Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Worm Win32 NetSky...

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 22.03.2008, 13:46   #1
Sunshine_
 
Worm Win32 NetSky... - Ausrufezeichen

Worm Win32 NetSky...



Hallo,ich weiß das dieser Wurm schon einige Male in diesem Forum vor kam, ich hab auch versucht ihn loszuwerden mit dem was geschrieben wurde in den Posts, aber ich komm einfach nicht weiter.

Auf jeden Fall: Der Wurm verursacht das gleiche wie in den anderen Posts.
-Beim Systemstart sind 3 neue Programme auf dem Desktop
-Alle paar Minuten kommt ein Pop-Up mit der Info das Malware meinen Laptop infiziert
-Und im System-Tray kommt auch eine Warnung mit einem Roten Kreis in dem ein weißes Kreuz ist
-Die Fenster die ich geöffnet habe wechseln
-Der IE startet und bringt mich auf h**P://www.system-defender.com
-Außerdem verändert sich bei jedem Start vom IE die Startseite auf h**p://www.safenavweb.com, oder so

Hier mein HijackThis Logfile:
Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 13:40:01, on 22.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\xampp\filezillaftp\filezillaserver.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
D:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HP\QuickPlay\QPService.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Launchy\Launchy.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Google\Web Accelerator\GoogleWebAccWarden.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Google\Web Accelerator\googlewebaccclient.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://localhost:9100/proxy.pac
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Web Accelerator Helper - {69A87B7D-DE56-4136-9655-716BA50C19C7} - C:\Programme\Google\Web Accelerator\GoogleWebAccToolbar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - C:\Programme\Google\Web Accelerator\GoogleWebAccToolbar.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QPService] "C:\Programme\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB002" /M "Stylus DX4800"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\WINDOWS\TEMP\E_S7D.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Launchy.lnk = C:\Programme\Launchy\Launchy.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Run Google Web Accelerator.lnk = C:\Programme\Google\Web Accelerator\GoogleWebAccWarden.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://simcity.ea.com/update/EARTPX.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1151328818140
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.pe.schuelervz.net/photouploader/ImageUploader4.cab?nocache=1203348962
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AFF67598-7163-4FE3-8A4F-49D9B24341CB}: NameServer = 129.206.100.126
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2EE2973-3C5A-41AC-A0BE-B3D57849290D}: NameServer = 195.50.140.178 195.50.140.114
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: bokpkov - {B659783A-32A0-4B48-A56B-E2FE59E3A624} - C:\WINDOWS\bokpkov.dll
O21 - SSODL: altvxvm - {1420E6D5-6C27-4A56-BA35-18764967E43D} - C:\WINDOWS\altvxvm.dll
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - D:\xampp\filezillaftp\filezillaserver.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: lxcf_device - Unknown owner - C:\WINDOWS\system32\lxcfcoms.exe
O23 - Service: mysql - Unknown owner - D:\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
         
Danke schon jetzt für die Hilfe!!

Alt 22.03.2008, 14:00   #2
Sunny
Administrator
> Competence Manager
 

Worm Win32 NetSky... - Standard

Worm Win32 NetSky...



Hallo Sunshine und Willkommen!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:



Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 2)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans



ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!
__________________

__________________

Alt 22.03.2008, 14:38   #3
Sunshine_
 
Worm Win32 NetSky... - Pfeil

Worm Win32 NetSky...



Hui...des ging aber schnell...

Also hier mein Smitfraud-Log:
Code:
ATTFilter
SmitFraudFix v2.306

Scan done at 14:08:22,39, 22.03.2008
Run from C:\Programme\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\xampp\filezillaftp\filezillaserver.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
D:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HP\QuickPlay\QPService.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Launchy\Launchy.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Google\Web Accelerator\GoogleWebAccWarden.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Google\Web Accelerator\googlewebaccclient.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1	www.legal-at-spybot.info
127.0.0.1	legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Tobias


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Tobias\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Tobias\FAVORI~1

C:\DOKUME~1\Tobias\FAVORI~1\Error Cleaner.url FOUND !
C:\DOKUME~1\Tobias\FAVORI~1\Privacy Protector.url FOUND !
C:\DOKUME~1\Tobias\FAVORI~1\Spyware?Malware Protection.url FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme 


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

[!] Suspicious: bokpkov.dll
SSODL: bokpkov - {B659783A-32A0-4B48-A56B-E2FE59E3A624}

[!] Suspicious: altvxvm.dll
SSODL: altvxvm - {1420E6D5-6C27-4A56-BA35-18764967E43D}


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"LoadAppInit_DLLs"=dword:00000001


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: WAN (PPP/SLIP) Interface
DNS Server Search Order: 195.50.140.178
DNS Server Search Order: 195.50.140.114

Description: Intel(R) PRO/Wireless 3945ABG Network Connection - Paketplaner-Miniport
DNS Server Search Order: 129.206.100.126

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AFF67598-7163-4FE3-8A4F-49D9B24341CB}: NameServer=129.206.100.126
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E2EE2973-3C5A-41AC-A0BE-B3D57849290D}: NameServer=195.50.140.178 195.50.140.114
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AFF67598-7163-4FE3-8A4F-49D9B24341CB}: NameServer=129.206.100.126
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AFF67598-7163-4FE3-8A4F-49D9B24341CB}: NameServer=129.206.100.126
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E2EE2973-3C5A-41AC-A0BE-B3D57849290D}: NameServer=195.50.140.178 195.50.140.114
HKLM\SYSTEM\CS3\Services\Tcpip\..\{AFF67598-7163-4FE3-8A4F-49D9B24341CB}: NameServer=129.206.100.126


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
         
Und hier der ComboFix-Log:
Code:
ATTFilter
ComboFix 08-03-21.2 - Tobias 2008-03-22 14:22:33.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.442 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\All Users\Dokumente\Neuer Ordner\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Tobias\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Tobias\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Tobias\Favoriten\Spyware&Malware Protection.url
C:\Programme\crosof~1.net
C:\Programme\outlook
C:\Programme\ssembl~1
C:\WINDOWS\bobsaver.exe
C:\WINDOWS\bobsaver.scr
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\explorer.dll
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\sysdm.exe
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\WINDOWS\system32\wapiit.exe

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CMDSERVICE
-------\Legacy_NETWORK_MONITOR


(((((((((((((((((((((((((   Files Created from 2008-02-22 to 2008-03-22  )))))))))))))))))))))))))))))))
.

2008-03-20 21:56 . 2008-03-20 22:47	<DIR>	d--------	C:\Programme\Enigma Software Group
2008-03-19 16:23 . 2008-03-19 16:23	54,156	--ah-----	C:\WINDOWS\QTFont.qfn
2008-03-19 16:23 . 2008-03-19 16:23	1,409	--a------	C:\WINDOWS\QTFont.for
2008-03-18 15:35 . 2008-03-18 15:35	<DIR>	d--------	C:\Programme\CCleaner
2008-03-17 14:38 . 2008-03-17 14:41	<DIR>	d--------	C:\Programme\Singles
2008-03-17 14:31 . 2008-03-17 14:31	8,192	--ahs----	C:\WINDOWS\system32\Thumbs.db
2008-03-17 12:50 . 2008-03-17 14:26	<DIR>	d--------	C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\zeta producer
2008-03-17 12:44 . 2008-03-17 12:45	<DIR>	d--------	C:\Programme\zeta producer Desktop 7
2008-03-17 11:55 . 2008-03-17 12:05	<DIR>	d--------	C:\Programme\Security Task Manager
2008-03-17 11:55 . 2008-03-17 17:01	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-03-15 19:32 . 2008-03-15 19:32	<DIR>	d--------	C:\Programme\Easy Thumbnails
2008-03-15 19:32 . 2008-03-15 19:35	<DIR>	d--------	C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Easy Thumbnails
2008-03-12 17:37 . 2008-03-12 17:44	<DIR>	d--------	C:\Dokumente und Einstellungen\Tobias\fdrprojects
2008-03-12 17:37 . 2008-03-12 17:41	<DIR>	d--------	C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\fdrtools.com
2008-03-12 17:30 . 2008-03-12 17:30	<DIR>	d--------	C:\Programme\FDRTools
2008-03-12 17:30 . 2008-03-12 17:37	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fdrtools.com
2008-03-11 16:07 . 2008-03-11 09:14	274,432	--a------	C:\WINDOWS\altvxvm.dll
2008-03-11 16:07 . 2008-03-11 09:14	217,088	--a------	C:\WINDOWS\bokpkov.dll
2008-03-11 16:07 . 2008-03-11 09:14	98,304	--a------	C:\WINDOWS\fmsxwqs.exe
2008-03-11 14:06 . 2008-03-11 14:06	<DIR>	d--------	C:\Programme\WinHTTrack
2008-03-11 14:06 . 2008-03-18 18:08	<DIR>	d----c---	C:\Meine Webseiten
2008-03-09 19:47 . 2008-03-09 19:47	<DIR>	d--------	C:\Programme\Microsoft IntelliPoint
2008-03-09 14:11 . 2008-03-09 14:11	<DIR>	d--------	C:\Programme\Snoopy
2008-03-08 10:35 . 2008-03-08 10:37	<DIR>	d--h-----	C:\WINDOWS\msdownld.tmp
2008-03-08 10:33 . 2008-03-08 10:33	<DIR>	d--------	C:\Programme\RedlightCenter
2008-03-08 10:33 . 2008-03-08 10:33	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\PocketSoft
2008-03-05 17:55 . 2008-03-05 17:55	<DIR>	d--------	C:\Programme\Astragon
2008-03-05 17:55 . 2000-08-19 21:29	268,048	--a------	C:\WINDOWS\system32\dxtmeta2.dll
2008-03-04 14:56 . 2008-03-04 14:56	<DIR>	d--------	C:\Programme\Sibelius Software
2008-03-04 14:56 . 2008-03-04 14:56	<DIR>	d--------	C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Sibelius Software
2008-03-04 14:02 . 2004-08-04 00:57	21,504	--a------	C:\WINDOWS\system32\hidserv.dll
2008-03-04 14:02 . 2004-08-04 00:57	21,504	--a------	C:\WINDOWS\system32\dllcache\hidserv.dll
2008-03-03 19:40 . 2005-11-11 18:51	55,168	---------	C:\WINDOWS\system32\drivers\sdcplh.sys
2008-02-29 19:51 . 2008-02-29 19:52	<DIR>	d--------	C:\Programme\WolfQuest
2008-02-29 17:01 . 2008-02-29 17:01	<DIR>	d----c---	C:\PSFONTS
2008-02-29 17:01 . 2008-03-05 14:36	<DIR>	d--------	C:\Programme\Finale NotePad 2007
2008-02-24 13:36 . 2008-02-24 13:36	<DIR>	d--------	C:\Programme\Albatross
2008-02-24 11:52 . 2008-02-24 11:52	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\DirectX
2008-02-24 11:41 . 2008-02-24 11:52	<DIR>	d--------	C:\Programme\MotoGP
2008-02-24 11:37 . 2008-03-06 21:40	<DIR>	d--------	C:\Programme\Flashbax
2008-02-22 15:33 . 2008-02-22 15:33	<DIR>	d----c---	C:\DVDVideoSoft
2008-02-22 15:29 . 2008-02-22 17:12	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\DVDVideoSoft
2008-02-22 15:29 . 2008-02-22 17:12	<DIR>	d--------	C:\Programme\DVDVideoSoft

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-22 13:10	---------	d-----w	C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Launchy
2008-03-21 16:32	---------	d-----w	C:\Programme\Eraser
2008-03-21 16:23	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-20 23:54	---------	d-----w	C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Orbit
2008-03-20 21:41	---------	d-----w	C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\DNA
2008-03-18 17:17	---------	d-----w	C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\BitTorrent
2008-03-12 17:02	185,006	----a-w	C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\mdb.bin
2008-03-12 16:57	---------	d-----w	C:\Programme\myphotobook
2008-03-11 15:44	---------	d-----w	C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\LimeWire
2008-03-11 14:18	22,328	----a-w	C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-03-10 14:59	---------	d-----w	C:\Programme\Lx_cats
2008-03-08 09:33	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-03-08 09:00	---------	d-----w	C:\Programme\Orbitdownloader
2008-03-06 20:06	112,736	----a-w	C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-03-06 20:04	---------	d-----w	C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\gtk-2.0
2008-02-27 17:50	---------	d-----w	C:\Programme\ICQ6
2008-02-23 14:24	---------	d-----w	C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\dvdcss
2008-02-23 13:58	---------	d-----w	C:\Programme\LimeWire
2008-02-22 13:05	---------	d-----w	C:\Programme\Hewlett-Packard
2008-02-16 12:01	---------	d-----w	C:\Programme\Spybot - Search & Destroy
2008-02-15 19:30	691,545	----a-w	C:\WINDOWS\unins000.exe
2008-02-15 18:30	---------	d-----w	C:\Programme\Nvu
2008-02-13 13:27	---------	d-----w	C:\Programme\TrackMania Nations ESWC
2008-02-12 12:55	---------	d-----w	C:\Programme\Gemeinsame Dateien\Adobe
2008-02-10 15:02	---------	d-----w	C:\Programme\Wise Registry Cleaner
2008-02-09 15:39	---------	d-----w	C:\Programme\Winamp
2008-02-09 15:35	---------	d-----w	C:\Programme\Zylom Games
2008-02-08 09:38	---------	d-----w	C:\Programme\Windows Live Writer
2008-02-08 09:02	---------	d-----w	C:\Programme\FreeMind
2008-02-07 20:44	---------	d-----w	C:\Programme\No23 Recorder
2008-02-06 11:53	---------	d-----w	C:\Programme\eRightSoft
2008-02-05 22:02	---------	d-----w	C:\Programme\VVSN
2008-02-05 19:44	---------	d-----w	C:\Programme\Gemeinsame Dateien\Apple
2008-02-05 19:44	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-02-02 13:59	---------	d-----w	C:\Programme\Torrent Search
2008-02-02 13:57	---------	d-----w	C:\Programme\DNA
2008-02-02 13:57	---------	d-----w	C:\Programme\BitTorrent
2008-01-29 14:12	---------	d-----w	C:\Programme\Audible
2008-01-28 21:05	---------	d-----w	C:\Programme\JavaZuL
2008-01-26 18:10	20	---h--w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLec.DAT
2008-01-26 18:08	20	---h--w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PKP_DLds.DAT
2008-01-24 12:11	---------	d-----w	C:\Programme\TEVION
2008-01-22 17:13	---------	d-----w	C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\Winamp
2008-01-22 14:53	---------	d-----w	C:\Programme\America's Army
2008-01-02 10:08	20,992	----a-w	C:\WINDOWS\jestertb.dll
2007-12-24 20:33	342	----a-w	C:\Dokumente und Einstellungen\Tobias\Anwendungsdaten\wklnhst.dat
2007-08-27 20:00	62,992	----a-w	C:\Dokumente und Einstellungen\Musik\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-12-28 20:22	7,168	--sha-w	C:\Programme\Thumbs.db
2006-06-22 13:13	132,242	----a-w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2006-05-03 10:06	163,328	--sh--r	C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47	31,232	--sh--r	C:\WINDOWS\system32\msfDX.dll
2007-12-17 13:43	27,648	--sh--w	C:\WINDOWS\system32\Smab0.dll
.

(((((((((((((((((((((((((((((   snapshot@2008-03-22_14.18.46,67   )))))))))))))))))))))))))))))))))))))))))
.
+ 2000-08-31 07:00:00	163,328	----a-w	C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2008-03-22 13:25:41	16,384	----atw	C:\WINDOWS\Temp\Perflib_Perfdata_3a4.dat
.
(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\Rasmpc]
@={9D1F87E7-4D72-41AB-9D57-D101A08F20E5}

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eraser"="C:\Programme\Eraser\eraser.exe" [2006-12-26 01:23 643072]
"EPSON Stylus D92 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.exe" [2006-09-27 05:00 139264]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2005-11-08 16:35 61952 C:\WINDOWS\system32\CHDAudPropShortcut.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-11-11 09:04 761945]
"QPService"="C:\Programme\HP\QuickPlay\QPService.exe" [2005-12-12 11:39 94208]
"eabconfg.cpl"="C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe" [2005-12-07 10:56 409600]
"Cpqset"="C:\Programme\HPQ\Default Settings\cpqset.exe" [2005-06-29 13:48 233534]
"RecGuard"="C:\Windows\SMINST\RecGuard.exe" [2005-10-11 10:23 1187840]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" []
"LXCFCATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll" [2005-04-27 15:20 69632]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-15 15:08 249896]
"EPSON Stylus DX4800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.exe" [2005-02-02 05:00 98304]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-02-07 07:39 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-02-07 07:36 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-02-07 07:40 118784]
"HP Software Update"="C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-10-25 18:58 282624]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 16:50 221184]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2004-07-27 16:50 81920]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-05-28 15:35 185896]
"Microsoft Works Update Detection"="C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe" [2003-06-17 16:14 50688]
"Arcor Online"="" []
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2005-03-24 00:26 217088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 02:17 443968]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"FoFileAssociate"= 1 (0x1)
"NoUserNameInStartMenu"= 0 (0x0)
"NoRecentDocsNetHood"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"bokpkov"= {B659783A-32A0-4B48-A56B-E2FE59E3A624} - C:\WINDOWS\bokpkov.dll [2008-03-11 09:14 217088]
"altvxvm"= {1420E6D5-6C27-4A56-BA35-18764967E43D} - C:\WINDOWS\altvxvm.dll [2008-03-11 09:14 274432]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\WINDOWS\\system32\\logonui.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe"
"Device Detection"=C:\Programme\fotokasten comfort - Tchibo Edition\dd.exe
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"hpWirelessAssistant"=C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\lxcfcoms.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Program Files\\WS_FTP\\WS_FTP95.exe"=
"C:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\Windows Media Player\\wmplayer.exe"=
"C:\\Programme\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=
"C:\\Programme\\America's Army\\System\\ArmyOps.exe"=
"C:\\Programme\\America's Army\\System\\Server.exe"=
"C:\\Programme\\BitTorrent\\bittorrent.exe"=
"C:\\Programme\\Teamspeak2_RC2\\server_windows.exe"=
"C:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"C:\\WINDOWS\\system32\\javaw.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\java.exe"=
"C:\\Programme\\sixteen tons entertainment\\Emergency 4 Deluxe\\Em4Deluxe.exe"=
"C:\\Programme\\Sierra\\FEARCombat\\FEARServer.exe"=
"C:\\Programme\\Sierra\\FEARCombat\\fpupdate.exe"=
"C:\\Programme\\Sierra\\FEARCombat\\FEARMP.exe"=
"C:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\DNA\\btdna.exe"=
"C:\\Gamigo Games\\Smash Online\\SmashOnline.exe"=
"D:\\xampp\\apache\\bin\\apache.exe"=
"C:\\Programme\\RedlightCenter\\RedLightCenter\\Redlightcenter.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\concept design\\onlineTV 3\\onlineTV.exe"=

R1 sdcplh;sdcplh;C:\WINDOWS\system32\drivers\sdcplh.sys [2005-11-11 18:51]
S2 NmpdrvN;Audio Player USB Controller;C:\WINDOWS\system32\Drivers\NmpdrvN.sys [2003-06-09 18:58]
S3 067ada4c-d14b-4717-aa9e-f310e1c81e4c;067ada4c-d14b-4717-aa9e-f310e1c81e4c;E:\Player\cds300.dll []
S3 c102e13a-e62d-4573-a6cb-c1df3a66a9e3;c102e13a-e62d-4573-a6cb-c1df3a66a9e3;E:\Player\cds300.dll []
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;C:\Programme\MAGIX\Common\Database\bin\fbserver.exe [2005-11-17 14:18]
S3 FontCache6.0.5070.0;WinFX Font Cache 6.0.5070.0;C:\WINDOWS\Microsoft.NET\Windows\v6.0.5070\PresentationFontCache.exe [2005-11-06 22:29]
S3 gUSBSTOi;gUSBSTOi;C:\DOKUME~1\Tobias\LOKALE~1\Temp\gUSBSTOi.sys []
S3 SPC610NC;SPC 610NC Laptop Camera;C:\WINDOWS\system32\DRIVERS\SPC610NC.SYS [2005-09-07 20:39]
S3 UPnPService;UPnPService;C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe [2006-12-14 16:00]
S4 Apache2.2;Apache2.2;"D:\xampp\apache\bin\apache.exe" -k runservice []
S4 itcppss;Indigo Tcp Port Sharing Service;C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\IndigoListener.exe [2005-11-17 23:48]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\setup.exe

.
Contents of the 'Scheduled Tasks' folder
"2006-07-19 19:32:05 C:\WINDOWS\Tasks\Low Battery Alarm Program.job"
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-22 14:26:43
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Cpqset = C:\Programme\HPQ\Default Settings\cpqset.exe????????????8?9?7?4??????? ???B?????????????hLC???????? 

scanning hidden files ... 

scan completed successfully 
hidden files: 0 

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\bokpkov.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\xampp\filezillaftp\filezillaserver.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
D:\xampp\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Launchy\Launchy.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Google\Web Accelerator\GoogleWebAccWarden.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Google\Web Accelerator\googlewebaccclient.exe
C:\WINDOWS\system32\msiexec.exe
.
**************************************************************************
.
Completion time: 2008-03-22 14:33:41 - machine was rebooted [Tobias]
ComboFix-quarantined-files.txt  2008-03-22 13:33:38
.
2008-03-07 18:32:59	--- E O F ---
         
Und nochmal DANKE für die schnelle Antwort
__________________

Alt 22.03.2008, 14:42   #4
Sunny
Administrator
> Competence Manager
 

Worm Win32 NetSky... - Standard

Worm Win32 NetSky...



-- Rouge Spyware --

* Downloade RVAXO.exe von hier --> http://home.hetnet.nl/~stefsmeenk/RVAXO.exe
* Speichere es auf dem Desktop.
* starte die RVAXO.exe mit einem Doppelklick
* eventuell öffnet sich ein Uninstaller
* schliesse ihn nicht, lass das Programm laufen
* Starte deinen Rechner danach neu
* nach dem Neustart mach einen Doppelklick auf die RVAXO.exe
* ist sehr wichtig!
* das Logfile findest du hier: C:\RVAXO-results.log



Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis

-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 01.07.2008, 18:16   #5
Bazille
 
Worm Win32 NetSky... - Cool

Worm Win32 NetSky...



Hallo sunshine
durchsuche mal deinen Pc und die Dienst-Liste nach "hpz12". Wenn da Einträge exestieren erst mal in den Papaierkorp (nicht löschen, fals es die falschen waren. Nur in Papierkorb!) Dann durchsuchste mal die Registry nach "Virus Alert" und ändere die Gefunden Einträge wieder ins Orginal. Fals der Virus dann nicht mehr auftaucht und es keine ungewollten Nebenwirkungen gibt:
1. Registry irgendwo hinspeichern (als Sicherung)
2. Registry nach "hpz12" durchsuchen und Einträge löschen
3. Wenn alles noch geht und keine nebenwirkungen aufgetreten sind: Sicherungsdatei löschen
4. Fals Nebenwirkungen aufgetreten sind: Registry durch Sicherung ersetzen und jemand andren wegen dem Virus fragen


Antwort

Themen zu Worm Win32 NetSky...
adobe, antivir, avira, bho, c:\windows\temp, computer, downloader, drivers, eraser, firefox, google, hijack, hijackthis, hijackthis logfile, hilfe!!, internet, internet explorer, launch, logfile, magix, malware, mozilla, mozilla firefox, mssql, photoshop, pop-up, rundll, shortcut, software, usb, warnung, windows, windows xp, windows\system32\drivers, windows\temp, wurm



Ähnliche Themen: Worm Win32 NetSky...


  1. Email-Worm.Win32.NetSky.q
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (4)
  2. worm.win32.netsky logfile
    Log-Analyse und Auswertung - 21.03.2008 (2)
  3. worm.win32.NetSky : wie werde ich ihn los??
    Plagegeister aller Art und deren Bekämpfung - 18.03.2008 (5)
  4. worm.win32.netsky bekomm ihn nicht weg
    Log-Analyse und Auswertung - 16.03.2008 (33)
  5. Worm.Win32.NetSky
    Log-Analyse und Auswertung - 05.03.2008 (1)
  6. Probs mit worm.win32.netsky
    Log-Analyse und Auswertung - 01.03.2008 (1)
  7. bekomme Worm.win32.NetSky nicht weg
    Log-Analyse und Auswertung - 26.02.2008 (6)
  8. Worm.Win32.NetSky
    Mülltonne - 24.02.2008 (0)
  9. Worm.Win32.NetSky
    Plagegeister aller Art und deren Bekämpfung - 18.02.2008 (24)
  10. Worm.Win32.NetSky Was Tun?
    Mülltonne - 10.02.2008 (0)
  11. worm.win32.netsky Hilfe
    Log-Analyse und Auswertung - 03.02.2008 (5)
  12. Worm.Win32.Netsky; ständige Installationsaufforderung
    Log-Analyse und Auswertung - 02.02.2008 (9)
  13. Worm.win32.netsky was tun?
    Log-Analyse und Auswertung - 27.01.2008 (2)
  14. Win32.netsky worm
    Log-Analyse und Auswertung - 07.01.2008 (4)
  15. Worm.Win32.NetSky
    Plagegeister aller Art und deren Bekämpfung - 02.01.2008 (4)
  16. Worm.Win32.Netsky... mal wieder
    Plagegeister aller Art und deren Bekämpfung - 27.12.2007 (0)
  17. worm.win32.netsky
    Log-Analyse und Auswertung - 26.12.2007 (0)

Zum Thema Worm Win32 NetSky... - Hallo,ich weiß das dieser Wurm schon einige Male in diesem Forum vor kam, ich hab auch versucht ihn loszuwerden mit dem was geschrieben wurde in den Posts, aber ich komm - Worm Win32 NetSky......
Archiv
Du betrachtest: Worm Win32 NetSky... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.