Werbepopups-HJT logfile

amici · 03.06.2008, 08:37

Habe mir vermutlich von einem weiterführenden Link der stern.xde - seite was geholt! Habe danach kasperski - online- scanner und bitdefender über den rechner laufen lassen. Konnte die log-files aber nicht speichern, da der Rechner vorher eingefroren ist. Habe dann SmitFraudFix (unter Anleitung vom Trojanerboard) ausgeführt (auch im abgesicherten Modus). Hat das Problem aber nicht behoben. Hier nun mein Logfile (mit einem tiiieefen Einblick in meinen Rechner) von Hjt. Ich würde mich sehr freuen, wenn mir jemand mit meinem Problem helfen kann: Was habe ich mir (alles) eingefangen? Und wie kann ich es wieder los werden?

Vielen Dank schonmal im Vorraus!

PS: Ich sehe hier im Logfile einige Sachen, von denen ich geglaubt habe, sie bereits vor ewigkeiten gelöscht zu haben, sogar mit nem reg-cleaner....hmmmm....

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:58:41, on 03.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Aspire Arcade\PCMService.exe
C:\Programme\CRW\shwicon.exe
C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE
C:\Programme\D-Tools\daemon.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\lg_fwupdate\fwupdate.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ncntpkdm.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\DOKUME~1\XXX\EIGENE~1\WNSXS~1\spoolsv.exe
C:\Programme\Common Files\s?stem32\n?pdb.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://web.de/
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] C:\Programme\CRW\shwicon.exe -t"Chander\CRW Series Driver v1.17r019"
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe blrun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [{91-16-6F-F0-DW}] C:\windows\system32\jownw64p.exe DWramFF
O4 - HKLM\..\Run: [ExploreUpdSched] C:\WINDOWS\system32\ncntpkdm.exe DWramFF
O4 - HKLM\..\Run: [{f2e70e87-e62a-84eb-4edf-08f9de8453fd}] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll" DllInit
O4 - HKLM\..\Run: [2629165f] rundll32.exe "C:\WINDOWS\system32\bbjvelkl.dll",b
O4 - HKLM\..\Run: [BM251a25c3] Rundll32.exe "C:\WINDOWS\system32\dskmmygx.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Oece] "C:\DOKUME~1\XXX\EIGENE~1\WNSXS~1\spoolsv.exe" -vt yazb
O4 - HKCU\..\Run: [Voksroi] "C:\Programme\Common Files\s?stem32\n?pdb.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: SchleppNetz.lnk = C:\Programme\SchleppNetz\SchleppNetz.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jownw64p.exe
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\ncntpkdm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - h**p://appldnld.m7z.net/content.info.apple.com/iTunes4/WW/win/019-0312.20050111.MmVrT/iTunesSetup.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - h**ps://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 9759 bytes

amici · 03.06.2008, 13:32

so...habe jetzt counterspy im abgesicherten modus laufen lassen. Hat 18 trojaner gefunden. als ich dann auf result clicke.......nichts.....wo nichts is, kann auch nichts gelöscht werden. Ich weiß nicht, was ich jetzt noch machen soll ohne hilfe. Wenigstens weiß ich, daß einer der trojaner Trojan.BHO.Gen. heißt. Kann mir, reiner anwender...., denn jemand helfen, bitte?

Chris4You · 03.06.2008, 13:47

hi,

hmm, eigentlich wäre neu aufsetzten angebracht...
Das sieht nicht gut aus...

Bevor ich mir einen abbreche:
Combofix
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Danach bitte ein neues HJ-Log und das Log von Combofix...

chris

amici · 03.06.2008, 13:57

Bin jetzt im normalen Modus nochmal in counterspy "reingeganen", und habe dort zumindest in der history einen "logfile?" gefunden.

Es tut mir übrigens leid, wenn ich dadurch meine posts so lang mache, ich weiß aber nicht, wie ich diese fenster erstellen kann...vielleicht kann mir da auch jmd. helfen...-übrigens-überall wo xxx steht, stand mein name....
Also hier die history:

Scan History Details
Start Date: 03.06.2008 12:23:55
End Date: 03.06.2008 14:02:38
Total Time: 98 Min 43 Sec
Detected security risks

ClickSpring.PuritySCAN Adware (General) more information...
Details: PurityScan is an ad supported program that scans the user's Internet Explorer files, including browser cache, cookies and history for pornographic/adult related words and allows the user to delete them.
Status: Ignored

Files detected
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\W?nSxS\spoolsv.exe
C:\Programme\Common Files\s?stem32\n?pdb.exe
C:\Programme\Gemeinsame Dateien\Yazzle1281OinUninstaller.exe

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO
HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\OUTERINFO

Zenotecnico Adware (General) more information...
Details: Zenotecnico is a program used to display pop-up advertisements based upon user browsing habits.
Status: Ignored

Files detected
C:\WINDOWS\system32\msnav32.ax
C:\WINDOWS\system32\zxdnt3d.cfg

Command Service Adware (General) more information...
Details: Command Service is an adware application that opens pop-ups and displays various types of advertising on the user's desktop while browsing web pages.
Status: Ignored

Registry entries detected
HKEY_LOCAL_MACHINE\SOFTWARE\POLICIES
HKEY_LOCAL_MACHINE\SOFTWARE\POLICIES

Yazzle Components Misc (General) more information...
Details: Yazzle Components includes software that is used by multiple applications from Clickspring, LLC, the authors of Yazzle applications such as Yazzle Sudoku, Cowabanga and Snowball Wars.
Status: Ignored

Files detected
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\yazzsnet.exe

ClickSpring.Oinadserver Browser Plug-in more information...
Details: ClickSpring.Oinadserver is an adware browser plug-in that is typically installed without user knowledge or consent and that generates unwanted pop-up advertising on the desktop.
Status: Ignored

Files detected
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\outerinfo.ico
C:\PROGRAMME\OUTERINFO\FF\chrome.manifest
C:\PROGRAMME\OUTERINFO\FF\components\OuterinfoAds.xpt
C:\PROGRAMME\OUTERINFO\FF\install.rdf
C:\PROGRAMME\OUTERINFO
C:\PROGRAMME\OUTERINFO\FF
C:\PROGRAMME\OUTERINFO\FF\COMPONENTS

WaveRevenue-McBoo Trojan Downloader more information...
Status: Ignored

Files detected
C:\WINDOWS\mrofinu1000106.exe

Adware.Agent.gen Adware (General) more information...
Status: Ignored

Files detected
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender\Desktop\Quarantine\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll

Cookie: Tracking Cookies Cookie (General) more information...
Details: Cookies are small "data tags" that web sites store on PCs in order to recognize unique visitors. Cookies are used to identify returning visitors who have registered for special services; to measure and analyze visitors' use of web site features; to count unique visitors to web pages; and to allow web surfers to use virtual "shopping carts." Online advertising networks use cookies to track users across web sites and to measure ad impressions and click-throughs.
Status: Ignored

Cookies detected
c:\dokumente und einstellungen\xxx\cookies\xxx@247realmedia[1].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@2o7[1].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@ad.yieldmanager[1].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@ad.yieldmanager[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@ad.yieldmanager[3].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@ad.yieldmanager[4].txt
c:\dokumente und einstellungen\\cookies\xxx@ad.yieldmanager[5].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@adrevolver[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@advertising[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@apmebf[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@atdmt[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@atdmt[3].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@banner.joylandcasino[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@clickbank[1].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@doubleclick[1].txt
c:\dokumente und einstellungen\xxxa\cookies\xxx@doubleclick[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@emjcd[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@joylandcasino[1].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@mediaplex[1].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@mediaplex[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@shareit[1].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@statcounter[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@statcounter[3].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@tradedoubler[1].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@w*w.bigfishgames[2].txt
c:\dokumente und einstellungen\xxx\cookies\xxx@zedo[2].txt

AntiSpywareMaster Rogue Security Program more information...
Status: Ignored

Files detected
C:\PROGRAMME\ANTISPYWAREMASTER\asm.exe
C:\PROGRAMME\ANTISPYWAREMASTER

Trojan.BHO.Gen Trojan more information...
Status: Ignored

Files detected
c:\WINDOWS\system32\ijs.dll

amici · 03.06.2008, 14:03

sorry, da hat sich was überschnitten.

Also combofix....alles Klar, mach ich sofort!

Danke schonmal!

Chris4You · 03.06.2008, 14:03

Hi,

bitte wie unten angegeben verfahren, dann sehen wir weiter...
Einige Sachen sind bereit in Quarantäne von Bitdefender, andere sind noch aktiv...

chris

amici · 03.06.2008, 15:35

Hallo Chris4you und Andere,

Combofix ist fertig: Hier ist der logfile:

P.S.: Dieser lange post ist mir sehr unangenehm, weiß aber nicht, wie ich dieses "Fenster" hinbekomme....also entschuldigung bitte für den langen post.

ComboFix 08-06-01.6 - xxx2008-06-03 15:10:36.1 - FAT32x86
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\domains.txt
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\log.txt
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\WNSXS~1
C:\Dokumente und Einstellungen\xxx\Eigene Dateien\WNSXS~1\W?nSxS\
C:\Programme\AntiSpywareMaster
C:\Programme\AntiSpywareMaster\asm.exe
C:\Programme\outerinfo
C:\Programme\outerinfo\FF\chrome.manifest
C:\Programme\outerinfo\FF\components\OuterinfoAds.xpt
C:\Programme\outerinfo\FF\install.rdf
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\Temp\vtmp2
C:\Temp\vtmp2\ktnv33.log
C:\WINDOWS\BM251a25c3.xml
C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\bbjvelkl.dll
C:\WINDOWS\system32\dskmmygx.dll
C:\WINDOWS\system32\fPWyJkkj.ini
C:\WINDOWS\system32\fPWyJkkj.ini2
C:\WINDOWS\system32\jkkJyWPf.dll
C:\WINDOWS\system32\lklevjbb.ini
C:\WINDOWS\system32\mlJCTLfd.dll
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\msnav32.ax
C:\WINDOWS\system32\nwbyosom.exe
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\verjjyol.dll
C:\WINDOWS\system32\vtUnnoll.dll
C:\WINDOWS\system32\xkkjkxbd.ini
C:\WINDOWS\system32\zxdnt3d.cfg

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CMDSERVICE
-------\Legacy_NETWORK_MONITOR

((((((((((((((((((((((( Dateien erstellt von 2008-05-03 bis 2008-06-03 ))))))))))))))))))))))))))))))
.

2008-06-03 12:23 . 2008-06-03 12:23 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sunbelt Software
2008-06-03 12:23 . 2008-06-03 14:20 104 --a------ C:\WINDOWS\system32\SBRC.dat
2008-06-03 11:53 . 2008-06-03 11:53 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys
2008-06-03 11:52 . 2008-06-03 11:52 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Sunbelt Software
2008-06-03 11:51 . 2008-06-03 11:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software
2008-06-03 11:50 . 2008-06-03 11:50 <DIR> d-------- C:\Programme\Sunbelt Software
2008-06-03 08:57 . 2008-06-03 08:57 <DIR> d-------- C:\Programme\Trend Micro
2008-06-03 08:55 . 2008-06-03 08:55 812,344 --a------ C:\Programme\HJTInstall.exe
2008-06-03 08:40 . 2003-10-01 14:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-06-03 08:40 . 2003-10-01 15:10 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-06-03 08:40 . 2003-10-01 15:30 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\InterTrust
2008-06-03 08:40 . 2003-10-01 14:54 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-06-03 08:40 . 2003-01-21 03:00 13,095,560 -ra------ C:\Dokumente und Einstellungen\Administrator\MpSetup.exe
2008-06-03 08:39 . 2003-10-01 14:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-06-03 08:39 . 2003-10-01 14:54 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmen
2008-06-03 08:39 . 2003-10-01 14:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-06-03 08:39 . 2003-10-01 15:10 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-06-03 08:39 . 2003-10-01 14:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-06-03 08:39 . 2008-06-03 08:39 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-06-03 08:29 . 2008-06-03 08:45 4,484 --a------ C:\WINDOWS\system32\tmp.reg
2008-06-03 08:28 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-06-03 08:28 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-06-03 08:28 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-06-03 08:28 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-06-03 08:28 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\404Fix.exe
2008-06-03 08:28 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-06-03 08:28 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-03 08:28 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-06-02 23:48 . 2008-06-02 23:48 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-06-02 21:32 . 2008-06-02 21:32 401,972 --a------ C:\WINDOWS\system32\g94.exe
2008-06-02 21:32 . 2008-06-02 21:32 63,902 --a------ C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll-uninst.exe
2008-06-02 20:18 . 2008-06-02 20:18 13,502 --a------ C:\WINDOWS\system32\TuneclubIconDE.ico
2008-06-02 20:17 . 2008-06-02 20:17 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-06-02 20:17 . 2008-06-02 20:17 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-02 20:14 . 2008-06-02 20:14 298,311 --a------ C:\WINDOWS\system32\gside.exe
2008-06-02 20:14 . 2008-06-02 20:14 200,768 --a------ C:\WINDOWS\system32\ncntpkdm.exe
2008-06-02 20:14 . 2008-06-02 20:14 860 --a------ C:\WINDOWS\system32\winpfz33.sys
2008-06-02 19:33 . 2008-06-02 19:33 <DIR> d-------- C:\WINDOWS\system32\yW3
2008-06-02 19:33 . 2008-06-02 19:33 <DIR> d-------- C:\WINDOWS\system32\vntiho01
2008-06-02 19:33 . 2008-06-02 19:33 <DIR> d-------- C:\WINDOWS\system32\hIP5
2008-06-02 19:33 . 2008-06-02 19:33 <DIR> d-------- C:\WINDOWS\system32\cA1
2008-06-02 19:33 . 2008-06-02 19:33 <DIR> d--hs---- C:\WINDOWS\bXVuYQ
2008-06-02 19:33 . 2008-06-02 19:33 41,984 --a------ C:\WINDOWS\mrofinu572.exe.tmp
2008-06-02 19:33 . 2008-06-02 19:37 41,984 --a------ C:\WINDOWS\mrofinu572.exe
2008-06-02 19:33 . 2008-06-02 19:33 41,984 --a------ C:\WINDOWS\mrofinu1000106.exe
2008-05-27 20:14 . 2008-05-27 20:14 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ABBYY
2008-05-26 23:18 . 2008-05-26 23:18 <DIR> d-------- C:\users
2008-05-26 23:18 . 2008-05-26 23:18 <DIR> d-------- C:\My Games
2008-05-26 23:17 . 2008-05-26 23:17 <DIR> d-------- C:\Programme\RealArcade
2008-05-26 22:37 . 2008-05-26 22:37 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\U3
2008-05-26 09:22 . 2008-05-26 09:22 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-26 09:22 . 2008-05-26 09:22 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-22 21:32 . 2008-05-22 22:55 906,878,050 --a------ C:\Programme\ArcGIS-Desktop9.zip
2008-05-21 18:00 . 2008-05-21 18:00 <DIR> d-------- C:\Programme\FileZilla FTP Client
2008-05-21 17:45 . 2008-05-21 17:45 <DIR> d-------- C:\Programme\ViennaSoft
2008-05-21 17:35 . 2008-05-21 17:35 <DIR> d-------- C:\Programme\Foxit Software
2008-05-21 17:27 . 2008-05-21 17:27 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\FileZilla
2008-05-18 22:37 . 2008-05-18 22:37 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\JLC's Software
2008-05-18 22:36 . 2008-05-18 22:36 <DIR> d-------- C:\Programme\Internet_TV
2008-05-07 18:41 . 2008-05-07 18:41 165,376 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2008-05-07 18:41 . 2008-05-07 18:41 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2008-05-07 18:40 . 2008-05-07 18:40 <DIR> d-------- C:\Programme\XviD
2008-05-07 17:56 . 2008-05-07 17:56 <DIR> d-------- C:\Programme\Bad Day LA
2008-05-03 11:10 . 2008-05-03 11:10 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Magic Academy

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-29 18:48 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Land Of Runes
2008-04-28 19:49 --------- d-----w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\cerasus.media
2008-02-08 19:11 6,633,648 ----a-w C:\Programme\Synaptics Touchpad Driver for Windows 2000 WinXP Version 7.6.5.zip
2008-02-02 13:34 553,687 ----a-w C:\Programme\RegCleaner.exe
2008-02-01 18:54 4,096 --sha-w C:\Programme\Gemeinsame Dateien\Thumbs.db
2008-01-07 21:20 1,878,914 ----a-w C:\Programme\VA.exe
2008-01-07 20:58 8,628 ---ha-w C:\Programme\Gemeinsame Dateien\Fontinfo.GID
2008-01-07 20:32 1,906,516 ----a-w C:\Programme\LA.exe
2007-12-07 11:46 7,948,064 ----a-w C:\Programme\5100_deu_win2k_xpinfu.exe
2007-12-07 11:46 1,145 ----a-w C:\Programme\sfx.log
2007-08-30 17:25 60,544 ----a-w C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-08-10 20:01 6,433,401 ----a-w C:\Programme\Thoosje Sidebar installer.exe
2007-04-22 16:43 180,066 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
2005-03-19 22:27 2,652,488 ----a-w C:\Programme\SmartInstall_30.exe
2004-05-22 03:36 24,041,480 ----a-w C:\Programme\Golden.Software.Grapher.v4.00.Retail.zip
2004-03-05 19:13 1,760,378 ----a-w C:\Programme\aaw6.exe
2004-03-02 20:37 957,465 ----a-w C:\Programme\wrar320d.exe
2004-02-18 18:29 146,084 ----a-w C:\Programme\SetupSnz100.exe
2004-02-13 20:47 3,773,576 ----a-w C:\Programme\DivXPlayerInstaller.exe
2003-11-08 00:03 176 ----a-w C:\Programme\hpsfx.ini
2003-11-06 07:09 2,206,317 ----a-w C:\Programme\Gemeinsame Dateien\Fontinfo.hlp
2003-01-21 01:00 13,095,560 ----a-r C:\WINDOWS\system32\config\systemprofile\MpSetup.exe
2003-01-21 01:00 13,095,560 ----a-r C:\Dokumente und Einstellungen\xxx\MpSetup.exe
2003-01-21 01:00 13,095,560 ----a-r C:\Dokumente und Einstellungen\Default User\MpSetup.exe
1996-04-09 20:47 766 ----a-w C:\Programme\Gemeinsame Dateien\Will.ico
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,744 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{63b7168f-63ac-9dfa-b343-beef7a469006}]
C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"PcSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-06-27 16:21 1449984]
"PowerBar"="" []
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 19:04 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"ATIModeChange"="Ati2mdxx.exe" [2003-09-12 02:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-08-12 21:10 335872]
"SoundMan"="SOUNDMAN.EXE" [2003-07-12 11:53 54784 C:\WINDOWS\SOUNDMAN.EXE]
"AGRSMMSG"="AGRSMMSG.exe" [2003-08-29 05:10 88267 C:\WINDOWS\AGRSMMSG.exe]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-08-29 06:01 110592]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-08-29 06:01 618496]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe" [2003-08-19 17:23 32873]
"PCMService"="C:\Program Files\Aspire Arcade\PCMService.exe" [2003-09-29 16:03 73728]
"ShowIcon_Chander_CRW Series Driver v1.17r019"="C:\Programme\CRW\shwicon.exe" [2003-01-09 00:05 73728]
"LManager"="C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE" [2003-10-18 13:27 352256]
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [2003-10-02 02:20 81920]
"Corel Reminder"="" []
"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.exe" [2006-06-15 12:36 229376]
"LGODDFU"="C:\Programme\lg_fwupdate\fwupdate.exe" [2007-04-12 00:08 249856]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-07-04 00:05 185896]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24 286720]
"BDAgent"="C:\Programme\Softwin\BitDefender10\bdagent.exe" [2007-03-26 15:49 69632]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"{91-16-6F-F0-DW}"="C:\windows\system32\jownw64p.exe" [ ]
"{f2e70e87-e62a-84eb-4edf-08f9de8453fd}"="C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll" [ ]
"SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-12-21 15:30 698864]
"ExploreUpdSched"="C:\WINDOWS\system32\ncntpkdm.exe" [2008-06-02 20:14 200768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=sockspy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"msacm.l3acm"= l3codecp.acm
"VIDC.IV41"= ir41_32.dll
"vidc.yv12"= yv12vfw.dll
"msacm.divxa32"= DivXa32.acm

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Proximotron\\Proxomitron.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\groove.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:160.45.252.0/255.255.255.0,172.24.0.0/255.255.255.0:Enabled:IKE-500
"4500:UDP"= 4500:UDP:160.45.252.0/255.255.255.0,172.24.0.0/255.255.255.0:Enabled:IKE-4500

R0 pnpshark;pnpshark;C:\WINDOWS\system32\DRIVERS\pnpshark.sys [2003-10-02 03:16]
R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys [2008-06-03 11:53]
R0 st3shark;st3shark;C:\WINDOWS\system32\DRIVERS\st3shark.sys [2003-09-27 14:37]
R3 SBAPIFS;SBAPIFS;C:\WINDOWS\system32\drivers\sbapifs.sys []
S3 iMSPCLOj;iMSPCLOj;C:\DOKUME~1\xxx\LOKALE~1\Temp\iMSPCLOj.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{187f9730-dfb4-11db-9bee-00042379bcce}]
\Shell\AutoRun\command - H:\wd_windows_tools\setup.exe

*Newly Created Service* - SBAPIFS
.
Inhalt des "geplante Tasks" Ordners
"2008-06-03 14:08:28 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
"2008-05-31 13:05:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************
Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien:

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\Programme\Stardock\ObjectDock\DockShellHook.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRAMME\GEMEINSAME DATEIEN\NOKIA\MPAPI\MPAPI3S.EXE
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Sunbelt Software\CounterSpy\CounterSpy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-03 16:18:24 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-03 14:16:06

28 Verzeichnis(se), 7,781,416,960 Bytes frei
39 Verzeichnis(se), 9,629,941,760 Bytes frei

255 --- E O F --- 2008-05-27 22:59:33

amici · 03.06.2008, 15:47

Und hier der Hjt - Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:43:32, on 03.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Aspire Arcade\PCMService.exe
C:\Programme\CRW\shwicon.exe
C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE
C:\Programme\D-Tools\daemon.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\lg_fwupdate\fwupdate.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\WINDOWS\system32\ncntpkdm.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: gooochi browser optimizer - {63b7168f-63ac-9dfa-b343-beef7a469006} - C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll (file missing)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] C:\Programme\CRW\shwicon.exe -t"Chander\CRW Series Driver v1.17r019"
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe blrun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [{91-16-6F-F0-DW}] C:\windows\system32\jownw64p.exe DWramFF
O4 - HKLM\..\Run: [{f2e70e87-e62a-84eb-4edf-08f9de8453fd}] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll" DllInit
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: SchleppNetz.lnk = C:\Programme\SchleppNetz\SchleppNetz.exe
O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jownw64p.exe
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\ncntpkdm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - h**p://appldnld.m7z.net/content.info.apple.com/iTunes4/WW/win/019-0312.20050111.MmVrT/iTunesSetup.exe
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - h**ps://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 10036 bytes

amici · 03.06.2008, 17:44

Hijackthis.fixen:

Folgende Einträge sind gefixt:

O2 - BHO: gooochi browser optimizer - {63b7168f-63ac-9dfa-b343-beef7a469006} - C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll (file missing)

O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jownw64p.exe

Die anderen Beiden waren nach dem scan nicht mehr da.

Jetzt noch antimaleware und dann poste ich nochmal ein Hjt-log

amici · 03.06.2008, 18:24

Hier logfile von Malwarebytes antimalware:

Malwarebytes' Anti-Malware 1.14
Datenbank Version: 818

19:21:56 03.06.2008
mbam-log-6-3-2008 (19-21-56).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 116114
Scan Dauer: 32 minute(s), 42 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 9
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 19

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{1e404d48-670a-4085-a6a0-d195793ddd33} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9f593aac-ca4c-4a41-a7ff-a00812192d61} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{749ec66f-a838-4b38-b8e5-e65d905fff74} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1e404d48-670a-4085-a6a0-d195793ddd33} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\gooochi (Adware.Vapsup) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\Software\Mozilla\Firefox\Extensions\{59a40ac9-e67d-4155-b31d-4b7330fcd2d6} (Adware.PurityScan) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\mrofinu572.exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll-uninst.exe (Adware.Vapsup) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender\Desktop\Quarantine\jownw64p.exe (Adware.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\BitDefender\Desktop\Quarantine\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll (Adware.Vapsup) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP585\A0102343.exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP589\A0102851.exe (Adware.ClickSpring) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP589\A0102853.dll (Adware.ClickSpring) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP590\A0102864.exe (Rogue.AntiSpyMaster) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP590\A0102874.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP590\A0102875.exe (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP590\A0102877.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP590\A0102893.exe (Adware.PurityScan) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{71A62C81-C28C-47FA-8428-F495081E3162}\RP590\A0102955.exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Programme\AntiSpywareMaster\asm.exe.vir (Rogue.AntiSpyMaster) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\mlJCTLfd.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\nwbyosom.exe.vir (Trojan.LowZones) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\vtUnnoll.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winpfz33.sys (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\zxdnt3d.cfg (Malware.Trace) -> Quarantined and deleted successfully.

Chris4You · 03.06.2008, 18:36

Hi,

so, wir müssen jetzt noch die Systemwiederherstellung löschen:
Systemwiederherstellung löschen
Deaktivieren der Systemwiederherstellung und Start in den abgesicherten Modus
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

So, nach dem HJ-Log gehen wir noch etwas tiefer in das System:
DSS (Deckhards-System-Scanner):
Anleitung zu Deckard’s System Scanner - Forum - CHIP Online
Bitte gemäß dieser Anleitung beide Logs posten...

chris

amici · 03.06.2008, 18:37

Hallo Chris, hallo trojaner-board,

abschließend mein Hjt-logfile. Also wenn jetzt noch was da ist, dann werde ich auf jeden Fall neu auflegen!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:25:34, on 03.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Program Files\Aspire Arcade\PCMService.exe
C:\Programme\CRW\shwicon.exe
C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE
C:\Programme\D-Tools\daemon.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\lg_fwupdate\fwupdate.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = rl=h**p://web.de/]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL l=h**p://go.microsoft.com/fwlink/?LinkId=69157]MSN.co
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = l=h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search[/url]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page=h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search[
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] C:\Programme\CRW\shwicon.exe -t"Chander\CRW Series Driver v1.17r019"
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe blrun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: SchleppNetz.lnk = C:\Programme\SchleppNetz\SchleppNetz.exe
O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\ncntpkdm.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicod
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - h**p://appldnld.m7z.net/content.info.apple.com/iTunes4/WW/win/019-0312.20050111.MmVrT/iTunesSetup.ex
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - h**ps://stream.web.de/mail/activex/mail_upload_11213.cab[/url]
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan_de/scan8/oscan8.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 9409 bytes

amici · 03.06.2008, 18:38

Huch....schon wieder überschnitten.....

Chris4You · 03.06.2008, 18:44

Hi,

folge bitte dem im vorherigen Post angegebenen Link und lasse DSS laufen (s. u.);
Es sind noch zwei auffällige Sachen im HJ-Log:
C:\WINDOWS\system32\ncntpkdm.exe
und das hier:
O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - h**p://appldnld.m7z.net/content.info...TunesSetup.exe
<- kennst Du diese Adresse? Wenn nein, bitte umgehend mit HJ fixen!
Das gleiche gilt für ncntpkdm.exe (wobei ich mir fast sicher bin, das die Faul ist) -> daher online prüfen lassen:

C:\WINDOWS\system32\ncntpkdm.exe

VirusTotal - Kostenloser online Viren- und Malwarescanner
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Poste jeweils das komplette Ergebniss mit Filename (und noch den DSS-Scan)

chris

amici · 03.06.2008, 19:22

Hallo Chris,

hier die dss-logfiles:

PHP-Code:

  Deckard's System Scanner v20071014.68

Run by xxx on 2008-06-03 20:04:32

Computer is in Normal Mode.

--------------------------------------------------------------------------------

 
-- System Restore --------------------------------------------------------------

 
Successfully created a Deckard's System Scanner Restore Point.

 
 
-- Last 3 Restore Point(s) --

3: 2008-06-03 18:04:40 UTC - RP3 - Deckard's System Scanner Restore Point

2: 2008-06-03 17:52:53 UTC - RP2 - nach diplomarbeit

1: 2008-06-03 17:51:12 UTC - RP1 - Systemprüfpunkt

 
 
Backed up registry hives.

Performed disk cleanup.

 
 
 
-- HijackThis (run as xxx.exe) ------------------------------------------------

 
Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:06:24, on 03.06.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal

 
Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe

C:\Programme\Softwin\BitDefender10\vsserv.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\AGRSMMSG.exe

C:\Programme\Synaptics\SynTP\SynTPLpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe

C:\Program Files\Aspire Arcade\PCMService.exe

C:\Programme\CRW\shwicon.exe

C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE

C:\Programme\D-Tools\daemon.exe

C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\Programme\lg_fwupdate\fwupdate.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\QuickTime\QTTask.exe

C:\Programme\Softwin\BitDefender10\bdagent.exe

C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe

C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe 
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Dokumente und Einstellungen\xxx\Desktop\dss.exe

C:\PROGRA~1\TRENDM~1\HIJACK~1\xxx.exe

 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = xxx://web.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = xxx://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xxx://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = xxx://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe

O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Aspire Arcade\PCMService.exe"

O4 - HKLM\..\Run: [ShowIcon_Chander_CRW Series Driver v1.17r019] C:\Programme\CRW\shwicon.exe -t"Chander\CRW Series Driver v1.17r019"

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [LGODDFU] C:\Programme\lg_fwupdate\fwupdate.exe blrun

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: SchleppNetz.lnk = C:\Programme\SchleppNetz\SchleppNetz.exe

O4 - Startup: Deewoo.lnk = C:\WINDOWS\system32\ncntpkdm.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: VPN Client.lnk = ?

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - xxx://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - xxx://appldnld.m7z.net/content.info.apple.com/iTunes4/WW/win/019-0312.20050111.MmVrT/iTunesSetup.exe

O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - xxx://stream.web.de/mail/activex/mail_upload_11213.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - xxx://www.bitdefender.de/scan_de/scan8/oscan8.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~3\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe

O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - SOFTWIN S.R.L. - C:\Programme\Softwin\BitDefender10\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - SOFTWIN S.R.L - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

 
--

End of file - 9492 bytes

 
-- HijackThis Fixed Entries (C:\PROGRA~1\TRENDM~1\HIJACK~1\backups\) -----------

 
backup-20080603-183717-499 O2 - BHO: gooochi browser optimizer - {63b7168f-63ac-9dfa-b343-beef7a469006} - C:\WINDOWS\system32\{1831ac14-5168-5ada-47dd-ddb366a91293}.dll (file missing)

backup-20080603-183717-806 O4 - Startup: DW_Start.lnk = C:\WINDOWS\system32\jownw64p.exe

 
-- File Associations -----------------------------------------------------------

 
[COLOR=red].reg - regfile - shell\open\command - regedit.exe "%1" %*[/COLOR]

[COLOR=red].scr - scrfile - shell\open\command - "%1" %*[/COLOR]

 
 
-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

 
R0 ENECBPTH (ENE Cardbus Patch Driver) - c:\windows\system32\drivers\enecbpth.sys <Not Verified; EnE Technology Inc.; EnE Cardbus Patch Driver for Windows (R) 2000/XP>

R0 pnpshark - c:\windows\system32\drivers\pnpshark.sys

R0 st3shark - c:\windows\system32\drivers\st3shark.sys

R2 atksgt - c:\windows\system32\drivers\atksgt.sys

R2 lirsgt - c:\windows\system32\drivers\lirsgt.sys

R3 NTIDrvr (Upper Class Filter Driver) - c:\windows\system32\drivers\ntidrvr.sys <Not Verified; NewTech Infosystems, Inc.; >

R3 pfc (Padus ASPI Shell) - c:\windows\system32\drivers\pfc.sys <Not Verified; Padus, Inc.; Padus(R) ASPI Shell>

R3 SBAPIFS - c:\windows\system32\drivers\sbapifs.sys (file missing)

 
S3 BDFsDrv - c:\programme\softwin\bitdefender10\bdfsdrv.sys (file missing)

S3 BDRsDrv - c:\programme\softwin\bitdefender10\bdrsdrv.sys (file missing)

S3 catchme - c:\combofix\catchme.sys (file missing)

S3 iMSPCLOj - c:\dokume~1\xxx\lokale~1\temp\imspcloj.sys (file missing)

 
 
-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

 
R2 Apple Mobile Device - "c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>

R3 ServiceLayer - "c:\programme\gemeinsame dateien\pcsuite\services\servicelayer.exe" <Not Verified; Nokia.; PC Connectivity Solution>

 
S3 NBService - c:\programme\nero\nero 7\nero backitup\nbservice.exe

 
 
-- Device Manager: Disabled ----------------------------------------------------

 
Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}

Description: Cisco Systems VPN Adapter

Device ID: ROOT\NET\0000

Manufacturer: Cisco Systems

Name: Cisco Systems VPN Adapter

PNP Device ID: ROOT\NET\0000

Service: CVirtA

 
 
-- Scheduled Tasks -------------------------------------------------------------

 
2008-06-03 19:50:02       398 --a------ C:\WINDOWS\Tasks\Symantec NetDetect.job

2008-05-31 15:05:04       276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

 
 
-- Files created between 2008-05-03 and 2008-06-03 -----------------------------

 
2008-06-03 18:46:34         0 d-------- C:\Programme\Malwarebytes' Anti-Malware

2008-06-03 15:06:16     68096 --a------ C:\WINDOWS\zip.exe

2008-06-03 15:06:16     49152 --a------ C:\WINDOWS\VFind.exe

2008-06-03 15:06:16    136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller>

2008-06-03 15:06:16    161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>

2008-06-03 15:06:16     98816 --a------ C:\WINDOWS\sed.exe

2008-06-03 15:06:16     80412 --a------ C:\WINDOWS\grep.exe

2008-06-03 15:06:16     89504 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; >

2008-06-03 11:50:04         0 d-------- C:\Programme\Sunbelt Software

2008-06-03 08:57:38         0 d-------- C:\Programme\Trend Micro

2008-06-03 08:28:28     25600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-06-03 08:28:28    289144 --a------ C:\WINDOWS\system32\VCCLSID.exe <Not Verified; S!Ri; >

2008-06-03 08:28:28     86528 --a------ C:\WINDOWS\system32\VACFix.exe <Not Verified; S!Ri.URZ; VACFix>

2008-06-03 08:28:28    288417 --a------ C:\WINDOWS\system32\SrchSTS.exe <Not Verified; S!Ri; SrchSTS>

2008-06-03 08:28:28     53248 --a------ C:\WINDOWS\system32\Process.exe <Not Verified; xxx://www.beyondlogic.org; Command Line Process Utility>

2008-06-03 08:28:28     82944 --a------ C:\WINDOWS\system32\IEDFix.exe <Not Verified; S!Ri.URZ; IEDFix>

2008-06-03 08:28:28     51200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-06-03 08:28:28     82944 --a------ C:\WINDOWS\system32\404Fix.exe <Not Verified; S!Ri.URZ; IEDFix>

2008-06-02 23:48:13         0 d-------- C:\WINDOWS\BDOSCAN8

2008-06-02 21:32:20    401972 --a------ C:\WINDOWS\system32\g94.exe

2008-06-02 20:17:40         0 d-------- C:\WINDOWS\system32\Kaspersky Lab

2008-06-02 19:33:12         0 d-------- C:\WINDOWS\system32\cA1

2008-05-26 23:18:23         0 d-------- C:\My Games

2008-05-26 23:18:02         0 d-------- C:\users

2008-05-26 23:17:04         0 d-------- C:\Programme\RealArcade

2008-05-21 18:00:39         0 d-------- C:\Programme\FileZilla FTP Client

2008-05-21 17:45:15         0 d-------- C:\Programme\ViennaSoft

2008-05-21 17:35:55         0 d-------- C:\Programme\Foxit Software

2008-05-18 22:36:17         0 d-------- C:\Programme\Internet_TV

2008-05-07 18:41:44    165376 --a------ C:\WINDOWS\system32\drivers\atksgt.sys

2008-05-07 18:41:42     18048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys

2008-05-07 18:40:17         0 d-------- C:\Programme\XviD

2008-05-07 17:56:04         0 d-------- C:\Programme\Bad Day LA

 
 
-- Find3M Report ---------------------------------------------------------------

 
2008-06-03 20:04:30     81984 --a------ C:\WINDOWS\system32\bdod.bin

2008-06-03 18:46:44         0 d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Malwarebytes

2008-06-03 11:52:12         0 d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Sunbelt Software

2008-05-27 20:14:40         0 d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\ABBYY

2008-05-26 23:18:42      9703 --a------ C:\WINDOWS\mozver.dat

2008-05-26 22:37:40         0 d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\U3

2008-05-22 22:55:12 906878050 --a------ C:\Programme\ArcGIS-Desktop9.zip

2008-05-21 17:27:22         0 d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\FileZilla

2008-05-18 22:37:44         0 d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\JLC's Software

2008-05-03 11:10:28         0 d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Magic Academy

2008-04-29 20:48:40         0 d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Land Of Runes

2008-04-28 21:49:02         0 d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\cerasus.media

2008-03-22 17:08:52    322190 --a------ C:\WINDOWS\system32\perfh007.dat

2008-03-22 17:08:52     50434 --a------ C:\WINDOWS\system32\perfc007.dat

 
 
-- Registry Dump ---------------------------------------------------------------

 
*Note* empty entries & legit default entries are not shown

 
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"LaunchApp"="Alaunch" []

"ATIModeChange"="Ati2mdxx.exe" [12.09.2003 02:24 C:\WINDOWS\system32\Ati2mdxx.exe]

"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [12.08.2003 21:10]

"SoundMan"="SOUNDMAN.EXE" [12.07.2003 11:53 C:\WINDOWS\SOUNDMAN.EXE]

"AGRSMMSG"="AGRSMMSG.exe" [29.08.2003 05:10 C:\WINDOWS\AGRSMMSG.exe]

"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [29.08.2003 06:01]

"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [29.08.2003 06:01]

"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe" [19.08.2003 17:23]

"PCMService"="C:\Program Files\Aspire Arcade\PCMService.exe" [29.09.2003 16:03]

"ShowIcon_Chander_CRW Series Driver v1.17r019"="C:\Programme\CRW\shwicon.exe" [09.01.2003 00:05]

"LManager"="C:\PROGRA~1\LAUNCH~1\CPLCL32.EXE" [18.10.2003 13:27]

"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" [02.10.2003 02:20]

"Corel Reminder"="" []

"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.exe" [15.06.2006 12:36]

"LGODDFU"="C:\Programme\lg_fwupdate\fwupdate.exe" [12.04.2007 00:08]

"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [12.01.2006 15:40]

"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [04.07.2007 00:05]

"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [29.06.2007 06:24]

"BDAgent"="C:\Programme\Softwin\BitDefender10\bdagent.exe" [26.03.2007 15:49]

"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [27.10.2006 00:47]

"SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [21.12.2007 15:30]

 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 08:57]

"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [13.10.2004 17:24]

"PcSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [27.06.2006 16:21]

"PowerBar"="" []

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [16.11.2006 19:04]

 
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"DisableRegistryTools"=0 (0x0)

"HideLegacyLogonScripts"=0 (0x0)

"HideLogoffScripts"=0 (0x0)

"RunLogonScriptSync"=1 (0x1)

"RunStartupScriptSync"=0 (0x0)

"HideStartupScripts"=0 (0x0)

 
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"HideLegacyLogonScripts"=0 (0x0)

"HideLogoffScripts"=0 (0x0)

"RunLogonScriptSync"=1 (0x1)

"RunStartupScriptSync"=0 (0x0)

"HideStartupScripts"=0 (0x0)

 
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"appinit_dlls"=sockspy.dll

 
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

SecurityProviders    msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]

@="Service"

 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBCSSvc]

@="Service"

 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]

@="Service"

 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]

@="Volume shadow copy"

 
 
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{187f9730-dfb4-11db-9bee-00042379bcce}]

AutoRun\command- H:\wd_windows_tools\setup.exe

 
*Newly Created Service* - SBAPIFS

 
 
 
-- End of Deckard's System Scanner: finished at 2008-06-03 20:08:40 ------------

Werbepopups-HJT logfile

Log-Analyse und Auswertung: Werbepopups-HJT logfile