hallo,

ich sag mal franz weil, sie (wegen franz 1968) die ganze zeit mir schreiben. diese

O1 - Hosts: 127.255.255.255*****.com
O1 - Hosts: 127.255.255.255 ****.com
O1 - Hosts: 127.255.255.255 ****.com

kann ich genau sagen was für eine adresse ist nämlich:

O1 - Hosts: 127.255.255.255 serial.alcohol-soft.com
O1 - Hosts: 127.255.255.255 www.alcohol-soft.com
O1 - Hosts: 127.255.255.255 images.alcohol-soft.com

habe es mit sternen getarnt weil es leider nicht ganz legal aussieht. Aber vielleicht hilft das ja weiter um zu sagen ob ich wirklich die ganzen schritte ausführen muss.

gruß

matthias

Ich sag mal Matthias, da du die ganze Zeit mir schreibst.

Zitat:

Zitat von Maddes05er

ob ich wirklich die ganzen schritte ausführen muss.

Meiner Ansicht nach ja. Das Fixen mit HijackThis kannst du allerdings überspringen.

Hallo Franz,,

Sbybot hat nichts gefunden :-)


Ps: Logfile von ComboFix liegt im Anhang bei.
Ps2: ich hoffe mit Combofix hab ich nichts relevantes gelöscht,(ZoneLabs meldete änderung in der regestry und Spybot auch. Habe bei ZoneLabs zulassen und bei Spybot Verweigern gedrückt. Wusste nicht was ich machen sollte) weil einige Änderungen in der Regestry vorgenommen wurden. System fuhr aber normal hoch. Hoffe es lässt sich rauslesen ob mein System clean ist oder nicht. Achja,
Danke Franz für die Mühe und Tipps die du mir gegeben hast.

Gruß

Matthias

so geht´s schneller :-)

"Maddes05er" - 2007-06-06 16:18:55 Service Pack 2 NTFS
ComboFix 07-06-3B - Running from: "C:\Dokumente und Einstellungen\Maddes05er\Desktop\Setup-Ordner\"


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\nm
-------\npf


((((((((((((((((((((((((( Files Created from 2007-05-06 to 2007-06-06 )))))))))))))))))))))))))))))))


2007-06-05 22:42 <DIR> d-------- C:\Programme\Music_Manager_2006
2007-06-05 22:39 <DIR> d-------- C:\MAGIX
2007-06-05 22:21 <DIR> d-------- C:\Programme\MAGIX
2007-06-05 01:20 <DIR> d-------- C:\DOKUME~1\MADDES~1\ANWEND~1\Atari
2007-06-05 01:01 197,120 --a------ C:\WINDOWS\patchw32.dll
2007-06-05 01:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PocketSoft
2007-06-05 00:58 <DIR> d--h----- C:\WINDOWS\PIF
2007-06-05 00:58 <DIR> d-------- C:\Programme\Atari
2007-06-05 00:55 45,568 --a------ C:\WINDOWS\UniFish3.exe
2007-06-05 00:55 <DIR> d-------- C:\Programme\Hasbro Interactive
2007-06-04 21:20 <DIR> d-------- C:\Programme\Alcohol Soft
2007-06-04 18:54 <DIR> d-------- C:\Programme\CPU-Z
2007-06-04 15:44 <DIR> d-------- C:\Programme\TMPGE
2007-06-04 15:40 <DIR> d-------- C:\Programme\VirtualDubMod_1_5_1_1a
2007-06-04 14:32 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Corel
2007-06-04 14:31 456,272 --a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\pswi_preloaded.exe
2007-06-04 14:14 <DIR> d-------- C:\WINDOWS\CD95F661A5C444F5A6AAECDD91C240B5.TMP
2007-06-04 04:22 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Philips Intelligent Agent
2007-06-04 04:21 <DIR> d-------- C:\Programme\Philips Intelligent Agent
2007-06-04 03:34 <DIR> d-------- C:\Programme\VSO
2007-06-04 01:24 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2007-06-03 13:08 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\vsosdk
2007-06-03 11:18 87,608 --a------ C:\DOKUME~1\MADDES~1\ANWEND~1\inst.exe
2007-06-03 11:18 47,360 --a------ C:\DOKUME~1\MADDES~1\ANWEND~1\pcouffin.sys
2007-06-03 11:18 217,127 --a------ C:\WINDOWS\system32\drv43260.dll
2007-06-03 11:18 208,935 --a------ C:\WINDOWS\system32\drv33260.dll
2007-06-03 11:18 176,165 --a------ C:\WINDOWS\system32\drv23260.dll
2007-05-23 22:24 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
2007-05-19 20:14 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Elaborate Bytes
2007-05-12 23:14 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2007-05-08 11:11 <DIR> d-------- C:\Programme\Graphics


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-05 21:44:16 -------- d-----w C:\Programme\Gemeinsame Dateien\MAGIX Shared
2007-06-05 21:35:06 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\MAGIX
2007-06-05 19:51:52 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\Vso
2007-06-05 13:32:34 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\foobar2000
2007-06-04 23:06:53 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-06-04 22:35:06 -------- d-----w C:\Programme\MyMicroBalance
2007-06-04 18:41:35 -------- d-----w C:\Programme\aEton CommunicaEor
2007-06-04 01:34:10 47,360 ----a-w C:\WINDOWS\system32\drivers\pcouffin.sys
2007-06-02 10:21:43 -------- d-----w C:\Programme\TuneUp Utilities 2007
2007-06-02 09:53:48 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\concept design
2007-05-10 21:42:15 -------- d-----w C:\Programme\Lexmark 4300 Series
2007-04-22 19:58:50 -------- d-----w C:\Programme\Gemeinsame Dateien\ODBC
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-16 20:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-16 20:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-16 20:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-16 20:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-16 20:44:20 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll
2007-04-16 20:44:18 208,248 ----a-w C:\WINDOWS\system32\muweb.dll
2007-04-14 15:12:01 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\Oxin's Style!
2007-04-13 19:21:00 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\Ahead
2007-04-12 15:07:11 -------- d-----w C:\Programme\Total Video Converter
2007-04-12 13:29:53 -------- d-----w C:\Programme\Xilisoft
2007-04-11 22:52:58 -------- d-----w C:\Programme\AmP
2007-04-11 22:52:24 -------- d-----w C:\Programme\LingoPad
2007-04-11 22:52:23 -------- d-----w C:\DOKUME~1\MADDES~1\ANWEND~1\Lingo4u
2007-04-07 14:59:34 -------- d-----w C:\Programme\Security Task Manager
2007-04-07 02:12:26 71,794 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-04-07 02:12:26 408,958 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-04-06 22:50:22 -------- d-----w C:\Programme\foobar2000
2007-04-06 22:40:55 -------- d-----w C:\Programme\3GP Converter 2007
2007-04-06 19:37:27 -------- d-----w C:\Programme\AudioEffects
2007-04-06 15:40:06 12,464 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-03-23 21:30:40 4,199 ----a-w C:\WINDOWS\mozver.dat
2007-03-20 00:01:07 4,212 ---ha-w C:\WINDOWS\system32\zllictbl.dat
2007-03-17 13:44:25 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-08 23:06:52 2,450 ----a-w C:\WINDOWS\system32\tmp.reg
2007-03-08 15:36:30 579,072 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:32:24 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys
2006-05-03 10:06:54 163,328 --sha-r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47:16 31,744 --sha-r C:\WINDOWS\system32\msfDX.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{53707962-6F74-2D53-2644-206D7942484F}=C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2005-05-31 01:04]
{72853161-30C5-4D22-B7F9-0BBC1D38A37E}=C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL [2006-10-27 01:48]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.6.0_01\bin\ssv.dll [2007-03-14 03:43]
{EBE9E2B5-B526-48BC-AD46-687263EDCB0E}=C:\Programme\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll [2004-12-03 05:14]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Zone Labs Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2006-08-24 00:38]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 C:\WINDOWS\SkyTel.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-20 22:18]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-09-25 10:12]
"Alcmtr"="ALCMTR.EXE" [2005-05-03 12:43 C:\WINDOWS\Alcmtr.exe]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-03-26 14:46]
"TrayServer"="C:\Programme\MAGIX\TrayServer.exe" [2006-10-04 16:41]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 14:00]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"="C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL" [2006-10-27 01:48]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Synchronizer.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Synchronizer.lnk
backup=C:\WINDOWS\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^InterVideo WinCinema Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\InterVideo WinCinema Manager.lnk
backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Maddes05er^Startmenü^Programme^Autostart^OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk]
path=C:\Dokumente und Einstellungen\Maddes05er\Startmenü\Programme\Autostart\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk
backup=C:\WINDOWS\pss\OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EzPrint]
"C:\Programme\Lexmark 4300 Series\ezprint.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FaxCenterServer]
"C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
"C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\lxcemon.exe]
"C:\Programme\Lexmark 4300 Series\lxcemon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Philips Intelligent Agent]
"C:\Programme\Philips Intelligent Agent\Philips Intelligent Agent.exe" /SILENT

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
C:\Programme\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\STYLEXP]
C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinFast Schedule]
C:\Programme\WinFast\WFTVFM\WFWIZ.exe

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*
UxTuneUp


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]
AutoRun\command- G:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{76ea92f4-c81f-11db-a91c-00146ca83181}]
AutoRun\command- G:\start.exe /checksection

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a2204068-e2d2-11db-a953-00146ca83181}]
AutoRun\command- G:\Autorun.exe


Contents of the 'Scheduled Tasks' folder
2007-06-01 15:16:09 C:\WINDOWS\tasks\1-Klick-Wartung.job

**************************************************************************

catchme 0.3.692 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-06 16:28:03
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
**************************************************************************

Completion time: 2007-06-06 16:31:12 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-06 16:30

--- E O F ---

Zitat:

Zitat von Maddes05er

es lässt sich rauslesen ob mein System clean ist oder nicht.

Es sieht meiner Meinung nach ganz sauber aus. Allerdings sagen mir die folgenden Dateinamen nichts:

Zitat:

C:\WINDOWS\patchw32.dll
C:\WINDOWS\UniFish3.exe
C:\DOKUME~1\MADDES~1\ANWEND~1\inst.exe
C:\DOKUME~1\MADDES~1\ANWEND~1\pcouffin.sys
G:\Autorun.exe
G:\start.exe /checksection

Dir vielleicht?

Da ich idiotischerweise nicht erwähnt hatte, dass du den Tea Timer von Spybot S&D ausschalten solltest, dürften die Änderungen an der Registry wieder rückgängig gemacht worden sein.

Gibt es eine Datei c:\combofix-quarantined-files.txt? Falls ja und falls sie nicht leer sein sollte, poste bitte ihren Inhalt.