Msn/ICQ - Virus "Wie findest du dieses Bild" (winscdvn.exe)

KaffeeBohne · 12.06.2010, 13:28

Habe mir einen Virus eingefange, kann mir jmd. helfen?

markusg · 12.06.2010, 13:50

wie wir per pm abgesprochen haben, postest du die otl logs.

KaffeeBohne · 12.06.2010, 14:09

hxxp://www.file-upload.net/download-2593460/OTL.Txt.html

und

hxxp://www.file-upload.net/download-2593464/Extras.Txt.html

markusg · 12.06.2010, 15:02

Fixen mit OTL

• Starte bitte die OTL.exe.
Vista-User mit Rechtsklick "als Administrator starten"
• Kopiere nun das Folgende in die Textbox.

:OTL
PRC - C:\Dokumente und Einstellungen\Lukesch\Anwendungsdaten\winscdvn.exe ()
O4 - HKLM..\Run: [Windows Firewall Manager] C:\Dokumente und Einstellungen\Lukesch\Anwendungsdaten\winscdvn.exe ()
O4 - HKU\S-1-5-21-1220945662-790525478-1801674531-1003..\Run: [Windows Firewall Manager] C:\Dokumente und Einstellungen\Lukesch\Anwendungsdaten\winscdvn.e
:Files
C:\Dokumente und Einstellungen\Lukesch\Anwendungsdaten\winscdvn.exe
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[start explorer]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Run Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten

KaffeeBohne · 12.06.2010, 17:21

All processes killed
========== OTL ==========
No active process named winscdvn.exe was found!
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Firewall Manager deleted successfully.
C:\Dokumente und Einstellungen\Lukesch\Anwendungsdaten\winscdvn.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-1220945662-790525478-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Run\\Windows Firewall Manager deleted successfully.
File C:\Dokumente und Einstellungen\Lukesch\Anwendungsdaten\winscdvn.e not found.
========== FILES ==========
File\Folder C:\Dokumente und Einstellungen\Lukesch\Anwendungsdaten\winscdvn.exe not found.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default User
->Flash cache emptied: 41620 bytes

User: LocalService

User: Lukesch
->Flash cache emptied: 581702 bytes

User: NetworkService

Total Flash Files Cleaned = 1,00 mb

[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 0 bytes

User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 6712444 bytes

User: Lukesch
->Temp folder emptied: 13781789 bytes
->Temporary Internet Files folder emptied: 5965604028 bytes
->Java cache emptied: 50029815 bytes
->FireFox cache emptied: 64634559 bytes
->Opera cache emptied: 212339699 bytes
->Flash cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2352202 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3012659 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 6.026,00 mb

OTL by OldTimer - Version 3.2.6.0 log created on 06122010_180829

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

markusg · 12.06.2010, 17:23

bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

KaffeeBohne · 12.06.2010, 18:43

Ja hab combofix laufen lassen, Pc hat sich neu gestartet -> desktop -> msn startet anmeldefenster -> trend micro startet sich + aktualisiert sich -> combofix war weg und i-net war auch weg / hat sich nicht wieder neu gestartet wie´s im leitfaden beschrieben war -> und nun?

markusg · 12.06.2010, 18:46

kannst du es noch mal versuchen zu starten, antivirus natürlich wieder aus.

KaffeeBohne · 12.06.2010, 19:16

So jetzt hats geklappt, hoffentlich kommst du damit weiter:

Combofix Logfile:

Code:

ATTFilter

ComboFix 10-06-11.01 - Lukesch 12.06.2010  19:54:45.1.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.49.1031.18.1023.444 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Lukesch\Eigene Dateien\Downloads\ComboFix.exe
AV: Trend Micro Internet Security *On-access scanning disabled* (Updated) {7D2296BC-32CC-4519-917E-52E652474AF5}
FW: Trend Micro Personal Firewall *disabled* {3E790E9E-6A5D-4303-A7F9-185EC20F3EB6}
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\Lukesch\Anwendungsdaten\chrtmp
c:\dokumente und einstellungen\Lukesch\mssmp3.asi
c:\dokumente und einstellungen\Lukesch\uninst.exe
c:\dokumente und einstellungen\Lukesch\Updater.exe
c:\programme\Cheat Engine\dbk32.sys
c:\windows\system32\service
c:\windows\system32\service\03072009_TIS17_SfFniAU.log
c:\windows\system32\service\03092009_TIS17_SfFniAU.log
c:\windows\system32\service\04072009_TIS17_SfFniAU.log
c:\windows\system32\service\05022010_TIS17_SfFniAU.log
c:\windows\system32\service\05122009_TIS17_SfFniAU.log
c:\windows\system32\service\06022010_TIS17_SfFniAU.log
c:\windows\system32\service\07012010_TIS17_SfFniAU.log
c:\windows\system32\service\08082009_TIS17_SfFniAU.log
c:\windows\system32\service\09032010_TIS17_SfFniAU.log
c:\windows\system32\service\09092009_TIS17_SfFniAU.log
c:\windows\system32\service\10052010_TIS17_SfFniAU.log
c:\windows\system32\service\10072009_TIS17_SfFniAU.log
c:\windows\system32\service\11072009_TIS17_SfFniAU.log
c:\windows\system32\service\12062009_TIS17_SfFniAU.log
c:\windows\system32\service\13042010_TIS17_SfFniAU.log
c:\windows\system32\service\13082009_TIS17_SfFniAU.log
c:\windows\system32\service\13112009_TIS17_SfFniAU.log
c:\windows\system32\service\14062009_TIS17_SfFniAU.log
c:\windows\system32\service\15022010_TIS17_SfFniAU.log
c:\windows\system32\service\15082009_TIS17_SfFniAU.log
c:\windows\system32\service\17052010_TIS17_SfFniAU.log
c:\windows\system32\service\18092009_TIS17_SfFniAU.log
c:\windows\system32\service\19112009_TIS17_SfFniAU.log
c:\windows\system32\service\20092009_TIS17_SfFniAU.log
c:\windows\system32\service\20112009_TIS17_SfFniAU.log
c:\windows\system32\service\21052010_TIS17_SfFniAU.log
c:\windows\system32\service\21062009_TIS17_SfFniAU.log
c:\windows\system32\service\24022010_TIS17_SfFniAU.log
c:\windows\system32\service\25062009_TIS17_SfFniAU.log
c:\windows\system32\service\25122009_TIS17_SfFniAU.log
c:\windows\system32\service\26102009_TIS17_SfFniAU.log
c:\windows\system32\service\27072009_TIS17_SfFniAU.log
c:\windows\system32\service\29042010_TIS17_SfFniAU.log
c:\windows\system32\service\30122009_TIS17_SfFniAU.log
L:\Autorun.inf

.
(((((((((((((((((((((((   Dateien erstellt von 2010-05-12 bis 2010-06-12  ))))))))))))))))))))))))))))))
.

2010-06-12 16:08 . 2010-06-12 16:08	--------	d-----w-	C:\_OTL
2010-06-12 10:32 . 2010-06-12 10:32	--------	d-----w-	c:\windows\system32\Interactive
2010-06-11 12:00 . 2010-05-06 10:31	743424	-c----w-	c:\windows\system32\dllcache\iedvtool.dll
2010-05-29 18:27 . 2010-05-29 18:34	23722	----a-w-	c:\windows\hpqins15.dat
2010-05-28 13:52 . 2010-05-28 13:52	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\WEBREG
2010-05-28 13:51 . 2010-05-28 13:52	--------	d-----w-	c:\dokumente und einstellungen\Lukesch\Anwendungsdaten\HP
2010-05-28 13:50 . 2010-06-04 20:51	--------	d-----w-	c:\dokumente und einstellungen\Lukesch\Anwendungsdaten\HPAppData
2010-05-28 13:47 . 2010-05-28 13:47	--------	d-----w-	c:\dokumente und einstellungen\Lukesch\Lokale Einstellungen\Anwendungsdaten\HP
2010-05-28 13:44 . 2009-04-15 21:53	452408	----a-r-	c:\windows\system32\hpzids01.dll
2010-05-28 13:43 . 2008-10-28 10:27	372736	----a-r-	c:\windows\system32\hppldcoi.dll
2010-05-28 13:42 . 2010-05-28 13:42	--------	d-----w-	c:\programme\Gemeinsame Dateien\HP
2010-05-28 13:41 . 2010-05-28 13:41	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2010-05-28 13:39 . 2010-05-28 13:51	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\HP
2010-05-28 13:38 . 2009-04-16 12:08	126976	----a-w-	c:\windows\system32\hpfll70v.dll
2010-05-28 13:38 . 2009-04-16 12:08	312832	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\hpfpp70v.dll
2010-05-28 13:36 . 2010-05-28 13:42	--------	d-----w-	c:\programme\HP
2010-05-28 13:34 . 2010-05-28 13:52	179461	----a-w-	c:\windows\hphins33.dat
2010-05-28 13:34 . 2009-06-11 10:17	586	------w-	c:\windows\hphmdl33.dat
2010-05-23 09:27 . 2010-05-23 09:27	503808	----a-w-	c:\dokumente und einstellungen\Lukesch\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5e80f7df-n\msvcp71.dll
2010-05-23 09:27 . 2010-05-23 09:27	499712	----a-w-	c:\dokumente und einstellungen\Lukesch\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5e80f7df-n\jmc.dll
2010-05-23 09:27 . 2010-05-23 09:27	348160	----a-w-	c:\dokumente und einstellungen\Lukesch\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-5e80f7df-n\msvcr71.dll
2010-05-23 09:27 . 2010-05-23 09:27	61440	----a-w-	c:\dokumente und einstellungen\Lukesch\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7cbebaea-n\decora-sse.dll
2010-05-23 09:27 . 2010-05-23 09:27	12800	----a-w-	c:\dokumente und einstellungen\Lukesch\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-7cbebaea-n\decora-d3d.dll
2010-05-21 17:36 . 2010-05-21 17:36	--------	d-----w-	c:\programme\Neffy

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-12 18:02 . 2009-05-27 13:08	--------	d-----w-	c:\programme\Cheat Engine
2010-06-12 17:23 . 2009-11-15 14:56	--------	d-----w-	c:\programme\Steam
2010-06-12 17:22 . 2008-12-29 18:06	--------	d-----w-	c:\dokumente und einstellungen\Lukesch\Anwendungsdaten\Skype
2010-06-12 10:21 . 2008-12-29 18:10	--------	d-----w-	c:\dokumente und einstellungen\Lukesch\Anwendungsdaten\skypePM
2010-06-12 00:15 . 2008-04-14 12:00	85692	----a-w-	c:\windows\system32\perfc007.dat
2010-06-12 00:15 . 2008-04-14 12:00	462654	----a-w-	c:\windows\system32\perfh007.dat
2010-06-04 08:37 . 2008-12-29 10:41	--------	d-----w-	c:\programme\Microsoft Silverlight
2010-06-03 16:21 . 2009-01-29 13:31	--------	d-----w-	c:\programme\TrackMania Nations ESWC
2010-05-28 21:14 . 2009-06-30 17:18	139904	----a-w-	c:\windows\system32\drivers\PnkBstrK.sys
2010-05-28 21:14 . 2009-06-30 17:16	189744	----a-w-	c:\windows\system32\PnkBstrB.exe
2010-05-28 13:58 . 2008-12-29 09:59	51688	----a-w-	c:\dokumente und einstellungen\Lukesch\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2010-05-28 13:42 . 2008-12-31 16:36	--------	d-----w-	c:\programme\Hewlett-Packard
2010-05-23 21:53 . 2008-12-29 18:05	--------	d-----w-	c:\dokumente und einstellungen\Lukesch\Anwendungsdaten\ICQ
2010-05-21 18:17 . 2009-10-11 13:30	--------	d-----w-	c:\programme\gPotato.eu
2010-05-06 10:31 . 2008-04-14 12:00	916480	----a-w-	c:\windows\system32\wininet.dll
2010-05-05 17:31 . 2010-03-02 20:05	--------	d-----w-	c:\programme\Gemeinsame Dateien\Adobe AIR
2010-05-02 08:05 . 2008-04-14 12:00	1851392	----a-w-	c:\windows\system32\win32k.sys
2010-04-29 19:12 . 2009-10-20 18:01	--------	d-----w-	c:\programme\Java
2010-04-24 07:20 . 2010-04-24 07:20	--------	d-----r-	c:\programme\Skype
2010-04-24 07:20 . 2010-04-24 07:20	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2010-04-24 07:20 . 2008-12-29 18:05	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2010-04-20 05:29 . 2008-04-14 12:00	285696	----a-w-	c:\windows\system32\atmfd.dll
2010-04-12 15:29 . 2010-04-29 19:12	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-04-02 08:07 . 2010-04-02 08:07	503808	----a-w-	c:\dokumente und einstellungen\Lukesch\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5d6344f3-n\msvcp71.dll
2010-04-02 08:07 . 2010-04-02 08:07	499712	----a-w-	c:\dokumente und einstellungen\Lukesch\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5d6344f3-n\jmc.dll
2010-04-02 08:07 . 2010-04-02 08:07	348160	----a-w-	c:\dokumente und einstellungen\Lukesch\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-5d6344f3-n\msvcr71.dll
2010-04-02 08:06 . 2010-04-02 08:06	61440	----a-w-	c:\dokumente und einstellungen\Lukesch\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-66c9ab89-n\decora-sse.dll
2010-04-02 08:06 . 2010-04-02 08:06	12800	----a-w-	c:\dokumente und einstellungen\Lukesch\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-66c9ab89-n\decora-d3d.dll
2009-08-12 09:58 . 2009-08-12 09:58	146	---ha-w-	c:\programme\hpothb07.dat
2009-08-12 09:58 . 2009-08-12 09:58	15632	---ha-w-	c:\programme\hpothb07.tif
2009-01-06 18:45 . 2009-01-06 00:17	102	----a-w-	c:\programme\tune_in_dsl.asx
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{EEE6C35D-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgHelper.dll" [2008-10-08 173368]

[HKEY_CLASSES_ROOT\clsid\{eee6c35d-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook.1]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SweetIM_URLSearchHook.ToolbarURLSearchHook]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
2008-08-26 09:32	279944	----a-w-	c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}]
2008-10-08 11:22	1172792	----a-w-	c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{19701B24-92C3-4691-8594-AC3A1BA55398}"= "c:\windows\system32\CPUPerf.dll" [2008-08-20 750592]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]

[HKEY_CLASSES_ROOT\clsid\{19701b24-92c3-4691-8594-ac3a1ba55398}]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{EEE6C35B-6118-11DC-9C72-001320C79847}"= "c:\programme\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll" [2008-10-08 1172792]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [2008-08-26 279944]

[HKEY_CLASSES_ROOT\clsid\{eee6c35b-6118-11dc-9c72-001320c79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE.3]
[HKEY_CLASSES_ROOT\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}]
[HKEY_CLASSES_ROOT\SWEETIE.SWEETIE]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2009-04-23 691656]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-08-18 39408]
"Steam"="c:\programme\steam\steam.exe" [2010-05-07 1238352]
"Pando Media Booster"="c:\programme\Pando Networks\Media Booster\PMB.exe" [2010-03-03 2937528]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2010-05-13 26192168]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 577536]
"BDRegion"="c:\programme\Cyberlink\Shared Files\brs.exe" [2007-11-16 91432]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-10-28 72736]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2007-10-11 62760]
"SweetIM"="c:\programme\SweetIM\Messenger\SweetIM.exe" [2009-01-28 111928]
"UfSeAgnt.exe"="c:\programme\Trend Micro\Internet Security\UfSeAgnt.exe" [2009-10-21 995528]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 159744]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"HP Software Update"="c:\programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2009-5-21 275768]
hpoddt01.exe.lnk - c:\programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoRecentDocsNetHood"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\ICQ6.5\\ICQ.exe"=
"c:\\Programme\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Programme\\Windows Live\\Sync\\WindowsLiveSync.exe"=
"c:\\Programme\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\Pando Networks\\Media Booster\\PMB.exe"=
"c:\\Programme\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqgplgtupl.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqgpc01.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqusgm.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\bin\\hpqusgh.exe"=
"c:\\Programme\\Hewlett-Packard\\HP Software Update\\HPWUCli.exe"=
"c:\\Programme\\Hewlett-Packard\\Digital Imaging\\smart web printing\\SmartWebPrintExe.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57367:TCP"= 57367:TCP:Pando Media Booster
"57367:UDP"= 57367:UDP:Pando Media Booster

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [05.07.2006 14:46 63352]
R2 ICQ Service;ICQ Service;c:\programme\ICQ6Toolbar\ICQ Service.exe [29.12.2008 20:06 222456]
R2 tmpreflt;tmpreflt;c:\windows\system32\drivers\tmpreflt.sys [29.05.2009 15:48 36368]
R3 tmcfw;Trend Micro Common Firewall Service;c:\windows\system32\drivers\TM_CFW.sys [29.05.2009 15:48 335376]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [29.12.2008 13:00 721904]
S2 gupdate;Google Update Service (gupdate);c:\programme\Google\Update\GoogleUpdate.exe [06.02.2010 17:11 135664]
S2 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [29.05.2009 15:59 50192]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12	REG_MULTI_SZ   	Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt	REG_MULTI_SZ   	hpqcxs08 hpqddsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2010-06-12 c:\windows\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 18:07]

2010-06-12 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-06 15:10]

2010-06-12 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programme\Google\Update\GoogleUpdate.exe [2010-02-06 15:10]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.t-online.de/
IE: Add to Windows &Live Favorites - hxxp://favorites.live.com/quickadd.aspx
IE: Google Sidewiki... - c:\programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_2EC7709873947E87.dll/cmsidewiki.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\Lukesch\Anwendungsdaten\Mozilla\Firefox\Profiles\jb3h64og.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - prefs.js: browser.startup.homepage - hxxp://www.t-online.de/
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?FORM=IEFM1&q=
FF - component: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpClipBook.dll
FF - component: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpClipBookDB.dll
FF - component: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpNeoLogger.dll
FF - component: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSaturn.dll
FF - component: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSmartSelect.dll
FF - component: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSmartWebPrinting.dll
FF - component: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpSWPOperation.dll
FF - component: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPLogging.dll
FF - component: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPMTC.dll
FF - component: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXPMTL.dll
FF - component: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn3\components\hpXREStub.dll
FF - plugin: c:\programme\Google\Update\1.2.183.23\npGoogleOneClick8.dll
FF - plugin: c:\programme\Hewlett-Packard\Digital Imaging\Smart Web Printing\MozillaAddOn3\plugins\nphpclipbook.dll
FF - plugin: c:\programme\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\programme\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\programme\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npdeployJava1.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npPandoWebInst.dll
FF - plugin: c:\programme\Opera\program\plugins\npdivx32.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJava11.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJava12.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJava131_18.dll
FF - plugin: c:\programme\Opera\program\plugins\NPJava32.dll
FF - plugin: c:\programme\Opera\program\plugins\nppl3260.dll
FF - plugin: c:\programme\Opera\program\plugins\nprpjplug.dll
FF - plugin: c:\programme\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
FF - user.js: yahoo.homepage.dontask - truec:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\programme\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-msnmsgr - ~c:\programme\Windows Live\Messenger\msnmsgr.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-06-12 20:02
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  msnmsgr = ~"c:\programme\Windows Live\Messenger\msnmsgr.exe" /background? 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4C74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\programme\CyberLink\PowerDVD\000.fcl"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1164)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2010-06-12  20:05:13
ComboFix-quarantined-files.txt  2010-06-12 18:05

Vor Suchlauf: 9 Verzeichnis(se), 34.009.452.544 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 34.018.000.896 Bytes frei

- - End Of File - - E6DA32AFC31C89A06685B171D7A97C5A

--- --- ---

markusg · 12.06.2010, 19:53

download malwarebytes:
Malwarebytes
instalieren, öffnen,registerkarte aktualisierung, programm updaten.
dann registerkarte scanner, komplett scan auswählen, funde löschen, log posten

KaffeeBohne · 12.06.2010, 20:02

woher kennst du dich so gut aus, hast du das beruflich gerlernt?

markusg · 12.06.2010, 20:05

nein, in meiner freizeit

KaffeeBohne · 12.06.2010, 20:08

habs offen, meinst du oben in der leiste unter dem bild von Malwarebytes`Antie Malware:
Suchlauf, Schutz, Aktualisierung Quarantäne, Logdateinen, Ignorierliste, Einstellungen, weitere Programme, Über

?

KaffeeBohne · 12.06.2010, 20:26

ahh passt schon habs kapiert xD

KaffeeBohne · 12.06.2010, 22:16

wie lange dauert die suche im durchschnitt eig.?

12.06.2010, 13:50	#2
markusg /// Malware-holic	Msn/ICQ - Virus "Wie findest du dieses Bild" (winscdvn.exe) wie wir per pm abgesprochen haben, postest du die otl logs. __________________

12.06.2010, 17:23	#6
markusg /// Malware-holic	Msn/ICQ - Virus "Wie findest du dieses Bild" (winscdvn.exe) bitte erstelle und poste ein combofix log. Ein Leitfaden und Tutorium zur Nutzung von ComboFix

12.06.2010, 18:46	#8
markusg /// Malware-holic	Msn/ICQ - Virus "Wie findest du dieses Bild" (winscdvn.exe) kannst du es noch mal versuchen zu starten, antivirus natürlich wieder aus.

12.06.2010, 19:53	#10
markusg /// Malware-holic	Msn/ICQ - Virus "Wie findest du dieses Bild" (winscdvn.exe) download malwarebytes: Malwarebytes instalieren, öffnen,registerkarte aktualisierung, programm updaten. dann registerkarte scanner, komplett scan auswählen, funde löschen, log posten

12.06.2010, 20:05	#12
markusg /// Malware-holic	Msn/ICQ - Virus "Wie findest du dieses Bild" (winscdvn.exe) nein, in meiner freizeit

Msn/ICQ - Virus "Wie findest du dieses Bild" (winscdvn.exe)

Plagegeister aller Art und deren Bekämpfung: Msn/ICQ - Virus "Wie findest du dieses Bild" (winscdvn.exe)