Trojaner-Board - Infektion mit Spyware-Secure

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Infektion mit Spyware-Secure (https://www.trojaner-board.de/57360-infektion-spyware-secure.html)

Infektion mit Spyware-Secure

Ein Bekannter hat mich wegen einer Infektion mit dem falschen Antivirus-Programm 'Spyware-Secure' auf seinem XP-SP2 um Hilfe gebeten.

Als erstes hatte ich über den Taskmanager den Programmprozess der 'secure.exe' gestoppt und dann den Programmordner 'Spyware-Secure' komplett gelöscht.
Danach Cleanup und SuperAntiSpyware laufen lassen. Nach den Neustart lief nur der Abgesicherte Modus. Dabei habe ich manuell alle Registry-Einträge gelöscht, die auf 'Spyware-Secure' hinwiesen. Danach startete der PC wieder im normalen Modus und per HJT und hjtscanlist wurden die Log-Dateien erstellt.

Anschliessend wollte ich noch den Kaspersky-Online-Scan laufen lassen aber dabei öffnete sich wieder ein Fenster mit 'Spyware-Secure', so dass ich den Scan dann abgebrochen hab.
Da ich hier auch nur der Einäugige unter den Blinden bin möchte ich um eure Hilfe bitten.

Besten Dank,

kupferboy

Hier das HJT Logfile:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:07:20, on 04.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\LogMeIn\LogMeInSystray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\vsnp2uvc.exe
C:\Programme\Hercules\DualPix Exchange\CamService.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\fwgfwhg.exe
C:\Programme\MessengerSkinner\MessengerSkinner.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?linkid=677
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programme\LogMeIn\LogMeInSystray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SetIcon] C:\Program Files\Icons\SetIcon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [snp2uvc] C:\WINDOWS\vsnp2uvc.exe
O4 - HKLM\..\Run: [HerculesCamService] C:\Programme\Hercules\DualPix Exchange\CamService.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [fwgfwhg] c:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\fwgfwhg.exe fwgfwhg
O4 - HKCU\..\Run: [messengerskinner] C:\Programme\MessengerSkinner\MessengerSkinner.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dualpix Exchange
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - h**p://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - h**p://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1132930606578
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - h**p://activex.webcam.nl/AxisCamControl.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8718 bytes

Die Logs von hjtscanlist und SuperAntiSpyware hätte ich auch noch.

Hi,

habe inzwischen auf ohne Hilfe herausgefunden, das sehr wahrscheinlich das Programm "MessengerSkinner.exe" der Auslöser des Problems sein könnte.
Habe dazu folgendes gefunden:

Zitat:

MessengerSkinner.exe is a part of MessengerSkinner software. MessengerSkinner is a potentially unwanted application that may drop a copy of Trojan.Skintrim on to the computer. It may also display pop-up advertisements on the computer.

Also werde ich das erstmal entfernen und dann weiter sehen.

Hallo

Installiere in absehbarer Zeit das SP3 für Windows XP!

Acker das hier für weitere Analysen ab:

1.) Folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\dokumente und einstellungen\***\lokale einstellungen\anwendungsdaten\fwgfwhg.exe

C:\Programme\MessengerSkinner\MessengerSkinner.exe

2.) Malwarebytes Antimalware ausführen und Logfile posten

3.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

Hallo root24,

Vielen Dank, das hilft mir sehr weiter.
Noch der "fwgfwhg.exe" wollte ich gerade fragen, die kommt mir auch suspekt vor. Bei Google hab ich dazu keine Ergebnisse gefunden.
:)

Zitat:

Zitat von kupferboy (Beitrag 361092)

Hallo root24,

Vielen Dank, das hilft mir sehr weiter.
Noch der "fwgfwhg.exe" wollte ich gerade fragen, die kommt mir auch suspekt vor. Bei Google hab ich dazu keine Ergebnisse gefunden.
:)

"fwgfwhg.exe" ist ein zufälliger Dateiname, zufällig zusammengewürfelte Buchstaben. Ist so vom Schädlingsautor veranlaßt worden. :kloppen:
Solche Dateinamen findet man meist nie über Google.

Hallo,

hier die Log-Dateien zur Auswertung. Die Datei" fwgfwhg.exe" ist inzwischen nicht mehr vorhanden. Dafür findet sich an der gleichen Stelle die Datei "egymowk.exe".
Log von MessengerSkinner.exe:

Code:

 Datei MessengerSkinner.exe empfangen 2008.08.13 18:18:16 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 12/35 (34.29%)

Laden der Serverinformationen...

Ihre Datei wartet momentan auf Position: 4.

Geschätzte Startzeit is zwischen 62 und 88 Sekunden.

Dieses Fenster bis zum Abschluss des Scans nicht schließen.

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt.

Filter Filter

Drucken der Ergebnisse Drucken der Ergebnisse

Datei existiert nicht oder dessen Lebensdauer wurde überschritten

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.

Email:         

        

Antivirus         Version         letzte aktualisierung         Ergebnis

AhnLab-V3        2008.8.13.0        2008.08.13        -

AntiVir        7.8.1.19        2008.08.13        ADSPY/Bho.bzk

Authentium        5.1.0.4        2008.08.13        -

Avast        4.8.1195.0        2008.08.13        -

AVG        8.0.0.161        2008.08.13        Dropper.Eesbin.H

BitDefender        7.2        2008.08.13        GenPack:Adware.MSNSkinner.B

CAT-QuickHeal        9.50        2008.08.13        AdWare.BHO.bzk (Not a Virus)

ClamAV        0.93.1        2008.08.13        -

DrWeb        4.44.0.09170        2008.08.13        -

eSafe        7.0.17.0        2008.08.13        -

eTrust-Vet        31.6.6030        2008.08.13        -

Ewido        4.0        2008.08.13        -

F-Prot        4.4.4.56        2008.08.13        -

F-Secure        7.60.13501.0        2008.08.13        AdWare.Win32.BHO.bzk

Fortinet        3.14.0.0        2008.08.13        Adware/BHO

GData        2.0.7306.1023        2008.08.13        -

Ikarus        T3.1.1.34.0        2008.08.13        Trojan-Downloader.Win32.Wintrim.A

K7AntiVirus        7.10.413        2008.08.13        -

Kaspersky        7.0.0.125        2008.08.13        not-a-virus:AdWare.Win32.BHO.bzk

McAfee        5359        2008.08.12        Generic Dropper.az

Microsoft        1.3807        2008.08.13        TrojanDropper:Win32/MessengerSkinner

NOD32v2        3352        2008.08.13        -

Norman        5.80.02        2008.08.13        -

Panda        9.0.0.4        2008.08.13        -

PCTools        4.4.2.0        2008.08.13        -

Rising        20.57.22.00        2008.08.13        -

Sophos        4.32.0        2008.08.13        Mal/Generic-A

Sunbelt        3.1.1542.1        2008.08.13        -

Symantec        10        2008.08.13        -

TheHacker        6.3.0.3.046        2008.08.13        -

TrendMicro        8.700.0.1004        2008.08.13        -

VBA32        3.12.8.3        2008.08.13        -

ViRobot        2008.8.13.1335        2008.08.13        -

VirusBuster        4.5.11.0        2008.08.13        -

Webwasher-Gateway        6.6.2        2008.08.13        Ad-Spyware.Bho.bzk

weitere Informationen

File size: 348160 bytes

MD5...: 2ed85a77d0b593794384a4c50443259d

SHA1..: c07f669a06ef42485e8b21a20e3e4cfaa3bc3017

SHA256: 0ee615efb514d5b417e1b2aea9d3b5952141c836c1907446cfca733fb0f48af7

SHA512: 0088f7a1a0924640efd25e6343c064cb5e2f7f61798056a56da223b70153287c

88c3b7a78c43b19ed4dc313f56c460487bdc242307bfae003ab4f2ed831d8f4f

PEiD..: -

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x401c19

timedatestamp.....: 0x4811cd4c (Fri Apr 25 12:23:40 2008)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x4ba80 0x2000 6.57 0ba4350a2372bf46ff6325689f6b445b

.data 0x4d000 0x4ab28 0x4b000 8.00 a33c5e58e621cd068318365528e27d0d

.rsrc 0x98000 0x6c30 0x7000 5.03 09d555990b5616051e317f058a4f3613
 

( 0 imports )
 

( 0 exports )

Der Log von egymowk.exe:

Code:

 Datei egymowk.exe empfangen 2008.08.13 18:29:31 (CET)

Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 0/35 (0%)

Laden der Serverinformationen...

Ihre Datei wartet momentan auf Position: 4.

Geschätzte Startzeit is zwischen 62 und 88 Sekunden.

Dieses Fenster bis zum Abschluss des Scans nicht schließen.

Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.

Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.

Ihre Datei wird momentan von VirusTotal überprüft,

Ergebnisse werden sofort nach der Generierung angezeigt.

Filter Filter

Drucken der Ergebnisse Drucken der Ergebnisse

Datei existiert nicht oder dessen Lebensdauer wurde überschritten

Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
 

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.

Email:         

        

Antivirus         Version         letzte aktualisierung         Ergebnis

AhnLab-V3        2008.8.13.0        2008.08.13        -

AntiVir        7.8.1.19        2008.08.13        -

Authentium        5.1.0.4        2008.08.13        -

Avast        4.8.1195.0        2008.08.13        -

AVG        8.0.0.161        2008.08.13        -

BitDefender        7.2        2008.08.13        -

CAT-QuickHeal        9.50        2008.08.13        -

ClamAV        0.93.1        2008.08.13        -

DrWeb        4.44.0.09170        2008.08.13        -

eSafe        7.0.17.0        2008.08.13        -

eTrust-Vet        31.6.6030        2008.08.13        -

Ewido        4.0        2008.08.13        -

F-Prot        4.4.4.56        2008.08.13        -

F-Secure        7.60.13501.0        2008.08.13        -

Fortinet        3.14.0.0        2008.08.13        -

GData        2.0.7306.1023        2008.08.13        -

Ikarus        T3.1.1.34.0        2008.08.13        -

K7AntiVirus        7.10.413        2008.08.13        -

Kaspersky        7.0.0.125        2008.08.13        -

McAfee        5359        2008.08.12        -

Microsoft        1.3807        2008.08.13        -

NOD32v2        3352        2008.08.13        -

Norman        5.80.02        2008.08.13        -

Panda        9.0.0.4        2008.08.13        -

PCTools        4.4.2.0        2008.08.13        -

Rising        20.57.22.00        2008.08.13        -

Sophos        4.32.0        2008.08.13        -

Sunbelt        3.1.1542.1        2008.08.13        -

Symantec        10        2008.08.13        -

TheHacker        6.3.0.3.046        2008.08.13        -

TrendMicro        8.700.0.1004        2008.08.13        -

VBA32        3.12.8.3        2008.08.13        -

ViRobot        2008.8.13.1335        2008.08.13        -

VirusBuster        4.5.11.0        2008.08.13        -

Webwasher-Gateway        6.6.2        2008.08.13        -

weitere Informationen

File size: 299008 bytes

MD5...: 988f7a44a6a4f721d49296fadb1b337e

SHA1..: de482642c991d12e7373c8797206b43b75b866ef

SHA256: 418f16bfc73db0b007140abcd9d266436e6cc9170da2030bd084988d18e3bb3e

SHA512: cd1c3a58447a5415de6f0b0df6081b0fe44704dd950e32e3440787632547faf7

e44865ca237664c75dcb60e9a6f01a8b435771a53d96dd689d303a3d27c6452b

PEiD..: Armadillo v1.71

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x401940

timedatestamp.....: 0x43b1a792 (Tue Dec 27 20:44:02 2005)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0xacc 0x1000 5.02 eb3f4566b0c508062d09adb89cda414c

.rdata 0x2000 0xf72 0x1000 5.17 571c7df552b1f4ac33572662a6c97dee

.data 0x3000 0x45f9c 0x46000 7.35 8007ba9505b14ffb10c8d437715a4340
 

( 11 imports )

> KERNEL32.dll: GetTapeParameters, GetCommState, FindResourceExW, ClearCommBreak, ReadConsoleInputW, AllocConsole, EnumCalendarInfoW, TryEnterCriticalSection, GetProcessHeap, EnumTimeFormatsW, SetFileAttributesA, GetDateFormatA, LocalFileTimeToFileTime, lstrcmpA, LCMapStringA, OutputDebugStringW, PeekNamedPipe, GetCompressedFileSizeW, EndUpdateResourceA, AreFileApisANSI, FatalAppExitA, GetFileAttributesA, EnumResourceLanguagesW, GetLogicalDriveStringsA, FindCloseChangeNotification, GetProcessTimes, GetCommandLineW, FindFirstFileW, lstrcatW, WritePrivateProfileSectionA, RemoveDirectoryA, OpenFile, IsValidLocale, SetEnvironmentVariableW, VirtualUnlock, WriteConsoleOutputCharacterA, FormatMessageA, ExpandEnvironmentStringsW, FlushConsoleInputBuffer, GetThreadPriority, GetNumberFormatW, FindFirstFileA, SetConsoleWindowInfo, ExitProcess, MultiByteToWideChar, LocalAlloc, DuplicateHandle, FreeEnvironmentStringsA, IsProcessorFeaturePresent, FlushFileBuffers, PrepareTape, WritePrivateProfileStructA, SetCurrentDirectoryA, GetUserDefaultLCID, GlobalDeleteAtom, QueryDosDeviceW, DebugBreak, _lopen, GetSystemDirectoryW, SetupComm, FindResourceExA, VirtualProtect, GetTickCount, LocalLock, GetDriveTypeA, UnhandledExceptionFilter, GetModuleHandleA, GlobalGetAtomNameW, GetTempFileNameA, Beep, GetPrivateProfileStringW, GetSystemTime, ConnectNamedPipe, GetProfileStringA, CompareStringW, SetEvent, VirtualAlloc, GetStartupInfoA

> USER32.dll: DestroyMenu

> GDI32.dll: SetPixel, CreatePatternBrush, GetStretchBltMode, SetPaletteEntries, GetTextExtentPointW

> comdlg32.dll: ReplaceTextW, ChooseFontW

> ADVAPI32.dll: RegCreateKeyExA, SetKernelObjectSecurity, BuildTrusteeWithNameW, LockServiceDatabase

> SHELL32.dll: SHGetSpecialFolderLocation, SHFileOperationW

> ole32.dll: CoReleaseServerProcess

> OLEAUT32.dll: -, -, -, -, -

> COMCTL32.dll: ImageList_LoadImageA, ImageList_Add, ImageList_SetImageCount

> SHLWAPI.dll: PathUnquoteSpacesA, SHCopyKeyA, SHCopyKeyW, PathIsRelativeW, PathIsRootA, UrlCombineW, ChrCmpIW, SHSetValueA, SHDeleteKeyA, PathIsRelativeA, StrDupW, PathFindExtensionW, PathAppendW, StrFormatByteSizeW, PathAddBackslashW, StrDupA, SHRegWriteUSValueW, SHRegGetUSValueW, PathUnquoteSpacesW

> MSVCRT.dll: __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _XcptFilter, _exit, _controlfp, _except_handler3, __set_app_type, __p__fmode
 

( 0 exports )

Malwarebyte Log:

Code:

Malwarebytes' Anti-Malware 1.24

Datenbank Version: 1049

Windows 5.1.2600 Service Pack 2
 

19:50:02 13.08.2008

mbam-log-8-13-2008 (19-49-40).txt
 

Scan-Methode: Vollständiger Scan (C:\|)

Durchsuchte Objekte: 96684

Laufzeit: 33 minute(s), 2 second(s)
 

Infizierte Speicherprozesse: 1

Infizierte Speichermodule: 1

Infizierte Registrierungsschlüssel: 2

Infizierte Registrierungswerte: 3

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 11

Infizierte Dateien: 26
 

Infizierte Speicherprozesse:

C:\Programme\MessengerSkinner\MessengerSkinner.exe (Adware.EGDAccess) -> No action taken.
 

Infizierte Speichermodule:

C:\Programme\MessengerSkinner\MessengerSkinnerDll.dll (Adware.EGDAccess) -> No action taken.
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{eddbb5ee-bb64-4bfc-9dbe-e7c85941335b} (Adware.Zango) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\messengerskinner (Adware.EGDAccess) -> No action taken.
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\messengerskinner (Adware.EGDAccess) -> No action taken.
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

C:\Programme\Hotbar (Adware.Hotbar) -> No action taken.

C:\Programme\Hotbar\bin (Adware.Hotbar) -> No action taken.

C:\Programme\Hotbar\bin\10.2.197.0 (Adware.Hotbar) -> No action taken.

C:\Programme\Hotbar\bin\10.2.197.0\firefox (Adware.Hotbar) -> No action taken.

C:\Programme\Hotbar\bin\10.2.197.0\firefox\extensions (Adware.Hotbar) -> No action taken.

C:\Programme\Hotbar\bin\10.2.197.0\firefox\extensions\components (Adware.Hotbar) -> No action taken.

C:\Programme\Hotbar\bin\10.2.197.0\firefox\extensions\plugins (Adware.Hotbar) -> No action taken.

C:\Programme\MessengerSkinner (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\download (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\resources (Adware.EGDAccess) -> No action taken.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\2ACA5CC3-0F83-453D-A079-1076FE1A8B65 (Adware.Seekmo) -> No action taken.
 

Infizierte Dateien:

C:\System Volume Information\_restore{772EFB74-57D4-4A86-9B5D-3D524482A2F5}\RP178\A0099931.dll (Adware.Shopper) -> No action taken.

C:\Programme\Hotbar\bin\10.2.197.0\arrow.ico (Adware.Hotbar) -> No action taken.

C:\Programme\Hotbar\bin\10.2.197.0\copyright.txt (Adware.Hotbar) -> No action taken.

C:\Programme\Hotbar\bin\10.2.197.0\link.ico (Adware.Hotbar) -> No action taken.

C:\Programme\Hotbar\bin\10.2.197.0\firefox\extensions\chrome.manifest (Adware.Hotbar) -> No action taken.

C:\Programme\Hotbar\bin\10.2.197.0\firefox\extensions\install.rdf (Adware.Hotbar) -> No action taken.

C:\Programme\Hotbar\bin\10.2.197.0\firefox\extensions\components\npclntax.xpt (Adware.Hotbar) -> No action taken.

C:\Programme\MessengerSkinner\MessengerSkinner.exe (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\MessengerSkinnerDll.dll (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\uninst.exe (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\download\defaultPack.cab (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\resources\appconfig.xml (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\resources\btn.rgn (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\resources\btnBnr.rgn (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\resources\btnIn.rgn (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\resources\btnInNormal.bmp (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\resources\btnInOver.bmp (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\resources\btnNormal.bmp (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\resources\btnNormal.gif (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\resources\btnNormalBnr.bmp (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\resources\btnNormalBnr.gif (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\resources\btnOver.bmp (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\resources\btnOver.gif (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\resources\btnOverBnr.bmp (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\resources\btnOverBnr.gif (Adware.EGDAccess) -> No action taken.

C:\Programme\MessengerSkinner\resources\languages_v2.xml (Adware.EGDAccess) -> No action taken.

Für den Rest muss ich eine weitere Antwort schreiben (zu viele Zeichen).

... und zuletzt noch ComboFix-Log:

Code:

ComboFix 08-08-12.01 - *** 2008-08-13 21:08:52.2 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.169 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\ComboFix.exe

.
 

(((((((((((((((((((((((   Dateien erstellt von 2008-07-13 bis 2008-08-13  ))))))))))))))))))))))))))))))

.
 

2008-08-13 21:13 . 2008-08-13 21:13        53,248        --a------        C:\TEMP\catchme.dll

2008-08-13 20:59 . 2008-08-13 20:59        <DIR>        d--------        C:\Programme\CCleaner

2008-08-13 19:53 . 2008-08-13 19:53        16,384        --a----t-        C:\TEMP\Perflib_Perfdata_424.dat

2008-08-13 18:39 . 2008-08-13 18:39        <DIR>        d--------        C:\Programme\Malwarebytes' Anti-Malware

2008-08-13 18:39 . 2008-08-13 18:39        <DIR>        d--------        C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes

2008-08-13 18:39 . 2008-08-13 18:39        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-08-13 18:39 . 2008-07-30 20:07        38,472        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-08-13 18:39 . 2008-07-30 20:07        17,144        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-08-04 19:19 . 2008-08-04 19:19        <DIR>        d--------        C:\WINDOWS\system32\Kaspersky Lab

2008-08-04 19:19 . 2008-08-04 19:19        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab

2008-08-04 19:05 . 2008-08-04 19:05        <DIR>        d--------        C:\Programme\Trend Micro

2008-08-04 18:48 . 2008-08-04 18:48        <DIR>        d--------        C:\Dokumente und Einstellungen\**\Anwendungsdaten\SUPERAntiSpyware.com

2008-08-04 18:47 . 2005-11-25 10:29        <DIR>        d--h-----        C:\Dokumente und Einstellungen\**\Vorlagen

2008-08-04 18:47 . 2005-11-25 09:43        <DIR>        dr-------        C:\Dokumente und Einstellungen\**\Startmenü

2008-08-04 18:47 . 2005-11-25 09:43        <DIR>        d--h-----        C:\Dokumente und Einstellungen\**\Netzwerkumgebung

2008-08-04 18:47 . 2008-08-13 21:13        <DIR>        d--h-----        C:\Dokumente und Einstellungen\**\Lokale Einstellungen

2008-08-04 18:47 . 2005-11-25 09:43        <DIR>        d--------        C:\Dokumente und Einstellungen\**\Favoriten

2008-08-04 18:47 . 2005-11-25 09:43        <DIR>        d--h-----        C:\Dokumente und Einstellungen\**\Druckumgebung

2008-08-04 18:47 . 2008-08-04 18:48        <DIR>        dr-h-----        C:\Dokumente und Einstellungen\**\Anwendungsdaten

2008-08-04 18:47 . 2008-08-04 18:47        <DIR>        d--------        C:\Dokumente und Einstellungen\**

2008-08-04 18:03 . 2008-08-04 18:03        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com

2008-08-04 18:02 . 2008-08-13 20:58        <DIR>        d--------        C:\Programme\SUPERAntiSpyware

2008-08-04 18:02 . 2008-08-13 20:58        <DIR>        d--------        C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com

2008-08-04 17:59 . 2008-08-13 21:13        <DIR>        d--------        C:\TEMP\WLTB Custom Button Feeds

2008-07-18 20:39 . 2008-07-18 20:39        587,776        --a------        C:\WINDOWS\WLXPGSS.SCR
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-13 19:14        6,234,144        --sha-w        C:\WINDOWS\system32\drivers\fidbox.dat

2008-08-13 18:59        ---------        d-----w        C:\Programme\GIMP-2.0

2008-08-13 18:58        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

2008-08-13 17:51        72,716        --sha-w        C:\WINDOWS\system32\drivers\fidbox.idx

2008-07-18 20:10        94,920        ----a-w        C:\WINDOWS\system32\cdm.dll

2008-07-18 20:10        53,448        ----a-w        C:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10        45,768        ----a-w        C:\WINDOWS\system32\wups2.dll

2008-07-18 20:10        36,552        ----a-w        C:\WINDOWS\system32\wups.dll

2008-07-18 20:09        563,912        ----a-w        C:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09        325,832        ----a-w        C:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09        205,000        ----a-w        C:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09        1,811,656        ----a-w        C:\WINDOWS\system32\wuaueng.dll

2008-07-18 20:07        270,880        ----a-w        C:\WINDOWS\system32\mucltui.dll

2008-07-18 20:07        210,976        ----a-w        C:\WINDOWS\system32\muweb.dll

2008-06-20 17:39        247,296        ----a-w        C:\WINDOWS\system32\mswsock.dll

2008-06-20 10:45        360,320        ----a-w        C:\WINDOWS\system32\drivers\tcpip.sys

2008-06-20 10:44        138,368        ----a-w        C:\WINDOWS\system32\drivers\afd.sys

2008-06-20 09:52        225,920        ----a-w        C:\WINDOWS\system32\drivers\tcpip6.sys

2008-06-15 17:40        1,613,824        ----a-w        C:\WINDOWS\Internet Logs\xDB3C6.tmp

2008-06-14 17:57        273,024        ------w        C:\WINDOWS\system32\drivers\bthport.sys

2008-06-02 16:43        20,779,199        ----a-w        C:\WINDOWS\Internet Logs\vsmon_on_demand_2008_06_02_18_40_40_full.dmp.zip

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

REGEDIT4

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AVG7_CC"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe" [2008-04-22 18:21 579584]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-11-17 11:33 3022848]

"LogMeIn GUI"="C:\Programme\LogMeIn\LogMeInSystray.exe" [2005-10-03 12:31 189168]

"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 02:07 32768]

"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]

"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-25 19:58 282624]

"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-10-30 10:36 256576]

"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54 919016]

"snp2uvc"="C:\WINDOWS\vsnp2uvc.exe" [2007-03-12 19:49 569344]

"HerculesCamService"="C:\Programme\Hercules\DualPix Exchange\CamService.exe" [2007-06-05 18:50 79400]

"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

"nwiz"="nwiz.exe" [2003-11-17 11:33 753664 C:\WINDOWS\system32\nwiz.exe]

"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [2007-11-19 20:58 219136]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26 282624]

HP Image Zone Schnellstart.lnk - C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 00:49:24 73728]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\Dualpix Exchange

Deinstallieren .lnk - C:\Programme\InstallShield Installation Information\{04BEFF7A-DF5D-4E49-AB46-BA3D3BE49FCB}\setup.exe [2007-11-24 18:32:16 455600]

Handbuch.lnk - C:\Programme\Hercules\DualPix Exchange\User manual.pdf [2007-11-24 18:35:29 1577121]

Webcam Station Evolution SE.lnk - C:\Programme\Hercules\DualPix Exchange\Station2.exe [2007-11-24 18:32:24 10031104]

Zoom Controller.lnk - C:\Programme\Hercules\DualPix Exchange\CamService.exe [2007-11-24 18:32:16 79400]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]

2005-10-03 12:29 5632 C:\WINDOWS\system32\LMIinit.dll
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programme\\Grisoft\\AVG Free\\avginet.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"C:\\Programme\\iTunes\\iTunes.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Programme\\Grisoft\\AVG Free\\avgamsvr.exe"=

"C:\\Programme\\Grisoft\\AVG Free\\avgcc.exe"=

"C:\\WINDOWS\\system32\\ZoneLabs\\avsys\\ScanningProcess.exe"=

"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
 

R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Programme\LogMeIn\RaInfo.sys [2005-10-03 12:31]

R3 camfilt2;camfilt2;C:\WINDOWS\system32\Drivers\camfilt2.sys [2007-05-29 13:23]
 

*Newly Created Service* - CATCHME

*Newly Created Service* - PROCEXP90

.

Inhalt des "geplante Tasks" Ordners
 

2008-07-17 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2006-10-10 18:13]
 

2008-08-13 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job

- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]

.

.

------- Zusätzlicher Scan -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\lxhdcpgw.default\

FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.lu/
 
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net

Rootkit scan 2008-08-13 21:13:38

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Einträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

Prozess: C:\WINDOWS\system32\winlogon.exe

-> C:\Programme\SUPERAntiSpyware\SASWINLO.dll

.

Zeit der Fertigstellung: 2008-08-13 21:16:39

ComboFix-quarantined-files.txt  2008-08-13 19:16:28

ComboFix2.txt  2008-08-13 18:45:05
 

Pre-Run: 17 Verzeichnis(se), 180,726,988,800 Bytes frei

Post-Run: 21 Verzeichnis(se), 180,717,969,408 Bytes frei
 

159        --- E O F ---        2008-08-06 21:10:12

Kann ich schon XP3 installieren oder sollte ich noch abwarten bis alles bereinigt ist.

Besten Dank für eure Antworten.

Ich muss noch eine Ergänzung dazu setzen. Ich hatte den Punkt mit der Wiederherstellungskonsole vor CCleaner ausgeführt. Da dabei aber auch die ganze Ausführung von Combofix gestartet wird, musste ich CCleaner anschliessend starten und habe Combofix danach noch ein zweites Mal laufen lassen. Das obige Log ist von 2. Durchlauf von Combofix.
Hilft er trotzdem?
Das Ergebnis sieht schon ganz gut aus, es ging jetzt kein Fenster von Spyware-Secure mehr auf.