Trojaner ADW ADCLICKER.BJ was soll ich tun??

Esteban07 · 16.01.2008, 21:07

Hallo!

Bräuchte bitte eure Hilfe...

Ich habe gesehen dass es zu diesem Trojaner schon einen Beitrag gib, kann mit dem aber leider nichts anfangen...=(

So heisst mein Problem: ADW ADCKLICKER.BJ

Mein antivirus programm sagt mir, dass 2dateien betroffen sind: pushow58.dll und f3PSSavr.scr

Tut mir leid aber ich bin kein insider=) u kenne mich nicht so gut aus.

habe mit SmitFraudFix gescannt

SmitFraudFix v2.274

Scan done at 20:41:40,96, 16.01.2008
Run from C:\Programme\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\PCCTLCOM.EXE
C:\PROGRA~1\TRENDM~1\INTERN~2\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\TMPROXY.EXE
C:\PROGRA~1\TRENDM~1\INTERN~2\TMPFW.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Apoint2K\Apntex.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\D-Link\AirPlus XtremeG Utility\AirPlusCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Trend Micro\Internet Security 14\pccguide.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRAMME\MSN MESSENGER\MSNMSGR.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\ArcSoft\TotalMedia 2\TMMonitor.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\system32\cmd.exe
C:\PROGRA~1\TRENDM~1\INTERN~2\TSC.EXE

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Meine Dateien\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ESTEBAN~1\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix.exe by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="pushow58.dll"

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139/810x Family Fast Ethernet NIC - Paketplaner-Miniport
DNS Server Search Order: 192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{0EB28328-5032-4D49-9EEA-A8E7849BD92F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{0EB28328-5032-4D49-9EEA-A8E7849BD92F}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Bitte um HILFE.... ?!

mfg Esteban

Chris4You · 17.01.2008, 15:03

Hi,

bitte HJ-Log erstellen (s. Signatur) und Combofix laufen lassen:

combofix:
Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.

chris

Esteban07 · 17.01.2008, 23:49

Hab ich gemacht:

ComboFix 08-01-18.1 - Esteban 2008-01-17 23:10:57.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Esteban \Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinAntiVirus Pro 2006
C:\Dokumente und Einstellungen\Musik\Anwendungsdaten\WinAntiVirus Pro 2006
C:\Dokumente und Einstellungen\Esteban\Anwendungsdaten\WinAntiVirus Pro 2006
C:\Programme\FunWebProducts
C:\Programme\FunWebProducts\Shared\001FAED7.dat
C:\Programme\FunWebProducts\Shared\Cache\CursorManiaBtn.html
C:\Programme\FunWebProducts\Shared\Cache\FunBuddyIconBtn.html
C:\Programme\FunWebProducts\Shared\Cache\MailStampBtn.html
C:\Programme\FunWebProducts\Shared\Cache\MyStationeryBtn.html
C:\Programme\FunWebProducts\Shared\Cache\SmileyCentralBtn-new.html
C:\Programme\FunWebProducts\Shared\Cache\SmileyCentralBtn.html
C:\Programme\Gemeinsame Dateien\winantivirus pro 2006
C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\WapCHK.dll
C:\Programme\MyWebSearch
C:\Programme\MyWebSearch\bar\1.bin\F3BKGERR.JPG
C:\Programme\MyWebSearch\bar\1.bin\F3CJPEG.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3DTACTL.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3HISTSW.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3HTMLMU.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3HTTPCT.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3POPSWT.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3PSSAVR.SCR
C:\Programme\MyWebSearch\bar\1.bin\F3REPROX.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3RESTUB.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3SCHMON.EXE
C:\Programme\MyWebSearch\bar\1.bin\F3SCRCTR.DLL
C:\Programme\MyWebSearch\bar\1.bin\F3SPACER.WMV
C:\Programme\MyWebSearch\bar\1.bin\F3WALLPP.DAT
C:\Programme\MyWebSearch\bar\1.bin\F3WPHOOK.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3FFXTBR.JAR
C:\Programme\MyWebSearch\bar\1.bin\M3HTML.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3IDLE.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3NTSTBR.JAR
C:\Programme\MyWebSearch\bar\1.bin\M3OUTLCN.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3PLUGIN.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3SKIN.DLL
C:\Programme\MyWebSearch\bar\1.bin\M3SKPLAY.EXE
C:\Programme\MyWebSearch\bar\1.bin\MWSOEPLG.DLL
C:\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL
C:\Programme\MyWebSearch\bar\1.bin\NPMYWEBS.DLL
C:\Programme\MyWebSearch\bar\Cache\00037197.bin
C:\Programme\MyWebSearch\bar\Cache\0003737B.bin
C:\Programme\MyWebSearch\bar\Cache\0003756F.bin
C:\Programme\MyWebSearch\bar\Cache\000376F6.bin
C:\Programme\MyWebSearch\bar\Cache\001AEDCC
C:\Programme\MyWebSearch\bar\Cache\001F65E7.bin
C:\Programme\MyWebSearch\bar\Cache\001F6B26.bin
C:\Programme\MyWebSearch\bar\Cache\001F6DE6.bin
C:\Programme\MyWebSearch\bar\Cache\00246254.bin
C:\Programme\MyWebSearch\bar\Cache\0024D3CB.bin
C:\Programme\MyWebSearch\bar\Cache\files.ini
C:\Programme\MyWebSearch\bar\Game\CHECKERS.F3S
C:\Programme\MyWebSearch\bar\Game\CHESS.F3S
C:\Programme\MyWebSearch\bar\Game\REVERSI.F3S
C:\Programme\MyWebSearch\bar\History\search
C:\Programme\MyWebSearch\bar\Settings\prevcfg.htm
C:\Programme\MyWebSearch\bar\Settings\s_pid.dat
C:\Programme\MyWebSearch\bar\Settings\settings.dat
C:\Programme\MyWebSearch\bar\Settings\settings.htm
C:\Programme\winantivirus pro 2006
C:\Programme\winantivirus pro 2006\history.db
C:\WINDOWS\Fonts\acrsecB.fon
C:\WINDOWS\Fonts\acrsecI.fon
C:\WINDOWS\system32\f3PSSavr.scr
C:\WINDOWS\system32\stera.job
C:\WINDOWS\system32\stera.log

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_FOPN
-------\LEGACY_VSPF
-------\LEGACY_VSPF_HK
-------\vspf
-------\vspf_hk

((((((((((((((((((((((( Dateien erstellt von 2007-12-18 bis 2008-01-18 ))))))))))))))))))))))))))))))
.

2008-01-17 23:08 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-16 22:53 . 2008-01-16 22:53 <DIR> d-------- C:\WINDOWS\system32\OCON3D
2008-01-16 22:53 . 2008-01-16 22:53 3,635 --a------ C:\WINDOWS\ST5UNST.000
2008-01-16 22:43 . 2008-01-16 22:43 <DIR> d-------- C:\Programme\AxBx
2008-01-16 20:41 . 2008-01-16 20:41 3,926 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-16 20:36 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-01-16 20:36 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-01-16 20:36 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-01-16 20:36 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-01-16 20:36 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-01-16 20:36 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-01-15 23:01 . 2008-01-15 23:01 <DIR> d-------- C:\Programme\Avira
2008-01-15 23:01 . 2008-01-15 23:01 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-01-14 21:55 . 2008-01-14 21:55 136,192 --a------ C:\WINDOWS\system32\pushow58.dll
2008-01-09 20:27 . 2008-01-18 23:30 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-09 20:27 . 2008-01-09 20:27 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-09 20:26 . 2008-01-13 22:23 <DIR> d-------- C:\Dokumente und Einstellungen\Esteban\Anwendungsdaten\Apple Computer
2008-01-09 20:25 . 2008-01-09 20:25 <DIR> d-------- C:\Programme\iPod
2008-01-09 20:24 . 2008-01-09 20:26 <DIR> d-------- C:\Programme\iTunes
2008-01-09 20:22 . 2008-01-09 20:24 <DIR> d-------- C:\Programme\QuickTime
2008-01-09 20:22 . 2008-01-09 20:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-09 20:21 . 2008-01-09 20:21 <DIR> d-------- C:\Programme\Apple Software Update
2008-01-09 20:20 . 2007-10-31 14:09 30,464 --a------ C:\WINDOWS\system32\drivers\usbaapl.sys
2008-01-09 20:19 . 2008-01-09 20:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2008-01-09 20:19 . 2008-01-09 20:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-01-07 21:32 . 2008-01-07 22:01 <DIR> d-------- C:\Programme\Activision Value
2008-01-03 22:03 . 2008-01-03 22:03 268 --ah----- C:\sqmdata04.sqm
2008-01-03 22:03 . 2008-01-03 22:03 244 --ah----- C:\sqmnoopt03.sqm

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-18 22:23 --------- d-----w C:\Programme\Eraser
2008-01-15 22:18 --------- d-----w C:\Dokumente und Einstellungen\Stefan Rainer\Anwendungsdaten\chicadminmath
2008-01-15 22:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-01-15 22:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grim vc start dart
2008-01-15 22:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4 Curb Loud Idol
2008-01-15 22:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memobonephoneprogram
2008-01-15 21:49 --------- d-----w C:\Programme\PokerStars.NET
2008-01-13 20:40 --------- d-----w C:\Dokumente und Einstellungen\Esteban\Anwendungsdaten\ivivo
2007-12-22 16:45 --------- d-----w C:\Dokumente und Einstellungen\Esteban\Anwendungsdaten\dvdcss
2007-12-17 18:21 --------- d-----w C:\Dokumente und Einstellungen\Musik\Anwendungsdaten\ArcSoft
2007-12-08 18:53 --------- d-----w C:\Programme\chicadminmath
2007-11-24 11:18 --------- d-----w C:\Programme\LimeWire
2007-11-20 11:53 --------- d-----w C:\Programme\SoftPepper Video Converter 2.0
2007-11-20 11:53 --------- d-----w C:\Programme\SoftPepper
2007-11-20 11:36 --------- d-----w C:\Programme\iViVo
2007-10-08 16:54 32,000 -c--a-w C:\Dokumente und Einstellungen\Esteban\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-01-27 15:08 774,144 -c--a-w C:\Programme\RngInterstitial.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{847A0015-1F0F-5373-8EE0-E8026E3BE485}]
C:\DOKUME~1\STEFAN~1\ANWEND~1\CHINKE~1\Web Extra.exe

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
"MessengerPlus3"="C:\Programme\MessengerPlus! 3\MsgPlus.exe" [2006-04-27 17:32 190024]
"JoyIdol"="C:\DOKUME~1\ESTEBAN~1\ANWEND~1\CHICAD~1\Site Great Nurb.exe" [2007-12-08 19:52 379392]
"Eraser"="C:\Programme\Eraser\eraser.exe" [2006-08-07 22:07 634880]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-17 18:51 68856]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-10-08 04:40 159744]
"AGRSMMSG"="AGRSMMSG.exe" [2003-12-12 15:09 88363 C:\WINDOWS\AGRSMMSG.exe]
"Cpqset"="C:\Programme\HPQ\Default Settings\cpqset.exe" [2003-10-17 14:51 196670]
"EPSON Stylus C62 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.exe" [2002-07-01 04:05 74752]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2003-12-12 13:43 1241138]
"DataLayer"="C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE" [2004-04-17 18:19 1159168]
"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE" [2004-03-23 11:20 147968]
"D-Link AirPlus XtremeG Utility"="C:\Programme\D-Link\AirPlus XtremeG Utility\AirPlusCFG.exe" [2005-01-19 18:01 1003520]
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-01-14 10:45 49152]
"MessengerPlus3"="C:\Programme\MessengerPlus! 3\MsgPlus.exe" [2006-04-27 17:32 190024]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2006-03-10 18:45 35328]
"pccguide.exe"="C:\Programme\Trend Micro\Internet Security 14\pccguide.exe" [2005-11-15 03:35 901185]
"Phone program roam for"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\memobonephoneprogram\GreatMapi.exe" [ ]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-09-17 19:29 185784]
"Loud Idol Setup Grid"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4 Curb Loud Idol\MATH 16.exe" [2008-01-18 23:34 4711936]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-12-11 10:56 286720]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-01-15 23:11 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=pushow58.dll
"LoadAppInit_DLLs"=0 (0x0)

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Alice ti aiuta.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Alice ti aiuta.lnk
backup=C:\WINDOWS\pss\Alice ti aiuta.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^MyWebSearch Email Plugin.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MyWebSearch Email Plugin.lnk
backup=C:\WINDOWS\pss\MyWebSearch Email Plugin.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinIRXHelper.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinIRXHelper.lnk
backup=C:\WINDOWS\pss\WinIRXHelper.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHmon05]
--a------ 2003-05-22 19:54 483328 C:\WINDOWS\System32\hphmon05.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHUPD05]
c:\Programme\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JoyIdol]
--a------ 2007-12-08 19:52 379392 C:\DOKUME~1\STEFAN~1\ANWEND~1\CHICAD~1\Site Great Nurb.exe

S3 A5AGU;D-Link USB Wireless Network Adapter Service;C:\WINDOWS\system32\DRIVERS\A5AGU.sys [2004-10-06 10:39]
S3 ATHFMWDL;D-Link predator Bootloader driver;C:\WINDOWS\system32\Drivers\ATHFMWDL.sys [2004-10-04 06:28]
S3 bdacap;%BdaSWCapture.DeviceDesc%;C:\WINDOWS\system32\drivers\bdacap.sys [2006-05-18 08:01]
S3 GLHIDKBFILTER;GLHIDKBFILTER;C:\WINDOWS\system32\DRIVERS\GLKbFilter.sys [2006-01-06 07:55]
S3 PCMCIAFVNETR;IEEE 802.11b Wireless LAN PC Card;C:\WINDOWS\system32\DRIVERS\fvnetr.sys [2002-07-16 15:59]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5c07f26-685c-11dc-aa8f-00023f233535}]
\Shell\AutoRun\command - E:\wd_windows_tools\setup.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-01-17 22:00:09 C:\WINDOWS\Tasks\84D2B2018B4128A1.job"
- c:\dokume~1\stefan~1\anwend~1\chicad~1\memo amok soft.exe
"2008-01-16 18:50:11 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-18 23:27:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Programme\HPQ\Default Settings\cpqset.exe???????????????????|?P???? ?(?B???????????????B????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.2180]
-> C:\WINDOWS\system32\pushow58.dll
.
Zeit der Fertigstellung: 2008-01-18 23:43:14 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-18 22:43:05

Chris4You · 18.01.2008, 07:51

Hi,

Du hast immer noch Mailware auf Deinem Rechner:
C:\WINDOWS\system32\pushow58.dll

Datei hier prüfen lassen:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
VirusTotal - Free Online Virus and Malware Scan

Poste das Ergebnis mit Filename!

Zitat:

C:\WINDOWS\system32\pushow58.dll
Das muss geprüft werden, da mir nicht klar was es ist:
C:\WINDOWS\QTFont.qfn
C:\DOKUME~1\STEFAN~1\ANWEND~1\CHICAD~1\Site Great Nurb.exe
c:\dokume~1\stefan~1\anwend~1\chicad~1\memo amok soft.exe
C:\Programme\HPQ\Default Settings\cpqset.exe

Falls die Datei "pushow58.dll" das ist, für was ich sie halte, wie folgt weiter machen:
Avenger
avenger.zip - The Avenger
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN\blocked
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN\log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\FOPN
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN\blocked
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN\log
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\FOPN
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN\blocked
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN\log
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\FOPN
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_FOPN
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_FOPN
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_FOPN

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\pushow58.dll

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Den Rest gehen wir dann an, wenn ich Klarheit habe...

chris

Ps.: Stelle Avira wie folgt ein: Antivir und die Heuristik, die aggressive Variante - Virus Hilfe
Führe einen Systemscan durch und poste das Ergebnis!

Esteban07 · 20.01.2008, 18:52

das senden auf virus total geht nicht....
das steht:
0 bytes size received / Se ha recibido un archivo vacio

hab keine ahnung warum?!

20.01.2008, 19:46

Zitat:

Zitat von Esteban07

das senden auf virus total geht nicht....
das steht:
0 bytes size received / Se ha recibido un archivo vacio

hab keine ahnung warum?!

Weil die Datei:

1.) nicht mehr existiert, nur noch der Reg-Eintrag
2.) der Schädling das Hochladen und Scannen unterbindet

Vorschlag:

Das hier umsetzen:

Quelle: sicher-ins-netz.info - So schützen Sie Ihr System richtig

Das Ganze noch mal im abgesicherten Modus probieren.

Trojaner ADW ADCLICKER.BJ was soll ich tun??

Plagegeister aller Art und deren Bekämpfung: Trojaner ADW ADCLICKER.BJ was soll ich tun??