurrentDirectoryA, GetUserDefaultLCID, GlobalDeleteAtom, QueryDosDeviceW, DebugBreak, _lopen, GetSystemDirectoryW, SetupComm, FindResourceExA, VirtualProtect, GetTickCount, LocalLock, GetDriveTypeA, UnhandledExceptionFilter, GetModuleHandleA, GlobalGetAtomNameW, GetTempFileNameA, Beep, GetPrivateProfileStringW, GetSystemTime, ConnectNamedPipe, GetProfileStringA, CompareStringW, SetEvent, VirtualAlloc, GetStartupInfoA
> USER32.dll: DestroyMenu
> GDI32.dll: SetPixel, CreatePatternBrush, GetStretchBltMode, SetPaletteEntries, GetTextExtentPointW
> comdlg32.dll: ReplaceTextW, ChooseFontW
> ADVAPI32.dll: RegCreateKeyExA, SetKernelObjectSecurity, BuildTrusteeWithNameW, LockServiceDatabase
> SHELL32.dll: SHGetSpecialFolderLocation, SHFileOperationW
> ole32.dll: CoReleaseServerProcess
> OLEAUT32.dll: -, -, -, -, -
> COMCTL32.dll: ImageList_LoadImageA, ImageList_Add, ImageList_SetImageCount
> SHLWAPI.dll: PathUnquoteSpacesA, SHCopyKeyA, SHCopyKeyW, PathIsRelativeW, PathIsRootA, UrlCombineW, ChrCmpIW, SHSetValueA, SHDeleteKeyA, PathIsRelativeA, StrDupW, PathFindExtensionW, PathAppendW, StrFormatByteSizeW, PathAddBackslashW, StrDupA, SHRegWriteUSValueW, SHRegGetUSValueW, PathUnquoteSpacesW
> MSVCRT.dll: __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _controlfp, _except_handler3, __set_app_type, __p__fmode

( 0 exports )

Malwarebyte Log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1049
Windows 5.1.2600 Service Pack 2

19:50:02 13.08.2008
mbam-log-8-13-2008 (19-49-40).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 96684
Laufzeit: 33 minute(s), 2 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 11
Infizierte Dateien: 26

Infizierte Speicherprozesse:
C:\Programme\MessengerSkinner\MessengerSkinner.exe (Adware.EGDAccess) -> No action taken.

Infizierte Speichermodule:
C:\Programme\MessengerSkinner\MessengerSkinnerDll.dll (Adware.EGDAccess) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{eddbb5ee-bb64-4bfc-9dbe-e7c85941335b} (Adware.Zango) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\messengerskinner (Adware.EGDAccess) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\messengerskinner (Adware.EGDAccess) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\Hotbar (Adware.Hotbar) -> No action taken.
C:\Programme\Hotbar\bin (Adware.Hotbar) -> No action taken.
C:\Programme\Hotbar\bin\10.2.197.0 (Adware.Hotbar) -> No action taken.
C:\Programme\Hotbar\bin\10.2.197.0\firefox (Adware.Hotbar) -> No action taken.
C:\Programme\Hotbar\bin\10.2.197.0\firefox\extensions (Adware.Hotbar) -> No action taken.
C:\Programme\Hotbar\bin\10.2.197.0\firefox\extensions\components (Adware.Hotbar) -> No action taken.
C:\Programme\Hotbar\bin\10.2.197.0\firefox\extensions\plugins (Adware.Hotbar) -> No action taken.
C:\Programme\MessengerSkinner (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\download (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\resources (Adware.EGDAccess) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2ACA5CC3-0F83-453D-A079-1076FE1A8B65 (Adware.Seekmo) -> No action taken.

Infizierte Dateien:
C:\System Volume Information\_restore{772EFB74-57D4-4A86-9B5D-3D524482A2F5}\RP178\A0099931.dll (Adware.Shopper) -> No action taken.
C:\Programme\Hotbar\bin\10.2.197.0\arrow.ico (Adware.Hotbar) -> No action taken.
C:\Programme\Hotbar\bin\10.2.197.0\copyright.txt (Adware.Hotbar) -> No action taken.
C:\Programme\Hotbar\bin\10.2.197.0\link.ico (Adware.Hotbar) -> No action taken.
C:\Programme\Hotbar\bin\10.2.197.0\firefox\extensions\chrome.manifest (Adware.Hotbar) -> No action taken.
C:\Programme\Hotbar\bin\10.2.197.0\firefox\extensions\install.rdf (Adware.Hotbar) -> No action taken.
C:\Programme\Hotbar\bin\10.2.197.0\firefox\extensions\components\npclntax.xpt (Adware.Hotbar) -> No action taken.
C:\Programme\MessengerSkinner\MessengerSkinner.exe (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\MessengerSkinnerDll.dll (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\uninst.exe (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\download\defaultPack.cab (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\resources\appconfig.xml (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\resources\btn.rgn (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\resources\btnBnr.rgn (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\resources\btnIn.rgn (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\resources\btnInNormal.bmp (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\resources\btnInOver.bmp (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\resources\btnNormal.bmp (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\resources\btnNormal.gif (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\resources\btnNormalBnr.bmp (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\resources\btnNormalBnr.gif (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\resources\btnOver.bmp (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\resources\btnOver.gif (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\resources\btnOverBnr.bmp (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\resources\btnOverBnr.gif (Adware.EGDAccess) -> No action taken.
C:\Programme\MessengerSkinner\resources\languages_v2.xml (Adware.EGDAccess) -> No action taken.

Für den Rest muss ich eine weitere Antwort schreiben (zu viele Zeichen).

kupferboy · 13.08.2008, 21:43

... und zuletzt noch ComboFix-Log:

Code:

ATTFilter

ComboFix 08-08-12.01 - *** 2008-08-13 21:08:52.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.169 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\ComboFix.exe
.

(((((((((((((((((((((((   Dateien erstellt von 2008-07-13 bis 2008-08-13  ))))))))))))))))))))))))))))))
.

2008-08-13 21:13 . 2008-08-13 21:13	53,248	--a------	C:\TEMP\catchme.dll
2008-08-13 20:59 . 2008-08-13 20:59	<DIR>	d--------	C:\Programme\CCleaner
2008-08-13 19:53 . 2008-08-13 19:53	16,384	--a----t-	C:\TEMP\Perflib_Perfdata_424.dat
2008-08-13 18:39 . 2008-08-13 18:39	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-08-13 18:39 . 2008-08-13 18:39	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-08-13 18:39 . 2008-08-13 18:39	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-13 18:39 . 2008-07-30 20:07	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-13 18:39 . 2008-07-30 20:07	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-08-04 19:19 . 2008-08-04 19:19	<DIR>	d--------	C:\WINDOWS\system32\Kaspersky Lab
2008-08-04 19:19 . 2008-08-04 19:19	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-08-04 19:05 . 2008-08-04 19:05	<DIR>	d--------	C:\Programme\Trend Micro
2008-08-04 18:48 . 2008-08-04 18:48	<DIR>	d--------	C:\Dokumente und Einstellungen\**\Anwendungsdaten\SUPERAntiSpyware.com
2008-08-04 18:47 . 2005-11-25 10:29	<DIR>	d--h-----	C:\Dokumente und Einstellungen\**\Vorlagen
2008-08-04 18:47 . 2005-11-25 09:43	<DIR>	dr-------	C:\Dokumente und Einstellungen\**\Startmenü
2008-08-04 18:47 . 2005-11-25 09:43	<DIR>	d--h-----	C:\Dokumente und Einstellungen\**\Netzwerkumgebung
2008-08-04 18:47 . 2008-08-13 21:13	<DIR>	d--h-----	C:\Dokumente und Einstellungen\**\Lokale Einstellungen
2008-08-04 18:47 . 2005-11-25 09:43	<DIR>	d--------	C:\Dokumente und Einstellungen\**\Favoriten
2008-08-04 18:47 . 2005-11-25 09:43	<DIR>	d--h-----	C:\Dokumente und Einstellungen\**\Druckumgebung
2008-08-04 18:47 . 2008-08-04 18:48	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\**\Anwendungsdaten
2008-08-04 18:47 . 2008-08-04 18:47	<DIR>	d--------	C:\Dokumente und Einstellungen\**
2008-08-04 18:03 . 2008-08-04 18:03	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-08-04 18:02 . 2008-08-13 20:58	<DIR>	d--------	C:\Programme\SUPERAntiSpyware
2008-08-04 18:02 . 2008-08-13 20:58	<DIR>	d--------	C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2008-08-04 17:59 . 2008-08-13 21:13	<DIR>	d--------	C:\TEMP\WLTB Custom Button Feeds
2008-07-18 20:39 . 2008-07-18 20:39	587,776	--a------	C:\WINDOWS\WLXPGSS.SCR

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-13 19:14	6,234,144	--sha-w	C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-13 18:59	---------	d-----w	C:\Programme\GIMP-2.0
2008-08-13 18:58	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-13 17:51	72,716	--sha-w	C:\WINDOWS\system32\drivers\fidbox.idx
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:07	270,880	----a-w	C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07	210,976	----a-w	C:\WINDOWS\system32\muweb.dll
2008-06-20 17:39	247,296	----a-w	C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45	360,320	----a-w	C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44	138,368	----a-w	C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52	225,920	----a-w	C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-15 17:40	1,613,824	----a-w	C:\WINDOWS\Internet Logs\xDB3C6.tmp
2008-06-14 17:57	273,024	------w	C:\WINDOWS\system32\drivers\bthport.sys
2008-06-02 16:43	20,779,199	----a-w	C:\WINDOWS\Internet Logs\vsmon_on_demand_2008_06_02_18_40_40_full.dmp.zip
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2008-04-22 18:21 579584]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-11-17 11:33 3022848]
"LogMeIn GUI"="C:\Programme\LogMeIn\LogMeInSystray.exe" [2005-10-03 12:31 189168]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 02:07 32768]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-25 19:58 282624]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-10-30 10:36 256576]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54 919016]
"snp2uvc"="C:\WINDOWS\vsnp2uvc.exe" [2007-03-12 19:49 569344]
"HerculesCamService"="C:\Programme\Hercules\DualPix Exchange\CamService.exe" [2007-06-05 18:50 79400]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"nwiz"="nwiz.exe" [2003-11-17 11:33 753664 C:\WINDOWS\system32\nwiz.exe]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 19968 C:\WINDOWS\LOGI_MWX.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [2007-11-19 20:58 219136]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26 282624]
HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 00:49:24 73728]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\Dualpix Exchange
Deinstallieren .lnk - C:\Programme\InstallShield Installation Information\{04BEFF7A-DF5D-4E49-AB46-BA3D3BE49FCB}\setup.exe [2007-11-24 18:32:16 455600]
Handbuch.lnk - C:\Programme\Hercules\DualPix Exchange\User manual.pdf [2007-11-24 18:35:29 1577121]
Webcam Station Evolution SE.lnk - C:\Programme\Hercules\DualPix Exchange\Station2.exe [2007-11-24 18:32:24 10031104]
Zoom Controller.lnk - C:\Programme\Hercules\DualPix Exchange\CamService.exe [2007-11-24 18:32:16 79400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2005-10-03 12:29 5632 C:\WINDOWS\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Grisoft\\AVG Free\\avginet.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Grisoft\\AVG Free\\avgamsvr.exe"=
"C:\\Programme\\Grisoft\\AVG Free\\avgcc.exe"=
"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Programme\LogMeIn\RaInfo.sys [2005-10-03 12:31]
R3 camfilt2;camfilt2;C:\WINDOWS\system32\Drivers\camfilt2.sys [2007-05-29 13:23]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-07-17 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2006-10-10 18:13]

2008-08-13 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\lxhdcpgw.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.lu/


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-08-13 21:13:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\Programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2008-08-13 21:16:39
ComboFix-quarantined-files.txt  2008-08-13 19:16:28
ComboFix2.txt  2008-08-13 18:45:05

Pre-Run: 17 Verzeichnis(se), 180,726,988,800 Bytes frei
Post-Run: 21 Verzeichnis(se), 180,717,969,408 Bytes frei

159	--- E O F ---	2008-08-06 21:10:12

Kann ich schon XP3 installieren oder sollte ich noch abwarten bis alles bereinigt ist.

Besten Dank für eure Antworten.

kupferboy · 14.08.2008, 08:25

Ich muss noch eine Ergänzung dazu setzen. Ich hatte den Punkt mit der Wiederherstellungskonsole vor CCleaner ausgeführt. Da dabei aber auch die ganze Ausführung von Combofix gestartet wird, musste ich CCleaner anschliessend starten und habe Combofix danach noch ein zweites Mal laufen lassen. Das obige Log ist von 2. Durchlauf von Combofix.
Hilft er trotzdem?
Das Ergebnis sieht schon ganz gut aus, es ging jetzt kein Fenster von Spyware-Secure mehr auf.

Infektion mit Spyware-Secure

Log-Analyse und Auswertung: Infektion mit Spyware-Secure