Hey Leute,

leider muss ich gleich vorweg sagen, dass ich mich mit PC's sehr schlecht auskenne, ich handel bei Problemen meist nur nach Anweisung meiner Freunde, aber bei meinem jetztigen Virus hab ich ein problem.

Der Desktop zeigt eine Mitteilung wo drauf steht: Warning spyware detected on your computer:
Warning! Win 32/adware.virtumonde
Warning! Wind32/privacyremover.M64

darauf hin hab ich sowohl spybot und antivir im abgesicherten Modus durchlaufen lassen und hatte eigentlich alles geloscht, weil er nichts mdhr angezeigt hat. Doch als ich wieder im normalen Zustand den PC gestartet hab, kam Antivir mit folgenden Report:


Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: LEONID

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 17.07.2008 17:39:27
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 17:39:27
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 17:39:27
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 17:39:27
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 14:04:45
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 17:32:06
ANTIVIR2.VDF : 7.0.6.94 2998784 Bytes 31.08.2008 17:13:01
ANTIVIR3.VDF : 7.0.6.129 230912 Bytes 08.09.2008 13:34:19
Engineversion : 8.1.1.28
AEVDF.DLL : 8.1.0.5 102772 Bytes 20.04.2008 16:41:35
AESCRIPT.DLL : 8.1.0.70 319866 Bytes 03.09.2008 17:12:34
AESCN.DLL : 8.1.0.23 119156 Bytes 15.07.2008 17:38:00
AERDL.DLL : 8.1.1.1 397683 Bytes 03.09.2008 17:12:34
AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 17:37:59
AEOFFICE.DLL : 8.1.0.23 196987 Bytes 03.09.2008 17:12:33
AEHEUR.DLL : 8.1.0.51 1397111 Bytes 03.09.2008 17:12:33
AEHELP.DLL : 8.1.0.15 115063 Bytes 04.07.2008 17:32:10
AEGEN.DLL : 8.1.0.36 315764 Bytes 19.08.2008 16:06:34
AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 22:43:07
AECORE.DLL : 8.1.1.11 172406 Bytes 03.09.2008 17:12:32
AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 17:39:27
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 17:39:27
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 17:39:27
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 22:43:06
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 17:39:27
AVARKT.DLL : 1.0.0.23 307457 Bytes 20.04.2008 16:41:33
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 17:39:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.04.2008 16:41:34
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 17:39:27
NETNT.DLL : 8.0.0.1 7937 Bytes 20.04.2008 16:41:34
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 17:39:22
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 17:39:22

Konfiguration fur den aktuellen Suchlauf:
Job Name.........................: Vollstandige Systemprufung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primare Aktion...................: interaktiv
Sekundare Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, F:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschranken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Dienstag, 9. September 2008 17:01

Der Suchlauf uber gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpybotSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lphcv97j0eeca.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '27' Prozesse mit '27' Modulen durchsucht

Der Suchlauf uber die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf uber die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausfuhrbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '51' Dateien ).


Der Suchlauf uber die ausgewahlten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geoffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geoffnet werden!
C:\Dokumente und Einstellungen\Leonid\Lokale Einstellungen\Temp\.tt23.tmp.vbs
[FUND] Enthalt Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
[HINWEIS] Die Datei wurde geloscht.
C:\WINDOWS\system32\phcv97j0eeca.bmp
[FUND] Ist das Trojanische Pferd TR/Fakealert.AAF
[HINWEIS] Die Datei wurde geloscht.
C:\WINDOWS\system32\drivers\dtscsi.sys
[WARNUNG] Die Datei konnte nicht geoffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geoffnet werden!
Beginne mit der Suche in 'F:\'


Ende des Suchlaufs: Dienstag, 9. September 2008 18:14
Benotigte Zeit: 1:13:19 Stunde(n)

Der Suchlauf wurde vollstandig durchgefuhrt.

11721 Verzeichnisse wurden uberpruft
291925 Dateien wurden gepruft
2 Viren bzw. unerwunschte Programme wurden gefunden
0 Dateien wurden als verdachtig eingestuft
2 Dateien wurden geloscht
0 Viren bzw. unerwunschte Programme wurden repariert
0 Dateien wurden in die Quarantane verschoben
0 Dateien wurden umbenannt
4 Dateien konnten nicht durchsucht werden
291919 Dateien ohne Befall
3154 Archive wurden durchsucht
4 Warnungen
2 Hinweise




Kann mir bitte jmd weiterhelfen. Ansonsten muss das unangenehme Formatieren wieder ran...

Leonid

hi V3g3ta und

lasse Malwarebytes Antimalware dein system scannen, funde löschen lassen, log hier posten.

=====

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com - GeeksTogo.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

Vorbereitung und wichtige Hinweise

• Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme,
  die Firewall und evtl. vorhandenes Skript-Blocking deaktivieren.
• Liste der zu deaktivierenden Programme. Bei Unklarheiten bitte vorher fragen.
• Bitte die Wiederherstellungskonsole nach dieser ausführlichen Anleitung installieren.
  .
  
  .
• Bitte während des Laufs von Combofix nicht in das Combofix-Fenster klicken.
• Das könnte Dein System einfrieren oder hängen bleiben lassen.
• Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
• ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
• Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder erneuern.
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
• Teile uns das mit und warte auf unsere Anweisungen.

Anwendung

• Schließe alle Anwendungen, wenn Du Combofix laufen lässt.
• Mache einen Doppelklick auf die ComboFix.exe und folge den Anweisungen.
• Wird eine Infektion gefunden, startet Combofix den Rechner automatisch neu, um die Entfernung zu vervollständigen.
• Schließe das Fenster von Combofix nicht, sonst wirst Du einen leeren Desktop zurück behalten.
• Wenn der Scan beendet ist, wird ein Logfile erstellt, zu finden unter C:\ComboFix.txt
• Nicht vergessen, die deaktivierten Programme wieder zu aktivieren!
• Poste den Inhalt des Combofix-Logfiles hier in den Thread.

Hinweis für Mitleser

Bitte Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!



gruß

schrauber

Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1132
Windows 5.1.2600 Service Pack 2

09.09.2008 19:56:29
mbam-log-2008-09-09 (19-56-24).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 156221
Laufzeit: 41 minute(s), 23 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 30

Infizierte Speicherprozesse:
C:\WINDOWS\system32\lphcv97j0eeca.exe (Trojan.FakeAlert) -> No action taken.

Infizierte Speichermodule:
C:\WINDOWS\system32\blphcv97j0eeca.scr (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\acm.acmfactory (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\acm.acmfactory.1 (Adware.WhenUSave) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{d70e9b0f-aabc-4066-8176-c6de84d92fa1} (Trojan.Zlob) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_CLASSES_ROOT\AppID\ACM.DLL (Adware.WhenUSave) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcv97j0eeca (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhcr97j0eeca (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\blphcv97j0eeca.scr (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\cpan.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\xplugin.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\lphcv97j0eeca.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\phcv97j0eeca.bmp (Trojan.FakeAlert) -> No action taken.
C:\Dokumente und Einstellungen\Leonid\Lokale Einstellungen\Temp\Frank Walder ? das Produkt.doc (Trojan.Extension.Exploit) -> No action taken.
C:\Dokumente und Einstellungen\Leonid\Lokale Einstellungen\Temp\.tt15.tmp (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Leonid\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Leonid\Lokale Einstellungen\Temp\.tt2.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Leonid\Lokale Einstellungen\Temp\.tt3.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Leonid\Lokale Einstellungen\Temp\.tt4.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Leonid\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Leonid\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Leonid\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Leonid\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Leonid\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Leonid\Lokale Einstellungen\Temp\.ttA.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Leonid\Lokale Einstellungen\Temp\.ttB.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Leonid\Lokale Einstellungen\Temp\.ttC.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Leonid\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Leonid\Lokale Einstellungen\Temp\.ttE.tmp (Trojan.Downloader) -> No action taken.
C:\Dokumente und Einstellungen\Leonid\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> No action taken.

wenn möglich vor combofix noch das hier machen:

• Lade das SDFix (erstellt von AndyManchesta) herunter und speichere es auf deinem Desktop.

• Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
• Starte deinen Rechner neu auf, in den abgesicherten Modus .
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

gruß

schrauber

du hast die funde bei mbam nicht loeschen lassen! Nachholen bitte.

Hey,

danke für die schnelle Hilfe.

Ich hatte leider Probleme beim ausführen von SDFix...ich habe zwar das Programm im abgesicherten Modus normal abgespielt, doch beim neustarten des PC's ging kein weiteres Fenster auf und somit wurde der Scan nicht "fortgesetzt" und ich bekam kein Logfile.

Gerade habe ich das Combofix programm laufen lassen und hab folgendes Ergebnis bekommen:

ComboFix 08-09-10.04 - Leonid 2008-09-11 13:34:15.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1251.7.1031.18.714 [GMT 2:00]
ausgefьhrt von:: F:\Desktop\ComboFix.exe
Command switches used :: F:\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Lжschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Mozilla Firefox\plugins\npclntax.dll
C:\WINDOWS\system32\FTPx.dll
C:\WINDOWS\system32\MSINET.oca

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_SYSREST.SYS
-------\Legacy_TDSSSERV
-------\Service_TDSSserv


((((((((((((((((((((((( Dateien erstellt von 2008-08-11 bis 2008-09-11 ))))))))))))))))))))))))))))))
.

2008-09-09 20:44 . 2008-09-09 20:44 <DIR> d-------- C:\WINDOWS\ERUNT
2008-09-09 19:04 . 2008-09-09 19:04 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-09 19:04 . 2008-09-09 19:04 <DIR> d-------- C:\Dokumente und Einstellungen\Leonid\Anwendungsdaten\Malwarebytes
2008-09-09 19:04 . 2008-09-09 19:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-09 19:04 . 2008-09-08 00:11 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-09 19:04 . 2008-09-08 00:11 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-09 18:50 . 2008-09-09 18:50 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Lavasoft
2008-09-09 18:47 . 2005-11-21 17:49 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-09-09 18:47 . <DIR> C:\Dokumente und Einstellungen\Administrator\Startmenu
2008-09-09 18:47 . 2005-10-23 00:57 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-09-09 18:47 . 2005-10-23 00:57 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-09-09 18:47 . 2005-10-23 00:57 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-09-09 18:47 . 2005-10-23 00:57 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-09-09 18:47 . 2008-09-09 18:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-09-09 18:47 . 2008-09-09 18:47 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-09-05 12:26 . 2008-09-11 12:48 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-09-05 12:26 . 2008-09-05 12:26 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-13 11:12 . 2008-08-13 11:12 23,392 --a------ C:\WINDOWS\system32\nscompat.tlb
2008-08-13 11:12 . 2008-08-13 11:12 16,832 --a------ C:\WINDOWS\system32\amcompat.tlb
2008-08-11 21:14 . 2008-08-11 21:15 <DIR> d-------- C:\WINDOWS\system32\de-DE
2008-08-11 21:10 . 2008-08-11 21:26 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2008-08-11 21:10 . 2008-08-11 21:10 <DIR> d-------- C:\Programme\Reference Assemblies
2008-08-11 21:10 . 2008-08-11 21:10 <DIR> d-------- C:\Programme\MSBuild
2008-08-11 21:09 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-08-11 21:02 . 2008-08-11 21:02 <DIR> d-------- C:\Programme\MSXML 6.0
2008-08-11 19:17 . 2008-08-11 21:06 <DIR> d-------- C:\Dokumente und Einstellungen\Leonid\Anwendungsdaten\Free Download Manager
2008-08-11 19:17 . 2008-08-11 19:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FreeDownloadManager.ORG

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-11 11:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-10 10:45 --------- d-----w C:\Dokumente und Einstellungen\Leonid\Anwendungsdaten\Azureus
2008-09-08 13:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-09-08 01:00 --------- d-----w C:\Dokumente und Einstellungen\Leonid\Anwendungsdaten\ChessBase
2008-09-02 22:53 --------- d-----w C:\Programme\Opera
2008-08-13 09:01 --------- d-----w C:\Programme\Windows Media Connect 2
2008-08-06 10:20 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-06 10:20 --------- d-----w C:\Dokumente und Einstellungen\Leonid\Anwendungsdaten\ICQ
2008-07-20 13:41 --------- d-----w C:\Dokumente und Einstellungen\Leonid\Anwendungsdaten\InstallShield
2008-07-18 12:07 --------- d-----w C:\Dokumente und Einstellungen\Leonid\Anwendungsdaten\dvdcss
2008-07-14 01:18 --------- d-----w C:\Programme\MSXML 4.0
2008-07-13 17:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-11-17 17:08 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2007-03-06 19:44 784 ----a-w C:\Dokumente und Einstellungen\Leonid\Anwendungsdaten\mpauth.dat
2005-12-23 10:31 22,360 ----a-w C:\Dokumente und Einstellungen\Leonid\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MessengerPlus3"="C:\Programme\MessengerPlus! 3\MsgPlus.exe" [2006-10-01 190024]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SDFix"="F:\SDFix\RunThis.bat" [2008-09-09 782686]
"MessengerPlus3"="C:\Programme\MessengerPlus! 3\MsgPlus.exe" [2006-10-01 190024]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2004-08-04 160768]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-19 7700480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= C:\WINDOWS\System32\l3codecp.acm
"vidc.asv2"= asusasv2.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenu^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenu\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenu^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenu\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenu^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenu\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Leonid^Startmenu^Programme^Autostart^DataKeeper.lnk]
path=C:\Dokumente und Einstellungen\Leonid\Startmenu\Programme\Autostart\DataKeeper.lnk
backup=C:\WINDOWS\pss\DataKeeper.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Leonid^Startmenu^Programme^Autostart^Morpheus.lnk]
path=C:\Dokumente und Einstellungen\Leonid\Startmenu\Programme\Autostart\Morpheus.lnk
backup=C:\WINDOWS\pss\Morpheus.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 00:57 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
--a------ 2005-12-10 16:57 133016 F:\DAEMON Tools\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-05-11 23:12 49152 F:\Programme\HP\HP Software Update\hpwuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-03-14 19:05 257088 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-04-19 07:26 7700480 C:\WINDOWS\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-04-19 07:26 86016 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-02-16 10:54 282624 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SDFix]
--a------ 2008-09-09 16:49 782686 F:\SDFix\RunThis.bat

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\snpstd]
--a------ 2004-06-10 13:48 286720 C:\WINDOWS\vsnpstd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
--------- 2008-08-18 18:41 1832272 F:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2005-08-26 19:14 36975 C:\Programme\Java\jre1.5.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]
--a------ 2004-08-04 00:58 381440 C:\WINDOWS\system32\irprops.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-04-19 07:26 1626112 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ptipbmf]
-ra------ 2003-06-20 09:06 118784 C:\WINDOWS\system32\ptipbmf.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPodService"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"F:\\Programme\\Program files\\mIRC\\mirc.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"F:\\Programme\\Steam\\SteamApps\\julien649\\counter-strike\\hl.exe"=
"F:\\Programme\\ChessBase\\ChessProgram8\\ChessProgram8.exe"=
"F:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"F:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"F:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Java\\jre1.5.0_05\\bin\\javaw.exe"=
"C:\\Programme\\Java\\jre1.5.0_05\\bin\\java.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Web.de Firefox\\web_de_Update.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-20 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-17 45376]
R2 AdminSVCff;WEB.DE Firefox Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe [2006-10-25 180224]
S0 cguda;cguda;C:\WINDOWS\system32\drivers\fteoyrxe.sys [ ]
S2 CWYHKCCZ;CWYHKCCZ;C:\WINDOWS\System32\cwyhkccz.eoo [ ]
S2 ZWBGOVSD;ZWBGOVSD;C:\WINDOWS\System32\zwbgovsd.wqx [ ]
S3 AVMUNET;Eumex 300 IP;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-03-02 15104]
S3 Droppix Service;Droppix Service;C:\Programme\Gemeinsame Dateien\Droppix\DxService.exe [2007-04-05 94208]
S3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D.sys [2004-07-06 44544]
S3 WlanUIB;NETGEAR 802.11b USB Driver;C:\WINDOWS\system32\DRIVERS\MA111nd5.sys [2004-09-29 666624]
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr¤ge - - - -

SharedTaskScheduler-{d70e9b0f-aabc-4066-8176-c6de84d92fa1} - (no file)
Notify-WgaLogon - (no file)
MSConfigStartUp-Adobe Photo Downloader - C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
MSConfigStartUp-ASUS SmartDoctor - C:\Program Files\ASUS\SmartDoctor\\SmartDoctor.exe
MSConfigStartUp-CloneCDTray - C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
MSConfigStartUp-FRISK FP-Scheduler - C:\Programme\FSI\F-Prot\F-Sched.exe
MSConfigStartUp-ICQ Lite - C:\Programme\ICQLite\ICQLite.exe
MSConfigStartUp-lphcv97j0eeca - C:\WINDOWS\system32\lphcv97j0eeca.exe
MSConfigStartUp-SpySweeper - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
MSConfigStartUp-Steam - c:\programme\steam\steam.exe
MSConfigStartUp-updateMgr - C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe
MSConfigStartUp-zango - c:\programme\zango\zango.exe


.
------- Zus¤tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Leonid\Anwendungsdaten\Mozilla\Firefox\Profiles\1bvwakkg.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - kicker.de
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-11 13:41:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr¤ge...

Scanne versteckte Dateien...


**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\CWYHKCCZ]
"ImagePath"="\??\C:\WINDOWS\System32\cwyhkccz.eoo"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ZWBGOVSD]
"ImagePath"="\??\C:\WINDOWS\System32\zwbgovsd.wqx"
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-11 13:55:09 - PC wurde neu gestartet [Leonid]
ComboFix-quarantined-files.txt 2008-09-11 11:54:06

Pre-Run: 7,519,121,408 Bytes frei
Post-Run: 7,509,983,232 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

214 --- E O F --- 2008-07-24 00:02:53



sollte ich was falsch gemacht haben, einfach sagen ich versuche es dann besser zu machen. diese HiJack Programm versteht ich nicht ganz...soll ich das auch laufen lassen ?



Mfg Leonid

hast du die funde in Malwarebytes löschen lassen? prog updaten, nochmal laufen lassen, funde löschen.

===

rechner neu starten in den normalen modus, dann in den abgesicherten und versuch sdfix nochmal und poste das log

Ich habe "trojan.extension.exploit" auch in diesem Nachricht gesehen - ich wollte eigentlich eine Antwort zur folgenden Nachricht geben, es ist mir aber nicht erlaubt:
http://www.trojaner-board.de/60466-trojaner.html
Ich hatte eben genau dasselbe Problem gehabt als derjeniger, der diese Nachricht verfasst hat (wiederkehrende "trojan.extension.exploit"), und ich habe darüber im Malwarebytes Forem (in englischer Sprache) nachgefragt. Ich habe sofort die Antwort bekommen, daß es sich um ein "Bug" in den fremdsprachigen Versionen von Malwarebyates handelt; es wird in der nächsten Version (5-10 Tagen) von Malwarebytes korrigiert werden. Mir wurde gesagt, daß mein System vollkommen ohne Problem ist.

Meine Fragen und die Antworten darauf (auf englisch) sind hier zu finden:
trojan.extension.exploit - keeps returning - Malwarebytes Security Forums

Könnte der Administrator vielleicht diese Antwort an http://www.trojaner-board.de/60466-trojaner.html veröffentlichen?

Vielen herzlichen Dank, ich hoffe dieses wird einigen Sorgen ein Ende bringen.