Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF

celmis6 · 09.09.2008, 05:59

Hallo liebe Helfer!
Auch mich haben zwei Antivirus-Trojaner befallen. Mein AntiVir hat bei Systemcheck 2 Funde gemacht: TR/FakeAV.AM + TR/Fakealert.AAF. Seitdem kann ich im Internet nicht mehr auf Antivirenseiten zugreifen, mein Bildschirm wurde geändert, es prangt eine Virenmeldung in der Mitte. Außerdem kommt ständig ein Fenster, dass mich auffordert, einen Antivir zu installieren, was ich nicht getan habe. des weiteren werde ich im Internet bei google-Suche auf andere Seiten umgelenkt.

Bitte, bitte helft mir!!

nochdigger · 09.09.2008, 07:19

Hallo

erstelle bitte zuerst ein HijackThis Log mit dieser umbenannten Datei.
http://mitglied.lycos.de/efunction/t...02/qlketzd.com
editiere bitte aktive Links heraus (http --> hxxp) und deinen Realnamen (z.B. Max Muster --> Mxx Mxxxx).

MFG

celmis6 · 09.09.2008, 15:10

hallo!
danke, dass du mir hilfst!
ich habe versucht, hijack auf meinen computer herunterzuladen, hat nicht funktioniert (Meldung "hijack.exe ist kein Windows23 Programm"). Hab jetzt das Programm auf einem anderen Rechner heruntergeladen und auf meinen Computer installiert, hoffe, das ist ok und verfälscht das Ergebnis nicht.
Das Log lautet:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:02:44, on 09.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\lphccd5j0eedg.exe
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt81.tmp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\Programme\Freund\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://mail.yahoo.com/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll (file missing)
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=0
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [lphccd5j0eedg] C:\WINDOWS\system32\lphccd5j0eedg.exe
O4 - HKLM\..\Run: [inrhc9d5j0eedg] C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt81.tmp.exe /CR=E378D6B80573F693830D714814CC3DF89C64928ABAA780BA1471EB1777C5B22973E1E0BF3219750508EAAD9C84AB17417C90F183A1E4B0AF2982F32C9F5932AFEC58CC49CB88C7338230B779D0896B0C0F
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O8 - Extra context menu item: &Search - hxxp://edits.mywebsearch.com/toolbar...tml?p=ZNfox000
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - hxxp://www2.snapfish.com/SnapfishActivia.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

--
End of file - 9696 bytes

nochdigger · 09.09.2008, 17:02

Hallo

versuche bitte zuerst Malwarebytes laufen zu lassen, lass alles gefundene löschen und poste anschließend das Log, dann sehen wir weiter.

MFG

celmis6 · 09.09.2008, 18:36

so, scan ist jetzt fertig. das bild auf meinem desktop ist verschwunden, ich kann auch wieder auf antivirus-seiten zugreifen. weiß aber nicht, ob wirklich alles weg ist.
hier das log:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1132
Windows 5.1.2600 Service Pack 2

09.09.2008 19:30:19
mbam-log-2008-09-09 (19-30-19).txt

Scan-Methode: Vollständiger Scan (A:\|B:\|C:\|D:\|E:\|G:\|H:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 262281
Laufzeit: 1 hour(s), 5 minute(s), 26 second(s)

Infizierte Speicherprozesse: 3
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 30
Infizierte Registrierungswerte: 9
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 6
Infizierte Dateien: 34

Infizierte Speicherprozesse:
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt81.tmp.exe (Rogue.Installer) -> Unloaded process successfully.
C:\WINDOWS\system32\lphccd5j0eedg.exe (Trojan.FakeAlert) -> Unloaded process successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\WINDOWS\system32\blphccd5j0eedg.scr (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\screensavercontrol.screensaverinstaller (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\screensavercontrol.screensaverinstaller.1 (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2763e333-b168-41a0-a112-d35f96f410c0} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{00a6faf6-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1E0DE227-5CE4-4ea3-AB0C-8B03E1AA76BC} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{53ced2d0-5e9a-4761-9005-648404e6f7e5} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7473d292-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7473d294-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7473d296-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{adb01e81-3c79-4272-a0f1-7b2be7a782dc} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{07b18eab-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{25560540-9571-4d7b-9389-0f166788785a} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{2eff3cf7-99c1-4c29-bc2b-68e057e22340} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3dc201fb-e9c9-499c-a11f-23c360d7c3f8} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{3e720452-b472-4954-b7aa-33069eb53906} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{63d0ed2c-b45b-4458-8b3b-60c69bbbd83c} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7473d294-b7bb-4f24-ae82-7e2ce94bb6a9} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{98d9753d-d73b-42d5-8c85-4469cda897ab} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{9ff05104-b030-46fc-94b8-81276e4e27df} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{a6573479-9075-4a65-98a6-19fd29cf7374} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{e79dfbca-5697-4fbd-94e5-5b2a9c7c1612} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/x-f3embed (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphccd5j0eedg (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhc9d5j0eedg (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Search\ (Adware.Hotbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Media\WMSDK\Sources\f3PopularScreensavers (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Trace) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Malware.Trace) -> Data: system32\ -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\Starware (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\bin (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\buttons (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\contexts (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\icons (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\xml (Adware.Starware) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\blphccd5j0eedg.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt81.tmp.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt81.tmp (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Programme\Starware\brand.bmp (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\Setup.exe (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\StarwareConfig.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\bin\Starware.dll (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\buttons\screensaver.bmp (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\buttons\Thumbs.db (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\contexts\error.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\contexts\Related.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\contexts\Travel.xml (Adware.Starware) -> Quarantined and deleted successfully.
C:\Programme\Starware\icons\star_16.ico (Adware.Starware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\casino1.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\casino2.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\casino3.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\lphccd5j0eedg.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phccd5j0eedg.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt15.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt6.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.ttF.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

nochdigger · 09.09.2008, 19:00

Hallo

und holla(nd), da ist ja was zusammen gekommen...

Dann schicken wir mal Combofix hinterher

Zitat:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

poste bitte anschließend wieder das entstandene Log.

MFG

celmis6 · 09.09.2008, 19:31

während der analyse mit CCleaner hat avira antivir abermals zwei virenmeldungen angezeigt: VBS-Scriptvirus VBS/Agent.1002 und der bereits bekannte TR/FakeAV.AM. ich habe CCleaner analyse fertiggestellt und alle angezeigten fehler behoben. soll ich nun trotz der virenmeldungen mit combofix weitermachen oder vorher etwas anderes wiederholen?

nochdigger · 09.09.2008, 21:22

Hallo

schicke erstmal Combofix übers System.
Wo wurde der Fund gemacht (Pfad/Dateiname)?

MFG

celmis6 · 09.09.2008, 21:30

danke für die rasche antwort!! anbei die antivir meldungen:

1)
In der Datei 'C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\nsz3.tmp\euladlg.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/FakeAV.AM' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

2)
In der Datei 'C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\nsv3.tmp\euladlg.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/FakeAV.AM' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

3)
In der Datei 'C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt6.tmp.vbs'
wurde ein Virus oder unerwünschtes Programm 'VBS/Agent.1002' [virus] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

4)
In der Datei 'C:\Dokumente und Einstellungen\Hecher\Lokale Einstellungen\Temp\.tt5.tmp.vbs'
wurde ein Virus oder unerwünschtes Programm 'VBS/Agent.1002' [virus] gefunden.
Ausgeführte Aktion: Datei löschen

so, ich lass dann mal combofix drüber laufen...

mfg

celmis6 · 09.09.2008, 21:32

anbei das letzte malware scan-ergebnis (hab ihn nochmals drüberlaufen lassen)

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1132
Windows 5.1.2600 Service Pack 2

09.09.2008 22:31:22
mbam-log-2008-09-09 (22-31-22).txt

Scan-Methode: Vollständiger Scan (A:\|B:\|C:\|D:\|E:\|G:\|H:\|I:\|J:\|K:\|)
Durchsuchte Objekte: 235986
Laufzeit: 1 hour(s), 28 minute(s), 20 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\tdsspopup.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdsspopup1.url (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdsspopup2.url (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdsspopup3.url (Malware.Trace) -> Quarantined and deleted successfully.

nochdigger · 09.09.2008, 21:38

Hallo

Zitat:

so, ich lass dann mal combofix drüber laufen...

gut nach dem Combofix erstelle bitte ein Log mit der Filelist
Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

MFG

celmis6 · 09.09.2008, 22:05

sorry, hat etwas gedauert, mein pc ist nicht mehr der schnellste...
hier einmal das combofix-log:

Code:

ATTFilter

ComboFix 08-09-05.12 - Hecher 2008-09-09 22:35:58.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.611 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Hecher\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.
 ADS - svchost.exe: deleted 68 bytes in 1 streams. 
 ADS - ntoskrnl.exe: deleted 228 bytes in 1 streams. 

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Blacky.HECHER\Cookies\blacky@komtrack[1].txt
C:\Dokumente und Einstellungen\Blacky.HECHER\Cookies\blacky@serving-sys[2].txt
C:\Dokumente und Einstellungen\Hecher\Cookies\hecher@ehg-tiscover.hitbox[2].txt
C:\Dokumente und Einstellungen\Hecher\Cookies\hecher@komtrack[2].txt
C:\WINDOWS\jestertb.dll

.
(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TDSSSERV
-------\Service_TDSSserv


(((((((((((((((((((((((   Dateien erstellt von 2008-08-09 bis 2008-09-09  ))))))))))))))))))))))))))))))
.

2008-09-09 20:07 . 2008-09-09 20:07	<DIR>	d--------	C:\Programme\CCleaner
2008-09-09 18:22 . 2008-09-09 18:22	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-09-09 18:22 . 2008-09-09 18:22	<DIR>	d--------	C:\Dokumente und Einstellungen\Hecher\Anwendungsdaten\Malwarebytes
2008-09-09 18:22 . 2008-09-09 18:22	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Malwarebytes
2008-09-09 18:22 . 2008-09-08 00:11	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-09 18:22 . 2008-09-08 00:11	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-09-09 18:20 . 2008-09-09 18:20	<DIR>	d--------	C:\Programme\Freund_mal
2008-09-09 16:01 . 2008-09-09 16:02	<DIR>	d--------	C:\Programme\Freund

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-09 20:57	---------	d-----w	C:\Dokumente und Einstellungen\Hecher\Anwendungsdaten\Skype
2008-09-09 20:06	---------	d-----w	C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-09-09 17:33	---------	d-----w	C:\Dokumente und Einstellungen\Hecher\Anwendungsdaten\skypePM
2008-09-07 12:51	---------	d-----w	C:\Dokumente und Einstellungen\Hecher\Anwendungsdaten\AdobeUM
2008-08-16 09:32	---------	d-----w	C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-08-16 09:32	---------	d-----w	C:\Programme\DVDVideoSoft
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:30	253,952	----a-w	C:\WINDOWS\system32\es.dll
2008-06-24 16:22	74,240	----a-w	C:\WINDOWS\system32\mscms.dll
2008-06-23 16:14	826,368	----a-w	C:\WINDOWS\system32\wininet.dll
2008-06-20 17:39	247,296	----a-w	C:\WINDOWS\system32\mswsock.dll
2008-01-27 16:04	35,832	----a-w	C:\Dokumente und Einstellungen\Hecher\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-12-02 16:04	32	----a-w	C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ezsid.dat
2007-05-12 17:29	465,520	----a-w	C:\Programme\msgr8us.exe
2007-01-12 15:04	13,256,032	----a-w	C:\Programme\PDF Creator.exe
2006-09-18 12:24	62,132	----a-w	C:\Programme\Uninstall.exe
2006-09-14 14:25	31,236	----a-w	C:\Programme\changelog.ger.txt
2006-09-14 14:25	30,003	----a-w	C:\Programme\changelog.txt
2006-09-14 14:15	5,001,216	----a-w	C:\Programme\emule.exe
2006-09-08 14:15	13,046	----a-w	C:\Programme\readme.txt
2006-08-30 14:51	638,125	----a-w	C:\Programme\eMule.chm
2006-03-22 21:12	270,336	----a-w	C:\Programme\LinkCreator.exe
2005-11-04 13:05	5,100,576	----a-w	C:\Programme\Firefox Setup 1.0.7.exe
2005-09-17 14:38	34,211,008	----a-w	C:\Programme\iTunesSetup.exe
2005-06-16 16:34	14,894	----a-w	C:\Programme\Template.eMuleSkin.ini
2005-06-08 16:12	823,542	----a-w	C:\Programme\Tetris.exe
2005-05-08 08:01	1,694,551	----a-w	C:\Programme\Adaware.exe
2005-04-29 17:00	4,276,528	----a-w	C:\Programme\eMule0.45b-Installer.exe
2005-04-28 15:33	937,001	----a-w	C:\Programme\slsk156c.exe
2005-04-24 17:09	2,278,937	----a-w	C:\Programme\eMule0.45b.zip
2005-03-31 18:00	4,700,500	----a-w	C:\Programme\mh2.zip
2005-03-30 13:24	5,448,742	----a-w	C:\Programme\sven1.zip
2005-03-30 12:48	5,707,238	----a-w	C:\Programme\moorhuhn_x-xs.zip
2005-03-20 17:38	19,952	----a-w	C:\Dokumente und Einstellungen\Blacky.HECHER\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-02-14 15:36	34,752	----a-w	C:\Dokumente und Einstellungen\Meins\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2002-10-08 16:10	18,401	----a-w	C:\Programme\license-GER.txt
2002-10-08 16:10	14,971	----a-w	C:\Programme\license.txt
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"pdfSaver3"="C:\Programme\Mindjet\MindManager 7\PDF-XChange\pdfSaver\pdfSaver3.exe" [2004-09-05 380928]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-11-16 21760296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 8466432]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 32768]
"SpeedTouch USB Diagnostics"="C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" [2004-01-26 866816]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-06-14 278528]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-07-18 282624]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 57344]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 185896]
"OpwareSE4"="C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 75304]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 81920]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 2221352]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2008-02-28 570664]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"nwiz"="nwiz.exe" [2007-06-29 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\eMule0.45b\\emule.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\EA GAMES\\Command and Conquer Generals\\generals.exe"=
"C:\\Programme\\EA GAMES\\Command and Conquer Generals\\WorldBuilder.exe"=
"C:\\Programme\\EA GAMES\\Die Schlacht um Mittelerde(tm)\\game.dat"=
"C:\\Programme\\E-Mule neu\\eMule\\emule.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\EA GAMES\\Command and Conquer Generals\\game.dat"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 viaraid;viaraid;C:\WINDOWS\system32\DRIVERS\viaraid.sys [2003-10-31 72192]
R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2005-05-12 1287296]
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
HKLM-Run-pdfSaver3 - (no file)
Notify-WgaLogon - (no file)


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Hecher\Anwendungsdaten\Mozilla\Firefox\Profiles\10z5o2d4.default\
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava11.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava12.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava13.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava14.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJava32.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPJPI150_06.dll
FF -: plugin - C:\Programme\Java\jre1.5.0_06\bin\NPOJI610.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\NPMyWebS.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-09 22:54:31
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-09 23:02:29 - PC wurde neu gestartet
ComboFix-quarantined-files.txt  2008-09-09 21:02:26

Pre-Run: 22 Verzeichnis(se), 106,475,687,936 Bytes frei
Post-Run: 24 Verzeichnis(se), 110,531,801,088 Bytes frei

170	--- E O F ---	2008-08-13 10:07:59

celmis6 · 09.09.2008, 22:17

ok, hier die daten aus dem filelist-log (Verzeichnis von C:\Windows\Temp ist leer):

Code:

ATTFilter

Verzeichnis von C:\

09.09.2008  23:02            10.603 ComboFix.txt
09.09.2008  22:53     1.610.612.736 pagefile.sys

Verzeichnis von C:\WINDOWS\system32

08.09.2008  16:09            13.676 wpa.dbl
13.08.2008  12:07           609.048 TZLog.log

Verzeichnis von C:\WINDOWS\Prefetch

09.09.2008  23:07            16.894 VERCLSID.EXE-3667BD89.pf
09.09.2008  23:06            42.102 AVWSC.EXE-2F6C3C95.pf
09.09.2008  23:04            32.622 JUCHECK.EXE-03FBF417.pf
09.09.2008  23:04            11.052 JAVA.EXE-1586CEFA.pf
09.09.2008  23:03            18.830 HELPER.EXE-244ABC1F.pf
09.09.2008  23:03           109.336 FIREFOX.EXE-17EE503B.pf
09.09.2008  23:02            13.990 REGEDIT.EXE-1B606482.pf
09.09.2008  23:02            24.178 NOTEPAD.EXE-336351A9.pf
09.09.2008  23:02            30.152 IMAPI.EXE-0BF740A4.pf
09.09.2008  23:02            54.058 WMIPRVSE.EXE-28F301A9.pf
09.09.2008  22:56           114.524 SKYPEPM.EXE-03F1BFBD.pf
09.09.2008  22:56            74.058 WUAUCLT.EXE-399A8E72.pf
09.09.2008  22:56            51.118 ALG.EXE-0F138680.pf
09.09.2008  22:55            27.122 WSCNTFY.EXE-1B24F5EB.pf
09.09.2008  22:55            45.170 IPODSERVICE.EXE-233792DA.pf
09.09.2008  22:55            29.988 RUNDLL32.EXE-35A483DA.pf
09.09.2008  22:55         1.158.400 NTOSBOOT-B00DFAAD.pf
09.09.2008  22:52            22.768 LOGONUI.EXE-0AF22957.pf
09.09.2008  22:52            34.676 DWWIN.EXE-30875ADC.pf
09.09.2008  22:36            21.394 GUARDGUI.EXE-1BD45C30.pf
09.09.2008  22:35            17.080 NIRCMD.COM-223F42C3.pf
09.09.2008  22:35             4.796 HIDEC.EXE-1E46E0B3.pf
09.09.2008  22:35            17.426 RUNDLL32.EXE-36E71144.pf
09.09.2008  22:35            18.988 RUNONCE.EXE-2803F297.pf
09.09.2008  22:35            12.404 GRPCONV.EXE-111CD845.pf
09.09.2008  22:33           139.274 FIREFOX.EXE-1D57670A.pf
09.09.2008  22:33            65.138 UPDATER.EXE-0325006B.pf
09.09.2008  22:26            48.178 AVCENTER.EXE-37584419.pf
09.09.2008  22:06            71.788 AVNOTIFY.EXE-22AE9451.pf
09.09.2008  22:06            72.228 UPDATE.EXE-13D57D76.pf
09.09.2008  22:06            14.876 PREUPD.EXE-358AA1C1.pf
09.09.2008  21:02            51.726 MBAM.EXE-11D8BBD8.pf
09.09.2008  20:07            17.564 CCLEANER.EXE-065E2F3F.pf
09.09.2008  20:06            22.616 CCSETUP211.EXE-289D3138.pf
09.09.2008  19:31            10.522 MBAM-DOR.EXE-05145661.pf
09.09.2008  18:22            23.834 REGSVR32.EXE-25EEFE2F.pf
09.09.2008  18:22            21.630 MBAM-SETUP.TMP-14642B11.pf
09.09.2008  18:22            16.746 MBAM-SETUP.EXE-066EDA0B.pf
09.09.2008  18:21            78.610 COMPONENTLAUNCHER.EXE-10A25719.pf
09.09.2008  18:21            15.564 RUNDLL32.EXE-451FC2C0.pf
09.09.2008  18:20             9.626 MBAMTRAYCTRL.EXE-075285CF.pf
09.09.2008  18:20            23.858 MBAM.EXE-1AFC3ED0.pf
09.09.2008  18:18             9.576 MBAMTRAYCTRL.EXE-1A66C8F0.pf
09.09.2008  18:18            29.890 MBAM.EXE-184B3D23.pf
09.09.2008  16:10            21.792 QLKETZD.COM-2567FAA9.pf
09.09.2008  16:02            22.642 HIJACKTHIS.EXE-08B81E61.pf
09.09.2008  16:00            19.140 HIJACKTHIS.EXE-007BCCC5.pf
09.09.2008  06:44            41.848 DRWTSN32.EXE-2B4B52AC.pf
09.09.2008  06:30            46.714 RUNDLL32.EXE-3858A8A3.pf
09.09.2008  06:16           125.296 ACRORD32.EXE-0EC716D9.pf
09.09.2008  04:33           503.014 Layout.ini
09.09.2008  00:27           107.738 HELPSVC.EXE-2878DDA2.pf
08.09.2008  23:07            69.286 AD-AWARE.EXE-308139F4.pf
08.09.2008  23:02            48.208 AVSCAN.EXE-05AECC0E.pf
08.09.2008  22:52            26.248 .TT81.TMP-278F287F.pf
08.09.2008  22:42            17.756 MSIEXEC.EXE-2F8A8CAE.pf
08.09.2008  22:42            10.906 KCJLBBLM.EXE-03FF4808.pf
08.09.2008  22:41            42.746 GHJOMPDF.EXE-1E5ED60B.pf
08.09.2008  22:40            14.620 SVCHOST.EXE-3530F672.pf
08.09.2008  22:40            14.686 SVCHOST.EXE-0EB47E31.pf
08.09.2008  22:40            17.688 RUNDLL32.EXE-2153773E.pf
08.09.2008  22:40            12.592 WJQS.EXE-1834AD25.pf
08.09.2008  19:35            47.316 RUNDLL32.EXE-448830BB.pf
08.09.2008  19:35             6.412 CNMSE83.EXE-09304C2A.pf
08.09.2008  19:23            84.120 WINWORD.EXE-259486DA.pf
08.09.2008  18:58            18.104 RUNDLL32.EXE-1599D39A.pf
08.09.2008  17:16            42.270 PREPMASTER.EXE-005EB0C5.pf
08.09.2008  17:12            48.170 FOLIENVIEWER2.EXE-170F3F8D.pf
08.09.2008  17:12            21.042 RUNDLL32.EXE-2A94BB85.pf
08.09.2008  17:12            21.186 RUNDLL32.EXE-2E5AF1D7.pf
08.09.2008  16:54            17.876 PFADFINDER.EXE-3519151C.pf
08.09.2008  16:44            52.264 POWERPNT.EXE-019F2E3D.pf
08.09.2008  16:42            72.382 ACRORD32.EXE-2525A870.pf
07.09.2008  18:53            62.244 POWERDVD.EXE-35D9A3BA.pf
07.09.2008  17:43            47.830 EMULE.EXE-0B6B817E.pf
07.09.2008  17:38            90.294 ITUNES.EXE-15E88941.pf
07.09.2008  14:18            25.634 MSTORDB.EXE-31FDF221.pf
07.09.2008  12:45            45.916 ACRORD32INFO.EXE-30CEC19C.pf
07.09.2008  12:41            39.092 MPNSCAN.EXE-0D97832C.pf
07.09.2008  12:41            58.026 MPN30.EXE-399681E3.pf
06.09.2008  22:53            64.908 DFRGNTFS.EXE-269967DF.pf
06.09.2008  22:53            16.170 DEFRAG.EXE-273F131E.pf
06.09.2008  21:17            43.258 RUNDLL32.EXE-29F28A58.pf
06.09.2008  21:15            50.868 WMPLAYER.EXE-09969332.pf
06.09.2008  20:37            13.642 SRV.EXE-35B01693.pf
06.09.2008  20:37            24.498 WEATHER.EXE-053445CC.pf
06.09.2008  20:37             6.230 OEADDON.EXE-2ADBD0D5.pf
06.09.2008  20:37            27.392 ZAN33.EXE-34338E03.pf
06.09.2008  20:36            28.384 ZANGOUNINSTALLER.EXE-076A1C43.pf
06.09.2008  20:36            26.696 ZAN2C.EXE-0A1A3735.pf
06.09.2008  20:36            76.758 RUNDLL32.EXE-13404D23.pf
06.09.2008  20:23            47.624 ZANGOSA.EXE-193C3913.pf
06.09.2008  20:22            31.258 SAI14.TMP-0BA6B429.pf
06.09.2008  20:21            55.668 SETUP.EXE-2EE9E72C.pf
05.09.2008  20:15            17.938 FFMPEG.EXE-03BB1812.pf
05.09.2008  19:26            17.184 FREEYOUTUBEDOWNLOAD.EXE-066EC66E.pf
05.09.2008  19:26            17.886 FREESTUDIOMANAGER.EXE-019C2D18.pf
03.09.2008  19:13            34.958 AVGNT.EXE-36CA4640.pf
02.09.2008  20:28            37.750 RUNDLL32.EXE-264FD60D.pf
28.08.2008  15:52            34.906 SETUP_WM.EXE-19AC5A9B.pf
28.08.2008  15:51            50.290 WMPLAYER.EXE-0996933B.pf
28.08.2008  15:44            29.076 MSPAINT.EXE-11CBB631.pf
24.08.2008  18:24            19.064 RUNDLL32.EXE-12E27DD0.pf
24.08.2008  00:31            63.574 IEXPLORE.EXE-2CA9778D.pf
16.08.2008  11:32            14.818 COMMON.EXE-376F0C4E.pf
16.08.2008  11:32            48.766 IS-3CGD2.TMP-2F453074.pf
16.08.2008  11:32            14.844 FREEYOUTUBEDOWNLOAD.EXE-33F862AC.pf
16.08.2008  11:32            18.460 IS-15TIP.TMP-1FBFE370.pf
15.08.2008  23:06            30.254 RUNDLL32.EXE-227CCD67.pf
15.08.2008  15:35            18.746 TASKMGR.EXE-20256C55.pf
15.08.2008  15:24            25.886 ZAN1CF.EXE-2152C29F.pf
15.08.2008  15:23            58.164 RUNDLL32.EXE-132B2031.pf
15.08.2008  15:11            31.214 SAIF1.TMP-0289ED4A.pf
15.08.2008  14:59            13.104 AU_.EXE-39DFE18D.pf
15.08.2008  14:59             5.890 NSCC.TMP-020AE9E9.pf
15.08.2008  14:59            13.972 UNINSTALL_PLUGIN.EXE-1B14221A.pf
15.08.2008  14:59            19.914 INSTALL_FLASH_PLAYER.EXE-264204C5.pf
15.08.2008  14:33            27.150 EMULE0.49B-INSTALLER1.EXE-22F4BC0D.pf
15.08.2008  11:41            18.384 SCHED.EXE-236A886F.pf
15.08.2008  11:41            49.284 AVGUARD.EXE-3490B18B.pf
13.08.2008  12:07             5.308 TZCHANGE.EXE-02A31019.pf
13.08.2008  11:58            53.468 UPDATE.EXE-26CB048A.pf
13.08.2008  11:58            56.054 UPDATE.EXE-068E1E14.pf
13.08.2008  11:58            58.010 UPDATE.EXE-09E31419.pf

Verzeichnis von C:\WINDOWS

09.09.2008  22:56         1.067.167 WindowsUpdate.log
09.09.2008  22:54                 0 0.log
09.09.2008  22:54               159 wiadebug.log
09.09.2008  22:54               227 system.ini
09.09.2008  22:54                50 wiaservc.log
09.09.2008  22:53             2.048 bootstat.dat
09.09.2008  22:52            32.618 SchedLgU.Txt
07.09.2008  18:53               116 NeroDigital.ini
28.08.2008  19:50            11.884 setupapi.log
28.08.2008  15:52            48.879 wmsetup.log
13.08.2008  12:07           211.324 ntdtcsetup.log
13.08.2008  12:07            55.605 ocmsn.log
13.08.2008  12:07             1.374 imsins.log
13.08.2008  12:07           161.163 iis6.log
13.08.2008  12:07           348.782 comsetup.log
13.08.2008  12:07           388.125 tsoc.log
13.08.2008  12:07            22.537 KB952954.log
13.08.2008  12:07           484.161 ocgen.log
13.08.2008  12:07            50.620 msgsocm.log
13.08.2008  12:07         1.006.928 FaxSetup.log
13.08.2008  12:07           157.574 updspapi.log
13.08.2008  12:07             1.374 imsins.BAK
13.08.2008  12:07            15.794 KB946648.log
13.08.2008  12:07            14.282 KB953839.log
13.08.2008  12:07            22.007 KB950974.log
13.08.2008  12:07            35.110 KB951072-v2.log
13.08.2008  12:07            15.258 KB952287.log
13.08.2008  12:07            20.134 KB953838-IE7.log
13.08.2008  12:07             9.541 KB951066.log

Verzeichnis von C:\WINDOWS\tasks

09.09.2008  22:53                 6 SA.DAT

Verzeichnis von C:\DOKUME~1\Hecher\LOKALE~1\Temp

09.09.2008  23:08           121.211 filelist.txt
09.09.2008  23:06               634 filelist.zip
09.09.2008  23:04               580 jusched.log
09.09.2008  23:03                 0 etilqs_f7RvaXcLW2wHS1Ez5vaO

celmis6 · 10.09.2008, 06:07

neuester trojanerfund: TR/Drop.Softomat.AN - heute früh;

In der Datei 'C:\System Volume Information\_restore{F2F335CA-1810-4872-9C19-DEC1758124EC}\RP1\A0000014.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Drop.Softomat.AN' [trojan] gefunden.
Ausgeführte Aktion: Datei löschen

irgendwie hab ich das gefühl, dass ich für jeden, den ich loswerd, zwei neue dazubekomm

celmis6 · 10.09.2008, 06:10

muss ich mich eigentlich fürchten, dass auf meine passwörter zugegriffen wird (netbanking, email,...)? hab diese zwar nicht gespeichert, aber geht das trotzdem?

Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF

Plagegeister aller Art und deren Bekämpfung: Hilfe - TR/FakeAV.AM + TR/Fakealert.AAF