Problem: BAT/Fake.Privdanger

Basti17 · 20.04.2008, 21:45

Hilfe...

Ich habe ein Problem mit folgendem Virus:

BAT/Fake.Privdanger

Ich habe nicht sonderlich viel Ahnung aber dennoch kann ich die kleineren Probleme selberbeheben, wie zum beispiel leicht zu entfernende Trojaner oder Viren.

Mein Vater hat die Kontrolle über seinen PC verloren.
Ich kann ihm nicht mehr weiter helfen.

Ich kann weder Dateien deinstallieren und einige Programme nicht öffnen.
Der Rechner hat sich scheinbar selbstständig gemacht. Er öffnet wahllos immer wieder die selben Programme und wechselt ständig die Fenster. Er ist sehr langsam und das Hintergrundbild hat sich durch ein Bild ersetzt. Wenn ich linksklick mache (auf das neue Hintergrundbild) öffnet sich irgendeine Internetseite.
Es sind drei Verknüpfungen auf dem Desktop, welche mir unbekannt sind.

Hier das Protokoll von Hijack This:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:16:04, on 20.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: dpevflbg - {87F195A2-E583-4FE1-9649-3333E6FE1A61} - C:\WINDOWS\dpevflbg.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O21 - SSODL: vadokmxt - {682F1E48-9D31-4074-87AC-49C0D54A7973} - C:\WINDOWS\vadokmxt.dll
O21 - SSODL: wdpoefan - {9B888AB4-B66D-4EB7-8CAF-CF042EC29FC1} - C:\WINDOWS\wdpoefan.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4950 bytes

Irgendeine Idee was ich machen kann???
Hab schon in den anderen beiträgen hierzu geschaut, aber hab das irgenwie nicht so ganz hinbekommen...

Achso noch eins: War kurz davor den Rechner neu zu installieren, aber die als ich es installieren wollte bekam ich ne Warnung, dass ich noch ein anderes Betriebssystem auf dem Rechner befindet... Wahrscheinlich das selbe wie auf der CD.
Eine Reperatur des Systems (Also keine Neuinstallation) hatte kein Erfolg.

Ich bitte außerdem um eine auskunft ob mein Rechner auch gefährdet ist, falls ein Netzwerk besteht oder das Internet über einen Router läuft.

Bitte um eine einfache Erklärung zur Lösung des Problems.

grüße
Basti17

BataAlexander · 20.04.2008, 21:53

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
- Boote im abgesicherten Modus
- Starte es dann und lass das System Reinigen. (Option 2)
- es fragt Dich nach kurzer Zeit "Do you want to clean the registry?", dies mit "y" bejahen
- nach dem erfolgreichen Durchlauf öffnet es ein Notepad Fenster mit der rapport.txt
- Im Hintergrund muss smitfraudfix.exe noch mit "Q" beendet werden
- Nach diesem Durchlauf wird ggf. Dein Hintergrundbild verschwunden sein.

-Poste danach den Inhalt der Datei C:\rapport.txt
- Wenn auf dem Rechner XP Antispy mit den Standard Einstellungen benutzt wurde, läuft Smitfraudfix ggf. nicht richtig.

Basti17 · 21.04.2008, 15:38

Hmmm gut danke ich werde es veruschen...

Edit: Das Programm sagt mir dann das sie den angegebenen Pfad nicht findet...

Basti17 · 21.04.2008, 16:23

Hier das Ergebnis des scanns:

SmitFraudFix v2.315

Scan done at 17:08:20,50, 21.04.2008
Run from C:\Dokumente und Einstellungen\J”rg\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{33B9C4B9-1342-426B-BEF3-94F8890B280B}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{D595856D-C029-44EF-BC69-61DE07B23BF1}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E06FEDB8-E39D-4498-94FA-B6F27DB1870A}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{33B9C4B9-1342-426B-BEF3-94F8890B280B}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{D595856D-C029-44EF-BC69-61DE07B23BF1}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E06FEDB8-E39D-4498-94FA-B6F27DB1870A}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{33B9C4B9-1342-426B-BEF3-94F8890B280B}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{D595856D-C029-44EF-BC69-61DE07B23BF1}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E06FEDB8-E39D-4498-94FA-B6F27DB1870A}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

BataAlexander · 21.04.2008, 16:46

Seltsam das SMF nichts gefunden hat, die zwei nerver sollte er können.

Führe dies aus:

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Basti17 · 21.04.2008, 17:21

So hab durchlaufen lassen hier der Bericht von ComboFix:

ComboFix 08-04-20.5 - Jörg 2008-04-21 18:14:04.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.595 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Jörg\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-21 bis 2008-04-21 ))))))))))))))))))))))))))))))
.

2008-04-21 17:43 . 2008-04-21 17:43 <DIR> d-------- C:\WINDOWS\LastGood
2008-04-21 17:40 . 2008-04-21 17:40 <DIR> d-------- C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\MSNInstaller
2008-04-21 16:56 . 2008-04-21 17:08 1,392 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-21 16:52 . 2005-02-26 15:11 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-21 16:52 . 2005-02-26 15:04 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-04-21 16:52 . 2005-02-26 15:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-21 16:52 . 2008-04-21 18:15 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-21 16:52 . 2005-02-26 15:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-21 16:52 . 2006-12-29 21:40 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-04-21 16:52 . 2005-02-26 15:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-21 16:52 . 2005-02-26 15:04 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-21 16:52 . 2008-04-21 16:52 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-21 16:52 . 2008-04-21 18:14 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-04-20 21:57 . 2008-04-20 21:57 <DIR> d-------- C:\Programme\Trend Micro
2008-04-20 21:45 . 2008-04-20 18:03 543 --a------ C:\WINDOWS\win.tmp
2008-04-20 21:45 . 2008-04-20 17:46 231 --a------ C:\WINDOWS\system.tmp
2008-04-20 18:07 . 2004-08-04 14:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\msir3jp.lex
2008-04-20 18:06 . 2004-08-04 14:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-04-20 18:05 . 2004-05-13 00:39 876,653 --a--c--- C:\WINDOWS\system32\dllcache\fp4awel.dll
2008-04-20 18:03 . 2008-04-20 18:03 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-04-20 18:03 . 2008-04-20 18:03 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-04-20 18:03 . 2008-04-20 18:03 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-04-20 18:03 . 2008-04-20 18:03 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-04-20 18:03 . 2008-04-20 18:03 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-04-20 17:46 . 2004-08-04 14:00 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2008-04-20 17:46 . 2004-08-04 14:00 24,661 --a--c--- C:\WINDOWS\system32\dllcache\spxcoins.dll
2008-04-20 17:46 . 2004-08-04 14:00 13,824 --a------ C:\WINDOWS\system32\irclass.dll
2008-04-20 17:46 . 2004-08-04 14:00 13,824 --a--c--- C:\WINDOWS\system32\dllcache\irclass.dll
2008-04-20 07:52 . 2008-04-20 07:52 354,560 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-04-20 07:52 . 2008-04-04 14:51 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-04-20 07:43 . 2008-04-21 16:34 <DIR> d-------- C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\TmpRecentIcons
2008-04-19 17:54 . 2008-04-19 12:39 98,304 --a------ C:\WINDOWS\wxvgsdbq.exe
2008-04-19 17:54 . 2008-04-19 12:39 94,208 --a------ C:\WINDOWS\olgdqarf.exe
2008-04-13 17:41 . 2008-04-13 17:41 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-04-13 17:18 . 2008-04-20 08:23 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-08 20:00 . 2008-04-13 19:23 28,814 --a------ C:\WINDOWS\setupapi.old
2008-04-08 20:00 . 2008-04-08 20:02 1,355 --a------ C:\WINDOWS\imsins.BAK
2008-04-04 10:46 . 2006-10-05 04:42 2,560 --a------ C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-04-04 10:46 . 2006-10-05 04:42 2,432 --a------ C:\WINDOWS\system32\drivers\cdr4_xp.sys
3 Datei(en) . 1,049,790 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-21 15:43 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-20 09:26 --------- d-----w C:\Programme\Google
2008-04-20 09:03 --------- d-----w C:\Programme\EPSON
2008-04-20 08:58 --------- d-----w C:\Programme\Riven
2008-04-20 07:34 --------- d-----w C:\Programme\TuneUp Utilities
2008-04-20 07:21 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-04-20 07:13 --------- d-----w C:\Programme\a-squared Free
2008-04-13 16:19 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-03-12 20:45 --------- d-----w C:\Programme\Call of Duty
2008-03-04 16:49 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-04 16:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-02-28 19:09 --------- d-----w C:\Programme\QuickTime
2008-02-23 14:33 --------- d-----w C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Apple Computer
2008-02-23 11:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-02-23 11:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Newsoft
2008-02-23 02:38 43,872 ----a-w C:\WINDOWS\system32\drivers\pxhelp20.sys
2005-07-01 21:51 129,495,341 ----a-w C:\Dokumente und Einstellungen\Jörg\aptmp.exe
2005-07-01 21:51 129,495,341 ----a-w C:\Dokumente und Einstellungen\Jörg\aptmp.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-20 07:46 262401]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 00:43 8466432]
"nwiz"="nwiz.exe" [2007-06-29 00:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 00:43 81920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"nwiz"=nwiz.exe /install
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\Illusion Softworks\\Hidden & Dangerous 2\\hd2.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\WINDOWS\\system32\\mshearts.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"C:\\Programme\\Call of Duty\\CoDMP.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"E:\\Programme\\Ubisoft\\Crytek\\Far Cry\\Bin32\\FarCry.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundRouterRequest"= 1 (0x1)

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-20 07:46]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-20 07:46]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-05-09 16:52]
R2 aadev;AVM ADSL Adapter Device;C:\WINDOWS\system32\DRIVERS\aadev.sys [2005-05-09 16:45]
S2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2004-11-24 03:00]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-05-09 16:52]
S3 o1394bul;o1394bul;C:\DOKUME~1\JRG~1\LOKALE~1\Temp\o1394bul.sys []
S3 SetupNTGLM7X;SetupNTGLM7X;F:\NTGLM7X.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-20 07:52]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-04-21 16:00:01 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
"2008-04-20 17:01:06 C:\WINDOWS\Tasks\TuneUp SystemOptimizer - Schnellwartung.job"
- C:\Programme\TuneUp Utilities\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-21 18:15:20
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-21 18:16:50
ComboFix-quarantined-files.txt 2008-04-21 16:16:39

11 Verzeichnis(se), 16,183,574,528 Bytes frei
14 Verzeichnis(se), 16,233,213,952 Bytes frei

141 --- E O F --- 2008-04-20 20:54:42

Und hier der Bericht bon Hijack This:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:20:30, on 21.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe (file missing)
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - Unknown owner - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4203 bytes

Danke schon mal soweit. Rechner läuft schon besser.... Kann wieder deinstallieren und die Verknüpfungen sind weg. Das hin und herspringen der Fenster ist auch weg und die geschwindigkeit bessert sich acuh so langsam.

BataAlexander · 21.04.2008, 17:57

komisch, die 021 Einträge sind weg, gut so auch wenns nicht im Log steht.

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:

ATTFilter

File::
C:\WINDOWS\wxvgsdbq.exe
C:\WINDOWS\olgdqarf.exe

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.

6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Basti17 · 21.04.2008, 22:05

Muss ich wenn cih Bei der Startleiste auf ausführen gehe "notepad[Enter]" eingeben und dann suchen???
Und wenn der mir ansagt ich soll neustarten, muss ich das dann machen???

BataAlexander · 21.04.2008, 22:16

So kommste zum Notepad

Und wenn er neustarten will, solltest Du das tun.

Basti17 · 22.04.2008, 14:42

So habs nochmal durchlaufen lassen....

Hier das Logfile:

ComboFix 08-04-20.5 - Jörg 2008-04-22 15:33:01.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.651 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Jörg\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Jörg\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\olgdqarf.exe
C:\WINDOWS\wxvgsdbq.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\olgdqarf.exe
C:\WINDOWS\wxvgsdbq.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-22 bis 2008-04-22 ))))))))))))))))))))))))))))))
.

2008-04-22 14:51 . 2008-04-22 14:51 <DIR> d-------- C:\WINDOWS\LastGood
2008-04-21 17:40 . 2008-04-21 17:40 <DIR> d-------- C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\MSNInstaller
2008-04-21 16:56 . 2008-04-21 17:08 1,392 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-21 16:52 . 2005-02-26 15:11 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-04-21 16:52 . 2005-02-26 15:04 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-04-21 16:52 . 2005-02-26 15:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-04-21 16:52 . 2008-04-22 15:34 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-04-21 16:52 . 2005-02-26 15:04 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-04-21 16:52 . 2006-12-29 21:40 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-04-21 16:52 . 2005-02-26 15:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-04-21 16:52 . 2005-02-26 15:04 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-04-21 16:52 . 2008-04-21 16:52 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-04-21 16:52 . 2008-04-21 18:14 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-04-20 21:57 . 2008-04-20 21:57 <DIR> d-------- C:\Programme\Trend Micro
2008-04-20 21:45 . 2008-04-20 18:03 543 --a------ C:\WINDOWS\win.tmp
2008-04-20 21:45 . 2008-04-20 17:46 231 --a------ C:\WINDOWS\system.tmp
2008-04-20 18:07 . 2004-08-04 14:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\msir3jp.lex
2008-04-20 18:06 . 2004-08-04 14:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-04-20 18:05 . 2004-05-13 00:39 876,653 --a--c--- C:\WINDOWS\system32\dllcache\fp4awel.dll
2008-04-20 18:03 . 2008-04-20 18:03 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-04-20 18:03 . 2008-04-20 18:03 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-04-20 18:03 . 2008-04-20 18:03 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-04-20 18:03 . 2008-04-20 18:03 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-04-20 18:03 . 2008-04-20 18:03 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-04-20 17:46 . 2004-08-04 14:00 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2008-04-20 17:46 . 2004-08-04 14:00 24,661 --a--c--- C:\WINDOWS\system32\dllcache\spxcoins.dll
2008-04-20 17:46 . 2004-08-04 14:00 13,824 --a------ C:\WINDOWS\system32\irclass.dll
2008-04-20 17:46 . 2004-08-04 14:00 13,824 --a--c--- C:\WINDOWS\system32\dllcache\irclass.dll
2008-04-20 07:52 . 2008-04-20 07:52 354,560 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-04-20 07:52 . 2008-04-04 14:51 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-04-20 07:43 . 2008-04-21 19:07 <DIR> d-------- C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\TmpRecentIcons
2008-04-13 17:41 . 2008-04-13 17:41 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-04-13 17:18 . 2008-04-20 08:23 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-04-08 20:00 . 2008-04-13 19:23 28,814 --a------ C:\WINDOWS\setupapi.old
2008-04-08 20:00 . 2008-04-08 20:02 1,355 --a------ C:\WINDOWS\imsins.BAK
2008-04-04 10:46 . 2006-10-05 04:42 2,560 --a------ C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-04-04 10:46 . 2006-10-05 04:42 2,432 --a------ C:\WINDOWS\system32\drivers\cdr4_xp.sys
3 Datei(en) . 1,049,790 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-22 13:26 --------- d-----w C:\Programme\a-squared Free
2008-04-21 15:43 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-04-20 09:26 --------- d-----w C:\Programme\Google
2008-04-20 09:03 --------- d-----w C:\Programme\EPSON
2008-04-20 08:58 --------- d-----w C:\Programme\Riven
2008-04-20 07:34 --------- d-----w C:\Programme\TuneUp Utilities
2008-04-20 07:21 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-04-13 16:19 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-03-12 20:45 --------- d-----w C:\Programme\Call of Duty
2008-03-04 16:49 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-04 16:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-02-28 19:09 --------- d-----w C:\Programme\QuickTime
2008-02-23 14:33 --------- d-----w C:\Dokumente und Einstellungen\Jörg\Anwendungsdaten\Apple Computer
2008-02-23 11:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-02-23 11:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Newsoft
2008-02-23 02:38 43,872 ----a-w C:\WINDOWS\system32\drivers\pxhelp20.sys
2005-07-01 21:51 129,495,341 ----a-w C:\Dokumente und Einstellungen\Jörg\aptmp.exe
2005-07-01 21:51 129,495,341 ----a-w C:\Dokumente und Einstellungen\Jörg\aptmp.exe
.

((((((((((((((((((((((((((((( snapshot@2008-04-21_18.16.30.65 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-21 15:41:35 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-22 12:49:36 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-04-21 15:34:42 20,304 ----a-w C:\WINDOWS\SoftwareDistribution\EventCache\{31367C7D-AC52-4367-94CC-192C379CF5A1}.bin
+ 2008-04-22 12:53:06 2,808 ----a-w C:\WINDOWS\SoftwareDistribution\EventCache\{31367C7D-AC52-4367-94CC-192C379CF5A1}.bin
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-20 07:46 262401]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 00:43 8466432]
"nwiz"="nwiz.exe" [2007-06-29 00:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 00:43 81920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe" [ ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"nwiz"=nwiz.exe /install
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\fxsclnt.exe"=
"C:\\Programme\\Illusion Softworks\\Hidden & Dangerous 2\\hd2.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\WINDOWS\\system32\\mshearts.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Activision\\Call of Duty 2\\CoD2MP_s.exe"=
"C:\\Programme\\Call of Duty\\CoDMP.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"E:\\Programme\\Ubisoft\\Crytek\\Far Cry\\Bin32\\FarCry.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundRouterRequest"= 1 (0x1)

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-20 07:46]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-04-20 07:46]
R1 NETDSL;AVM PPP over Ethernet;C:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-05-09 16:52]
R2 aadev;AVM ADSL Adapter Device;C:\WINDOWS\system32\DRIVERS\aadev.sys [2005-05-09 16:45]
S2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 14:00]
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2004-11-24 03:00]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-05-09 16:52]
S3 o1394bul;o1394bul;C:\DOKUME~1\JRG~1\LOKALE~1\Temp\o1394bul.sys []
S3 SetupNTGLM7X;SetupNTGLM7X;F:\NTGLM7X.sys []
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-04-20 07:52]

*Newly Created Service* - MSISERVER
.
Inhalt des "geplante Tasks" Ordners
"2008-04-22 13:00:00 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
"2008-04-21 17:08:00 C:\WINDOWS\Tasks\TuneUp SystemOptimizer - Schnellwartung.job"
- C:\Programme\TuneUp Utilities\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-22 15:34:17
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-22 15:35:49
ComboFix-quarantined-files.txt 2008-04-22 13:35:38
ComboFix2.txt 2008-04-21 16:16:50

11 Verzeichnis(se), 19,143,368,704 Bytes frei
14 Verzeichnis(se), 19,138,580,480 Bytes frei

156 --- E O F --- 2008-04-22 12:51:19

Hab übrigens noch ein problem was scheinbar aufgetreten ist...

Ich kann den PC nicht mehr defragmentieren...
Ich bekomme da immer so ne Fehlermeldung in der es um ne system32 Datei geht...

Des weiteren habe ich weitere Trojaner, Viren oder Würmer gefunden (Oder was das für dinger sein sollen):

HTML/Dldr.Advance.A
SPR/Tool.Reboot.C
SPR/Tool.Hardoff.A
SPR/Tool.PV

BataAlexander · 22.04.2008, 14:56

Zitat:

HTML/Dldr.Advance.A
SPR/Tool.Reboot.C
SPR/Tool.Hardoff.A
SPR/Tool.PV

Das sind False positives durch Combofix.

Bitte AntiVir Updaten, wie hier beschrieben einstellen und dann einen Systemscan machen.
Den Rapport am Ende hier reinstellen.
Das Defrag Problem sehen wir uns dann an bzw. schreib mal die genaue Fehlermeldung auf.

Basti17 · 22.04.2008, 16:08

So ich lasse es gerade durchlaufen. Schreibe also von meinem (den bisher uninfizierten Rechner)

Hat 5 mal was gefunden habe alle 5 in Quarantäne gemacht.
Den Raport schreibe ich sobald alles fertig ist.

Hier der Avira Report:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 22. April 2008 16:29

Es wird nach 1229227 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: W-24234FC894724

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 9.4.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 20.4.2008 05:46:10
AVSCAN.DLL : 8.1.1.0 57601 Bytes 20.4.2008 05:46:10
LUKE.DLL : 8.1.2.9 151809 Bytes 20.4.2008 05:46:11
LUKERES.DLL : 8.1.2.0 12545 Bytes 20.4.2008 05:46:11
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.7.2007 17:01:49
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 7.3.2008 21:24:29
ANTIVIR2.VDF : 7.0.3.197 1260032 Bytes 22.4.2008 12:51:20
ANTIVIR3.VDF : 7.0.3.198 2048 Bytes 22.4.2008 12:51:20
Engineversion : 8.1.0.32
AEVDF.DLL : 8.1.0.5 102772 Bytes 20.4.2008 05:46:11
AESCRIPT.DLL : 8.1.0.26 233850 Bytes 20.4.2008 05:46:11
AESCN.DLL : 8.1.0.14 119156 Bytes 20.4.2008 05:46:11
AERDL.DLL : 8.1.0.19 418164 Bytes 20.4.2008 05:46:11
AEPACK.DLL : 8.1.1.2 364917 Bytes 20.4.2008 05:46:11
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 20.4.2008 05:46:11
AEHEUR.DLL : 8.1.0.18 1167735 Bytes 20.4.2008 05:46:11
AEHELP.DLL : 8.1.0.14 115063 Bytes 20.4.2008 05:46:11
AEGEN.DLL : 8.1.0.17 299380 Bytes 20.4.2008 05:46:11
AEEMU.DLL : 8.1.0.5 430450 Bytes 20.4.2008 05:46:11
AECORE.DLL : 8.1.0.27 168310 Bytes 20.4.2008 05:46:11
AVWINLL.DLL : 1.0.0.7 14593 Bytes 20.4.2008 05:46:10
AVPREF.DLL : 8.0.0.1 25857 Bytes 20.4.2008 05:46:10
AVREP.DLL : 7.0.0.1 155688 Bytes 21.4.2007 21:26:46
AVREG.DLL : 8.0.0.0 30977 Bytes 20.4.2008 05:46:10
AVARKT.DLL : 1.0.0.23 307457 Bytes 20.4.2008 05:46:10
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 20.4.2008 05:46:10
SQLITE3.DLL : 3.3.17.1 339968 Bytes 20.4.2008 05:46:11
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 20.4.2008 05:46:11
NETNT.DLL : 8.0.0.1 7937 Bytes 20.4.2008 05:46:11
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 20.4.2008 05:46:06
RCTEXT.DLL : 8.0.32.0 86273 Bytes 20.4.2008 05:46:06

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 22. April 2008 16:29

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IGDCTRL.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'a2service.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '25' Prozesse mit '25' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '24' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Jörg\Desktop\ComboFix.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '487af70c.qua' verschoben!
C:\Dokumente und Einstellungen\Jörg\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\hmhikszy.default\Cache\C2152591d01
[FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '483ef730.qua' verschoben!
C:\System Volume Information\_restore{F86B842A-8635-4BC1-953E-B1BF2C029899}\RP11\A0001809.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.PV-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '483dff64.qua' verschoben!
C:\System Volume Information\_restore{F86B842A-8635-4BC1-953E-B1BF2C029899}\RP7\A0001663.exe
[0] Archivtyp: RAR SFX (self extracting)
--> SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
--> SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '483dff8a.qua' verschoben!
Beginne mit der Suche in 'D:\' <BACKUP>
Beginne mit der Suche in 'E:\' <RECOVER>

Ende des Suchlaufs: Dienstag, 22. April 2008 17:28
Benötigte Zeit: 59:38 min

Der Suchlauf wurde vollständig durchgeführt.

5665 Verzeichnisse wurden überprüft
278510 Dateien wurden geprüft
5 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
278505 Dateien ohne Befall
2338 Archive wurden durchsucht
2 Warnungen
4 Hinweise

BataAlexander · 22.04.2008, 16:31

AntiVir hat mal wieder Combfix erwischt, tja.

Der Rechner ist wohl sauber, versuche noch Combofix zu deinstallieren.

Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.

Viel Spaß im Netz

Basti17 · 22.04.2008, 16:33

So und hier noch die Fehlermeldung:

Microsoft Management Console

Die Datei "C:\WINDOWS\system32\dfrg.msc" kann nicht geöffnet werden.

Möglicherweise existiert die Datei nicht, ist keine MMC-Konsole oder wurde mit einer höheren MMC-Version erstellt. Es könnte auch sein, das sie nicht dazu berechtigt sind, auf diese Datei zuzugreifen.

[OK]

Basti17 · 22.04.2008, 16:38

So denke mal das Combofix weg ist, da ich die fehlermeldung bekommen habe das dieser Ordner nicht existiert...

So dann bedanke ich mich schon mal so weit von ganzem herzen.

Und hier nen fetter Aplaus für dich:
:aplaus::aplaus::aplaus::aplaus::aplaus::aplaus:

21.04.2008, 22:16	#9
BataAlexander > MalwareDB	Problem: BAT/Fake.Privdanger So kommste zum Notepad Und wenn er neustarten will, solltest Du das tun.

22.04.2008, 16:31	#13
BataAlexander > MalwareDB	Problem: BAT/Fake.Privdanger AntiVir hat mal wieder Combfix erwischt, tja. Der Rechner ist wohl sauber, versuche noch Combofix zu deinstallieren. Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich. Viel Spaß im Netz

Problem: BAT/Fake.Privdanger

Plagegeister aller Art und deren Bekämpfung: Problem: BAT/Fake.Privdanger