Hallo,
ich bin neu hier, blutiger Amateur und dazu noch eine Frau.
Ok. Mein Lapto spinnt und hatte gestern eine Meldung als Bild im Hintergrund "Warning! Spyware detected on your computer". Dieses Problem konnte ich mit Antivir Professional lösen.
Den Hintergrund kann ich aber immer noch nicht bearbeiten. In anderen Beiträgen habe ich viel über HijackThis gelesen und habe nun auch mal das Toll installiert und hier ist das Ergebnis.
Für Hilfe aller Art freue ich mich sehr. Eigentlich würde ich ja am liebsten alles neu installieren aber mein CD-Laufwerk ist tot
VIELEN DANK!!!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:51:56, on 17.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\VdCap03C\StillMnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\PROGRA~1\AVANQU~1\Fix-It\mxtask.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\poweroff.exe
C:\WINDOWS\system32\LVComsX.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\PROGRA~1\AVANQU~1\Fix-It\mxtask.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
C:\Programme\iPod\bin\iPodService.exe
D:\TEMP\PTB706.EXE
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\Sony\VAIO Power Management\SPMgr.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [StillMnt] WCamRmv.exe /StartStillMnt
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [VirusScannerPro] C:\PROGRA~1\AVANQU~1\Fix-It\MemCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [lphc1dkj0e3d3] C:\WINDOWS\system32\lphc1dkj0e3d3.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKCU\..\Run: [InstallProgram] D:\TEMP\win37B1.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - h**p://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137529378812
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: winbfi32 - winbfi32.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Fix-It Task Manager - Avanquest North America, Inc. - C:\PROGRA~1\AVANQU~1\Fix-It\mxtask.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: Poweroff - Jorgen Bosman - C:\WINDOWS\system32\poweroff.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe

--
End of file - 8112 bytes

hi helpiswelcom und

lasse Malwarebytes scannen, log posten.

===

• Lade das SDFix (erstellt von AndyManchesta) herunter und speichere es auf deinem Desktop.

• Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
• Starte deinen Rechner neu auf, in den abgesicherten Modus.
• Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
• Gib ein Y ein, um den Reinigungsprozess zu beginnen.
• Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
• Nun wirst du darum gebeten, einen Taste zu drücken, damit dein Rechner neu aufstarten kann.
• Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
• Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
• Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
• Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
• Kopiere den Inhalt dieses Report.txt und poste ihn

====

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com - GeeksTogo.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

Vorbereitung und wichtige Hinweise

• Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme,
  die Firewall und evtl. vorhandenes Skript-Blocking deaktivieren.
• Liste der zu deaktivierenden Programme. Bei Unklarheiten bitte vorher fragen.
• Bitte die Wiederherstellungskonsole nach dieser ausführlichen Anleitung installieren.
  .
  
  .
• Bitte während des Laufs von Combofix nicht in das Combofix-Fenster klicken.
• Das könnte Dein System einfrieren oder hängen bleiben lassen.
• Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
• ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
• Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder erneuern.
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
• Teile uns das mit und warte auf unsere Anweisungen.

Anwendung

• Schließe alle Anwendungen, wenn Du Combofix laufen lässt.
• Mache einen Doppelklick auf die ComboFix.exe und folge den Anweisungen.
• Wird eine Infektion gefunden, startet Combofix den Rechner automatisch neu, um die Entfernung zu vervollständigen.
• Schließe das Fenster von Combofix nicht, sonst wirst Du einen leeren Desktop zurück behalten.
• Wenn der Scan beendet ist, wird ein Logfile erstellt, zu finden unter C:\ComboFix.txt
• Nicht vergessen, die deaktivierten Programme wieder zu aktivieren!
• Poste den Inhalt des Combofix-Logfiles hier in den Thread.

Hinweis für Mitleser

Bitte Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Hallo Schrauber,
vielen Dank für die detaillierte Antwort. Werde gleich mal loslegen und dann bereichten. Ich hoffe ich kann alles.

1000 Dank und liebe Grüße

helpiswelcome

Hallo,
so jetzt hab' ich geschafft. Letzte Hürde alles posten. Meinen Namen bzw. Websiten links habe ich mit den *** ersetzt. Hoffe das ich nichts übersehen habe. Dann wollen wir mal:

Maleware Scann (erster Einsatz):

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1166
Windows 5.1.2600 Service Pack 3

18.09.2008 09:44:45
mbam-log-2008-09-18 (09-44-34).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 87123
Laufzeit: 39 minute(s), 50 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 10
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 2
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{3f5a62e2-51f2-11d3-a075-cc7364cae42a} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Secure Solutions (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winbfi32 (Dialer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DataDisp32 (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR (Trojan.Downloader) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\InstallProgram (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\mu (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc1dkj0e3d3 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceActiveDesktopOn (Hijack.Desktop) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions (Rogue.Multiple) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Secure Solutions\Antispyware 2008 XP (Rogue.Multiple) -> No action taken.

Infizierte Dateien:
C:\Dokumente und Einstellungen\***\Anwendungsdaten\Avanquest\Fix-It\Quarantine\xpa.exe.QUAR00 (Rogue.Installer) -> No action taken.
C:\WINDOWS\system32\blphc1dkj0e3d3.scr (Fake.BlueScreenError) -> No action taken.
C:\WINDOWS\system32\winbfi32.dll (Dialer) -> No action taken.
C:\WINDOWS\system32\sex1.ico (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\sex2.ico (Malware.Trace) -> No action taken.

So, und jetzt der zweite Malware scann:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1166
Windows 5.1.2600 Service Pack 3

18.09.2008 10:32:23
mbam-log-2008-09-18 (10-32-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 87042
Laufzeit: 34 minute(s), 8 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{04D06F6C-ABE5-42EC-BFAC-95DE95CA62A7}\RP6\A0001338.scr (Fake.BlueScreenError) -> No action taken.

...und jetzt noch der Combofix Report:

ComboFix 08-09-16.05 - *** 2008-09-18 12:07:27.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.233 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\***\Desktop\WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\***\Startmenü\Programme\SpyShredder\SpyShredder.lnk
C:\Dokumente und Einstellungen\***\Startmenü\Programme\SpyShredder\Uninstall.lnk
C:\WINDOWS\Downloaded Program Files\setup.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-18 bis 2008-09-18 ))))))))))))))))))))))))))))))
.

2008-09-18 11:24 . 2008-09-18 11:24 580,096 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-09-18 11:23 . 2008-09-18 11:23 <DIR> d-------- C:\WINDOWS\ERUNT
2008-09-18 08:55 . 2008-09-18 09:02 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-18 08:55 . 2008-09-18 08:55 <DIR> d-------- C:\Dokumente und Einstellungen\Kate\Anwendungsdaten\Malwarebytes
2008-09-18 08:55 . 2008-09-18 08:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-18 08:55 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-18 08:55 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-17 19:34 . 2008-09-16 17:42 <DIR> d-------- C:\SDFix
2008-09-17 10:45 . 2008-09-17 10:45 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Avira
2008-09-17 10:33 . 2008-09-17 10:33 <DIR> d-------- C:\Programme\Avira
2008-09-17 10:33 . 2008-09-17 10:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-16 18:35 . 2008-09-16 18:35 <DIR> d-------- C:\Programme\CleanUp!
2008-09-16 15:43 . 2008-09-17 08:46 118,926 --a------ C:\WINDOWS\system32\blphc1dkj0e3d3_83c.VIR
2008-09-10 20:39 . 2008-09-10 20:39 <DIR> d-------- C:\Programme\MSXML 4.0
2008-09-09 16:48 . 2008-09-10 00:54 <DIR> d-------- C:\Programme\Tanks409d
2008-08-19 21:52 . 2008-08-19 21:52 <DIR> d-------- C:\Programme\iPod
2008-08-18 12:50 . 2008-08-18 12:50 <DIR> d-------- C:\Programme\Macromedia

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-18 09:56 --------- d-----w C:\Programme\CHIP Powertool
2008-09-18 09:55 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-16 14:16 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2008-08-19 20:01 --------- d-----w C:\Programme\Apple Software Update
2008-08-19 19:52 --------- d-----w C:\Programme\iTunes
2008-08-18 10:50 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-17 17:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-07-24 18:09 --------- d-----w C:\Programme\QuickTime
2008-07-24 17:58 --------- d-----w C:\Programme\Safari
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2005-05-20 57344]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"OfficeScanNT Monitor"="C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" [2005-04-27 335872]
"SonyPowerCfg"="C:\Programme\Sony\VAIO Power Management\SPMgr.exe" [2005-05-15 184320]
"ISBMgr.exe"="C:\Programme\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2005-06-08 458752]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2005-06-08 217088]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-05-27 6746112]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-06-12 266497]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"FoFileAssociate"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2005-05-20 18:42 73728 C:\WINDOWS\system32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 AntiVirMailService;Avira AntiVir Premium MailGuard;C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe [2008-07-11 164097]
R2 antivirwebservice;Avira AntiVir Premium WebGuard;C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE [2008-06-12 258305]
R2 AVEService;Avira AntiVir Premium MailGuard Hilfsdienst;C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe [2008-05-09 41217]
R2 Poweroff;Poweroff;C:\WINDOWS\system32\poweroff.exe [2003-08-16 172032]
R3 SPI;Programmierbares E/A-Steuergerät von Sony;C:\WINDOWS\system32\DRIVERS\SonyPI.sys [2001-08-17 37040]
S3 I97DRIVER;I97DRIVER;C:\PROGRA~1\AVANQU~1\Fix-It\dgs.sys [ ]
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-StillMnt - WCamRmv.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\zrnb8qgw.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://w*w.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://w*w.google.de/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net
Rootkit scan 2008-09-18 12:11:21
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Sygate\SPF\Smc.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\MDM.EXE
C:\Programme\Trend Micro\OfficeScan Client\NTRtScan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Trend Micro\OfficeScan Client\TmListen.exe
C:\WINDOWS\VdCap03C\StillMnt.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Trend Micro\OfficeScan Client\POP3Trap.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\iPod\bin\iPodService.exe
D:\TEMP\SBF71.EXE
C:\Programme\Trend Micro\OfficeScan Client\TSC.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-18 12:14:55 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-18 10:14:45

Vor Suchlauf: 9 Verzeichnis(se), 12,323,815,424 Bytes frei
Nach Suchlauf: 15 Verzeichnis(se), 12,435,316,736 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

148 --- E O F --- 2008-09-10 18:40:43

So, geschafft. Ich hoffe die Info hilft um mein Problem endgültig zu lösen. Im Augenblick scheint alles ok zu sein. Reicht meine Spygate Firewall und Anitvir Professional aus um sowas in Zukunft zu verhindern? Vielen, vielen Dank und ich bin wirklich sehr beeindruckt von der freundlichen, professionelen Hilfe. 10000 DANK :-)

Liebe Grüße
helpiswelcom

Vorbereitung

Lösche die vorhandene Version von Combofix und lade das Programm von einem der folgenden Download-Spiegel neu herunter:

BleepingComputer.com - ForoSpyware.com - GeeksTogo.com

und speichere es auf dem Desktop (nicht woanders hin, das ist wichtig)!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

• Denke daran, während des Laufs von Combofix Dein Antiviren-Programm temporär abzustellen.
  Danach wieder anstellen nicht vergessen!
• Wichtig: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein.
  Dies kann dazu führen, dass ComboFix sich aufhängt.

Anwendung

1. Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
   
   Code: Alles auswählenAufklappen

   ATTFilter

   Extra::
   File::
   C:\WINDOWS\system32\blphc1dkj0e3d3_83c.VIR
   Driver::
   I97DRIVER
   Firefox::
   FireFox -: Profile - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\ Profiles\zrnb8qgw.default\
   FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://w*w.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
            

2. Speichere dies als CFScript.txt auf Deinem Desktop
   .
   
   .
3. In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
4. Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

Falls im Skript die Anweisung Suspect:: oder Collect:: enthalten ist, wird eine Message-Box erscheinen, nachdem Combofix fertig ist. Klicke OK und folge den Aufforderungen/Anweisungen, um die Dateien hochzuladen.

===

Kaspersky Online Scan
Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Java muss aktiv sein. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein. Bebilderte Anleitung von sundavis.

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
Wir werden Dir helfen, die Funde manuell vom System zu entfernen.

• Browser öffnen und
• Kaspersky Online Scanner ansurfen.
• Die Datenschutzerklärung akzeptieren.
• Die nötigen ActiveX-Steuerelemente installieren lassen.
• Update der Signaturen installieren lassen => Weiter
• Scan-Einstellungen => Standard wählen => OK
• Link "Arbeitsplatz" anklicken
• Scan beginnt automatisch
• Untersuchung wurde abgeschlossen => Protokoll speichern als...
• Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern
• Logdatei hier posten.

• Deinstallation
• nicht nötig, alle Dateien werden in temporären Ordnern gespeichert
  => C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp\jkos-<Benutzername>

Zitat:

Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dardurch verbrauchen sie außer Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet, um sich eine zweite Meinung einzuholen.

Hallo,
hier die Ergebnisse. ...und ich dachte schon das ist nix mehr. Naja..

Hier die ComboFix info:

ComboFix 08-09-16.05 - Kate 2008-09-18 16:52:21.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.251 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Kate\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Kate\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Kate\Startmenü\Programme\SpyShredder\SpyShredder.lnk
C:\Dokumente und Einstellungen\Kate\Startmenü\Programme\SpyShredder\Uninstall.lnk
C:\WINDOWS\system32\blphc1dkj0e3d3_83c.VIR

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_I97DRIVER
-------\Service_I97DRIVER


((((((((((((((((((((((( Dateien erstellt von 2008-08-18 bis 2008-09-18 ))))))))))))))))))))))))))))))
.

2008-09-18 11:24 . 2008-09-18 11:24 580,096 --a--c--- C:\WINDOWS\system32\dllcache\user32.dll
2008-09-18 11:23 . 2008-09-18 11:23 <DIR> d-------- C:\WINDOWS\ERUNT
2008-09-18 08:55 . 2008-09-18 09:02 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-18 08:55 . 2008-09-18 08:55 <DIR> d-------- C:\Dokumente und Einstellungen\Kate\Anwendungsdaten\Malwarebytes
2008-09-18 08:55 . 2008-09-18 08:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-18 08:55 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-18 08:55 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-17 10:45 . 2008-09-17 10:45 <DIR> d-------- C:\Dokumente und Einstellungen\Kate\Anwendungsdaten\Avira
2008-09-17 10:33 . 2008-09-17 10:33 <DIR> d-------- C:\Programme\Avira
2008-09-17 10:33 . 2008-09-17 10:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-09-16 18:35 . 2008-09-16 18:35 <DIR> d-------- C:\Programme\CleanUp!
2008-09-10 20:39 . 2008-09-10 20:39 <DIR> d-------- C:\Programme\MSXML 4.0
2008-09-09 16:48 . 2008-09-10 00:54 <DIR> d-------- C:\Programme\Tanks409d
2008-08-19 21:52 . 2008-08-19 21:52 <DIR> d-------- C:\Programme\iPod
2008-08-18 12:50 . 2008-08-18 12:50 <DIR> d-------- C:\Programme\Macromedia

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-18 09:56 --------- d-----w C:\Programme\CHIP Powertool
2008-09-18 09:55 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-16 14:16 --------- d-----w C:\Dokumente und Einstellungen\Kate\Anwendungsdaten\Skype
2008-08-19 20:01 --------- d-----w C:\Programme\Apple Software Update
2008-08-19 19:52 --------- d-----w C:\Programme\iTunes
2008-08-18 10:50 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-17 17:24 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-07-24 18:09 --------- d-----w C:\Programme\QuickTime
2008-07-24 17:58 --------- d-----w C:\Programme\Safari
.

((((((((((((((((((((((((((((( snapshot@2008-09-18_12.14.10.53 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-07-30 17:19:20 92,504 ----a-w C:\WINDOWS\LastGood.Tmp\System32\cdm.dll
+ 2007-10-31 13:09:14 30,464 ----a-w C:\WINDOWS\LastGood.Tmp\System32\Drivers\usbaapl.sys
+ 2007-07-30 17:19:36 549,720 ----a-w C:\WINDOWS\LastGood.Tmp\System32\wuapi.dll
+ 2007-07-30 17:19:16 53,080 ----a-w C:\WINDOWS\LastGood.Tmp\System32\wuauclt.exe
+ 2007-07-30 17:19:42 1,712,984 ----a-w C:\WINDOWS\LastGood.Tmp\System32\wuaueng.dll
+ 2007-07-30 17:19:32 325,976 ----a-w C:\WINDOWS\LastGood.Tmp\System32\wucltui.dll
+ 2007-07-30 17:18:40 33,624 ----a-w C:\WINDOWS\LastGood.Tmp\System32\wups.dll
+ 2007-07-30 17:19:12 43,352 ----a-w C:\WINDOWS\LastGood.Tmp\System32\wups2.dll
+ 2007-07-30 17:19:28 203,096 ----a-w C:\WINDOWS\LastGood.Tmp\System32\wuweb.dll
- 2008-05-16 17:30:16 244,720 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
+ 2008-09-18 14:55:37 245,512 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AzMixerSel"="C:\Programme\Realtek\InstallShield\AzMixerSel.exe" [2005-05-20 57344]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"OfficeScanNT Monitor"="C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe" [2005-04-27 335872]
"SonyPowerCfg"="C:\Programme\Sony\VAIO Power Management\SPMgr.exe" [2005-05-15 184320]
"ISBMgr.exe"="C:\Programme\Sony\ISB Utility\ISBMgr.exe" [2004-02-20 32768]
"LogitechVideoRepair"="C:\Programme\Logitech\Video\ISStart.exe" [2005-06-08 458752]
"LogitechVideoTray"="C:\Programme\Logitech\Video\LogiTray.exe" [2005-06-08 217088]
"SmcService"="C:\PROGRA~1\Sygate\SPF\smc.exe" [2004-02-24 2372760]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-05-27 6746112]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-10 116040]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-06-12 266497]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"FoFileAssociate"= 0 (0x0)
"NoUserNameInStartMenu"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\VESWinlogon]
2005-05-20 18:42 73728 C:\WINDOWS\system32\VESWinlogon.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\winver.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 AntiVirMailService;Avira AntiVir Premium MailGuard;C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe [2008-07-11 164097]
R2 antivirwebservice;Avira AntiVir Premium WebGuard;C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE [2008-06-12 258305]
R2 AVEService;Avira AntiVir Premium MailGuard Hilfsdienst;C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe [2008-05-09 41217]
R2 Poweroff;Poweroff;C:\WINDOWS\system32\poweroff.exe [2003-08-16 172032]
R3 SPI;Programmierbares E/A-Steuergerät von Sony;C:\WINDOWS\system32\DRIVERS\SonyPI.sys [2001-08-17 37040]
.
Inhalt des "geplante Tasks" Ordners
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Kate\Anwendungsdaten\Mozilla\Firefox\Profiles\zrnb8qgw.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-18 16:56:15
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Sygate\SPF\Smc.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\MDM.EXE
C:\Programme\Trend Micro\OfficeScan Client\NTRtScan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Trend Micro\OfficeScan Client\TmListen.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
D:\TEMP\EQ183A.EXE
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Trend Micro\OfficeScan Client\POP3Trap.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Trend Micro\OfficeScan Client\PccNTUpd.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-18 17:01:18 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-18 15:01:11

Vor Suchlauf: 9 Verzeichnis(se), 12,483,039,232 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 12,468,981,760 Bytes frei

152 --- E O F --- 2008-09-10 18:40:43

...und jetzt der Kaspersky...ganzschön lang. Ich habe ca. 1500 mp3. Diese wurden alle gleich gelistet. Leider musste ich den report kürzen da die maximale Anzahl an Zeichen überschritten war...
--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7 REPORT
Friday, September 19, 2008
Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)
Kaspersky Online Scanner 7 version: 7.0.25.0
Program database last update: Friday, September 19, 2008 06:21:36
Records in database: 1248845
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
C:\
D:\
E:\
F:\

Scan statistics:
Files scanned: 47037
Threat name: 1
Infected objects: 1524
Suspicious objects: 0
Duration of the scan: 01:00:44


File name / Threat name / Threats count
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Beispielmusik\Beethovens Symphonie Nr. 9 (Scherzo).wma Infected: Trojan-Downloader.WMA.GetCodec.d 1
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Beispielmusik\New Stories (Highway Blues).wma Infected: Trojan-Downloader.WMA.GetCodec.d 1
C:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\music.wma Infected: Trojan-Downloader.WMA.GetCodec.d 1
C:\Programme\Movie Maker\sample.asf Infected: Trojan-Downloader.WMA.GetCodec.d 1
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\copycd.wmv Infected: Trojan-Downloader.WMA.GetCodec.d 1
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\mdlib.wmv Infected: Trojan-Downloader.WMA.GetCodec.d 1
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\nuskin.wmv Infected: Trojan-Downloader.WMA.GetCodec.d 1
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\rtuner.wmv Infected: Trojan-Downloader.WMA.GetCodec.d 1
C:\WINDOWS\Help\Tours\WindowsMediaPlayer\Video\viz.wmv Infected: Trojan-Downloader.WMA.GetCodec.d 1
C:\WINDOWS\system32\dllcache\copycd.wmv Infected: Trojan-Downloader.WMA.GetCodec.d 1
C:\WINDOWS\system32\dllcache\mdlib.wmv Infected: Trojan-Downloader.WMA.GetCodec.d 1
C:\WINDOWS\system32\dllcache\nuskin.wmv Infected: Trojan-Downloader.WMA.GetCodec.d 1
C:\WINDOWS\system32\dllcache\rtuner.wmv Infected: Trojan-Downloader.WMA.GetCodec.d 1
C:\WINDOWS\system32\dllcache\viz.wmv Infected: Trojan-Downloader.WMA.GetCodec.d 1
C:\WINDOWS\system32\oobe\images\title.wma Infected: Trojan-Downloader.WMA.GetCodec.d 1
D:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Beispielmusik\Beethovens Symphonie Nr. 9 (Scherzo).wma Infected: Trojan-Downloader.WMA.GetCodec.d 1
D:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\Beispielmusik\New Stories (Highway Blues).wma Infected: Trojan-Downloader.WMA.GetCodec.d 1
D:\Dokumente und Einstellungen\All Users\Dokumente\Eigene Musik\music.wma Infected: Trojan-Downloader.WMA.GetCodec.d 1
D:\Dokumente und Einstellungen\Kate\Eigene Dateien\Eigene Musik\iTunes\iTunes Music\3 Doors Down\The Better Life\01 Kryptonite.mp3 Infected: Trojan-Downloader.WMA.GetCodec.d 1
D:\Dokumente und Einstellungen\Kate\Eigene Dateien\Eigene Musik\iTunes\iTunes Music\3 Doors Down\The Better Life\02 Loser.mp3 Infected: Trojan-Downloader.WMA.GetCodec.d 1
*
*
*
Alle mp3 mit der gleichen Diagnose ca. 1500
*
*
*
D:\Dokumente und Einstellungen\Kate\Eigene Dateien\Eigene Musik\iTunes\iTunes Music\ZZ Top\Afterburner\01 Sleeping Bag.mp3 Infected: Trojan-Downloader.WMA.GetCodec.d 1
D:\Dokumente und Einstellungen\Kate\Eigene Dateien\Eigene Musik\iTunes\iTunes Music\ZZ Top\Deguello\09 Cheap Sunglasses.mp3 Infected: Trojan-Downloader.WMA.GetCodec.d 1
D:\Dokumente und Einstellungen\Kate\Eigene Dateien\Eigene Musik\iTunes\iTunes Music\ZZ Top\Eliminator\01 Gimme All Your Lovin.mp3 Infected: Trojan-Downloader.WMA.GetCodec.d 1
D:\Dokumente und Einstellungen\Kate\Eigene Dateien\Eigene Musik\iTunes\iTunes Music\ZZ Top\Eliminator\03 Sharp Dressed Man.mp3 Infected: Trojan-Downloader.WMA.GetCodec.d 1
D:\Dokumente und Einstellungen\Kate\Eigene Dateien\Eigene Musik\iTunes\iTunes Music\ZZ Top\Eliminator\06 Legs.mp3 Infected: Trojan-Downloader.WMA.GetCodec.d 1
D:\Dokumente und Einstellungen\Kate\Eigene Dateien\Eigene Musik\iTunes\iTunes Music\ZZ Top\Fandango\Tush.mp3 Infected: Trojan-Downloader.WMA.GetCodec.d 1
D:\Dokumente und Einstellungen\Kate\Eigene Dateien\Eigene Musik\iTunes\iTunes Music\ZZ Top\Tres Hombres\La Grange.mp3 Infected: Trojan-Downloader.WMA.GetCodec.d 1
D:\Info von Maarten Van Ooijen\Deckmaster Large Format.wmv Infected: Trojan-Downloader.WMA.GetCodec.d 1
D:\Info von Maarten Van Ooijen\Helpdesk im Mittelalter.wmv Infected: Trojan-Downloader.WMA.GetCodec.d 1

The selected area was scanned.


Vielen Dank und bis bald...

nicht schön

ich würd alle angegebenen lieder (mp3/wma) löschen. es gibt auch ein tool, das angeblich diese teile reparieren kann, aber wie das geht weiß ich leider nicht.

===

Anleitung SmitfraudFix (by S!Ri)

Klick auf das Symbol und lies die Anleitung ->
und lass das System durchsuchen. (Option 2)

• Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Preis pro Lied bei iTunes * 1500 .....einfach löschen?????

ich weiß es, aber ich denke bei kaspersky nicht an fehlalarm.

dann lass sie erstmal wo sie sind, ich überleg mir noch was, und mach bitte mit dem andern tool weiter.

Danke für die schnelle Antwort. Ich werde den nächsten scann jetzt ausführen und dann posten...

Gruß
helpiswelcom

Hallo,
dieses Tool bereit mir große Probleme. Das Ding will nicht starten. Ich habe auch schon alle download alternativen ausprobiert. Vierenscanner etc. sind alle deaktiviert. Hast Du vielleicht noch eine andere Idee oder anderes Tool?

Vielen Dank und einen schönen Tag

helpiswelcom

wie es will nicht starten? was passiert denn bei doppelklick auf die exe-datei?