Ms Antispyware 2009 Popups

kevkev_kevin · 17.04.2009, 23:50

das Log ist zu groß -.-"

wie aknn cih es jezt hier posten ?

john.doe · 18.04.2009, 00:14

Lade es bei einem Filehoster hoch (z.B. www.materialordner.de) und poste den Link.

ciao, andreas

kevkev_kevin · 18.04.2009, 10:25

http://www.materialordner.de/CfOXPjJvMGShuX4yiKdp2gxPggvWHr69.html

hier ist das log

john.doe · 18.04.2009, 11:55

1.) Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

ATTFilter

Files to delete:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Micros oft\Internet Explorer\Quick Launch\ICQ Status Checker.exe
D:\Treiber\ICQ Status Checker.exe
E:\Users\Kev\AppData\Local\Opera\Opera\profile\cache4\opr00D5Y
E:\Users\Kev\Downloads\ICQ Status Checker.exe
H:\Treiber\ICQ Status Checker.exe
C:\WINDOWS\System32\ftp_non_crp.exe
C:\WINDOWS\System32\ovfsthbjovjxwqewamrrqqklrxgyupumpshcke.dat
C:\WINDOWS\System32\ovfsthbsettppeirsdbontdnujagxrasghydbv.dat
C:\WINDOWS\System32\ovfsthhnuutuqnornxruhbinkuorblpviqvkyf.dat
C:\WINDOWS\System32\ovfsthljlpskcnuhsvnohorkjmmdipuuuolypy.dat
C:\WINDOWS\System32\ovfsthlxvdktehmejwsrktjcfuifhxreesbwqr.dll
C:\WINDOWS\System32\ovfsthvptheesgfcnlupyyxtaacnxnkrhvbiqi.dll
C:\WINDOWS\System32\ovfsthxibeawsynxpvtyqxlpbpnnpwnmtyajqs.dll
C:\WINDOWS\System32\perfh009.dat 
C:\WINDOWS\System32\perfh007.dat
C:\WINDOWS\System32\perfc009.dat 
C:\WINDOWS\System32\perfc007.dat

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

2.) Lade dir ComboFix noch einmal herunter und versuche es zu starten.

ciao, andreas

kevkev_kevin · 18.04.2009, 12:05

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Sat Apr 18 12:59:43 2009

12:59:43: Error: Invalid script. A valid script must begin with a command directive.
Aborting execution!

/////////////////////////////////////////

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Error: could not open file "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Micros oft\Internet Explorer\Quick Launch\ICQ Status Checker.exe"
Deletion of file "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Micros oft\Internet Explorer\Quick Launch\ICQ Status Checker.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

Error: file "D:\Treiber\ICQ Status Checker.exe" not found!
Deletion of file "D:\Treiber\ICQ Status Checker.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "E:\Users\Kev\AppData\Local\Opera\Opera\profile\cache4\opr00D5Y" deleted successfully.

Error: file "E:\Users\Kev\Downloads\ICQ Status Checker.exe" not found!
Deletion of file "E:\Users\Kev\Downloads\ICQ Status Checker.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: could not open file "H:\Treiber\ICQ Status Checker.exe"
Deletion of file "H:\Treiber\ICQ Status Checker.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist

File "C:\WINDOWS\System32\ftp_non_crp.exe" deleted successfully.
File "C:\WINDOWS\System32\ovfsthbjovjxwqewamrrqqklrxgyupumpshcke.dat" deleted successfully.
File "C:\WINDOWS\System32\ovfsthbsettppeirsdbontdnujagxrasghydbv.dat" deleted successfully.
File "C:\WINDOWS\System32\ovfsthhnuutuqnornxruhbinkuorblpviqvkyf.dat" deleted successfully.
File "C:\WINDOWS\System32\ovfsthljlpskcnuhsvnohorkjmmdipuuuolypy.dat" deleted successfully.
File "C:\WINDOWS\System32\ovfsthlxvdktehmejwsrktjcfuifhxreesbwqr.dll" deleted successfully.
File "C:\WINDOWS\System32\ovfsthvptheesgfcnlupyyxtaacnxnkrhvbiqi.dll" deleted successfully.
File "C:\WINDOWS\System32\ovfsthxibeawsynxpvtyqxlpbpnnpwnmtyajqs.dll" deleted successfully.
File "C:\WINDOWS\System32\perfh009.dat" deleted successfully.
File "C:\WINDOWS\System32\perfh007.dat" deleted successfully.
File "C:\WINDOWS\System32\perfc009.dat" deleted successfully.
File "C:\WINDOWS\System32\perfc007.dat" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

combofix funktioniert immernoch nicht,aber mein pc wird komischerweiße immer schneller ._.

john.doe · 18.04.2009, 12:17

Zitat:

aber mein pc wird komischerweiße immer schneller

So komisch ist das gar nicht.

Versuche es hiermit: http://home.hetnet.nl/~stefsmeenk/FixPolicies.exe

Anschliessend nochmal versuchen, sollte es wieder nicht funktionieren, dann teste das hier:
http://virus-protect.org/zip/comboscan.zip

Lasse auch GMER noch einmal laufen. Irgendwie habe ich das Gefühl, dass du beim ersten Lauf einige Haken herausgenommen hast.

ciao, andreas

kevkev_kevin · 18.04.2009, 12:52

soll ich das log von combofix posten ? da es eigentlich nur eine HijackThis datei ist

john.doe · 18.04.2009, 12:56

Zitat:

soll ich das log von combofix posten ?

Ja, du sollst alle Logs posten.

Zitat:

da es eigentlich nur eine HijackThis datei ist

Erstelle ein Filelisting.

Lade die Datei File-Upload.net - listing9.bat auf deinen Desktop
Doppelklicke auf listing9.bat
Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. www.materialordner.de) hochladen und hier den Link posten.

ciao, andreas

kevkev_kevin · 18.04.2009, 13:07

das ist jez das log von listenin9.bat :

http://www.materialordner.de/t8x4mVroJFMx4qmyZAdBzmOQFsXMUDMc.html

und das hier ist von combofix :

http://www.materialordner.de/eR8zA6Jz1XmAEaIsSzb2MxGHf1efpdJt.html

john.doe · 18.04.2009, 13:23

1.) Deinstalliere alles von Norton/Symantec.

2.) Download und Ausführung des Norton-Entfernungsprogramms

3.) Versuche nochmal ComboFix zu starten, der muss laufen, sonst kommen wir nicht weiter.

ciao, andreas

kevkev_kevin · 18.04.2009, 13:49

voller erfolg !
hier ist das log von combofix :

ComboFix 09-04-18.05 - Administrator 18.04.2009 14:42.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1024.722 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\mauiu.dat
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\mauiu_nav.dat
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\mauiu_navps.dat
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\ijjistarter_verinfo.dat
c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\ijjistarter2FxB.exe
c:\windows\system32\sysdm.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-03-18 bis 2009-04-18 ))))))))))))))))))))))))))))))
.

2009-04-18 12:38 . 2009-04-18 12:38 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-04-18 11:47 . 2009-04-18 12:04 -------- d-----w C:\ComboScan
2009-04-17 22:28 . 2009-04-17 22:29 -------- d-----w C:\rsit
2009-04-17 16:38 . 2009-04-17 16:38 -------- d-----w C:\cf
2009-04-17 14:21 . 2009-04-17 23:27 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TrackMania
2009-04-17 14:10 . 2005-05-26 13:34 2297552 ----a-w c:\windows\system32\d3dx9_26.dll
2009-04-15 09:30 . 2008-04-13 22:15 32128 -c--a-w c:\windows\system32\dllcache\usbccgp.sys
2009-04-15 09:30 . 2008-04-13 22:15 32128 ----a-w c:\windows\system32\drivers\usbccgp.sys
2009-04-12 18:06 . 2009-04-15 09:02 -------- d-----w c:\dokumente und einstellungen\Administrator\Tracing
2009-04-12 15:43 . 2009-04-12 15:43 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-12 15:42 . 2009-04-12 15:42 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-11 14:13 . 2009-04-11 14:13 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Yahoo!
2009-04-11 12:26 . 2009-04-11 12:26 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\IJJIGame
2009-04-10 21:12 . 2009-04-11 14:16 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-04-08 20:46 . 2009-04-08 20:46 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\PureBasic
2009-04-08 09:03 . 2009-04-08 11:36 155 ----a-w c:\windows\system32\SelfDel.bat
2009-04-08 08:46 . 2009-04-08 08:46 -------- d-s---w c:\dokumente und einstellungen\Administrator\UserData
2009-04-07 21:17 . 2009-04-07 21:17 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2009-04-07 21:17 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-04-07 21:17 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-07 21:17 . 2009-04-07 21:17 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-07 13:55 . 2009-04-07 21:31 -------- d---a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-04-07 10:00 . 2009-04-07 10:00 -------- d-----r c:\dokumente und einstellungen\NetworkService\Favoriten
2009-04-07 09:17 . 2009-02-13 09:31 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-04-04 13:56 . 2009-04-04 13:56 -------- d-----w c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Axialis
2009-04-03 12:53 . 2009-04-07 13:55 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\GetRightToGo
2009-04-02 19:08 . 2009-04-02 19:08 56 ----a-w c:\windows\kgt2k.INI
2009-04-02 19:06 . 2009-04-02 19:07 28192 ----a-w c:\windows\‚Q‚cŠi“¬ƒcƒN[ƒ‹‚Q‚Ž‚„.mid
2009-03-29 00:16 . 2005-09-28 01:31 49152 ----a-w c:\windows\system32\icon.exe
2009-03-29 00:16 . 2009-03-29 00:16 -------- d-----w c:\windows\VCP_SAVE
2009-03-29 00:16 . 2009-03-29 08:05 -------- d-----w c:\windows\VCP_TEMP
2009-03-28 16:01 . 2009-03-28 16:01 69 ----a-w c:\windows\NeroDigital.ini
2009-03-28 15:58 . 2009-03-28 15:59 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Nero
2009-03-28 15:16 . 2009-03-28 15:16 4767 ----a-w c:\windows\Irremote.ini
2009-03-28 14:25 . 2009-03-28 14:50 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2009-03-27 23:53 . 2009-03-27 23:53 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\OpenOffice.org
2009-03-26 18:44 . 2009-04-02 20:50 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\U3
2009-03-25 21:12 . 2009-03-25 21:12 73728 ----a-w c:\windows\system32\javacpl.cpl
2009-03-25 21:12 . 2009-03-25 21:12 410984 ----a-w c:\windows\system32\deploytk.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-18 12:36 . 2009-02-25 12:23 -------- d-----w c:\programme\Gemeinsame Dateien\Symantec Shared
2009-04-18 11:02 . 2009-04-18 10:59 5930 ----a-w C:\avenger.txt
2009-04-18 01:01 . 2009-02-26 18:30 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Skype
2009-04-17 23:23 . 2009-02-26 18:31 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\skypePM
2009-04-17 22:17 . 2009-03-01 17:29 -------- d-----w c:\programme\TuneUp Utilities 2009
2009-04-16 13:22 . 2009-04-16 13:22 -------- d-----w c:\programme\mresreg
2009-04-12 18:04 . 2009-04-12 18:01 -------- d-----w c:\programme\Windows Live
2009-04-12 18:03 . 2009-04-12 18:03 -------- d-----w c:\programme\Microsoft
2009-04-12 18:02 . 2009-04-12 18:02 -------- d-----w c:\programme\Windows Live SkyDrive
2009-04-12 17:54 . 2009-04-12 17:54 -------- d-----w c:\programme\Gemeinsame Dateien\Windows Live
2009-04-12 17:54 . 2009-02-25 12:20 20736 ----a-w c:\dokumente und einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-12 15:47 . 2009-03-05 18:56 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\teamspeak2
2009-04-12 14:20 . 2009-04-11 14:13 -------- d-----w c:\programme\Yahoo!
2009-04-12 14:19 . 2009-02-26 17:58 -------- d-----w c:\programme\Winamp Toolbar
2009-04-12 11:43 . 2009-03-04 20:51 -------- d-----w c:\programme\Gemeinsame Dateien\DVDVideoSoft
2009-04-12 11:42 . 2009-02-26 19:13 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\McLoad
2009-04-12 11:39 . 2009-03-25 21:12 -------- d-----w c:\programme\Java
2009-04-12 11:38 . 2009-03-07 21:51 -------- d-----w c:\programme\Google
2009-04-07 14:24 . 2009-04-07 11:34 -------- d-----w c:\programme\Enigma Software Group
2009-03-29 22:23 . 2009-03-29 22:23 -------- d-----w c:\programme\MSXML 4.0
2009-03-29 00:16 . 2009-03-29 00:16 -------- d-----w c:\programme\Wallpapers
2009-03-29 00:16 . 2009-03-29 00:16 -------- d-----w c:\programme\Fonts
2009-03-28 15:56 . 2009-03-28 14:25 -------- d-----w c:\programme\Gemeinsame Dateien\Nero
2009-03-28 15:13 . 2009-03-28 14:27 -------- d-----w c:\programme\Nero
2009-03-27 23:48 . 2009-03-27 23:48 -------- d-----w c:\programme\JRE
2009-03-27 23:48 . 2009-03-27 23:48 -------- d-----w c:\programme\OpenOffice.org 3
2009-03-25 18:25 . 2009-02-25 11:59 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ICQ
2009-03-18 20:46 . 2009-03-18 20:11 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\concept design
2009-03-18 17:36 . 2009-02-25 12:01 -------- d--h--w c:\programme\InstallShield Installation Information
2009-03-13 20:51 . 2009-03-01 20:15 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\dvdcss
2009-03-11 19:32 . 2009-03-08 18:23 -------- d--h--w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\ijjigame
2009-03-10 17:37 . 2009-03-04 16:00 -------- d-----w c:\programme\ICQ6.5
2009-03-08 18:23 . 2009-03-08 18:23 -------- d-----w c:\programme\NHN USA
2009-03-08 15:19 . 2009-03-08 15:07 -------- d-----w c:\programme\Postal2
2009-03-07 21:56 . 2009-03-07 21:56 -------- d-----w c:\programme\Gemeinsame Dateien\xing shared
2009-03-07 21:56 . 2009-03-07 21:55 -------- d-----w c:\programme\Gemeinsame Dateien\Real
2009-03-07 21:55 . 2009-03-07 21:55 499712 ----a-w c:\windows\system32\msvcp71.dll
2009-03-07 21:55 . 2009-03-07 21:55 348160 ----a-w c:\windows\system32\msvcr71.dll
2009-03-07 16:03 . 2009-03-07 16:03 -------- d-----w c:\programme\Skype
2009-03-07 16:03 . 2009-02-26 18:30 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-03-07 16:03 . 2009-03-07 16:03 -------- d-----w c:\programme\Gemeinsame Dateien\Skype
2009-03-05 13:29 . 2009-02-25 12:01 -------- d-----w c:\programme\ICQ6Toolbar
2009-03-04 16:02 . 2009-02-25 12:01 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ICQ
2009-03-01 22:47 . 2009-02-26 21:54 -------- d-----w c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-03-01 20:36 . 2009-03-01 20:15 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\vlc
2009-03-01 17:30 . 2009-03-01 17:30 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\TuneUp Software
2009-03-01 17:29 . 2009-03-01 17:29 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-03-01 17:29 . 2009-03-01 17:29 -------- d-sh--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-02-27 22:40 . 2009-02-27 15:35 -------- d-----w c:\programme\ICQLite
2009-02-26 23:44 . 2009-02-26 23:44 -------- d-----w c:\programme\Disney
2009-02-26 21:56 . 2009-02-26 21:56 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Blizzard
2009-02-26 18:31 . 2009-02-26 17:55 -------- d-----w c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Winamp
2009-02-26 18:02 . 2009-02-26 17:58 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\OrbNetworks
2009-02-26 17:58 . 2009-02-26 17:57 -------- d-----w c:\programme\Winamp Remote
2009-02-26 17:47 . 2009-02-25 12:10 -------- d-----w c:\programme\TVgenial
2009-02-26 17:33 . 2009-02-26 17:33 -------- d-----w c:\programme\Opera
2009-02-24 16:41 . 2009-02-24 16:41 8192 --sha-r C:\BOOTSECT.BAK
2009-02-24 15:38 . 2009-02-24 15:05 86327 ----a-w c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-02-24 15:31 . 2004-08-03 20:59 251712 --sha-r C:\ntldr
2009-02-24 15:07 . 2009-02-24 15:07 -------- d-----w c:\programme\microsoft frontpage
2009-02-24 15:04 . 2009-02-24 15:04 -------- d-----w c:\programme\Online-Dienste
2009-02-24 15:04 . 2009-02-24 15:04 -------- d-----w c:\programme\Gemeinsame Dateien\Dienste
2009-02-24 15:03 . 2009-02-24 15:03 21740 ----a-w c:\windows\system32\emptyregdb.dat
2009-02-09 14:04 . 2004-08-03 22:46 1846912 ----a-w c:\windows\system32\win32k.sys
2009-02-06 16:52 . 2009-02-06 16:52 49504 ----a-w c:\windows\system32\sirenacm.dll
.

------- Sigcheck -------

[-] 2008-04-14 06:52 4922880 5C68BAA6D3A3A4E8892ABB1A878EACF9 c:\windows\explorer.exe
[7] 2004-08-03 22:57 1035264 22FE1BE02EADDE1632E478E4125639E0 c:\windows\$NtServicePackUninstall$\explorer.exe
[-] 2008-04-14 06:52 4922880 5C68BAA6D3A3A4E8892ABB1A878EACF9 c:\windows\ServicePackFiles\i386\explorer.exe
[7] 2008-04-14 06:52 1036800 418045A93CD87A352098AB7DABE1B53E c:\windows\VCP_SAVE\explorer.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2008-04-14 110592]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Orb"="c:\programme\Winamp Remote\bin\OrbTray.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"c:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"c:\\ijji\\ENGLISH\\u_gunz.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des [2009-02-17 2741114]
R3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\DRIVERS\s0016bus.sys [2008-05-16 89256]
R3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s0016mdfl.sys [2008-05-16 15016]
R3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s0016mdm.sys [2008-05-16 120744]
R3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s0016mgmt.sys [2008-05-16 114216]
R3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\DRIVERS\s0016nd5.sys [2008-05-16 25512]
R3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s0016obex.sys [2008-05-16 110632]
R3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\DRIVERS\s0016unic.sys [2008-05-16 115752]

.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKU-Default-Run-InetChk - c:\windows\TEMP\ms1239179580.exe

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de
uInternet Connection Wizard,ShellNext = hxxp://www.yodl.de/?&affid=1&uid=71B09C68-7321-47FB-95DB-9C693AF0AE2B
FF - ProfilePath - c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\psnxfana.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.de/search?q=
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - prefs.js: keyword.URL - hxxp://www.google.de/search?q=
FF - component: c:\dokumente und einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\psnxfana.default\extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f}\components\WinampTBPlayer.dll
FF - component: d:\programme\Realplayer\browserrecord\components\nprpbrowserrecordplugin.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npijjiCHPlugin.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npijjiFFPlugin1.dll
FF - plugin: d:\programme\Realplayer\Netscape6\nppl3260.dll
FF - plugin: d:\programme\Realplayer\Netscape6\nprjplug.dll
FF - plugin: d:\programme\Realplayer\Netscape6\nprpjplug.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-18 14:44
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
Zeit der Fertigstellung: 2009-04-18 14:46
ComboFix-quarantined-files.txt 2009-04-18 12:46

Vor Suchlauf: 17 Verzeichnis(se), 12.827.262.976 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 12.899.131.392 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
;
;Warning: Boot.ini is used on Windows XP and earlier operating systems.
;Warning: Use BCDEDIT.exe to modify Windows Vista boot options.
;
[boot loader]
timeout=2
default=signature(c49fc56)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
signature(c49fc56)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /NOEXECUTE=OPTIN /FASTDETECT

223 --- E O F --- 2009-03-29 22:23

john.doe · 18.04.2009, 14:06

Teste mal bitte folgendes:

Start => Ausführen => cmd => OK
sc stop npggsvc [Enter]
exit [Enter]
Teste, ob Gunz danach noch funktioniert.

ciao, andreas

kevkev_kevin · 18.04.2009, 14:41

gunz funktioniert noch ja

john.doe · 18.04.2009, 14:45

Ich bastele dir ein Script, dafür brauche ich allerdings einige Zeit. Da hat sich ziemlich viel Müll angesammelt.

Bis später,
Andreas

kevkev_kevin · 18.04.2009, 14:52

okay

bis später

Ms Antispyware 2009 Popups

Antiviren-, Firewall- und andere Schutzprogramme: Ms Antispyware 2009 Popups