Laptop nach Virus sehr langsam

OmG · 08.05.2009, 16:10

Hey,

Also mein Laptop ist nach einen Virus sehr langsam geworden.

Habe schon mehrmals mit verschiedenen Antivirenprogramme gescannt..
Naja vllt wisst ihr mir zu helfen.

Logfile of HijackThis v1.99.1
Scan saved at 17:05:24, on 08.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AQUIP\54M Wireless\Mrv8000x.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
C:\Programme\Mozilla Firefox\firefox.exe
\?\globalroot\C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Dokumente und Einstellungen\***\Desktop\pruefung.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O2 - BHO: (no name) - {019ca99e-a57a-42cb-ae25-af9ee2420d14} - C:\WINDOWS\system32\eorwvjpf.dll
O2 - BHO: (no name) - {06e13b3e-8fa5-4c33-a1bf-ec15d9ce6b68} - c:\windows\system32\yupqbax.dll
O2 - BHO: (no name) - {6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} - C:\WINDOWS\system32\nnnliIYo.dll
O2 - BHO: (no name) - {BE0BD34C-4215-4DBA-B08B-43FC8C60C5FA} - C:\WINDOWS\system32\tuvUNhHw.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [dcdd6ba2] rundll32.exe "C:\WINDOWS\system32\gxyofqpd.dll",b
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O4 - Global Startup: 54M Wireless.lnk = ?
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: nnnliiyo - C:\WINDOWS\SYSTEM32\nnnliIYo.dll
O20 - Winlogon Notify: ynkthcoo - C:\WINDOWS\SYSTEM32\yupqbax.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - %fystemRoot%\system32\svchost.exe (file missing)
O23 - Service: F-PROT Antivirus for Windows system (fpavserver) - FRISK Software International - C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - %fystemroot%\system32\svchost.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Mfg OmG

john.doe · 08.05.2009, 16:37

Hallo und

Zitat:

Also mein Laptop ist nach einen Virus sehr langsam geworden.

Naja, hundert trifft es wohl eher.

1.) Deinstalliere entweder F-Prot oder Bitdefender. Niemals mehr als ein Antivirenprogramm installieren.

2.) Versuche die Dateien

Code:

ATTFilter

C:\WINDOWS\system32\eorwvjpf.dll
c:\windows\system32\yupqbax.dll
C:\WINDOWS\system32\nnnliIYo.dll
C:\WINDOWS\system32\tuvUNhHw.dll

auf deinen Desktop zu kopieren.

3.) Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

O2 - BHO: (no name) - {019ca99e-a57a-42cb-ae25-af9ee2420d14} - C:\WINDOWS\system32\eorwvjpf.dll
O2 - BHO: (no name) - {06e13b3e-8fa5-4c33-a1bf-ec15d9ce6b68} - c:\windows\system32\yupqbax.dll
O2 - BHO: (no name) - {6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} - C:\WINDOWS\system32\nnnliIYo.dll
O2 - BHO: (no name) - {BE0BD34C-4215-4DBA-B08B-43FC8C60C5FA} - C:\WINDOWS\system32\tuvUNhHw.dll
O4 - HKLM\..\Run: [dcdd6ba2] rundll32.exe "C:\WINDOWS\system32\gxyofqpd.dll",b
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O20 - Winlogon Notify: nnnliiyo - C:\WINDOWS\SYSTEM32\nnnliIYo.dll
O20 - Winlogon Notify: ynkthcoo - C:\WINDOWS\SYSTEM32\yupqbax.dll
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - %fystemRoot%\system32\svchost.exe (file missing)
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - %fystemroot%\system32\svchost.exe (file missing)

=> Fix checked => starte den Rechner neu.

4.) Lade bitte folgende Dateien

Code:

ATTFilter

C:\WINDOWS\system32\gxyofqpd.dll
C:\WINDOWS\system32\autochk.dll
C:\WINDOWS\SYSTEM32\nnnliIYo.dll
C:\WINDOWS\SYSTEM32\yupqbax.dll
C:\WINDOWS\SYSTEM32\ChkDisk.dll

und die vier Dateien vom Desktop gemäß dieser Anleitung bei uns hoch.

5.) Klicke auf "Für alle Neuen" in meiner Signatur, lies alles aufmerksam und arbeite die komplette Liste unter Punkt 2 ab. Lade dir auch ein aktuelles HJT runter. Den Downloadlink findest du in der Anleitung.

ciao, andreas

OmG · 08.05.2009, 17:39

Erstma von Antivirenscan:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1945
Windows 5.1.2600 Service Pack 2

08.05.2009 18:31:19
mbam-log-2009-05-08 (18-31-19).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 87063
Laufzeit: 19 minute(s), 1 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 3
Infizierte Registrierungsschlüssel: 11
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 6
Infizierte Verzeichnisse: 0
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\gxyofqpd.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\nnnliIYo.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\eorwvjpf.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\nnnliiyo (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{019ca99e-a57a-42cb-ae25-af9ee2420d14} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{019ca99e-a57a-42cb-ae25-af9ee2420d14} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{019ca99e-a57a-42cb-ae25-af9ee2420d14} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dcdd6ba2 (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\nnnliIYo.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\gxyofqpd.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\dpqfoyxg.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\eorwvjpf.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Desktop\eorwvjpf.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Desktop\nnnliIYo.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Desktop\backups\backup-20090508-175042-426.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\t55ft2692f44.dat (Trojan.KoobFace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\autochk.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Anwendungsdaten\Microsoft\Windows\lsass.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\LocalService\protect.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Waaaaaaaaaaah\protect.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Waaaaaaaaaaah\lsass.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Und von HJT:

Logfile of HijackThis v1.99.1
Scan saved at 18:37:58, on 08.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AQUIP\54M Wireless\Mrv8000x.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
\?\globalroot\C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Desktop\pruefung.com

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O2 - BHO: (no name) - {06E13B3E-8FA5-4C33-A1BF-EC15D9CE6B68} - c:\windows\system32\yupqbax.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\nnnliIYo.dll
O2 - BHO: (no name) - {BE0BD34C-4215-4DBA-B08B-43FC8C60C5FA} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
O4 - HKLM\..\Run: [dcdd6ba2] rundll32.exe "C:\WINDOWS\system32\gxyofqpd.dll",b
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [ Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOKUME~1\WAAAAA~1\protect.dll,_IWMPEvents@16
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O4 - Global Startup: 54M Wireless.lnk = ?
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: nnnliIYo - C:\WINDOWS\SYSTEM32\nnnliIYo.dll
O20 - Winlogon Notify: ynkthcoo - C:\WINDOWS\SYSTEM32\yupqbax.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - %fystemRoot%\system32\svchost.exe (file missing)
O23 - Service: F-PROT Antivirus for Windows system (fpavserver) - FRISK Software International - C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - %fystemroot%\system32\svchost.exe (file missing)

Danke erstma

john.doe · 08.05.2009, 17:49

Du solltest dir doch ein neues HJT runterladen.

Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

OmG · 08.05.2009, 18:22

Ahh Sorry nich haun!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:19:41, on 08.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AQUIP\54M Wireless\Mrv8000x.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\dumprep.exe
C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Desktop\HiJackThis.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
O2 - BHO: (no name) - {019CA99E-A57A-42CB-AE25-AF9EE2420D14} - C:\WINDOWS\system32\eorwvjpf.dll (file missing)
O2 - BHO: (no name) - {06E13B3E-8FA5-4C33-A1BF-EC15D9CE6B68} - c:\windows\system32\yupqbax.dll (file missing)
O2 - BHO: (no name) - {BE0BD34C-4215-4DBA-B08B-43FC8C60C5FA} - (no file)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
O4 - HKLM\..\Run: [dcdd6ba2] rundll32.exe "C:\WINDOWS\system32\gxyofqpd.dll",b
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOKUME~1\WAAAAA~1\protect.dll,_IWMPEvents@16
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ChkDisk.dll (User 'SYSTEM')
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O4 - Global Startup: 54M Wireless.lnk = ?
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: ynkthcoo - yupqbax.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-PROT Antivirus for Windows system (fpavserver) - FRISK Software International - C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PsExec (PSEXESVC) - Sysinternals - C:\WINDOWS\PSEXESVC.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 4064 bytes

Bei ComboFix kommt nach kurzer Zeit Bluescreen.

john.doe · 08.05.2009, 18:47

Das Zeug ist ja die Pest.

Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=localhost:7171
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local;
O2 - BHO: (no name) - {019CA99E-A57A-42CB-AE25-AF9EE2420D14} - C:\WINDOWS\system32\eorwvjpf.dll (file missing)
O2 - BHO: (no name) - {06E13B3E-8FA5-4C33-A1BF-EC15D9CE6B68} - c:\windows\system32\yupqbax.dll (file missing)
O2 - BHO: (no name) - {BE0BD34C-4215-4DBA-B08B-43FC8C60C5FA} - (no file)
O4 - HKLM\..\Run: [dcdd6ba2] rundll32.exe "C:\WINDOWS\system32\gxyofqpd.dll",b
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOKUME~1\WAAAAA~1\protect.dll,_IWMPEvents@16
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ChkDisk.dll (User 'SYSTEM')
O4 - S-1-5-18 Startup: ChkDisk.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user')
O4 - .DEFAULT Startup: ChkDisk.lnk = ? (User 'Default user')
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O20 - Winlogon Notify: ynkthcoo - yupqbax.dll (file missing)

=> Fix checked => Neustart => Starte in den abgesicherten Modus.

Versuche nochmal ComboFix zu starten.

ciao, andreas

OmG · 08.05.2009, 19:37

Ok..

ComboFix 09-05-07.A01 - Waaaaaaaaaaah 08.05.2009 20:01:51.2 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.509.340 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Desktop\ComboFix.exe
AV: F-PROT Antivirus for Windows *On-access scanning enabled* (Outdated)
* Resident AV is active

.
/wow section - STAGE 1
Der Befehl "PV" ist entweder falsch geschrieben oder
konnte nicht gefunden werden.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\yupqbax.dll
.
---- Vorheriger Suchlauf -------
.
C:\DOKUME~1\WAAAAA~1\LOKALE~1\Temp\tmp2.tmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Anwendungsdaten\QUAD Backups
C:\Programme\QUAD Utilities
C:\Programme\QUAD Utilities\QUAD Registry Cleaner\program.log
C:\Programme\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner website.url
C:\Programme\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner.exe
C:\Programme\QUAD Utilities\QUAD Registry Cleaner\QUAD Scheduler.exe
C:\Programme\QUAD Utilities\QUAD Registry Cleaner\Styles\Vista.cjstyles
C:\Programme\QUAD Utilities\QUAD Registry Cleaner\uninst.exe
C:\Programme\QUAD Utilities\QUAD Registry Cleaner\Vista Scheduler.dll
C:\WINDOWS\system32\config\systemprofile\protect.dll
C:\WINDOWS\system32\drivers\ovfsthxmehhkdpx.sys
C:\WINDOWS\system32\eorwvjpf.dll
C:\WINDOWS\system32\ovfsthxjlreecxa.dll
C:\WINDOWS\system32\ovfsthxkkasflxf.dat
C:\WINDOWS\system32\ovfsthxqqmehxnr.dat
C:\WINDOWS\system32\ovfsthxvwpwhxxn.dll
C:\WINDOWS\system32\ovfsthxwbnyksdo.dll
C:\WINDOWS\system32\SYS32DLL.exe
C:\WINDOWS\system32\uniq.tll
C:\WINDOWS\system32\vvepsgnf.dll
C:\WINDOWS\system32\wHhNUvut.ini
C:\WINDOWS\system32\wHhNUvut.ini2
C:\WINDOWS\system32\xmnrgh.dll
C:\WINDOWS\system32\yupqbax.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthxqjnkvsty
-------\Legacy_qobhihav
-------\Service_qobhihav
-------\Legacy_qobhihav
-------\Service_qobhihav

((((((((((((((((((((((( Dateien erstellt von 2009-04-08 bis 2009-05-08 ))))))))))))))))))))))))))))))
.

2009-05-08 16:08:14 . 2009-05-08 16:08:14 0 d-----w C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Anwendungsdaten\Malwarebytes
2009-05-08 16:08:04 . 2009-04-06 13:32:46 15504 ----a-w C:\WINDOWS\system32\drivers\mbam.sys
2009-05-08 16:08:02 . 2009-04-06 13:32:54 38496 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2009-05-08 16:08:01 . 2009-05-08 16:08:01 0 d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-08 16:08:00 . 2009-05-08 16:08:11 0 d-----w C:\Programme\Malwarebytes' Anti-Malware
2009-05-08 16:06:37 . 2009-05-08 16:06:49 0 d-----w C:\Programme\CCleaner
2009-05-08 11:09:31 . 2009-05-08 11:09:31 0 d-----w C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Anwendungsdaten\FRISK Software
2009-05-08 11:08:02 . 2008-03-28 12:06:28 592224 ----a-w C:\WINDOWS\system32\drivers\FStopW.sys
2009-05-08 11:07:54 . 2009-05-08 11:07:55 0 dc----w C:\WINDOWS\system32\DRVSTORE
2009-05-08 11:07:35 . 2009-05-08 11:07:35 0 d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FRISK Software
2009-05-08 11:07:31 . 2009-05-08 11:07:31 0 d-----w C:\Programme\FRISK Software
2009-05-08 10:03:49 . 2009-05-08 10:03:49 0 d-----w C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\tqvkzcdx
2009-05-08 10:03:49 . 2009-05-08 10:03:49 0 d-----w C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\tqvkzcdx
2009-05-08 09:59:26 . 2009-05-08 09:59:26 0 d-----w C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Anwendungsdaten\tqvkzcdx
2009-05-08 09:59:26 . 2009-05-08 09:59:26 0 d-----w C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Lokale Einstellungen\Anwendungsdaten\tqvkzcdx
2009-05-08 08:00:06 . 2009-05-08 08:00:06 0 d-----w C:\PCWELT
2009-05-07 22:06:33 . 2009-05-08 07:40:37 0 d-----w C:\WINDOWS\system32\796525
2009-05-07 22:05:02 . 2009-05-08 12:46:55 0 ----a-w C:\WINDOWS\system32\drivers\f521c340.sys
2009-05-07 22:04:50 . 2009-05-07 22:05:17 205312 ----a-w C:\ofrs.exe
2009-05-07 22:03:57 . 2009-05-07 22:04:03 81920 ----a-w C:\yimq.exe
2009-05-07 22:02:46 . 2009-05-07 22:02:46 12328 ----a-w C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-05-07 21:59:49 . 2009-05-07 21:59:50 604416 ----a-w C:\WINDOWS\system32\TUProgSt.exe
2009-05-07 21:59:43 . 2009-03-20 13:01:04 28416 ----a-w C:\WINDOWS\system32\uxtuneup.dll
2009-05-07 21:59:36 . 2009-05-07 21:59:37 360704 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe
2009-05-07 21:59:23 . 2009-05-07 21:59:23 0 d-----w C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Anwendungsdaten\TuneUp Software
2009-05-07 21:57:58 . 2009-05-07 21:57:58 0 d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2009-05-07 21:57:55 . 2009-05-08 18:00:36 0 d-----w C:\Programme\TuneUp Utilities 2009
2009-05-07 21:57:29 . 2009-05-07 21:57:29 0 d-sh--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{55A29068-F2CE-456C-9148-C869879E2357}
2009-05-07 21:45:17 . 2009-05-07 21:45:17 0 d-----w C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Lokale Einstellungen\Anwendungsdaten\Help
2009-05-07 21:45:03 . 2009-05-07 21:45:17 0 d-----w C:\Programme\WebWasher
2009-05-07 19:47:59 . 2009-05-08 09:09:23 34 ----a-w C:\Dokumente und Einstellungen\Waaaaaaaaaaah\jagex_runescape_preferences.dat
2009-05-07 19:47:44 . 2009-05-07 19:47:44 0 d-----w C:\WINDOWS\.jagex_cache_32
2009-05-07 17:47:05 . 2009-05-07 17:47:06 22528 ----a-w C:\WINDOWS\system32\loader49.exe
2009-05-07 17:32:03 . 2009-05-08 16:08:16 27648 ----a-w C:\WINDOWS\system32\lmn_setup.exe
2009-05-07 17:20:13 . 2009-05-08 09:39:53 0 d-----w C:\Programme\Steam
2009-05-07 16:50:48 . 2009-05-07 16:50:50 0 d-----w C:\Programme\ATI Technologies
2009-05-07 16:50:07 . 2009-05-07 16:50:07 0 d-----w C:\ATI
2009-05-07 12:35:02 . 2009-05-07 12:37:04 0 d-----w C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Lokale Einstellungen\Anwendungsdaten\S2
2009-05-07 12:33:55 . 2009-05-07 12:33:55 0 d--h--r C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Anwendungsdaten\SecuROM
2009-05-07 12:33:46 . 2009-05-07 12:33:46 98304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2009-05-07 12:21:43 . 2009-05-07 12:21:43 0 d-----w C:\Programme\Ubisoft
2009-05-07 12:08:48 . 2009-05-07 12:08:48 0 d-----w C:\Programme\FireFly Studios
2009-05-07 11:47:00 . 2009-05-07 17:56:20 0 d-----w C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Anwendungsdaten\Auslogics
2009-05-07 11:36:05 . 2009-05-07 11:36:05 552 ----a-w C:\WINDOWS\system32\d3d8caps.dat
2009-05-07 11:33:41 . 2009-05-07 11:33:46 0 d--h--w C:\WINDOWS\system32\GroupPolicy
2009-05-07 11:21:14 . 2009-05-07 11:21:14 0 d-----w C:\Programme\Jowood
2009-05-07 11:14:17 . 2005-01-04 09:43:08 4682 ----a-w C:\WINDOWS\system32\npptNT2.sys
2009-05-07 11:14:15 . 2009-05-07 11:14:15 0 d-----w C:\Program Files
2009-05-07 11:13:06 . 2008-05-30 21:37:02 891400 ----a-w C:\WINDOWS\system32\xaudioD2_1.dll
2009-05-07 11:13:04 . 2008-05-30 21:36:06 111624 ----a-w C:\WINDOWS\system32\XAPOFXD1_0.dll
2009-05-07 11:13:04 . 2008-05-30 21:33:53 287752 ----a-w C:\WINDOWS\system32\XactEngineD3_1.dll
2009-05-07 11:13:03 . 2008-05-30 21:34:03 362504 ----a-w C:\WINDOWS\system32\XactEngineA3_1.dll
2009-05-07 11:13:03 . 2008-05-30 21:34:34 49672 ----a-w C:\WINDOWS\system32\X3DAudioD1_4.dll
2009-05-07 11:13:03 . 2008-05-30 21:34:03 361992 ----a-w C:\WINDOWS\system32\dinput8d.dll
2009-05-07 11:13:03 . 2008-05-30 21:37:16 4012040 ----a-w C:\WINDOWS\system32\D3dx9d_38.dll
2009-05-07 11:13:02 . 2008-05-30 21:37:16 3799048 ----a-w C:\WINDOWS\system32\d3dx9d_33.dll
2009-05-07 11:12:58 . 2008-05-30 21:34:42 512008 ----a-w C:\WINDOWS\system32\D3DX10d_38.dll
2009-05-07 11:12:58 . 2008-05-30 21:34:03 351752 ----a-w C:\WINDOWS\system32\d3dref9.dll
2009-05-07 11:12:57 . 2008-05-30 21:37:15 3086856 ----a-w C:\WINDOWS\system32\d3d9d.dll
2009-05-07 11:07:26 . 2009-05-07 11:12:37 0 d-----w C:\Programme\Microsoft DirectX SDK (June 2008)
2009-05-07 11:07:07 . 2009-05-07 11:07:07 140296 ----a-w C:\WINDOWS\dxsdkuninst.exe
2009-05-07 09:59:58 . 2009-05-07 09:59:58 0 d-----w C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Lokale Einstellungen\Anwendungsdaten\Identities
2009-05-07 08:53:51 . 2004-08-03 22:57:40 221184 ----a-w C:\WINDOWS\system32\wmpns.dll
2009-05-06 20:22:01 . 2009-05-08 15:42:51 81984 ----a-w C:\WINDOWS\system32\bdod.bin
2009-05-06 20:15:45 . 2009-05-08 15:43:21 0 d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender
2009-05-06 20:14:59 . 2009-05-06 20:16:27 0 d-----w C:\Programme\Gemeinsame Dateien\Softwin
2009-05-06 19:52:26 . 2009-05-06 19:52:26 0 d-----w C:\WINDOWS\Sun
2009-05-06 19:39:05 . 2009-05-06 19:39:05 0 d-----w C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-06 19:39:05 . 2009-05-06 19:39:05 0 d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-06 19:31:14 . 2009-05-06 19:30:29 410984 ----a-w C:\WINDOWS\system32\deploytk.dll
2009-05-06 19:30:09 . 2009-05-06 19:30:09 0 d-----w C:\Programme\Java
2009-05-06 19:04:28 . 2009-05-06 19:04:28 0 d-----w C:\WINDOWS\system32\KB905474
2009-05-06 19:04:28 . 2009-03-10 20:26:34 1436544 ----a-w C:\WINDOWS\system32\KB905474\wganotifypackageinner.exe
2009-05-06 19:04:28 . 2009-03-10 20:18:12 455048 ----a-w C:\WINDOWS\system32\KB905474\wgasetup.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-08 09:32:09 . 2009-05-06 18:38:47 664 ----a-w C:\WINDOWS\system32\d3d9caps.dat
2009-05-08 08:10:23 . 2001-08-18 10:00:00 70976 ----a-w C:\WINDOWS\system32\perfc007.dat
2009-05-08 08:10:23 . 2001-08-18 10:00:00 405692 ----a-w C:\WINDOWS\system32\perfh007.dat
2009-05-07 16:50:48 . 2009-05-06 17:54:38 0 d--h--w C:\Programme\InstallShield Installation Information
2009-05-06 18:31:55 . 2009-05-06 18:31:45 0 d-----w C:\Programme\Realtek AC97
2009-05-06 18:30:46 . 2009-05-06 18:04:40 0 d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2009-05-06 18:19:20 . 2009-05-06 18:19:20 56 ---ha-w C:\WINDOWS\system32\ezsidmv.dat
2009-05-06 18:15:33 . 2009-05-06 18:15:23 0 d-----r C:\Programme\Skype
2009-05-06 18:15:31 . 2009-05-06 18:15:31 0 d-----w C:\Programme\Gemeinsame Dateien\Skype
2009-05-06 18:04:04 . 2009-05-06 18:04:01 0 d-----w C:\Programme\MultiRes
2009-05-06 18:03:01 . 2009-05-06 18:03:00 472576 ----a-w C:\WINDOWS\Radeon Omega Drivers v4.8.442 Uninstall.exe
2009-05-06 18:03:00 . 2009-05-06 18:03:00 0 d-----w C:\Programme\Radeon Omega Drivers
2009-05-06 17:57:42 . 2009-05-06 17:57:42 0 ----a-w C:\WINDOWS\nsreg.dat
2009-05-06 17:57:07 . 2009-05-06 17:57:07 0 d-----w C:\Programme\VideoLAN
2009-05-06 17:54:38 . 2009-05-06 17:54:38 0 d-----w C:\Programme\AQUIP
2009-05-06 17:45:31 . 2009-05-06 17:45:31 0 d-----w C:\Programme\microsoft frontpage
2009-05-06 17:44:07 . 2001-08-18 10:00:00 67 --sha-w C:\WINDOWS\Fonts\desktop.ini
2009-05-06 17:43:50 . 2009-05-06 17:43:41 86327 ----a-w C:\WINDOWS\pchealth\helpctr\OfflineCache\index.dat
2009-05-06 17:42:33 . 2009-05-06 17:42:33 0 d-----w C:\Programme\Online-Dienste
2009-05-06 17:41:39 . 2009-05-06 17:41:38 0 d-----w C:\Programme\Gemeinsame Dateien\Dienste
2009-05-06 17:40:15 . 2009-05-06 17:40:15 21740 ----a-w C:\WINDOWS\system32\emptyregdb.dat
2009-03-16 12:18:32 . 2009-05-06 18:08:32 69448 ----a-w C:\WINDOWS\system32\XAPOFX1_3.dll
2009-03-16 12:18:32 . 2009-05-06 18:08:32 517448 ----a-w C:\WINDOWS\system32\XAudio2_4.dll
2009-03-16 12:18:32 . 2009-05-06 18:08:31 235352 ----a-w C:\WINDOWS\system32\xactengine3_4.dll
2009-03-16 12:18:32 . 2009-05-06 18:08:31 22360 ----a-w C:\WINDOWS\system32\X3DAudio1_6.dll
2009-03-09 13:27:22 . 2009-05-06 18:08:33 453456 ----a-w C:\WINDOWS\system32\d3dx10_41.dll
2009-03-09 13:27:22 . 2009-05-06 18:08:33 1846632 ----a-w C:\WINDOWS\system32\D3DCompiler_41.dll
2009-03-09 13:27:22 . 2009-05-06 18:08:32 4178264 ----a-w C:\WINDOWS\system32\D3DX9_41.dll
2009-03-06 14:44:33 . 2004-08-03 22:57:34 286208 ----a-w C:\WINDOWS\system32\pdh.dll
2009-02-20 08:29:54 . 2004-08-03 22:57:38 665088 ----a-w C:\WINDOWS\system32\wininet.dll
2009-02-20 08:29:51 . 2004-08-03 22:57:22 81920 ----a-w C:\WINDOWS\system32\ieencode.dll
2009-02-09 14:14:52 . 2004-08-03 22:46:24 1846400 ----a-w C:\WINDOWS\system32\win32k.sys
2009-02-09 11:47:27 . 2004-08-04 00:50:18 2018304 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2009-02-09 11:47:22 . 2004-08-03 22:50:12 2138624 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2009-02-09 10:18:20 . 2004-08-03 22:57:34 399360 ----a-w C:\WINDOWS\system32\rpcss.dll
2009-02-09 10:18:20 . 2004-08-03 22:57:24 731136 ----a-w C:\WINDOWS\system32\lsasrv.dll
2009-02-09 10:18:20 . 2004-08-03 22:57:16 677888 ----a-w C:\WINDOWS\system32\advapi32.dll
2009-02-09 10:18:19 . 2004-08-03 22:57:10 740352 ----a-w C:\WINDOWS\system32\ntdll.dll
2009-02-09 10:04:47 . 2004-08-03 22:58:12 111104 ----a-w C:\WINDOWS\system32\services.exe
.

Und HJT

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:36:31, on 08.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Desktop\WindowsXP-KB936929-SP3-x86-DEU.exe
C:\Programme\Mozilla Firefox\firefox.exe
d:\bc6a412bf26c8f499d539a3dea\i386\update\update.exe
C:\Dokumente und Einstellungen\Waaaaaaaaaaah\Desktop\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [F-PROT Antivirus Tray application] C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FProtTray.exe
O4 - Global Startup: 54M Wireless.lnk = ?
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-PROT Antivirus for Windows system (fpavserver) - FRISK Software International - C:\Programme\FRISK Software\F-PROT Antivirus for Windows\FPAVServer.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 2741 bytes

john.doe · 08.05.2009, 19:40

Das ComboFix-Log bitte vollständig posten.

Anschliessend ComboFix im normalen Modus auch nochmal laufen lassen und Log posten.

ciao, andreas

Laptop nach Virus sehr langsam

Log-Analyse und Auswertung: Laptop nach Virus sehr langsam