Hallo

ich hab dir 'nen toten Link geschickt, entschuldige.
Versuch es nochmal hier
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

MFG

Zitat:

Zitat von nochdigger

Hallo

ich hab dir 'nen toten Link geschickt, entschuldige.
Versuch es nochmal hier
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

MFG

Danke, das sieht ganz anders aus Roter Button mit weißem Kreuz. Dann lege ich mal los.

Es nervt - jetzt ist mein Desktop knallrot mit englischer Schrift und anklickbar - ohne Browser.

Hexlein

Hallo Hexlein,

Zu deinem Problem : Du hast dich defenitiv falsch verhalten !! Du hast willkürlich schädliche Dateien gelöscht/gefix hast. Das war falsch, weil man so nicht herausbekommen kann um welche Art von Trojaner/Virus es sich gehandelt hat. Vorallem das Ausmaß der Infektion wird so nicht mehr erkennbar. Der log von HijackThis zeigt nun nicht mehr die wahre Infektion an und verleitet vll. nun zu falschen Schlüssen. Je nach Art muss man entscheiden wie man weiter vorfährt. Bei Werbe-Pop Up-Trojanern muss man z.B. nicht neuinstallieren, bei gefährlichen Backdoor Programmen meistens aber schon. Hierzu gibt meistens der Name des Schädlings Auskunft. Einfach den Namen in google eingeben und danach suchen. Weiter Infos erhält man über virustotal.com, hier bekommt auch meist noch andere Namen serviert nach den man auf den jeweiligen Hompages der Hersteller suchen kann. Wichtig ist auch die Box von Norman, weil dort sehr genau die Aktivitäten des Schädlings detalliert geschildert werden. ==> Am Besten das Ergebnis bzw. die Ergebnisse von virustotal.com hier im Topic posten. Bei solch einem Fehlverhalten ist formatiern die einzigste Möglichkeit. Denn du weißt gar nichts über den Schädling !! Über den/die Namen hätte man was heraus bekommen können, aber so ... . So könnte es sich z.B. um eine Trojaner.Downloader handeln der z.B. Rootkits o.ä. auf deinen rechner geladen hat, was keins der Av programme die benutzt hast im moment findet, or irgendwelche registry einstellungen wurden geändert, die du auch nicht mehr gefixt bekommst. Fürs nächste mal :

1. Schritt :logfile erstellen
2. Schritt :virustotal.com
3. Schritt :formatiren,Desinfektion ...

Zitat:

Zitat von Chwreif

Hallo Hexlein,

Zu deinem Problem : Du hast dich defenitiv falsch verhalten !! Du hast willkürlich schädliche Dateien gelöscht/gefix hast. Das war falsch, weil man so nicht herausbekommen kann um welche Art von Trojaner/Virus es sich gehandelt hat. Vorallem das Ausmaß der Infektion wird so nicht mehr erkennbar. Der log von HijackThis zeigt nun nicht mehr die wahre Infektion an und verleitet vll. nun zu falschen Schlüssen. Je nach Art muss man entscheiden wie man weiter vorfährt. Bei Werbe-Pop Up-Trojanern muss man z.B. nicht neuinstallieren, bei gefährlichen Backdoor Programmen meistens aber schon. Hierzu gibt meistens der Name des Schädlings Auskunft. Einfach den Namen in google eingeben und danach suchen. Weiter Infos erhält man über virustotal.com, hier bekommt auch meist noch andere Namen serviert nach den man auf den jeweiligen Hompages der Hersteller suchen kann. Wichtig ist auch die Box von Norman, weil dort sehr genau die Aktivitäten des Schädlings detalliert geschildert werden. ==> Am Besten das Ergebnis bzw. die Ergebnisse von virustotal.com hier im Topic posten. Bei solch einem Fehlverhalten ist formatiern die einzigste Möglichkeit. Denn du weißt gar nichts über den Schädling !! Über den/die Namen hätte man was heraus bekommen können, aber so ... . So könnte es sich z.B. um eine Trojaner.Downloader handeln der z.B. Rootkits o.ä. auf deinen rechner geladen hat, was keins der Av programme die benutzt hast im moment findet, or irgendwelche registry einstellungen wurden geändert, die du auch nicht mehr gefixt bekommst. Fürs nächste mal :

1. Schritt :logfile erstellen
2. Schritt :virustotal.com
3. Schritt :formatiren,Desinfektion ...

Dankeschön - für die Zukunft mache ich es besser.

Ich weiß aber womit alles angefangen hat - der hier war zuerst da - worm.win32.netsky

Danach habe ich ein paar Sachen gemacht die hier vorgeschlagen wurden - war aber scheinbar für mich das falsche.

Ich weiß auch wo das alles angefangen hat - ich war auf einer Seite für die Sims die ich mir angucken musste - kaum hatte ich die angeklickt kam die Trojanerwarnung mit den Worm.

Während Combofix gescannt hat war mein Desktopbild auch wieder da - jetzt ist wieder alles weiss. Allerdings ist der PC wieder schneller und hängt nicht mehr.

Dafür habe ich eine neue komische Fehlermeldung nach dem starten.

"file:///WINDOWS/privacy_danger/index.htm" wurde nicht gefunden. Stellen sie sicher das der Pfad bez. die Internetadresse richtig ist.



Hexlein

Meinen ersten Beitrag kann ich scheinbar nicht mehr editieren also poste ich die Logdinger hier rein - sorry falls es nicht richtig ist.

Zitat:

ComboFix 08-02.05.1 - Heidi 2008-02-04 22:01:11.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.599 [GMT 1:00]
ausgeführt von:: C:\SIMSZONEORDNER\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\inst.exe
C:\WINDOWS\dwrmntsqld.dll
C:\WINDOWS\privacy_danger
C:\WINDOWS\privacy_danger\images\capt.gif
C:\WINDOWS\privacy_danger\images\danger.jpg
C:\WINDOWS\privacy_danger\images\down.gif
C:\WINDOWS\privacy_danger\images\spacer.gif
C:\WINDOWS\privacy_danger\index.htm

----- BITS: Possible infected sites -----

hxxp://softworldnetwork.com
hxxp://onsafepro.com
hxxp://77.91.228.186
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\HDUSB


((((((((((((((((((((((( Dateien erstellt von 2008-01-04 bis 2008-02-04 ))))))))))))))))))))))))))))))
.

2008-02-04 14:43 . 2008-02-04 14:43 <DIR> d-------- C:\Programme\Lavasoft
2008-02-04 14:43 . 2008-02-04 14:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-04 14:35 . 2008-02-04 14:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-04 11:49 . 2008-02-04 11:49 <DIR> d-------- C:\Programme\Trend Micro
2008-02-04 02:35 . 2008-02-04 03:09 <DIR> d-------- C:\Programme\Spyware Doctor
2008-02-04 02:35 . 2008-02-04 02:35 <DIR> d-------- C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\PC Tools
2008-02-04 02:35 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-02-04 02:35 . 2007-08-02 10:49 82,248 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-02-04 02:35 . 2007-08-02 10:49 57,672 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-02-04 02:35 . 2007-08-02 10:49 38,728 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-02-04 02:35 . 2007-08-02 10:49 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-02-04 02:02 . 2008-02-04 02:02 97 --a------ C:\WINDOWS\wininit.ini
2008-02-03 16:11 . 2008-02-02 16:48 196,608 --a------ C:\WINDOWS\afxlspw.dll
2008-02-03 16:11 . 2008-02-02 16:48 81,920 --a------ C:\WINDOWS\frplprg.exe
2008-02-02 02:09 . 2008-02-04 11:02 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-02-02 01:59 . 2008-02-02 01:59 <DIR> d-------- C:\Programme\Nero
2008-02-02 01:59 . 2008-02-02 02:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-02-01 22:09 . 2008-02-01 22:09 <DIR> d-------- C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\Ahead
2008-02-01 09:59 . 2008-02-02 01:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-01-23 06:51 . 2008-01-23 06:51 <DIR> d-------- C:\spoolerlogs
2008-01-17 09:45 . 2008-02-02 01:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-01-17 04:06 . 2008-01-17 04:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vsosdk
2008-01-16 23:23 . 2008-01-16 23:23 <DIR> d-------- C:\WINDOWS\uninstall\10-Sekunden-Haushaltsbuch
2008-01-16 19:43 . 2008-02-03 23:05 <DIR> d-------- C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\Vso
2008-01-16 19:43 . 2006-09-29 11:24 217,127 --a------ C:\WINDOWS\system32\drv43260.dll
2008-01-16 19:43 . 2006-09-29 11:25 208,935 --a------ C:\WINDOWS\system32\drv33260.dll
2008-01-16 19:43 . 2006-09-29 11:26 176,165 --a------ C:\WINDOWS\system32\drv23260.dll
2008-01-16 19:43 . 2008-01-16 19:43 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-01-16 19:43 . 2008-01-16 19:43 47,360 --a------ C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\pcouffin.sys
2008-01-16 19:42 . 2008-01-16 19:43 <DIR> d-------- C:\Programme\VSO
2008-01-16 01:23 . 2008-01-16 01:23 <DIR> d-------- C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\Ashampoo
2008-01-16 01:22 . 2008-01-16 01:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-01-13 07:51 . 2008-01-20 11:14 <DIR> d-------- C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\CommunicaEtor
2008-01-12 13:40 . 2008-01-12 13:40 <DIR> d-------- C:\Programme\DVD Shrink
2008-01-12 13:40 . 2008-02-02 17:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-01-11 17:10 . 2008-01-11 17:14 8 --a------ C:\WINDOWS\system32\nvModes.dat
2008-01-11 17:03 . 2008-01-11 17:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-01-11 17:01 . 2008-01-11 17:55 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-01-11 17:00 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-01-11 17:00 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-01-11 17:00 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-01-11 16:59 . 2008-01-11 16:59 <DIR> d-------- C:\NVIDIA

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-04 19:49 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-02-04 13:12 --------- d-----w C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\Lavasoft
2008-02-04 09:41 --------- d-----w C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\uTorrent
2008-02-02 11:55 --------- d-----w C:\Programme\DVD-Video-Archiv 4.0 Edition 2008
2008-01-20 10:15 --------- d-----w C:\Programme\aEton CommunicaEor
2008-01-17 08:48 --------- d-----w C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\Nero
2008-01-12 21:59 --------- d-----w C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\GameHouse
2008-01-12 12:23 --------- d-----w C:\Programme\QuickPar
2007-12-28 09:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-12-26 22:21 --------- d-----w C:\Programme\Yahoo!
2007-12-26 13:15 --------- d-----w C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\Yahoo!
2007-12-25 16:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogiShrd
2007-12-25 16:56 --------- d-----w C:\Programme\Common Files
2007-12-25 16:54 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2007-12-25 16:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2007-12-25 11:16 --------- d-----w C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\Logitech
2007-12-25 11:14 127,034 ------r C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe
2007-12-25 11:14 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-25 11:14 --------- d-----w C:\Programme\Logitech
2007-12-25 11:14 --------- d-----w C:\Programme\Gemeinsame Dateien\LogiShrd
2007-12-25 11:13 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2007-12-25 11:13 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2007-12-25 11:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2007-12-20 19:37 --------- d-----w C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\Free Download Manager
2007-12-19 07:01 --------- d-----w C:\Programme\Spybot - Search & Destroy
2007-12-16 10:08 --------- d-----w C:\Programme\Gemeinsame Dateien\GBelectronics Shared
2007-12-16 10:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GBelectronics
2007-12-10 16:32 --------- d-----w C:\Programme\ICQ6
2007-12-08 14:14 --------- d-----w C:\Programme\epson
2007-12-08 14:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
2007-12-05 00:41 7,435,392 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11D4-9B18-009027A5CD4F}
{44DBA688-6E83-4538-BB5B-982A3C7A4E12}

[HKEY_CLASSES_ROOT\clsid\{44dba688-6e83-4538-bb5b-982a3c7a4e12}]
[HKEY_CLASSES_ROOT\edfqvrw.1]
[HKEY_CLASSES_ROOT\TypeLib\{FB4AE30F-1E8A-481D-8B00-C408FD689FD4}]
[HKEY_CLASSES_ROOT\edfqvrw]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"GhostWriter"="C:\Programme\Tools&More\GhostWriter\GhostWriter.exe" [2006-05-13 18:15 552960]
"PDK"="C:\Downloads\Kalender PDK\kalender.exe" [2003-11-20 19:23 286720]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-09-20 15:35 202024]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-21 17:01 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"Cmaudio"="cmicnfg.cpl" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 16:39 249896]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 15:32 56080 C:\WINDOWS\KHALMNPR.Exe]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-01-12 03:09 488984]
"LVCOMSX"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe" [2007-01-12 03:12 244512]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 09:51 1836328]
"NWEReboot"="" []
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= file:///C:\WINDOWS\privacy_danger\index.htm
FriendlyName= Privacy Protection

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"bfrgnos"= {12D3A683-79B6-4B66-AE96-82E2DF3FA8EF} - C:\WINDOWS\bfrgnos.dll [ ]
"afxlspw"= {E4E59993-F888-4369-8EDA-97240486838A} - C:\WINDOWS\afxlspw.dll [2008-02-02 16:48 196608]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Upload Manager]
--a------ 2007-07-23 22:56 253952 C:\Programme\Free Download Manager\fum\fum.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Uploader Oe Integration]
--a------ 2007-06-10 18:02 40960 C:\Programme\Free Download Manager\FUM\fumoei.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hp Update 3300C]
C:\Downloads\zTreiber\treiber scanner\hpupdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

R3 DtvAudio;DtvAudio;C:\WINDOWS\system32\DRIVERS\DtvAudio.sys [2004-02-26 02:42]
R3 DtvVideo;DtvVideo;C:\WINDOWS\system32\DRIVERS\DtvVideo.sys [2004-02-26 03:27]
S0 NVDual;NVDual;C:\WINDOWS\system32\DRIVERS\nvDual.sys []
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-04 22:30:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-04 22:33:25 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-04 21:33:21
.
2008-01-09 16:09:21 --- E O F ---

und das Hijack

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:44:19, on 04.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tools&More\GhostWriter\GhostWriter.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: edfqvrw - {44DBA688-6E83-4538-BB5B-982A3C7A4E12} - C:\WINDOWS\edfqvrw.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GhostWriter] "C:\Programme\Tools&More\GhostWriter\GhostWriter.exe" /AUTOSTART
O4 - HKCU\..\Run: [PDK] C:\Downloads\Kalender PDK\kalender.exe /Autostart
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Programme\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O21 - SSODL: bfrgnos - {12D3A683-79B6-4B66-AE96-82E2DF3FA8EF} - C:\WINDOWS\bfrgnos.dll (file missing)
O21 - SSODL: afxlspw - {E4E59993-F888-4369-8EDA-97240486838A} - C:\WINDOWS\afxlspw.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 8404 bytes

Zitat:

Ich weiß aber womit alles angefangen hat - der hier war zuerst da - worm.win32.netsky

welches AV ?

Hast du die files in quuarantäne gestellt oder gelöscht ?

Zitat:

Dafür habe ich eine neue komische Fehlermeldung nach dem starten.
"file:///WINDOWS/privacy_danger/index.htm" wurde nicht gefunden. Stellen sie sicher das der Pfad bez. die Internetadresse richtig ist.

Nicht komisch sondern logisch. Du hast diese file gelöscht und diese file hat sich aber in den autostart reingeschreiben, dies wurde aber nicht entfernt ==> Fehlermeldung Tune Up etc. sollte das Problem beheben ...

Zitat:

Zitat von Chwreif

welches AV ?

Hast du die files in quuarantäne gestellt oder gelöscht ?



Nicht komisch sondern logisch. Du hast diese file gelöscht und diese file hat sich aber in den autostart reingeschreiben, dies wurde aber nicht entfernt ==> Fehlermeldung Tune Up etc. sollte das Problem beheben ...

Ich habe die Files gelöscht - war das falsch?

Was ist Tune Up??


Hexlein

Hallo

Zitat:

Ich weiß aber womit alles angefangen hat - der hier war zuerst da - worm.win32.netsky

diese Meldung kommt von dem Faketool und soll dem unbedarften Nutzer weißmachen, dass das System schwerst infiziert ist und als Lösung wird dir dann gleich das passende Antivirenprogramm präsentiert.
Damit dieses Tool natürlich auch richtig arbeitet musst du es kaufen und schon hat das Faketool sein Ziel erreicht...

Auch hier nachzulesen
Spyware Warrior: Rogue/Suspect Anti-Spyware Products & Web Sites

Zitat:

Was ist Tune Up??

Ein Systemverschlimmbesserungstool, lass besser die Finger davon diese Programme bringen wenig bis überhaupt nichts.


Lade dir bitte den Avenger und fixe die folgenden Einträge mit Hijackthis.
Starte HijackThis mit der Option - Scan - und hake diese Einträge an

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O3 - Toolbar: edfqvrw - {44DBA688-6E83-4538-BB5B-982A3C7A4E12} - C:\WINDOWS\edfqvrw.dll (file missing)
O21 - SSODL: bfrgnos - {12D3A683-79B6-4B66-AE96-82E2DF3FA8EF} - C:\WINDOWS\bfrgnos.dll (file missing)
O21 - SSODL: afxlspw - {E4E59993-F888-4369-8EDA-97240486838A} - C:\WINDOWS\afxlspw.dll
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

klicke nun auf - fix checked - und beende Hijackthis.

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\afxlspw.dll
C:\WINDOWS\frplprg.exe
C:\WINDOWS\bfrgnos.dll
         

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.



4.) Danach das System unverzüglich neu starten lassen
5.) Starte deinen Rechner neu
6.) Kontrolliere bitte per HijackThis ob die oben "gefixten" Einträge dauerhaft verschwunden bleiben
7.) Poste den Inhalt der C:\avenger.txt Datei.


Berichte bitte wie es deinem System geht.


MFG