"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe

AbsurdMind · 09.05.2009, 21:11

Hi,

hier das neue Log von Combofix:

ComboFix 09-05-08.03 - Lino 09.05.2009 22:02.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1459 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Lino\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Lino\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

FILE ::
c:\windows\DUMP541b.tmp
c:\windows\system32\autochk.dll
c:\windows\system32\lmn_setup.exe
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Avenger
c:\avenger\{79F16D22-FAC6-4656-9746-508FB71FAAC7}\chrome.manifest
c:\avenger\{79F16D22-FAC6-4656-9746-508FB71FAAC7}\chrome\content\overlay.xul
c:\avenger\{79F16D22-FAC6-4656-9746-508FB71FAAC7}\install.rdf
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Configuration.ini
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Logs\Resident.log
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\ProcCache.sbc
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\FraudXPAntivirus.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\FraudXPAntivirus1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\FraudXPAntivirus2.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsActiveDesktop.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsActiveDesktop1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsExplorer.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsExplorer1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsExplorer2.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsExplorer3.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterRegistryTools.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterRegistryTools1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterTaskManager.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterTaskManager1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Overview.ini
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE10.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE11.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE12.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE13.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE2.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE3.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE4.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE5.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE6.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE7.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE8.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PWSLDPinchIE9.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\SmitfraudC1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumonde.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondeatr.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn10.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn11.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn12.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn13.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn14.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn15.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn16.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn17.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn18.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn19.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn2.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn20.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn21.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn3.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn4.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn5.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn6.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn7.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn8.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\Virtumondesdn9.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk1.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk10.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk11.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk12.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk13.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk14.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk15.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk16.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk17.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk2.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk3.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk4.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk5.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk6.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk7.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk8.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinTDSSrtk9.zip
c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinWinlagonsco.zip
C:\rsit
c:\windows\DUMP541b.tmp
c:\windows\system32\perfc007.dat
c:\windows\system32\perfh007.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_AUJASNKJ
-------\Service_aujasnkj

((((((((((((((((((((((( Dateien erstellt von 2009-04-09 bis 2009-05-09 ))))))))))))))))))))))))))))))
.

2009-05-09 17:13 . 2009-05-09 17:13 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-09 17:13 . 2009-05-09 17:13 -------- d-----w c:\dokumente und einstellungen\Lino\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-07 18:29 . 2009-05-07 18:29 -------- d-----w c:\dokumente und einstellungen\Lino\Anwendungsdaten\Malwarebytes
2009-05-07 18:29 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-07 18:29 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-07 18:29 . 2009-05-07 18:29 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-07 18:29 . 2009-05-07 18:29 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-07 18:27 . 2009-05-07 18:27 -------- d-----w c:\programme\CCleaner
2009-05-05 19:10 . 2009-05-05 19:10 -------- d-----w c:\windows\system32\PPLive
2009-05-05 19:07 . 2009-05-05 19:07 -------- d-----w c:\dokumente und einstellungen\Lino\Anwendungsdaten\PPLive
2009-05-05 19:06 . 2009-05-05 20:34 -------- d-----w c:\programme\PPLive
2009-05-05 18:52 . 2009-05-05 18:52 -------- d-----w c:\programme\sina
2009-04-27 14:59 . 2009-04-27 14:59 -------- d-----w c:\dokumente und einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\ABBYY
2009-04-27 14:59 . 2009-04-27 14:59 -------- d-----w c:\dokumente und einstellungen\Lino\Anwendungsdaten\ABBYY
2009-04-27 14:56 . 2009-04-27 14:56 -------- d-----w c:\windows\ShellNew
2009-04-27 14:56 . 2009-04-27 14:56 -------- d-----w c:\programme\AutoIt3
2009-04-27 14:54 . 2009-04-28 10:55 -------- d-----w C:\temp
2009-04-19 14:55 . 2009-04-19 14:55 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2009-04-19 14:55 . 2009-04-19 14:55 -------- d-----w c:\programme\TVUPlayer
2009-04-15 09:21 . 2009-04-15 09:21 -------- d--h--w C:\VJVod_Cache
2009-04-15 09:21 . 2009-04-15 09:21 -------- d-----w c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\nagasoft
2009-04-14 18:42 . 2009-04-14 18:42 -------- d-----w c:\programme\Veetle
2009-04-14 18:42 . 2009-04-14 18:42 -------- d-----w c:\windows\system32\nagasoft

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-15 13:54 . 2008-12-26 12:43 -------- d-----w c:\programme\Warcraft III
2009-04-06 09:43 . 2008-11-29 13:53 -------- d-----w c:\programme\Java
2009-03-29 13:44 . 2008-12-15 17:44 -------- d-----w c:\programme\Motorola Phone Tools
2009-03-29 13:44 . 2008-11-22 19:09 -------- d-----w c:\programme\DivX
2009-03-29 13:44 . 2008-12-15 17:45 -------- d-----w c:\programme\Avanquest update
2009-03-27 20:10 . 2008-11-22 19:19 -------- d-----w c:\programme\Last.fm
2009-03-25 19:40 . 2008-12-04 20:13 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-16 17:47 . 2009-03-16 17:47 -------- d-----w c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2009-03-16 13:18 . 2008-11-22 19:17 -------- d-----w c:\programme\ICQ6
2009-03-14 11:54 . 2008-11-22 18:35 -------- d-----w c:\programme\Winamp
2009-03-11 14:19 . 2008-11-22 12:04 71392 ----a-w c:\dokumente und einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-03-10 21:05 . 2009-03-10 21:05 -------- d-----w c:\programme\Avira
2009-03-10 20:55 . 2008-11-21 21:41 -------- d-----w c:\programme\MSBuild
2009-03-09 03:19 . 2008-11-29 13:53 410984 ----a-w c:\windows\system32\deploytk.dll
.

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\export ----

2009-05-07 19:41 . 2009-05-07 19:41 2967800 ----a-w c:\export\mbam-setup.exe

---- Directory of C:\temp ----

((((((((((((((((((((((((((((( SnapShot@2009-05-09_16.46.48 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-09 20:04 . 2009-05-09 20:04 16384 c:\windows\temp\Perflib_Perfdata_79c.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-03 13508608]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-03 86016]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"\\ALPHA_CENTAURI\EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

c:\dokumente und einstellungen\Lino\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\dokumente und einstellungen\Lino\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\dokumente und einstellungen\Lino\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Last.fm\\LastFM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\uusee\\UUSeePlayer.exe"=
"c:\\Programme\\QIP\\qip.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\PPLive\\PPLive.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

S3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187B.sys [16.03.2009 19:34 215040]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
vvdsvc REG_MULTI_SZ vvdsvc
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {0BE4EBCE-431E-4EC7-B0FE-DB65D49779D9} = 192.168.0.127
TCP: {324A1893-9A14-4197-8BD9-D92792FC00CF} = 192.168.0.127
TCP: {58684F28-5FF2-4ED7-8916-D84E15A7D17D} = 192.168.0.127
TCP: {78D8D86F-7454-4536-BBC2-3CE40066544D} = 192.168.0.127
TCP: {8D4913A3-3F18-4055-9FB6-99A66965E3FE} = 192.168.0.127
TCP: {B6B33ECE-FE5A-48EE-B8D4-49D4E8B90A7A} = 192.168.0.127
TCP: {C41A87F4-DE7B-4303-9BAB-BB5CB0D9645E} = 192.168.0.127
DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} - hxxp://dl.uc.sina.com/cab/downloader.cab
FF - ProfilePath - c:\dokumente und einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\
FF - plugin: c:\dokumente und einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\Veetle\Player\npvlc.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-09 22:05
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1960408961-682003330-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:6e,f6,da,3e,01,a8,22,d9,0e,cd,7f,dd,05,5f,05,6a,44,e0,a6,5c,ac,46,ad,
68,29,46,20,84,ce,a5,73,21,84,ff,d2,ca,6e,3c,a0,7a,c9,41,4f,f8,c9,c2,7e,70,\
"??"=hex:8a,b9,f5,99,9a,fc,16,bb,de,6f,3c,05,0b,06,61,17
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2604)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-09 22:08 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-09 20:08
ComboFix2.txt 2009-05-09 16:47

Vor Suchlauf: 17 Verzeichnis(se), 38.108.610.560 Bytes frei
Nach Suchlauf: 14 Verzeichnis(se), 38.028.308.480 Bytes frei

257 --- E O F --- 2008-11-25 01:26

john.doe · 09.05.2009, 21:45

Da haben wir ihn: ThreatExpert Report: Troj/Dropr-K, Worm:Win32/Nuj.A, Virus.Win32.OnLineGames.BFT..

Scripten mit Combofix

Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:

ATTFilter

KILLALL::

Driver::
vvdsvc

NetSvc::
vvdsvc

Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\vvdsvc]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\GifShower.DLL]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\AppID\{B6188993-A07B-40E9-ADF8-CB3E53305870}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{083863F1-70DE-11d0-BD40-00A0C911CE86}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{05C43810-244F-4630-A9A2-F4CB5D2FB6D1}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1932C124-77DA-4151-99AA-234FEA09F463}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{238D0F23-5DC9-45A6-9BE2-666160C324DD}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2BAD2D8E-2B5C-4E1C-BDFE-D4D561D986E2}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{765035B3-5944-4A94-806B-20EE3415F26F}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{941A4793-A705-4312-8DFC-C11CA05F397E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4003189-95B1-4A2F-9A87-F2B03665960D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9845282-F694-4BBC-89B1-708619FE53D9}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E21BE468-5C18-43EB-B0CC-DB93A847D769}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{05C43810-244F-4630-A9A2-F4CB5D2FB6D1}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{071825D4-FA84-45A6-A82F-B492DD197E3B}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Media Type\{e436eb83-524f-11ce-9f53-0020af0ba770}\{57428EC6-C2B2-44A2-AA9C-28F0B6A5C48E}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{1D416E10-79D7-4F06-9ED8-C4DF23AA6DF6}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{85087867-B23C-4425-864A-88AE60CD924D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\GifShower.GifShow]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VJ.VodClient]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\vjvod]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SPVOD Player1.8]

Folder::
C:\temp
C:\export
c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\nagasoft
C:\VJVod_Cache
c:\windows\system32\nagasoft
c:\programme\Misc. Support Library (Spybot - Search & Destroy)

File::
c:\dokumente und einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\system32\deploytk.dll
c:\windows\system32\pncrt.dll
c:\windows\system32\spvod_player.dat

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten ohne zu editieren (es sei denn, dein voller Name ist ersichtlich)

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

ciao, andreas

AbsurdMind · 09.05.2009, 21:57

So, hier der nächste Logfile:

ComboFix 09-05-08.03 - Lino 09.05.2009 22:49.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.2047.1639 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Lino\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: c:\dokumente und einstellungen\Lino\Desktop\cfscript.txt
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated)

FILE ::
c:\dokumente und einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\windows\system32\deploytk.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
c:\dokumente und einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\nagasoft
C:\export
c:\export\mbam-setup.exe
c:\programme\Misc. Support Library (Spybot - Search & Destroy)
c:\programme\Misc. Support Library (Spybot - Search & Destroy)\Tools.dll
C:\temp
C:\VJVod_Cache
c:\windows\system32\deploytk.dll
c:\windows\system32\nagasoft
c:\windows\system32\nagasoft\Codecs\asyncflt.ax
c:\windows\system32\nagasoft\Codecs\atrc.dll
c:\windows\system32\nagasoft\Codecs\cook.dll
c:\windows\system32\nagasoft\Codecs\drvc.dll
c:\windows\system32\nagasoft\Codecs\raac.dll
c:\windows\system32\nagasoft\Codecs\RealMediaSplitter.ax
c:\windows\system32\nagasoft\Codecs\WMFDemux.dll
c:\windows\system32\nagasoft\GifShower.dll
c:\windows\system32\nagasoft\vjocx.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_VVDSVC

((((((((((((((((((((((( Dateien erstellt von 2009-04-09 bis 2009-05-09 ))))))))))))))))))))))))))))))
.

2009-05-09 17:13 . 2009-05-09 17:13 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-09 17:13 . 2009-05-09 19:56 -------- d-----w c:\dokumente und einstellungen\Lino\Anwendungsdaten\SUPERAntiSpyware.com
2009-05-07 18:29 . 2009-05-07 18:29 -------- d-----w c:\dokumente und einstellungen\Lino\Anwendungsdaten\Malwarebytes
2009-05-07 18:29 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-07 18:29 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-07 18:29 . 2009-05-07 18:29 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-07 18:29 . 2009-05-07 18:29 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-07 18:27 . 2009-05-07 18:27 -------- d-----w c:\programme\CCleaner
2009-05-05 19:10 . 2009-05-05 19:10 -------- d-----w c:\windows\system32\PPLive
2009-05-05 19:07 . 2009-05-05 19:07 -------- d-----w c:\dokumente und einstellungen\Lino\Anwendungsdaten\PPLive
2009-05-05 19:06 . 2009-05-05 20:34 -------- d-----w c:\programme\PPLive
2009-05-05 18:52 . 2009-05-05 18:52 -------- d-----w c:\programme\sina
2009-04-27 14:59 . 2009-04-27 14:59 -------- d-----w c:\dokumente und einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\ABBYY
2009-04-27 14:59 . 2009-04-27 14:59 -------- d-----w c:\dokumente und einstellungen\Lino\Anwendungsdaten\ABBYY
2009-04-27 14:56 . 2009-04-27 14:56 -------- d-----w c:\windows\ShellNew
2009-04-27 14:56 . 2009-04-27 14:56 -------- d-----w c:\programme\AutoIt3
2009-04-19 14:55 . 2009-04-19 14:55 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\TVU Networks
2009-04-19 14:55 . 2009-04-19 14:55 -------- d-----w c:\programme\TVUPlayer
2009-04-14 18:42 . 2009-04-14 18:42 -------- d-----w c:\programme\Veetle

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-15 13:54 . 2008-12-26 12:43 -------- d-----w c:\programme\Warcraft III
2009-04-06 09:43 . 2008-11-29 13:53 -------- d-----w c:\programme\Java
2009-03-29 13:44 . 2008-12-15 17:44 -------- d-----w c:\programme\Motorola Phone Tools
2009-03-29 13:44 . 2008-11-22 19:09 -------- d-----w c:\programme\DivX
2009-03-29 13:44 . 2008-12-15 17:45 -------- d-----w c:\programme\Avanquest update
2009-03-27 20:10 . 2008-11-22 19:19 -------- d-----w c:\programme\Last.fm
2009-03-25 19:40 . 2008-12-04 20:13 -------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-03-16 13:18 . 2008-11-22 19:17 -------- d-----w c:\programme\ICQ6
2009-03-14 11:54 . 2008-11-22 18:35 -------- d-----w c:\programme\Winamp
2009-03-10 21:05 . 2009-03-10 21:05 -------- d-----w c:\programme\Avira
2009-03-10 20:55 . 2008-11-21 21:41 -------- d-----w c:\programme\MSBuild
.

((((((((((((((((((((((((((((( SnapShot@2009-05-09_16.46.48 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-09 20:50 . 2009-05-09 20:50 16384 c:\windows\temp\Perflib_Perfdata_7cc.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-03 13508608]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-03 86016]
"AdobeCS4ServiceManager"="c:\programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-08-14 611712]
"\\ALPHA_CENTAURI\EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE" [2005-02-08 98304]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]

c:\dokumente und einstellungen\Lino\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\dokumente und einstellungen\Lino\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

c:\dokumente und einstellungen\Lino\Startmen\Programme\Autostart\
OpenOffice.org 3.0.lnk - c:\programme\OpenOffice.org 3\program\quickstart.exe [2008-12-15 384000]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Last.fm\\LastFM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"c:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"c:\\Programme\\SopCast\\SopCast.exe"=
"c:\\Programme\\uusee\\UUSeePlayer.exe"=
"c:\\Programme\\QIP\\qip.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Gemeinsame Dateien\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=
"c:\\Programme\\PPLive\\PPLive.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5353:TCP"= 5353:TCP:Adobe CSI CS4

S3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\RTL8187B.sys [16.03.2009 19:34 215040]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
vvdsvc REG_MULTI_SZ vvdsvc
.
.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = local
IE: Nach Microsoft E&xel exportieren - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: {0BE4EBCE-431E-4EC7-B0FE-DB65D49779D9} = 192.168.0.127
TCP: {324A1893-9A14-4197-8BD9-D92792FC00CF} = 192.168.0.127
TCP: {58684F28-5FF2-4ED7-8916-D84E15A7D17D} = 192.168.0.127
TCP: {78D8D86F-7454-4536-BBC2-3CE40066544D} = 192.168.0.127
TCP: {8D4913A3-3F18-4055-9FB6-99A66965E3FE} = 192.168.0.127
TCP: {B6B33ECE-FE5A-48EE-B8D4-49D4E8B90A7A} = 192.168.0.127
TCP: {C41A87F4-DE7B-4303-9BAB-BB5CB0D9645E} = 192.168.0.127
DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} - hxxp://dl.uc.sina.com/cab/downloader.cab
FF - ProfilePath - c:\dokumente und einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\
FF - plugin: c:\dokumente und einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\Veetle\Player\npvlc.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-09 22:51
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1960408961-682003330-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]
"??"=hex:6e,f6,da,3e,01,a8,22,d9,0e,cd,7f,dd,05,5f,05,6a,44,e0,a6,5c,ac,46,ad,
68,29,46,20,84,ce,a5,73,21,84,ff,d2,ca,6e,3c,a0,7a,c9,41,4f,f8,c9,c2,7e,70,\
"??"=hex:8a,b9,f5,99,9a,fc,16,bb,de,6f,3c,05,0b,06,61,17
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2856)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe
c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
c:\programme\Java\jre6\bin\jqs.exe
c:\windows\system32\nvsvc32.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\rundll32.exe
c:\programme\OpenOffice.org 3\program\soffice.exe
c:\programme\OpenOffice.org 3\program\soffice.bin
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-05-09 22:54 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-05-09 20:54
ComboFix2.txt 2009-05-09 20:08
ComboFix3.txt 2009-05-09 16:47

Vor Suchlauf: 15 Verzeichnis(se), 38.031.450.112 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 38.012.223.488 Bytes frei

176 --- E O F --- 2008-11-25 01:26

Gruß,

AbsurdMind

john.doe · 09.05.2009, 23:09

Gibt es eine Besserung?

ciao, andreas

AbsurdMind · 09.05.2009, 23:34

hi,

Ja hab im Moment keinerlei Anzeichen von dem Wurm. Sieht also schonmal sehr gut aus

Ich warte dann nochmal bis morgen und gib dann Rückmeldung.

Ich danke auf jeden Fall vielmals für die super Hilfe hier, hätte mir niemals erhofft, dass sich jemand solche Mühe gibt, einem Fremden zu helfen

also: VIELEN DANK

Top Board hier, muss ich echt sagen. Respekt.

Grüße,

AbsurdMind

AbsurdMind · 10.05.2009, 10:08

hi,

Ich bins wieder.
Seit grade sind wieder erste Probleme aufgetaucht. Und zwar kam ich auf eine seltsame Seite die mir eine Datei zum Download anbot "http://zeis.org.ua/eu/DE/k2/".
Auf diese wurde ich durch eine Addresse namens "velinta.net" umgeleitet.
Ich lass jetzt mal diverse Scanprogramme laufen und versuch diese zu entfernen. AntiVir hat außerdem Alarm im Ordner Qoobox/Quarantine geschlagen. Ist das die Quarantäne von ComboFix? Und wenn ja, wie kann ich die löschen?

Gruß, AbsurdMind

john.doe · 10.05.2009, 10:15

Zitat:

Ist das die Quarantäne von ComboFix? Und wenn ja, wie kann ich die löschen?

Start => Ausführen => combofix /u => OK

1.) Lade dir den Regseeker

Klick auf Clean the registry
Klick auf OK
Warte bis er fertig gesucht hat
Klick auf Select => markiere nur die Grünen
Klick auf Action => Delete

Wiederhole die Suche und das Entfernen mit dem Regseeker entweder zehnmal oder solange bis entweder keine oder immer die gleichen grünen gefunden werden.

2.) Lade dir den Microsoft RegClean - Download - CHIP Online, starte ihn und klicke auf Fix Errors und zwar solange, bis Fix Errors grau bleibt.

3.) Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Lab: Anti-Virus, Internet Security, Mobile Security & Antiviren-Software und Services für Unternehmen
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

ciao, andreas

AbsurdMind · 10.05.2009, 11:57

Hi,

Während der Kapersky noch gescannt hat, kam eine nächste Meldung von AntiVir:
"In der Datei 'C:\WINDOWS\system32\config\systemprofile\Startmenü\Programme\Autostart\ChkDisk.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Crypt.IL.2' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben"

Hier das Log von Kapersky (es wurde anscheinend nichts verdächtiges gefunden):
-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 10. Mai 2009 12:55:21
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 10/05/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 1950792
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\
E:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 60275
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:44:33

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\content-prefs.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\cookies.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\downloads.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\formhistory.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\permissions.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\places.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\places.sqlite-journal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\search.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\3hekbeyi.default\urlclassifier3.sqlite Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\temp\etilqs_xjOLyi0RPBbsgjgj3Axj Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Lino\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ODiag.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\OSession.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\temp\Perflib_Perfdata_104.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Gruß,

AbsurdMind

john.doe · 10.05.2009, 19:07

Gibt es die Umleitungen nur beim Firefox oder auch beim MSIE?

ciao, andreas

AbsurdMind · 10.05.2009, 19:45

Die Umleitungen passieren tatsächlich nur im Firefox. Der Internet Explorer ist davon nicht betroffen (oder es war sehr großer Zufall, die Wahrscheinlichkeit ist aber gering).

Die Umleitungen, die ich zurzeit habe, passieren nur recht selten und auch nur über Links von Google. Dieses Problem hatt ich schon, bevor ich die "google-redirect"-Umleitungen hatte, als jedoch der "google-redirect"-Wurm aufgetaucht ist, wurde der jetzige Wurm anscheinend überschattet. Das Problem mit dem "google-redirect.com" scheint endgültig gelöst zu sein.

Gruß,

AbsurdMind

john.doe · 10.05.2009, 20:09

1.) Arbeite bitte folgende Anleitung ab: http://www.trojaner-board.de/411645-post19.html

2.) Starte noch einmal MbAM, besorge dir das aktuelle Updaten, führe einen Vollscan aus und poste das Log.

3.) Poste bitte ein aktuelles HJT-Log.

ciao, andreas

AbsurdMind · 10.05.2009, 21:15

Hi,

Nach der Neuinstallation von Firefox hab ich keinerlei Probleme mehr. Das Problem scheint gelöst. Ich geb aber morgen noch einmal Rückmeldung.

MbAM-Log:
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2105
Windows 5.1.2600 Service Pack 3

10.05.2009 22:52:27
mbam-log-2009-05-10 (22-52-27).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 136618
Laufzeit: 35 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hijackthis-Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:13:56, on 10.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\QIP\qip.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [\\ALPHA_CENTAURI\EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P43 "\\ALPHA_CENTAURI\EPSON Stylus DX3800 Series" /O6 "USB002" /M "Stylus DX3800"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - S-1-5-18 Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe (User 'Default user')
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Programme\PPLive\PPLive.exe
O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Programme\PPLive\PPLive.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} (DLoader Class) - h**p://dl.uc.sina.com/cab/downloader.cab
O16 - DPF: {D4003189-95B1-4A2F-9A87-F2B03665960D} - h**p://www.tvucricket.com/player/vjocx-en.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BE4EBCE-431E-4EC7-B0FE-DB65D49779D9}: NameServer = 192.168.0.127
O17 - HKLM\System\CCS\Services\Tcpip\..\{324A1893-9A14-4197-8BD9-D92792FC00CF}: NameServer = 192.168.0.127
O17 - HKLM\System\CCS\Services\Tcpip\..\{58684F28-5FF2-4ED7-8916-D84E15A7D17D}: NameServer = 192.168.0.127
O17 - HKLM\System\CCS\Services\Tcpip\..\{78D8D86F-7454-4536-BBC2-3CE40066544D}: NameServer = 192.168.0.127
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D4913A3-3F18-4055-9FB6-99A66965E3FE}: NameServer = 192.168.0.127
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6B33ECE-FE5A-48EE-B8D4-49D4E8B90A7A}: NameServer = 192.168.0.127
O17 - HKLM\System\CCS\Services\Tcpip\..\{C41A87F4-DE7B-4303-9BAB-BB5CB0D9645E}: NameServer = 192.168.0.127
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5455 bytes

Gruß,

AbsurdMind

john.doe · 10.05.2009, 22:06

1.) Packe den Ordner c:\qoobox mit einem Packprogramm wie ZIP oder RAR, lade ihn bei einem Filehoster (z.B. www.materialordner.de) hoch und schicke mir den Link als PN.

2.) Deinstalliere:

PPLive (Virenschleuder)

3.) Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

Alle R0, R1, O8, O9 und O16-Einträge (betreffen nur MSIE)
O4 - S-1-5-18 Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: OpenOffice.org 3.0.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe (User 'Default user')

=> Fix checked

4.) Neustart => Neues HJT-Log posten.

ciao, andreas

AbsurdMind · 11.05.2009, 10:40

Hi,

Den Ordner c:\qoobox gibt es leider nicht mehr, da ich ComboFix deinstalliert habe.
http://www.trojaner-board.de/434929-post22.html

Hier der aktuelle HLT File:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:37:41, on 11.05.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Programme\Gemeinsame Dateien\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [\\ALPHA_CENTAURI\EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P43 "\\ALPHA_CENTAURI\EPSON Stylus DX3800 Series" /O6 "USB002" /M "Stylus DX3800"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O17 - HKLM\System\CCS\Services\Tcpip\..\{0BE4EBCE-431E-4EC7-B0FE-DB65D49779D9}: NameServer = 192.168.0.127
O17 - HKLM\System\CCS\Services\Tcpip\..\{324A1893-9A14-4197-8BD9-D92792FC00CF}: NameServer = 192.168.0.127
O17 - HKLM\System\CCS\Services\Tcpip\..\{58684F28-5FF2-4ED7-8916-D84E15A7D17D}: NameServer = 192.168.0.127
O17 - HKLM\System\CCS\Services\Tcpip\..\{78D8D86F-7454-4536-BBC2-3CE40066544D}: NameServer = 192.168.0.127
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D4913A3-3F18-4055-9FB6-99A66965E3FE}: NameServer = 192.168.0.127
O17 - HKLM\System\CCS\Services\Tcpip\..\{B6B33ECE-FE5A-48EE-B8D4-49D4E8B90A7A}: NameServer = 192.168.0.127
O17 - HKLM\System\CCS\Services\Tcpip\..\{C41A87F4-DE7B-4303-9BAB-BB5CB0D9645E}: NameServer = 192.168.0.127
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3219 bytes

Gruß,

AbsurdMind

john.doe · 11.05.2009, 15:28

Zitat:

Den Ordner c:\qoobox gibt es leider nicht mehr

Boah, da habe ich wieder gepennt.

Logs sind sauber, MSIE7 kann noch drauf, wie geht es dem Rechner? Noch irgendetwas, das nicht passt?

ciao, andreas

"google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe

Plagegeister aller Art und deren Bekämpfung: "google-redirect.com"-Wurm in der Datei "autochk.dll/autochk.exe" - Hilfe