Spyware geht nicht weg! HiJack Log File dabei!

Sommy · 04.11.2007, 18:19

Hey Leute,
habe mir i.was eingefangen... Zum kotzen.... Die spyware macht sich bemerkbar durch Popups die in der Taskleiste auftauchen.
Habe schon diverse Spyware Programem durchelaufen lassen und einige Virenchecks gemacht.... bringt nix. Nachdem ich das Popup wegklicke, startet der den Browser und will ne Datei runterladen die ienen Virus enthält...
Screen von einer der Fehlermeldungen:

HiJackLogFile:
Logfile of HijackThis v1.99.1
Scan saved at 18:15:08, on 02.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Video Add-on\icthis.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Spyware Doctor\SDTrayApp.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
D:\Programme\Video Add-on\icmntr.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Bonjour\mDNSResponder.exe
D:\Programme\Spyware Doctor\svcntaux.exe
D:\Programme\Spyware Doctor\swdsvc.exe
D:\WINDOWS\System32\alg.exe
D:\Programme\Spyware Doctor\swdoctor.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
D:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\MSN Messenger\usnsvc.exe
D:\Programme\Opera\Opera.exe
D:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {43BF8E0C-886D-4103-8DDB-2DFE0E8A0168} - D:\Programme\Video Add-on\isfmdl.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: IE Custom Tools - {6CA49FDD-4AEB-4F08-A394-C0A1F82CAA16} - D:\Programme\Video Add-on\ictmdl.dll
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SDTray] "D:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "D:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Startup: RocketDock.lnk = D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: d:\programme\bonjour\mdnsnsp.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - D:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - D:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NBService - Nero AG - D:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Start BT in service - Unknown owner - D:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe

WÄr schönw enn ihr mir helfen könnt...
kein bock zu formatieren...
Danke im vorraus

nochdigger · 04.11.2007, 18:26

Hallo

mach bitte zuerst alle versteckten Dateien und Ordner sichtbar und deaktiviere bitte die Systemwiederherstellung.

Dann führe bitte Combofix unnd Smitfraudfix aus.

Anleitung ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
- Starte es dann und lass das System durchsuchen (Option 1) und speichere den rapport1.txt
- Starte dein System im abgesichten Modus (beim Start F8 drücken) und lasse Smitfraudfix die Bereinigung durchführen (Option 2)

-Poste danach wie in der Anleitung beschrieben, das Ergebnis der Scans

MFG

Sommy · 04.11.2007, 19:00

ComboFix:
ComboFix 07-11-01.1** - Somymy 2007-11-02 18:43:08.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.326 [GMT 1:00]
ausgeführt von:: D:\Dokumente und Einstellungen\Somymy\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Dokumente und Einstellungen\Somymy\Anwendungsdaten\install_de[1].exe

.
((((((((((((((((((((((( Dateien erstellt von 2007-10-02 bis 2007-11-02 ))))))))))))))))))))))))))))))
.

2007-11-02 18:37 51,200 --a------ D:\WINDOWS\NirCmd.exe
2007-11-02 16:46 <DIR> d-------- D:\Programme\Spyware Doctor
2007-11-02 16:46 <DIR> d-------- D:\Dokumente und Einstellungen\Somymy\Anwendungsdaten\PC Tools
2007-11-02 16:46 <DIR> d-a------ D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-11-02 16:46 79,688 --a------ D:\WINDOWS\system32\drivers\iksyssec.sys
2007-11-02 16:46 62,280 --a------ D:\WINDOWS\system32\drivers\iksysflt.sys
2007-11-02 16:46 41,288 --a------ D:\WINDOWS\system32\drivers\ikfilesec.sys
2007-11-02 16:46 29,000 --a------ D:\WINDOWS\system32\drivers\kcom.sys
2007-11-02 16:45 626,688 --a------ D:\WINDOWS\system32\msvcr80.dll
2007-11-02 16:14 <DIR> d-------- D:\Temp
2007-11-02 16:13 <DIR> d-------- D:\Programme\Gemeinsame Dateien\DVDVideoSoft
2007-11-02 16:13 <DIR> d-------- D:\Programme\DVDVideoSoft
2007-11-02 16:13 344,064 --a------ D:\WINDOWS\system32\msvcr70.dll
2007-11-02 14:33 1,060,864 --a------ D:\WINDOWS\system32\mfc71.dll
2007-11-02 14:33 499,712 --a------ D:\WINDOWS\system32\msvcp71.dll
2007-11-02 14:33 89,088 --a------ D:\WINDOWS\system32\atl71.dll
2007-11-02 14:33 24,064 --a------ D:\WINDOWS\system32\msxml3a.dll
2007-11-02 11:45 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2007-11-02 11:41 <DIR> d-------- D:\Programme\Bonjour
2007-11-02 11:33 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Macrovision Shared
2007-11-02 10:26 <DIR> d-------- D:\Programme\Video Add-on
2007-11-02 01:18 <DIR> d-------- D:\Programme\Sony Ericsson
2007-11-02 00:46 <DIR> d-------- D:\Dokumente und Einstellungen\*****\Anwendungsdaten\Media Player Classic
2007-10-31 13:24 <DIR> d-------- D:\Programme\hurricane Ro
2007-10-31 13:20 <DIR> d-------- D:\Programme\MSN Messenger
2007-10-31 13:20 <DIR> d-------- D:\Dokumente und Einstellungen\*****\Contacts
2007-10-30 21:26 <DIR> d-------- D:\Programme\Nvu
2007-10-30 21:26 <DIR> d-------- D:\Dokumente und Einstellungen\*****\Anwendungsdaten\Nvu
2007-10-30 21:18 <DIR> d-------- D:\Programme\FlashFXP
2007-10-30 21:18 <DIR> d-------- D:\Dokumente und Einstellungen\*****\Anwendungsdaten\FlashFXP
2007-10-30 21:09 <DIR> d-------- D:\Programme\LeechFTP
2007-10-30 21:09 18,944 --a------ D:\WINDOWS\eraser.exe
2007-10-30 13:06 <DIR> d-------- D:\Programme\VirtualDJ
2007-10-30 12:35 <DIR> d-------- D:\Programme\ID3PiC
2007-10-26 17:17 <DIR> d-------- D:\WINDOWS\pss
2007-10-26 16:34 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bluetooth
2007-10-26 16:33 <DIR> d-------- D:\Programme\IVT Corporation
2007-10-26 16:31 101,272 --a------ D:\WINDOWS\system\btpcfg.dll
2007-10-25 19:34 <DIR> d-------- D:\Programme\MSXML 4.0
2007-10-25 14:47 <DIR> d-------- D:\Programme\Motorola Phone Tools
2007-10-25 14:47 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Motorola Shared
2007-10-25 14:47 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BVRP Software
2007-10-25 14:47 1,419,232 --a------ D:\WINDOWS\system32\wdfcoinstaller01005.dll
2007-10-25 14:47 21,632 --a------ D:\WINDOWS\system32\drivers\motmodem.sys
2007-10-25 14:47 17,920 --a------ D:\WINDOWS\system32\drivers\motccgp.sys
2007-10-25 14:47 7,680 --a------ D:\WINDOWS\system32\drivers\motccgpfl.sys
2007-10-25 14:47 6,400 --a------ D:\WINDOWS\system32\drivers\motswch.sys
2007-10-25 14:45 <DIR> d--hs---- D:\WINDOWS\ftpcache
2007-10-25 14:22 26,496 --a--c--- D:\WINDOWS\system32\dllcache\usbstor.sys
2007-10-25 00:13 9,600 --a------ D:\WINDOWS\system32\drivers\hidusb.sys
2007-10-25 00:13 9,600 --a--c--- D:\WINDOWS\system32\dllcache\hidusb.sys
2007-10-25 00:09 <DIR> d-------- D:\Programme\EA Sports
2007-10-24 14:39 154,112 --a------ D:\WINDOWS\system32\irftp.exe
2007-10-24 14:39 154,112 --a--c--- D:\WINDOWS\system32\dllcache\irftp.exe
2007-10-24 14:39 27,136 --a------ D:\WINDOWS\system32\irmon.dll
2007-10-24 14:39 27,136 --a--c--- D:\WINDOWS\system32\dllcache\irmon.dll
2007-10-24 14:39 8,192 --a------ D:\WINDOWS\system32\wshirda.dll
2007-10-24 14:39 8,192 --a--c--- D:\WINDOWS\system32\dllcache\wshirda.dll
2007-10-24 13:35 <DIR> d-------- D:\Dokumente und Einstellungen\*****\Anwendungsdaten\Ahead
2007-10-24 13:34 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2007-10-24 13:30 <DIR> d-------- D:\Programme\Nero
2007-10-24 13:30 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Ahead
2007-10-24 13:30 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2007-10-24 12:26 <DIR> d-------- D:\Programme\Infogrames
2007-10-24 12:25 <DIR> d-------- D:\Programme\Griffith
2007-10-24 12:15 <DIR> d-------- D:\Programme\Winamp Remote
2007-10-24 12:15 <DIR> d-------- D:\Programme\Winamp
2007-10-24 12:15 <DIR> d-------- D:\Dokumente und Einstellungen\*****\Anwendungsdaten\Winamp
2007-10-24 12:15 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\OrbNetworks
2007-10-24 12:12 <DIR> d-------- D:\WINDOWS\system32\LogFiles
2007-10-24 12:12 <DIR> d-------- D:\WINDOWS\system32\drivers\UMDF
2007-10-24 12:12 <DIR> d-------- D:\Programme\Windows Media Connect 2
2007-10-24 12:09 <DIR> d-------- D:\Programme\QuickTime Alternative
2007-10-24 12:09 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-10-24 12:07 <DIR> d-------- D:\Programme\ICQ6
2007-10-24 12:07 <DIR> d-------- D:\Dokumente und Einstellungen\*****\Anwendungsdaten\InstallShield
2007-10-24 12:07 <DIR> d-------- D:\Dokumente und Einstellungen\*****\Anwendungsdaten\ICQ
2007-10-24 12:06 <DIR> d-------- D:\Programme\IrfanView
2007-10-24 12:04 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Adobe
2007-10-24 12:03 <DIR> d-------- D:\Programme\Lavasoft
2007-10-24 12:03 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-10-24 12:03 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2007-10-24 12:01 <DIR> d-------- D:\Programme\K-Lite Codec Pack
2007-10-24 12:01 3,596,288 --a------ D:\WINDOWS\system32\qt-dx331.dll
2007-10-24 12:01 1,559,040 --a------ D:\WINDOWS\system32\xvidcore.dll
2007-10-24 12:01 739,840 --a------ D:\WINDOWS\system32\divx.dll
2007-10-24 12:01 348,160 --a------ D:\WINDOWS\system32\msvcr71.dll
2007-10-24 12:01 282,624 --a------ D:\WINDOWS\system32\xvidvfw.dll
2007-10-24 12:01 217,088 --a------ D:\WINDOWS\system32\yv12vfw.dll
2007-10-24 12:01 164,352 --a------ D:\WINDOWS\system32\unrar.dll
2007-10-24 12:01 81,920 --a------ D:\WINDOWS\system32\dpl100.dll
2007-10-24 12:01 7,680 --a------ D:\WINDOWS\system32\ff_vfw.dll
2007-10-23 00:38 1,405,504 --a------ D:\WINDOWS\system32\drivers\cmudax3.sys
2007-10-23 00:38 36,864 --a------ D:\WINDOWS\system32\cmudax3.DLL

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-25 14:01 0 ---ha-w D:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2007-10-25 14:01 0 ---ha-w D:\WINDOWS\system32\drivers\Msft_Kernel_motmodem_01005.Wdf
2007-10-25 13:48 --------- d--h--w D:\Programme\InstallShield Installation Information
2007-10-23 12:22 --------- d-----w D:\Programme\DAEMON Tools Pro
2007-10-23 12:22 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DAEMON Tools Pro
2007-10-23 12:21 --------- d-----w D:\Dokumente und Einstellungen\*****\Anwendungsdaten\DAEMON Tools Pro
2007-10-23 12:21 --------- d-----w D:\Dokumente und Einstellungen\*****\Anwendungsdaten\ATI
2007-10-23 12:21 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2007-10-23 12:18 64,987 ----a-w D:\WINDOWS\BricoPackUninst.cmd
2007-10-23 12:18 6,116 ----a-w D:\WINDOWS\BricoPackFoldersDelete.cmd
2007-10-23 12:18 219,648 ----a-w D:\WINDOWS\system32\uxtheme.dll
2007-10-23 12:17 685,816 ----a-w D:\WINDOWS\system32\drivers\sptd.sys
2007-10-23 12:16 --------- d-----w D:\Programme\ATI Technologies
2007-10-23 11:58 --------- d-----w D:\Programme\Gemeinsame Dateien\SpeechEngines
2007-10-23 11:58 --------- d-----w D:\Programme\Gemeinsame Dateien\ODBC
2007-10-23 11:33 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2007-10-23 11:26 --------- d-----w D:\Programme\Opera
2007-10-23 11:25 --------- d-----w D:\Programme\Gemeinsame Dateien\InstallShield
2007-10-23 11:24 --------- d-----w D:\Programme\Avira
2007-10-23 11:24 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-10-23 11:18 --------- d-----w D:\Programme\microsoft frontpage
2007-10-23 11:17 --------- d-----w D:\Programme\Online-Dienste
2007-10-23 11:16 --------- d-----w D:\Programme\Gemeinsame Dateien\MSSoap
2007-10-23 11:16 --------- d-----w D:\Programme\Gemeinsame Dateien\Dienste
2007-09-29 05:46 47,376 ----a-w D:\WINDOWS\system32\drivers\ativvpxx.vp
2007-09-29 03:21 9,854,976 ----a-w D:\WINDOWS\system32\atioglx2.dll
2007-09-29 03:07 356,352 ----a-w D:\WINDOWS\system32\ATIDEMGX.dll
2007-09-29 03:06 268,800 ----a-w D:\WINDOWS\system32\ati2dvag.dll
2007-09-29 03:05 2,456,064 ----a-w D:\WINDOWS\system32\drivers\ati2mtag.sys
2007-09-29 02:58 43,520 ----a-w D:\WINDOWS\system32\ati2edxx.dll
2007-09-29 02:58 26,112 ----a-w D:\WINDOWS\system32\Ati2mdxx.exe
2007-09-29 02:58 143,360 ----a-w D:\WINDOWS\system32\atipdlxx.dll
2007-09-29 02:58 122,880 ----a-w D:\WINDOWS\system32\Oemdspif.dll
2007-09-29 02:57 122,880 ----a-w D:\WINDOWS\system32\ati2evxx.dll
2007-09-29 02:56 483,328 ----a-w D:\WINDOWS\system32\ati2evxx.exe
2007-09-29 02:55 53,248 ----a-w D:\WINDOWS\system32\ATIDDC.DLL
2007-09-29 02:49 307,200 ----a-w D:\WINDOWS\system32\atiiiexx.dll
2007-09-29 02:47 3,130,720 ----a-w D:\WINDOWS\system32\ati3duag.dll
2007-09-29 02:47 172,032 ----a-w D:\WINDOWS\system32\atiok3x2.dll
2007-09-29 02:36 1,593,600 ----a-w D:\WINDOWS\system32\ativvaxx.dll
2007-09-29 02:23 5,435,392 ----a-w D:\WINDOWS\system32\atioglxx.dll
2007-09-29 02:22 376,832 ----a-w D:\WINDOWS\system32\atikvmag.dll
2007-09-29 02:20 17,408 ----a-w D:\WINDOWS\system32\atitvo32.dll
2007-09-29 02:19 49,152 ----a-w D:\WINDOWS\system32\drivers\ati2erec.dll
2007-09-29 02:14 499,712 ----a-w D:\WINDOWS\system32\ati2cqag.dll
2007-09-28 19:05 593,920 ------w D:\WINDOWS\system32\ati2sgag.exe
2007-08-21 06:16 683,520 ----a-w D:\WINDOWS\system32\inetcomm.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43BF8E0C-886D-4103-8DDB-2DFE0E8A0168}]
D:\Programme\Video Add-on\isfmdl.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{6CA49FDD-4AEB-4F08-A394-C0A1F82CAA16}"= D:\Programme\Video Add-on\ictmdl.dll [2007-11-02 10:27 78336]

[HKEY_CLASSES_ROOT\CLSID\{6CA49FDD-4AEB-4F08-A394-C0A1F82CAA16}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{6CA49FDD-4AEB-4F08-A394-C0A1F82CAA16}"= D:\Programme\Video Add-on\ictmdl.dll [2007-11-02 10:27 78336]

[HKEY_CLASSES_ROOT\CLSID\{6CA49FDD-4AEB-4F08-A394-C0A1F82CAA16}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-23 13:11]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-03 23:58 D:\WINDOWS\system32\bthprops.cpl]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57]
"msnmsgr"="D:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55]

D:\Dokumente und Einstellungen\*****\Startmenü\Programme\Autostart\
RocketDock.lnk - D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe [2007-03-18 23:05:02]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{41591d7f-9e25-4bd0-af53-9908fcf3a738}"= D:\WINDOWS\system32\yneid.dll [ ]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BlueSoleil.lnk]
path=D:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BlueSoleil.lnk
backup=D:\WINDOWS\pss\BlueSoleil.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
"D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"D:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CmPCIaudio]
RunDll32 CMICNFG3.cpl,CMICtrlWnd

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Pro Agent]
"D:\Programme\DAEMON Tools Pro\DTProAgent.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"D:\Programme\Messenger\msmsgs.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"D:\Programme\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
D:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UGA6PU_0001_N120M2910]

"d:\dokumente und einstellungen\*****\anwendungsdaten\install_de[1].exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Orb]
"D:\Programme\Winamp Remote\bin\OrbTray.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]
"D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WhenUSave]
"D:\Programme\Save\Save.exe"

R0 avgntmgr;avgntmgr;D:\WINDOWS\system32\DRIVERS\avgntmgr.sys
R0 viamraid;viamraid;D:\WINDOWS\system32\drivers\viamraid.sys
R1 avgntdd;avgntdd;D:\WINDOWS\system32\DRIVERS\avgntdd.sys
R3 cmuda3;C-Media PCI Audio Interface;D:\WINDOWS\system32\drivers\cmudax3.sys
S3 BTNetFilter;Bluetooth Network Filter;\??\D:\Programme\IVT Corporation\BlueSoleil\Device\Win2k\BTNetFilter.sys
S3 motccgp;Motorola USB Composite Device Driver;D:\WINDOWS\system32\DRIVERS\motccgp.sys
S3 motccgpfl;MotCcgpFlService;D:\WINDOWS\system32\DRIVERS\motccgpfl.sys
S3 motmodem;Motorola USB CDC ACM Driver;D:\WINDOWS\system32\DRIVERS\motmodem.sys
S3 Start BT in service;Start BT in service;D:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
S3 zlportio;zlportio;\??\C:\Ultrastar\zlportio.sys

*Newly Created Service* - CATCHME
*Newly Created Service* - HTTPFILTER
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-02 18:44:48
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-02 18:45:12
.
--- E O F ---

Smit:

OPTION 1:

SmitFraudFix v2.248

Scan done at 18:46:24,48, 02.11.2007
Run from D:\Dokumente und Einstellungen\Somymy\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Video Add-on\icthis.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\MSN Messenger\msnmsgr.exe
D:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Bonjour\mDNSResponder.exe
D:\WINDOWS\System32\alg.exe
D:\Programme\Spyware Doctor\SDLoader.exe
D:\Programme\MSN Messenger\usnsvc.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\wbem\wmiprvse.exe
D:\WINDOWS\explorer.exe
D:\WINDOWS\system32\notepad.exe
D:\Programme\Opera\Opera.exe
D:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» D:\

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» D:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» D:\Dokumente und Einstellungen\Somymy

»»»»»»»»»»»»»»»»»»»»»»»» D:\Dokumente und Einstellungen\Somymy\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» D:\DOKUME~1\Somymy\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» D:\Programme

D:\Programme\Video Add-on\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{41591d7f-9e25-4bd0-af53-9908fcf3a738}"="complacential"

[HKEY_CLASSES_ROOT\CLSID\{41591d7f-9e25-4bd0-af53-9908fcf3a738}\InProcServer32]
@="D:\WINDOWS\system32\yneid.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{41591d7f-9e25-4bd0-af53-9908fcf3a738}\InProcServer32]
@="D:\WINDOWS\system32\yneid.dll"

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A3D6DB63-620C-4EA1-9607-7FDDD1C8ACB6}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A3D6DB63-620C-4EA1-9607-7FDDD1C8ACB6}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A3D6DB63-620C-4EA1-9607-7FDDD1C8ACB6}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

OPTION 2:

SmitFraudFix v2.248

Scan done at 18:48:57,39, 02.11.2007
Run from D:\Dokumente und Einstellungen\Somymy\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{41591d7f-9e25-4bd0-af53-9908fcf3a738}"="complacential"

[HKEY_CLASSES_ROOT\CLSID\{41591d7f-9e25-4bd0-af53-9908fcf3a738}\InProcServer32]
@="D:\WINDOWS\system32\yneid.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{41591d7f-9e25-4bd0-af53-9908fcf3a738}\InProcServer32]
@="D:\WINDOWS\system32\yneid.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

D:\Programme\Video Add-on\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{A3D6DB63-620C-4EA1-9607-7FDDD1C8ACB6}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A3D6DB63-620C-4EA1-9607-7FDDD1C8ACB6}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{A3D6DB63-620C-4EA1-9607-7FDDD1C8ACB6}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

nochdigger · 04.11.2007, 19:30

Hallo

erstelle bitte ein neues HijackThis log, benenne aber vorher die Hijackthis.exe um in z.B. ABC.exe.

Wie sieht es aus nach Smitfraudfix mit den "Spywarewarnungen"?

MFG

Spyware geht nicht weg! HiJack Log File dabei!

Log-Analyse und Auswertung: Spyware geht nicht weg! HiJack Log File dabei!