Hab mir ein Virus eingefangen, dass mir immer Popups mit Werbung zu Antivirus Programmen öffnet und alle Seiten verändert, Jetzt funktioniert der Windows IE gar nicht mehr.
Avast antivirus konnte nichts finden. Mit Spyhunter hab ich folgendes gefunden:
Zlob.Trojan
Atlas DMT
DoubleClick
2o7
AvenueMedia (msmxl3a.dll)

Jedoch muss man sich das Programm kaufen,was ich erst im nachhinein gemerkt habe. Dies gilt ebenfalls für NoAdware.

Welches Programm würdet ihr mir empfehlen um die Viren zu beseitigen. Hier noch mein HijackThis file vielleicht findet ihr ja mehr.

P.S hatte bevor der IE abschmierte die Windows Firewall und Avast Antivir. Kann mir Kaspersky helfen?

Vielen Dank im Voraus.

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:45:47, on 17.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe
C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WMP54Gv4.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: HACK.SPY - {D83E84DA-D187-4300-B5D7-727727352096} - C:\WINDOWS\system32\ajktbl.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Startup: CapsUnlock.lnk = C:\Programme\CapsUnlock\CapsUnlock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2019DC25-D1C0-11D6-97B3-0008A124F542} - http://streamplug.com/StreamPlug/SP.cab
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.3.6.108.cab
O16 - DPF: {4E218431-2F07-40BD-A9D3-035324C1F13F} (DyynoX Class) - http://webserver.dyyno.com/DyynoClient/DyynoCAB.CAB
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.systemrequirementslab.com/sysreqlab2.cab
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: WMP54Gv4SVC - GEMTEKS - C:\Programme\Linksys Wireless-G PCI Wireless Network Monitor\WLService.exe

--
End of file - 6681 bytes

hi Demokrit und

lasse Malwarebytes scannen, log posten.

===

Lade Combofix von einem der folgenden Download-Spiegel herunter:

BleepingComputer.com - ForoSpyware.com - GeeksTogo.com

und speichere das Programm auf den Desktop, nicht woanders hin, das ist wichtig!
Wenn Du ComboFix bereits vorher auf dem Rechner hattest, lösche die alte Version, da ComboFix laufend aktualisiert wird.

Vorbereitung und wichtige Hinweise

• Bitte während des Scans mit Combofix Antiviren- sowie Antispy-Programme,
  die Firewall und evtl. vorhandenes Skript-Blocking deaktivieren.
• Liste der zu deaktivierenden Programme. Bei Unklarheiten bitte vorher fragen.
• Bitte die Wiederherstellungskonsole nach dieser ausführlichen Anleitung installieren.
  .
  
  .
• Bitte während des Laufs von Combofix nicht in das Combofix-Fenster klicken.
• Das könnte Dein System einfrieren oder hängen bleiben lassen.
• Es kann circa eine Viertelstunde dauern, bis der Scan fertig ist.
• ComboFix wird Deine Einstellungen in Bezug auf den Bildschirmschoner zurücksetzen.
• Diese Einstellungen kannst Du nach Beendigung unserer Bereinigung wieder erneuern.
• Mache nichts anderes, wenn es Dir nicht gelungen ist, Combofix laufen zu lassen.
• Teile uns das mit und warte auf unsere Anweisungen.

Anwendung

• Schließe alle Anwendungen, wenn Du Combofix laufen lässt.
• Mache einen Doppelklick auf die ComboFix.exe und folge den Anweisungen.
• Wird eine Infektion gefunden, startet Combofix den Rechner automatisch neu, um die Entfernung zu vervollständigen.
• Schließe das Fenster von Combofix nicht, sonst wirst Du einen leeren Desktop zurück behalten.
• Wenn der Scan beendet ist, wird ein Logfile erstellt, zu finden unter C:\ComboFix.txt
• Nicht vergessen, die deaktivierten Programme wieder zu aktivieren!
• Poste den Inhalt des Combofix-Logfiles hier in den Thread.

Hinweis für Mitleser

Bitte Combofix nicht auf eigene Faust einsetzen. Wenn keine entsprechende Infektion vorliegt, kann das den Rechner lahmlegen und/oder nachhaltig schädigen!

Ich empfele dier die kostenlose Avira Antivir Edition.

Vielen Dank für die schnellen Antworten. Zunächst der Log von Malwarebytes:

Zitat:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1163
Windows 5.1.2600 Service Pack 3

17.09.2008 17:52:19
mbam-log-2008-09-17 (17-52-19).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 115783
Laufzeit: 25 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 8
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\ajktbl.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\system32\users64.dat (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\system32\sysppua.dll (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\TypeLib\{15c7d7ad-a87a-4c0d-9d8b-637fcd3488ef} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{b038f224-f9f5-4b83-a0d0-43d68d8e3cfe} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{e062203c-7759-4b2f-8ee7-df725eed1db7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d83e84da-d187-4300-b5d7-727727352096} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d83e84da-d187-4300-b5d7-727727352096} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ucjs0l.bho (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\zooogoo (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectShow\pr (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectShow\10 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectShow\di (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DirectShow\lk1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ajktbl.dll (Trojan.FakeAlert) -> Delete on reboot.
C:\System Volume Information\_restore{6DC7E5C5-D5D6-432D-BE9B-ADFD4C74CCE9}\RP124\A0025082.exe (Rogue.Installer) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{6DC7E5C5-D5D6-432D-BE9B-ADFD4C74CCE9}\RP123\A0024860.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\users64.dat (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\system32\sysppua.dll (Trojan.FakeAlert) -> Delete on reboot.

Zitat:

Delete on reboot.

rechner neu starten, dann den rest.

@Demokrit: Nur zur Info: Spyhunter ist nicht wirklich vertrauenswürdig!

http://www.trojaner-board.de/43273-spyhunter.html

Combofix Log:

Zitat:

ComboFix 08-09-16.05 - admin 2008-09-17 18:15:36.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.626 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\admin\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\admin\Desktop\WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-17 bis 2008-09-17 ))))))))))))))))))))))))))))))
.

2008-09-17 17:23 . 2008-09-17 17:24 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-09-17 17:23 . 2008-09-17 17:23 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-17 17:23 . 2008-09-17 17:23 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Malwarebytes
2008-09-17 17:23 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-17 17:23 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-17 14:06 . 2008-09-17 15:11 <DIR> d-------- C:\Programme\NoAdware5.0
2008-09-16 21:35 . 2008-09-17 13:29 <DIR> d-------- C:\Programme\Enigma Software Group
2008-09-16 21:16 . 2008-09-16 21:16 <DIR> d-------- C:\Programme\Trend Micro
2008-09-13 23:08 . 2008-09-13 23:08 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\MiniDm
2008-09-13 23:07 . 2008-09-13 23:08 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\IEPro
2008-09-12 20:34 . 2008-09-12 20:34 <DIR> dr-h----- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\SecuROM
2008-09-12 20:34 . 2008-09-12 20:34 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-09-12 18:03 . 2008-09-12 18:03 279 --a------ C:\Verkn�pfung mit Data (D).lnk
2008-09-10 20:14 . 2008-09-10 20:14 <DIR> d-------- C:\Dokumente und Einstellungen\admin\Anwendungsdaten\ScummVM
2008-09-10 11:30 . 2008-09-10 11:30 <DIR> d-------- C:\WINDOWS\system32\de
2008-09-10 11:30 . 2008-09-10 11:30 <DIR> d-------- C:\WINDOWS\system32\bits
2008-09-10 11:30 . 2008-09-10 11:30 <DIR> d-------- C:\WINDOWS\l2schemas
2008-09-09 11:14 . 2008-04-14 04:22 69,120 --------- C:\WINDOWS\system32\wlanapi.dll
2008-09-09 11:14 . 2008-04-14 04:22 53,248 --------- C:\WINDOWS\system32\tsgqec.dll
2008-09-09 11:14 . 2008-04-14 04:22 50,688 --------- C:\WINDOWS\system32\tspkg.dll
2008-09-07 12:57 . 2008-09-07 12:57 <DIR> d-------- C:\WINDOWS\system32\Adobe
2008-08-27 23:03 . 2008-08-27 23:03 42,320 --a------ C:\WINDOWS\system32\xfcodec.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-17 13:23 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Xfire
2008-09-17 12:38 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\IGN_DLM
2008-09-17 11:24 --------- d-----w C:\Programme\QuickTime
2008-09-17 11:24 --------- d-----w C:\Programme\iTunes
2008-09-16 13:02 --------- d-----w C:\Programme\World of Warcraft
2008-09-11 14:56 --------- d-----w C:\Programme\Xfire
2008-09-04 20:52 --------- d-----w C:\Programme\ICQ6
2008-08-19 18:06 139,600 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-08-19 18:06 111,928 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-08-16 23:58 --------- d-----w C:\Programme\Poker Indicator
2008-08-14 20:49 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\ICQ
2008-08-12 20:37 --------- d-----w C:\Programme\PacificPoker
2008-08-12 20:37 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\PacificPoker
2008-08-11 18:25 --------- d-----w C:\Programme\Audiosurf
2008-08-11 14:52 --------- d-----w C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Teeworlds
2008-08-02 17:30 --------- d-----w C:\Programme\PartyGaming
2008-08-02 17:24 --------- d-----w C:\Programme\EA GAMES
2008-08-02 17:24 --------- d-----w C:\Programme\DivX
2008-07-25 10:51 --------- d-----w C:\Programme\Wolfenstein - Enemy Territory
2008-07-25 10:50 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-21 14:05 --------- d-----w C:\Programme\Teamspeak2_RC2
2008-07-20 17:05 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:26 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-23 16:14 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-18 17:52 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-12 7626752]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-12 86016]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-09-16 267048]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-09-16 413696]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-09-16 185896]
"nwiz"="nwiz.exe" [2006-07-12 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^admin^Startmenü^Programme^Autostart^ZMatrix.lnk]
path=C:\Dokumente und Einstellungen\admin\Startmenü\Programme\Autostart\ZMatrix.lnk
backup=C:\WINDOWS\pss\ZMatrix.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-04-14 04:22 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-09-16 20:38 267048 C:\Programme\iTunes\ituneshelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 15:40 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-09-16 20:38 413696 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 05:25 144784 C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2008-09-16 20:38 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Xfire\\xfire.exe"=
"D:\\TeamSpeak-Spam\\Spamer.exe"=
"C:\\Dokumente und Einstellungen\\admin\\Lokale Einstellungen\\Anwendungsdaten\\Dyyno Receiver\\DPPM.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\World of Warcraft\\WoW-1.12.0-deDE-downloader.exe"=
"C:\\Programme\\World of Warcraft\\WoW-1.12.x-to-2.0.1-deDE-patch-downloader.exe"=
"C:\\Programme\\World of Warcraft\\WoW-2.4.0-deDE-downloader.exe"=
"C:\\Programme\\Steam\\steamapps\\fgsz258\\counter-strike source\\hl2.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\EA GAMES\\Battlefield 2 Demo\\BF2.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
R1 BIOS;BIOS;C:\WINDOWS\system32\drivers\BIOS.sys [2005-03-16 13696]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
S3 adxapie;adxapie;C:\DOKUME~1\admin\LOKALE~1\Temp\adxapie.sys [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bdda3b8f-7a62-11dd-8c6b-00e04d08cebb}]
\Shell\AutoRun\command - J:\PowerSeller\NeuKunden.exe

*Newly Created Service* - GTNDIS5
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-Steam - C:\Programme\Steam\Steam.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\s7jfe84f.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-17 18:16:53
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-17 18:17:37
ComboFix-quarantined-files.txt 2008-09-17 16:17:29

Vor Suchlauf: 9 Verzeichnis(se), 20,499,136,512 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 21,391,245,312 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn /numproc=2

171 --- E O F --- 2008-09-11 14:50:55

Kaspersky Online Scan
Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Java muss aktiv sein. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss Java installiert und aktiv/erlaubt sein. Bebilderte Anleitung von sundavis.

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
Wir werden Dir helfen, die Funde manuell vom System zu entfernen.

• Browser öffnen und
• Kaspersky Online Scanner ansurfen.
• Die Datenschutzerklärung akzeptieren.
• Die nötigen ActiveX-Steuerelemente installieren lassen.
• Update der Signaturen installieren lassen => Weiter
• Scan-Einstellungen => Standard wählen => OK
• Link "Arbeitsplatz" anklicken
• Scan beginnt automatisch
• Untersuchung wurde abgeschlossen => Protokoll speichern als...
• Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern
• Logdatei hier posten.

• Deinstallation
• nicht nötig, alle Dateien werden in temporären Ordnern gespeichert
  => C:\Dokumente und Einstellungen\<Benutzername>\Lokale Einstellungen\Temp\jkos-<Benutzername>

Zitat:

Online-Scanner sind alle reine On-Demand-Scanner. Sie durchsuchen einzelne Dateien oder Verzeichnisse, wahlweise die gesamte Festplatte, haben keinen Hintergrundwächter oder andere residente Prozesse. Dardurch verbrauchen sie außer Festplattenspeicher keine Resourcen und man kann beliebig viele gleichzeitig installieren. Die Online-Scanner sind gut geeignet, um sich eine zweite Meinung einzuholen.

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 17. September 2008 21:33:20
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 17/09/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 1112375
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 83025
Viren gefunden: 0
Infizierte Objekte gefunden: 1
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:43:45

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\s7jfe84f.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\s7jfe84f.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\s7jfe84f.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\s7jfe84f.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\s7jfe84f.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\admin\Anwendungsdaten\Mozilla\Firefox\Profiles\s7jfe84f.default\urlclassifier2.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\admin\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\s7jfe84f.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\s7jfe84f.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\s7jfe84f.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\s7jfe84f.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\temp\hsperfdata_admin\2056 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\temp\hsperfdata_admin\516 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\admin\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\admin\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\admin\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\aswResp.dat Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\Avast4.db Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\nshield.log Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\selfdef.log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{6DC7E5C5-D5D6-432D-BE9B-ADFD4C74CCE9}\RP125\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Antivirus.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_5b0.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
D:\System Volume Information\_restore{6DC7E5C5-D5D6-432D-BE9B-ADFD4C74CCE9}\RP125\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Tool-Bereinigung mit OTMoveIt2
Bitte lade Dir OTMoveIt von OldTimer herunter.

• Speichere es auf Deinem Desktop.
• Doppelklick auf OTMoveIt2.exe um das Programm auszuführen.
• Klicke auf den Button "CleanUp!"
• Eine Datei* sollte nun heruntergeladen werden.
  *Das ist eine Datei mit einer Liste von Helferprogrammen, die dann automatisch von Deinem System entfernt werden.
• OTMoveit fragt eventuell nach einem Neustart.
  Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTMoveIt2 und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind.

====

F-Secure Support-Seiten: F-Secure Online-Virenscanner

diesen onlinescan machen mit dem internet explorer, log posten

===

neues hjt-log