Hallo, ich habe mir gestern einen bösen Virus eingefangen. Die Festplatte wurde nicht mehr angezeigt und dieses Bild war auf dem Desktop sichtbar. http://www.ke-mafia.com/danger.JPG. Dauernd wurde ich aufgefordert irgendwelche kostenpflichtigen Spyware Programme runterzuladen. Den Spruch "Your Privacy is in Danger" gab ich dann bei google an, wo ich ein Programm namens Smitfraudfix fand, dass den gröbsten Teil des Virus entfernen konnte.

Jedoch kommen weiterhin dauernd Spyware-Popups und viele Internetseiten lassen sich überhaupt nicht aufrufen bzw. laden nur halb. Auch Spybot und Ad-Aware habe ich laufen lassen, die haben aber nur wenig gefunden. Mein BitDefender hat einen Virus namens Trojan.Vundo.DVS erkannt, der mehrere System 32 Dateien (bak1, bak2, ini2, tmp) infiziert hat. Wenn ich bei google suchen will, werde ich meistens zu bediddle.com weitergeleitet, was mir nicht weiterhilft.

Ich muss zugeben, dass ich am PC nicht die ultra-ahnung habe und jetzt alleine nicht mehr weiter weiß. Hab schon gelesen, dass man sogenannte Hijack-Logs posten soll, kann damit aber leider nix anfangen. Ich hoffe von Euch kann mir jemand weiterhelfen.

Mfg
Niki

Halli hallo.

Scanne deinen Rechner mit SUPERAntiSpyware und Anti-Malware und poste die logs.

Zitat:

Zitat von undoreal

Halli hallo.

Scanne deinen Rechner mit SUPERAntiSpyware und Anti-Malware und poste die logs.

Vielen Dank für die schnelle Antwort.

Ich kann leider auf beide Dateien nicht zugreifen. Mein Firefox zeigt "Verbindung fehlgeschlagen" an.

Gruß Niki

Das ist natürlich etwas dämlich.

Dann weichen wir auf Combofix aus.

HIER gibt es das Programm.

Passwort ist infected !

Des ComboFix hat "Rootkit Activity" festgestellt und den PC neu gestartet. Mehr kam dann aber nicht.

Ich frag mich ob ich des Programm vollständig runterladen konnte, weil beim ersten mal waren es nur paar kb. Beim zweiten mal 2,66 MB. Ist es denn wirklich nur so groß oder hab ich vllt sonst irgendwas übersehen?

Gruß Niki

Lasse Blacklight laufen. Evtl. Funde bitte umbennen/beheben lassen.

Danach starte CF nochmal..

Ich befürchte ich bin ein hoffnungsloser Fall. Auch den Blackight kann ich nicht runterladen. :-(

Zitat:

Ich befürchte ich bin ein hoffnungsloser Fall.

Sowas wollen wir hier nicht hören!

Hier gibt's Blacklight für dich: fsbl
Passwort ist wieder infected

So, erstmal Vielen Dank für die nette Unterstützung bis hierhin. Ich weiß das wirklich zu schätzen.

Ich hab mir die Programme SUPERAntiSpyware und AntiMaleware do noch organisieren können. (Ein Bekannter hat sie mir per E-Mail geschickt und ich konnte sie glücklicherweise abrufen.)

Hier ist erstmal das SUPERAntiSpyware Log:

Code: Alles auswählenAufklappen

ATTFilter

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 09/01/2008 at 03:19 PM

Application Version : 4.20.1046

Core Rules Database Version : 3553
Trace Rules Database Version: 1542

Scan type       : Complete Scan
Total Scan Time : 00:54:41

Memory items scanned      : 567
Memory threats detected   : 0
Registry items scanned    : 5536
Registry threats detected : 9
File items scanned        : 79462
File threats detected     : 24

Trojan.WinFixer
	HKLM\Software\Classes\CLSID\{8A6934D7-F3D4-4476-B6E9-FC3AD20BE202}
	HKCR\CLSID\{8A6934D7-F3D4-4476-B6E9-FC3AD20BE202}
	HKCR\CLSID\{8A6934D7-F3D4-4476-B6E9-FC3AD20BE202}\InprocServer32
	HKCR\CLSID\{8A6934D7-F3D4-4476-B6E9-FC3AD20BE202}\InprocServer32#ThreadingModel
	C:\WINDOWS\SYSTEM32\PMKJI.DLL
	HKLM\Software\Classes\CLSID\{CA23BE0C-E842-406B-AE86-AA85492759BC}
	HKCR\CLSID\{CA23BE0C-E842-406B-AE86-AA85492759BC}
	HKCR\CLSID\{CA23BE0C-E842-406B-AE86-AA85492759BC}\InprocServer32
	HKCR\CLSID\{CA23BE0C-E842-406B-AE86-AA85492759BC}\InprocServer32#ThreadingModel
	C:\WINDOWS\SYSTEM32\PMNNK.DLL

Adware.Tracking Cookie
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@ads.profootballtalk[2].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@a6.adserver01[1].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@indextools[2].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@adtech[1].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@adserver.71i[1].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@ads.pointroll[1].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@adbrite[2].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@www.zanox-affiliate[1].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@apmebf[1].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@ads.adbrite[1].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@atwola[1].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@richmedia.yahoo[1].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@adserver.trojaner-info[2].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@ehg.hitbox[1].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@adinterax[2].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@de2.komtrack[2].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@doubleclick[2].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@ad.71i[1].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@fastclick[2].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@ad.myp2p[1].txt
	C:\Dokumente und Einstellungen\Niki\Cookies\niki@ehg.hitbox[2].txt

Adware.Vundo Variant/Rel
	HKLM\SOFTWARE\Microsoft\FCOVM
	C:\WINDOWS\SYSTEM32\MCRH.TMP
         

Das Anti-Maleware-Log folgt sofort wenn es fertif gescannt hat.

Und hier noch das Anti-Maleware Log:

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1103
Windows 5.1.2600 Service Pack 2

16:10:29 01.09.2008
mbam-log-09-01-2008 (16-10-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 117478
Laufzeit: 26 minute(s), 39 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wintug32 (Dialer) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\CAC (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\QIP\unqip.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\WINDOWS\eplt.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
D:\Eigene Downloads\qip8050(2).exe (Adware.Sogou) -> Quarantined and deleted successfully.
D:\Eigene Downloads\qip8050.exe (Adware.Sogou) -> Quarantined and deleted successfully.
D:\Eigene Downloads\qip8060.exe (Adware.Sogou) -> Quarantined and deleted successfully.
D:\Programme\QIP\unqip.exe (Adware.Sogou) -> Quarantined and deleted successfully.
D:\Setupdateien\qip8030_de.exe (Adware.Sogou) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wintug32.dll (Dialer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
         

Siehts all zu schlimm aus?

Weiter mit Blacklight und Combofix...

Zitat:

Zitat von undoreal

Weiter mit Blacklight und Combofix...

Hab ich erledigt. Soll ich auch dazu die Logs posten?

Gruß Niki

Ja aber immer!

okay.

Blacklight:

Code: Alles auswählenAufklappen

ATTFilter

09/01/08 21:29:59 [Info]: BlackLight Engine 1.0.70 initialized
09/01/08 21:29:59 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/01/08 21:30:00 [Note]: 7019 4
09/01/08 21:30:00 [Note]: 7005 0
09/01/08 21:30:14 [Note]: 7006 0
09/01/08 21:30:14 [Note]: 7011 96
09/01/08 21:30:14 [Note]: 7035 0
09/01/08 21:30:14 [Note]: 7026 0
09/01/08 21:30:14 [Note]: 7026 0
09/01/08 21:30:14 [Note]: 7024 3
09/01/08 21:30:14 [Info]: Hidden process: C:\windows\system32\omieoaq.exe
09/01/08 21:30:34 [Note]: FSRAW library version 1.7.1024
09/01/08 21:48:01 [Info]: Hidden file: c:\WINDOWS\system32\omieoaq.dat
09/01/08 21:48:01 [Note]: 10002 1
09/01/08 21:48:01 [Info]: Hidden file: C:\windows\system32\omieoaq.exe
09/01/08 21:48:01 [Note]: 10002 1
09/01/08 21:48:01 [Info]: Hidden file: c:\WINDOWS\system32\omieoaq_nav.dat
09/01/08 21:48:01 [Note]: 10002 1
09/01/08 21:48:02 [Info]: Hidden file: c:\WINDOWS\system32\omieoaq_navps.dat
09/01/08 21:48:02 [Note]: 10002 1
09/01/08 21:53:57 [Note]: 7006 0
09/01/08 21:53:57 [Note]: 7011 96
09/01/08 21:53:57 [Note]: 7026 0
09/01/08 21:53:57 [Note]: 7026 0
09/01/08 21:53:57 [Note]: 7024 3
09/01/08 21:53:57 [Info]: Hidden process: C:\windows\system32\omieoaq.exe
09/01/08 21:53:57 [Note]: FSRAW library version 1.7.1024
09/01/08 21:53:59 [Note]: 10002 1
09/01/08 21:53:59 [Note]: 10002 1
09/01/08 21:54:00 [Note]: 10002 1
09/01/08 21:54:00 [Info]: Hidden file: c:\WINDOWS\system32\omieoaq_navps.dat
09/01/08 21:54:00 [Note]: 10002 1
09/01/08 21:54:10 [Note]: 7006 0
09/01/08 21:54:10 [Note]: 7011 96
09/01/08 21:54:10 [Note]: 7026 0
09/01/08 21:54:11 [Note]: 7026 0
09/01/08 21:54:11 [Note]: 7024 3
09/01/08 21:54:11 [Info]: Hidden process: C:\windows\system32\omieoaq.exe
09/01/08 21:54:11 [Note]: FSRAW library version 1.7.1024
09/01/08 21:54:12 [Note]: 10002 1
09/01/08 21:54:12 [Note]: 10002 1
09/01/08 21:54:12 [Info]: Hidden file: c:\WINDOWS\system32\omieoaq_nav.dat
09/01/08 21:54:12 [Note]: 10002 1
09/01/08 21:54:13 [Note]: 10002 1
09/01/08 21:54:22 [Note]: 7006 0
09/01/08 21:54:22 [Note]: 7011 96
09/01/08 21:54:22 [Note]: 7026 0
09/01/08 21:54:22 [Note]: 7026 0
09/01/08 21:54:22 [Note]: 7024 3
09/01/08 21:54:22 [Info]: Hidden process: C:\windows\system32\omieoaq.exe
09/01/08 21:54:22 [Note]: FSRAW library version 1.7.1024
09/01/08 21:54:23 [Info]: Hidden file: c:\WINDOWS\system32\omieoaq.dat
09/01/08 21:54:23 [Note]: 10002 1
09/01/08 21:54:23 [Note]: 10002 1
09/01/08 21:54:23 [Note]: 10002 1
09/01/08 21:54:24 [Note]: 10002 1
09/01/08 21:54:36 [Note]: 7006 0
09/01/08 21:54:36 [Note]: 7011 96
09/01/08 21:54:36 [Note]: 7026 0
09/01/08 21:54:37 [Note]: 7026 0
09/01/08 21:54:37 [Note]: 7024 3
09/01/08 21:54:37 [Info]: Hidden process: C:\windows\system32\omieoaq.exe
09/01/08 21:54:37 [Note]: FSRAW library version 1.7.1024
09/01/08 21:54:38 [Note]: 10002 1
09/01/08 21:54:38 [Info]: Hidden file: C:\windows\system32\omieoaq.exe
09/01/08 21:54:38 [Note]: 10002 1
09/01/08 21:54:38 [Note]: 10002 1
09/01/08 21:54:38 [Note]: 10002 1
09/01/08 21:55:34 [Note]: 7007 0
         

ComboFix:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-08-31.01 - Niki 2008-09-01 22:08:17.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.348 [GMT 2:00]
ausgeführt von:: D:\Eigene Downloads\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\PMTRRXSQ\bin.clearspring.com
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\PMTRRXSQ\bin.clearspring.com\clearspring.sol
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\PMTRRXSQ\interclick.com
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\PMTRRXSQ\interclick.com\ud.sol
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\PMTRRXSQ\www.broadcaster.com
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com\settings.sol
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com
C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www.broadcaster.com\settings.sol
C:\Programme\uusee
C:\Programme\uusee\GoogleToolbarInstaller_zh-CN_signed.msi
C:\WINDOWS\system32\btvicsxk.ini
C:\WINDOWS\system32\bwmwqcwn.ini
C:\WINDOWS\system32\bwrhfxfn.ini
C:\WINDOWS\system32\dcotxoat.ini
C:\WINDOWS\system32\dppspnho.ini
C:\WINDOWS\system32\gwnracww.ini
C:\WINDOWS\system32\gyjomhsm.ini
C:\WINDOWS\system32\hpnapehn.ini
C:\WINDOWS\system32\jausvfnn.ini
C:\WINDOWS\system32\lumabuwf.ini
C:\WINDOWS\system32\lyuyjmtg.ini
C:\WINDOWS\system32\mbkvsgpv.ini
C:\WINDOWS\system32\mwhovfnv.ini
C:\WINDOWS\system32\nhyrtkni.ini
C:\WINDOWS\system32\ronaprpx.ini
C:\WINDOWS\system32\seaqrvxb.ini
C:\WINDOWS\system32\ttdeoino.ini
C:\WINDOWS\system32\uvmomkmh.ini
C:\WINDOWS\system32\uyvipkkw.ini
C:\WINDOWS\system32\vuoubyrc.ini
C:\WINDOWS\system32\wjinvvva.ini
C:\WINDOWS\system32\wureoivb.ini
C:\WINDOWS\system32\xewomhhg.ini
C:\WINDOWS\system32\ydrwujho.ini

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_DOMAINSERVICE
-------\Service_TDSSserv


(((((((((((((((((((((((   Dateien erstellt von 2008-08-01 bis 2008-09-01  ))))))))))))))))))))))))))))))
.

2008-09-01 15:41 . 2008-09-01 15:41	<DIR>	d--------	C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Malwarebytes
2008-09-01 15:41 . 2008-09-01 15:41	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-01 15:41 . 2008-08-17 15:01	38,472	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-01 15:41 . 2008-08-17 15:01	17,144	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-09-01 14:21 . 2008-09-01 14:21	<DIR>	d--------	C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\SUPERAntiSpyware.com
2008-09-01 14:21 . 2008-09-01 14:21	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-08-30 23:30 . 2008-08-30 23:35	3,070	--a------	C:\WINDOWS\system32\tmp.reg
2008-08-30 23:29 . 2008-08-30 23:36	<DIR>	d--------	C:\Dokumente und Einstellungen\Niki\SmitfraudFix
2008-08-30 23:29 . 2007-09-06 00:22	289,144	--a------	C:\WINDOWS\system32\VCCLSID.exe
2008-08-30 23:29 . 2006-04-27 17:49	288,417	--a------	C:\WINDOWS\system32\SrchSTS.exe
2008-08-30 23:29 . 2008-08-26 20:19	88,576	--a------	C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-08-30 23:29 . 2008-08-27 15:17	87,040	--a------	C:\WINDOWS\system32\VACFix.exe
2008-08-30 23:29 . 2008-05-18 21:40	82,944	--a------	C:\WINDOWS\system32\IEDFix.exe
2008-08-30 23:29 . 2008-08-28 22:36	82,432	--a------	C:\WINDOWS\system32\IEDFix.C.exe
2008-08-30 23:29 . 2008-08-18 12:19	82,432	--a------	C:\WINDOWS\system32\404Fix.exe
2008-08-30 23:29 . 2003-06-05 21:13	53,248	--a------	C:\WINDOWS\system32\Process.exe
2008-08-30 23:29 . 2004-07-31 18:50	51,200	--a------	C:\WINDOWS\system32\dumphive.exe
2008-08-30 23:29 . 2007-10-04 00:36	25,600	--a------	C:\WINDOWS\system32\WS2Fix.exe
2008-08-24 02:23 . 2008-08-24 02:23	<DIR>	d--------	C:\Dokumente und Einstellungen\Niki\LocalLow
2008-08-24 02:23 . 2008-08-24 02:23	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TVU Networks
2008-08-14 22:18 . 2008-08-14 22:18	286,720	--a------	C:\WINDOWS\system32\omieoaq.exe.ren
2008-08-14 22:18 . 2008-08-24 15:14	235,539	--a------	C:\WINDOWS\system32\omieoaq_nav.dat.ren
2008-08-14 22:18 . 2008-09-01 21:54	5,133	--a------	C:\WINDOWS\system32\omieoaq.dat.ren
2008-08-14 22:18 . 2007-11-24 16:58	1,857	--a------	C:\WINDOWS\system32\omieoaq_navps.dat.ren
2008-08-14 12:33 . 2008-05-01 16:30	331,776	-----c---	C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-14 11:30 . 2008-06-14 19:57	273,024	-----c---	C:\WINDOWS\system32\dllcache\bthport.sys
2008-08-08 21:56 . 2008-08-08 21:56	<DIR>	d--------	C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Bitdefender
16508-06-02 00:12 . 2008-05-12 10:49	593,920	---------	C:\WINDOWS\system32\ati2sgag.exe
16508-06-02 00:11 . 16508-06-02 00:11	<DIR>	d--------	C:\ATI

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-01 19:56	---------	d-----w	C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Azureus
2008-09-01 12:21	---------	d-----w	C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-30 22:00	---------	d-----w	C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\temp
2008-08-09 10:30	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-08 20:36	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-08 19:49	---------	d-----w	C:\Programme\Gemeinsame Dateien\Softwin
2008-08-08 19:49	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender
2008-07-31 20:19	---------	d-----w	C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\dvdcss
2008-07-27 16:55	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-07-10 15:46	---------	d-----w	C:\Programme\Java
2008-07-02 20:11	---------	d-----w	C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\ICQ
2008-07-01 16:55	---------	d-----w	C:\Programme\ICQ6Toolbar
2008-07-01 16:55	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-01-23 14:23	18,480	----a-w	C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-05-03 10:06	163,328	--sh--r	C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47	31,232	--sh--r	C:\WINDOWS\system32\msfDX.dll
2007-12-17 13:43	27,648	--sh--w	C:\WINDOWS\system32\Smab0.dll
2008-02-04 19:26	151,040	--sh--w	C:\WINDOWS\system32\VistaUltm.dll
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2005-09-03 16:18 94208]
"Rainlendar2"="D:\Programme\Rainlendar2\Rainlendar2.exe" [2007-07-24 09:12 1298432]
"AlcoholAutomount"="D:\Programme\Alcohol 120\axcmd.exe" [2008-04-07 17:30 4608]
"SUPERAntiSpyware"="D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-08-19 23:34 1576176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 03:11 925696]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"EPSON Stylus Photo RX420 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE" [2004-04-09 05:00 98304]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 12:17 61440]
"BDMCon"="D:\Programme\Softwin\BitDefender10\bdmcon.exe" [2007-04-02 16:48 290816]
"BDAgent"="D:\Programme\Softwin\BitDefender10\bdagent.exe" [2007-03-26 15:49 69632]
"DAEMON Tools"="D:\Programme\DAEMON Tools\daemon.exe" [2006-09-14 22:09 157592]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 01:58 110592 C:\WINDOWS\system32\bthprops.cpl]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "D:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 D:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=sockspy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.3iv2"= 3ivxVfWCodec.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.VP31"= vp31vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders	msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2006-09-14 22:09 157592 D:\Programme\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-04-27 09:41 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
-ra------ 2005-11-23 04:12 1060864 C:\Programme\VIA\RAID\raid_tool.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
-rahs---- 2008-08-18 18:41 1832272 D:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 01:02 36352 D:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]
--------- 2004-10-27 16:21 61952 C:\WINDOWS\system32\HdAShCut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"LiveUpdate"=3 (0x3)
"LIVESRV"=2 (0x2)
"helpsvc"=2 (0x2)
"Automatisches LiveUpdate - Scheduler"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\Azureus\\Azureus.exe"=
"D:\\Programme\\SopCast\\SopCast.exe"=
"D:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"D:\\Programme\\TVAnts\\Tvants.exe"=
"C:\\Programme\\QIP\\qip.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Windows Media Player\\wmplayer.exe"=
"D:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"D:\\Programme\\Zattoo\\Zattoo2.exe"=
"D:\\Programme\\Zattoo\\Zattoo.exe"=
"D:\\Programme\\Zattoo\\zattood.exe"=
"D:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Java\\jre1.6.0_05\\bin\\java.exe"=
"C:\\Programme\\Java\\jre1.6.0_07\\bin\\java.exe"=
"C:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"C:\\Programme\\Java\\jre1.6.0_07\\bin\\javaw.exe"=
"D:\\Programme\\Mozilla Firefox\\firefox.exe"=

R3 RTLWUSB;NETGEAR WG111v2 54Mbps Wireless USB 2.0 Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\wg111v2.sys [2006-03-27 18:53]
S4 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe [2006-09-08 15:47]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{27d7c760-6600-11dd-ab33-00184db76451}]
\Shell\AutoRun\command - G:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b7bca40a-04bd-11dd-aa1a-00184db76451}]
\Shell\AutoRun\command - I:\Autorun.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-omieoaq - c:\windows\system32\omieoaq.exe
MSConfigStartUp-BDAgent - C:\Programme\Softwin\BitDefender10\bdagent.exe
MSConfigStartUp-BDMCon - C:\Programme\Softwin\BitDefender10\bdmcon.exe
MSConfigStartUp-ICQ Lite - D:\Programme\ICQLite\ICQLite.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Mozilla\Firefox\Profiles\pc4lo1ku.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.spiegel.de
FF -: plugin - C:\Dokumente und Einstellungen\Niki\Anwendungsdaten\Mozilla\Firefox\Profiles\pc4lo1ku.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - d:\programme\Acrobat Reader 5.0\Reader\browser\nppdf32.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\np-mswmp.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\np32dsw.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npdivx32.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npdrmv2.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npdsplay.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npnul32.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\nppl3260.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\nprjplug.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\nprpjplug.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\NPTURNMED.dll
FF -: plugin - D:\Programme\Mozilla Firefox\plugins\npwmsdrm.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-01 22:13:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\vsdatant]
"ImagePath"=""
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\RtlGina2.dll

Prozess: C:\WINDOWS\explorer.exe
-> D:\Programme\ObjectDock\DockShellHook.dll
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
D:\Programme\Ad-Aware\aawservice.exe
D:\Programme\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\ati2evxx.exe
D:\Programme\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
D:\Programme\ObjectDock\ObjectDock.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-01 22:17:15 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-09-01 20:17:04

Pre-Run: 2,544,816,128 Bytes frei
Post-Run: 2,466,885,632 Bytes frei

261	--- E O F ---	2008-08-21 09:28:22
         

Ach du Schande. Und das wolltest du uns vorenthalten? Sind alle Blacklight Funde ohne Probleme umbenannt worden?

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.