Windows Warning Message "Spywar detected on your computer" + Win32/Adware.Virtumonde

DerJojo · 09.09.2008, 21:24

hier der combofix log:

ComboFix 08-09-05.12 - Jojo 2008-09-09 21:52:10.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.589 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Jojo\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Jojo\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv

((((((((((((((((((((((( Dateien erstellt von 2008-08-09 bis 2008-09-09 ))))))))))))))))))))))))))))))
.

2008-09-09 17:18 . 2008-09-09 17:18 <DIR> d-------- C:\Programme\CCleaner
2008-09-09 08:11 . 2008-09-09 08:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-09-09 03:13 . 2008-09-09 03:13 <DIR> d-------- C:\Programme\Trend Micro
2008-09-09 02:43 . 2008-09-09 02:43 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-09 02:43 . 2008-09-09 02:43 <DIR> d-------- C:\Dokumente und Einstellungen\Jojo\Anwendungsdaten\Malwarebytes
2008-09-09 02:43 . 2008-09-09 02:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-09 02:43 . 2008-09-08 00:11 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-09 02:43 . 2008-09-08 00:11 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-09 01:23 . 2008-09-09 01:23 88,878 --a------ C:\WINDOWS\system32\casino3.ico
2008-09-09 01:23 . 2008-09-09 01:23 88,878 --a------ C:\WINDOWS\system32\casino2.ico
2008-09-09 01:23 . 2008-09-09 01:23 88,878 --a------ C:\WINDOWS\system32\casino1.ico
2008-09-09 01:23 . 2008-09-09 01:23 15,360 --a------ C:\WINDOWS\system32\tdsspopup.dll
2008-09-09 01:23 . 2008-09-09 01:23 120 --a------ C:\WINDOWS\system32\tdsspopup3.url
2008-09-09 01:23 . 2008-09-09 01:23 120 --a------ C:\WINDOWS\system32\tdsspopup2.url
2008-09-09 01:23 . 2008-09-09 01:23 120 --a------ C:\WINDOWS\system32\tdsspopup1.url
2008-09-04 16:32 . 2008-09-04 16:32 <DIR> d-------- C:\Programme\TeaTimer (Spybot - Search & Destroy)
2008-09-03 21:49 . 2008-09-03 21:49 <DIR> d-------- C:\WINDOWS\system32\de
2008-09-03 21:49 . 2008-09-03 21:49 <DIR> d-------- C:\WINDOWS\system32\bits
2008-09-03 21:49 . 2008-09-03 21:49 <DIR> d-------- C:\WINDOWS\l2schemas
2008-09-03 21:47 . 2008-09-03 21:47 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-09-03 01:10 . 2008-09-03 01:10 <DIR> d-------- C:\Programme\LG Electronics
2008-09-02 22:44 . 2008-04-14 04:22 1,737,856 --------- C:\WINDOWS\system32\mtxparhd.dll
2008-09-01 20:42 . 2008-09-01 20:42 <DIR> d-------- C:\resources
2008-09-01 20:40 . 2008-09-01 20:40 <DIR> d-------- C:\photofun
2008-08-13 14:09 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-09 13:04 . 2008-08-09 13:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hps
2008-08-09 12:57 . 2008-08-09 12:57 <DIR> d-------- C:\Programme\dm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-09 19:59 --------- d-----w C:\Dokumente und Einstellungen\Jojo\Anwendungsdaten\Skype
2008-09-09 19:57 17,408 ----a-w C:\WINDOWS\system32\drivers\USBCRFT.SYS
2008-09-09 19:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-09 18:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-09-09 15:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-08 15:52 --------- d-----w C:\Programme\ADAC TourPlaner® Premium-Edition 2006 2007
2008-09-04 15:05 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-09-04 14:45 --------- d-----w C:\Programme\PokerStars.NET
2008-09-03 13:43 --------- d-----w C:\Programme\EA SPORTS
2008-09-02 23:10 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-28 07:04 --------- d-----w C:\Programme\ICQ6
2008-08-18 08:39 4,579,328 ----a-w C:\dm Fotowelt.exe
2008-08-15 10:58 --------- d-----w C:\Dokumente und Einstellungen\Jojo\Anwendungsdaten\ICQ
2008-08-13 14:23 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-08-12 23:11 --------- d-----w C:\Programme\DVDVideoSoft
2008-08-10 17:41 --------- d-----w C:\Dokumente und Einstellungen\Jojo\Anwendungsdaten\temp
2008-08-06 23:12 --------- d-----w C:\Programme\Apple Software Update
2008-08-06 23:08 --------- d-----w C:\Programme\iTunes
2008-08-06 23:08 --------- d-----w C:\Programme\iPod
2008-08-06 23:07 --------- d-----w C:\Programme\QuickTime
2008-08-04 12:10 --------- d-----w C:\Programme\ICQ6Toolbar
2008-08-04 12:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-07-22 18:32 32,000 ----a-w C:\WINDOWS\system32\drivers\usbaapl.sys
2008-07-20 09:47 --------- d-----w C:\Programme\Java
2008-07-19 11:38 --------- d-----w C:\Programme\WISO
2008-07-19 11:38 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2008-07-19 11:33 --------- d-----w C:\Dokumente und Einstellungen\Jojo\Anwendungsdaten\Buhl Data Service
2008-07-19 11:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2008-07-19 11:28 --------- d-----w C:\Dokumente und Einstellungen\Jojo\Anwendungsdaten\InstallShield
2008-07-04 04:31 408 ----a-w C:\Dokumente und Einstellungen\Jojo\Anwendungsdaten\wklnhst.dat
2004-10-20 18:13 0 ----a-w C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\wklnhst.dat
2004-10-20 18:13 0 ----a-w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\wklnhst.dat
2004-11-12 10:17 8 --sh--r C:\WINDOWS\system32\C3A5F9DBA9.sys
2004-11-12 10:17 4,184 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2007-03-13 67128]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-14 68856]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-05-18 23423528]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2006-09-15 2048000]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 64512]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-02-24 5537792]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 155648]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 32768]
"DAEMON Tools-1033"="D:\Jojo's Downloads\Daemon\daemon.exe" [2004-08-22 81920]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2003-08-29 188416]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2003-08-29 77824]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-12-04 406016]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2004-11-14 26112]
"ALDI_NORD_FotoSuite_Download"="C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" [2006-06-09 417792]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-09-30 155648]
"OpwareSE4"="C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-03-21 69632]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 310272]
"USB Storage Toolbox"="C:\Programme\USB Disk Win98 Driver\Res.EXE" [2005-09-14 65536]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"CHotkey"="mHotkey.exe" [2004-02-24 C:\WINDOWS\mHotkey.exe]
"ledpointer"="CNYHKey.exe" [2004-02-03 C:\WINDOWS\CNYHKey.exe]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2004-10-08 C:\WINDOWS\AGRSMMSG.exe]
"nwiz"="nwiz.exe" [2005-02-24 C:\WINDOWS\system32\nwiz.exe]
"Dit"="Dit.exe" [2004-07-20 C:\WINDOWS\Dit.exe]
"Realtime Audio Engine"="mmrtkrnl.exe" [2002-04-29 C:\WINDOWS\system32\MMRTKRNL.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2007-03-22 39264]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.enc"= ITIG726.acm
"VIDC.MJPG"= Pvmjpg21.dll
"VIDC.PIM1"= pclepim1.dll
"msacm.thx32"= thx32.acm
"wave.dvaudio"= dvaudio.drv

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"D:\\Jojo's Downloads\\emule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\NetMeeting\\conf.exe"=
"C:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\3DO\\Heroes 3 Complete\\HEROES3.EXE"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-20 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-18 45376]
R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2006-04-22 99840]
R2 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]
R2 MarxDev1;MarxDev1;C:\WINDOWS\system32\drivers\MarxDev1.sys [2001-05-28 8864]
R2 MarxDev2;MarxDev2;C:\WINDOWS\system32\drivers\MarxDev2.sys [2001-05-28 8864]
R2 MarxDev3;MarxDev3;C:\WINDOWS\system32\drivers\MarxDev3.sys [2001-05-28 8864]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-12-10 969216]
R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2004-11-29 53248]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2004-10-01 1272000]
R3 FXUSBASE;Eumex 400 (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fxusbase.sys [2004-11-29 547968]
R3 PID_0920;Logitech QuickCam Express(PID_0920);C:\WINDOWS\system32\DRIVERS\LV532AV.SYS [2003-09-16 152576]
R3 PRISM_A00;CREATIX 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys [2004-01-16 380736]
R3 UKBFLT;UKBFLT;C:\WINDOWS\system32\DRIVERS\UKBFLT.sys [2003-12-19 11672]
S2 WBUSB;Winbond Generic USB Controller;C:\WINDOWS\system32\Drivers\WBUSB.sys [2003-10-03 13356]
S3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-09-09 17408]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2d9e7eab-52c9-11d9-9e07-00038a000015}]
\Shell\AutoRun\command - M:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4ea0518a-23f2-11d7-abf5-00038a000015}]
\Shell\AutoRun\command - M:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7062dd74-9a01-11d9-837c-00038a000015}]
\Shell\AutoRun\command - H:\

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{926d7985-3641-11d9-bcc3-00110979e181}]
\Shell\AutoRun\command - K:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a99bd6a9-3d7f-11d9-bd1c-806d6172696f}]
\Shell\AutoRun\command - hh start.chm

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bfe2584f-47b8-11da-9897-806d6172696f}]
\Shell\AutoRun\command - F:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{c8e05e86-372d-11d9-bcc7-00038a000015}]
\Shell\AutoRun\command - H:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da7eedc0-3d80-11d9-bcc8-00038a000015}]
\Shell\AutoRun\command - L:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f173e39c-4f6f-11d9-ac01-00038a000015}]
\Shell\AutoRun\command - M:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fb5dff51-3e50-11d9-abee-0007caffdc48}]
\Shell\AutoRun\command - L:\OEMBranding.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
Notify-AtiExtEvent - (no file)

.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Jojo\Anwendungsdaten\Mozilla\Firefox\Profiles\dhvlixwg.Jojo\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Google\Google Updater\2.2.1249.1854\npCIDetect11.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-09 21:56:44
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\ScsiAccess.EXE
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\LVComS.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ComCenter\IWatch.exe
C:\Programme\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Windows Media Player\wmpnetwk.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-09 22:04:47 - PC wurde neu gestartet [Jojo]
ComboFix-quarantined-files.txt 2008-09-09 20:04:31

Pre-Run: 16 Verzeichnis(se), 48,088,821,760 Bytes frei
Post-Run: 20 Verzeichnis(se), 47,976,173,568 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

253 --- E O F --- 2008-09-04 19:41:07

bitte sag mir wie ich am besten weiter vorgehe..bin so froh das ich hier hilfe von dir bekomme =)

lg

Windows Warning Message "Spywar detected on your computer" + Win32/Adware.Virtumonde

Log-Analyse und Auswertung: Windows Warning Message "Spywar detected on your computer" + Win32/Adware.Virtumonde

Windows Warning Message "Spywar detected on your computer" + Win32/Adware.Virtumonde

Ähnliche Themen: Windows Warning Message "Spywar detected on your computer" + Win32/Adware.Virtumonde