Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Windows Security Alert - Popups

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.10.2008, 21:39   #1
nolan
 
Windows Security Alert - Popups - Standard

Windows Security Alert - Popups



Hallo!
Ich erhalte seit zwei Tagen ca. alle 30 Minuten eine Warnung über Aktivitäten schädlicher Software. Die Nachrichten erscheinen als "Windows Security Alert"-Popup, was aber, wie ich annehme, gefaket ist. Ich kann die Nachrichten nicht deaktivieren oder erhalte weitere Infos über die gemeldeten Trojaner (zB: Trojan-Downloader.Win32.Agent.bq). Ein Link führt zu einer Website, auf der ich kostenpflichtige Virenprogramme herunterladen soll, um das Problem zu beheben.
Ich habe einen Scan mit Malwarebytes' Anti-Maleware durchgeführt, der ewig viele Infizierungen gefunden hat... leider bin ich eher Laie auf dem Gebiet und daher unsicher ob ich einfach alles löschen soll. Auch da ich schon öfter Warnungen vor vorschnellem Löschen gehört habe.
Hier ist der Scanbericht.. Ich wäre super dankbar, wenn mir jemand weiterhelfen könnte. Schon mal Vielen Dank im Voraus!!

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1230
Windows 5.1.2600 Service Pack 2

05.10.2008 20:32:40
mbam-log-2008-10-05 (20-32-40).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 153353
Laufzeit: 1 hour(s), 34 minute(s), 7 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 39
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 4
Infizierte Dateien: 72

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Programme\ICQToolbar\tbu1\toolbaru.dll (Adware.BHO) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{7558e739-8e7c-44bb-bce7-1bf0d72b7026} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\dpcproxy (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{54645654-2225-4455-44a1-9f4543d34545} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{000000da-0786-4633-87c6-1aa7a4429ef1} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5c7f15e1-f31a-44fd-aa1a-2ec63aaffd3a} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Golden Palace Casino NEW (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Golden Palace Casino PT (Trojan.DNSChanger) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fwbd (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\applications\accessdiver.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\HOL5_VXIEWER.FULL.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Classes\hol5_vxiewer.full.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\HolLol (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Inet Delivery (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mslagent (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{191AC1A7-66E5-1C75-D7C9-014D8DAD4EF2} (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\appchk (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\kjwjia1ess (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\apldbutil (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\mslagent (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\ICQToolbar\tbu1\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\mslagent.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\2_mslagent.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\mslagent\uninstall.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery\intdel.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\a.bat (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\Inet Delivery\inetdl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\akl.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\base64.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip2.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\FVProtect.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\uninstall.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\userconfig9x.dll (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\winsystem.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip3.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zipped.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\WINDOWS\zip1.tmp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\unsetup.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Programme\akl\akl.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\...\Anwendungsdaten\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\Rundl1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssurf022.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\medup012.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\psoft1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msgp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\medup020.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sncntr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\regc64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\regm64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\thun.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vcatchpi.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\thun32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\serauth1.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winsystem.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winlogonpc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dpcproxy.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssvchost.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sysreq.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\taack.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mtr2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\temp#01.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hoproxy.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hxiwlgpm.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\VBIEWER.OCX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\iTunesMusic.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bsva-egihsg52.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\akttzn.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ps1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mwin32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\taack.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\newsd32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\psof1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\msnbho.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\anticipator.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\emesx.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\serauth2.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\netode.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WINWGPX.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\awtoolb.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\vbsys2.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\natursvw.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\crerkrqz\kduzcfyn.exe (Trojan.FakeAlert.H) -> Delete on reboot.
C:\Programme\xsbbbfg\AppChk.dll (Trojan.FakeAlert.H) -> Delete on reboot.

Alt 07.10.2008, 15:07   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Security Alert - Popups - Icon32

Windows Security Alert - Popups



Hallo und

MBAM hat bereits die gefundenen Einträge gelöscht, wie man anhand Deines Logfiles unschwer erkennen kann!
Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
7.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________

__________________

Alt 07.10.2008, 21:03   #3
nolan
 
Windows Security Alert - Popups - Standard

Windows Security Alert - Popups



Hallo root24!
Danke schön für deine Rückmeldung!
Hier das HijackThis Logfile:
Code:
ATTFilter
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:21:13, on 07.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qzyrabot\qrspydax.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Power Manager\PM.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ipsfujgz.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Dokumente und Einstellungen\..\Lokale Einstellungen\Temporary Internet Files\Content.IE5\26KRL8JB\qlketzd[1].com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/webhp?sourceid=navclient&hl=de&ie=UTF-8
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von Yahoo! Deutschland
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [genapi] C:\WINDOWS\system32\ipsfujgz.exe
O4 - HKLM\..\Policies\Explorer\Run: [kjwjIA1ess] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qzyrabot\qrspydax.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Startup: WKCALREM.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (Snapfish Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {BF5F3A70-4ECD-446A-A4EE-68AE66C1CC79} (MoreUploadX) - http://kalender.pixaco.de/Upload/PixacoActiveX.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.de/clients/uploader_v2.2.0.6.cab
O21 - SSODL: apputilset - {2E5A65BB-B055-C0DD-0118-09975F2EE086} - C:\Programme\uqbjlwd\apputilset.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
         
Die Ausgabe des MBR-Editors:
Code:
ATTFilter
 Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
         
Das Logfile des Scans durch Silentrunners habe ich bei file-upload unter diesem Link hochgeladen:
File-Upload.net - Startup-Programs--NAME-E7A00061C2--2008-10-07-18.57.45.zip

Das folgende ist das Logfile von ComboFix:
Code:
ATTFilter
 ComboFix 08-10-07.01 - 2008-10-07 19:39:17.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.135 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\..\Desktop\ComboFix.exe
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((   Dateien erstellt von 2008-09-07 bis 2008-10-07  ))))))))))))))))))))))))))))))
.

2008-10-05 21:47 . 2008-10-05 21:47	<DIR>	d--------	C:\Programme\CCleaner
2008-10-05 20:55 . 2008-10-05 20:55	<DIR>	d--------	C:\Programme\uqbjlwd
2008-10-05 20:55 . 2008-10-05 20:55	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qzyrabot
2008-10-05 20:55 . 2008-10-05 20:55	94,208	--a------	C:\WINDOWS\system32\ipsfujgz.exe
2008-10-05 18:43 . 2008-10-05 20:26	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-10-05 18:43 . 2008-10-05 18:43	<DIR>	d--------	C:\Dokumente und Einstellungen\..\Anwendungsdaten\Malwarebytes
2008-10-05 18:43 . 2008-10-05 18:43	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-05 18:43 . 2008-09-10 00:04	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-05 18:43 . 2008-09-10 00:03	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-03 17:35 . 2008-10-05 20:35	<DIR>	d--------	C:\Programme\xsbbbfg
2008-10-03 17:35 . 2008-10-05 20:35	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\crerkrqz
2008-10-01 21:26 . 2008-10-01 21:26	<DIR>	d--------	C:\Programme\ICQ6Toolbar
2008-10-01 21:26 . 2008-10-01 21:26	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-10-01 21:25 . 2008-10-01 21:30	<DIR>	d--------	C:\Dokumente und Einstellungen\..\Anwendungsdaten\ICQ
2008-10-01 21:24 . 2008-10-01 21:31	<DIR>	d--------	C:\Programme\ICQ6
2008-09-27 17:21 . 2008-09-27 18:10	<DIR>	d--------	C:\WINDOWS\system32\CatRoot_bak

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-07 16:10	---------	d-----w	C:\Dokumente und Einstellungen\..\Anwendungsdaten\OpenOffice.org2
2008-10-05 18:45	---------	d-----w	C:\Programme\Java
2008-10-05 18:32	---------	d-----w	C:\Dokumente und Einstellungen\..\Anwendungsdaten\Desktopicon
2008-10-03 20:49	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-03 18:34	---------	d-----w	C:\Programme\DivX
2008-10-01 19:30	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-26 19:35	---------	d-----w	C:\Dokumente und Einstellungen\..\Anwendungsdaten\foobar2000
2008-08-19 13:57	---------	d-----w	C:\Programme\foobar2000
2008-08-12 14:49	---------	d-----w	C:\Programme\PDFTools
2008-07-29 14:17	2,584	----a-w	C:\Dokumente und Einstellungen\..\Anwendungsdaten\wklnhst.dat
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2008-07-07 20:30	253,952	----a-w	C:\WINDOWS\system32\es.dll
2006-05-03 09:06	163,328	--sh--r	C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47	31,232	--sh--r	C:\WINDOWS\system32\msfDX.dll
2007-12-17 12:43	27,648	--sh--w	C:\WINDOWS\system32\Smab0.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2005-02-22 1611488]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\ypager.exe" [2004-08-06 2502656]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-22 68856]
"genapi"="C:\WINDOWS\system32\ipsfujgz.exe" [2008-10-05 94208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-22 344064]
"PowerManager"="C:\Programme\Power Manager\PM.exe" [2005-04-19 163840]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"SetDefPrt"="C:\Programme\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 49152]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-11-26 185896]
"UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"SoundMan"="SOUNDMAN.EXE" [2005-05-17 C:\WINDOWS\SOUNDMAN.EXE]
"SMSERIAL"="sm56hlpr.exe" [2005-04-08 C:\WINDOWS\sm56hlpr.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-10-23 443968]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"kjwjIA1ess"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qzyrabot\qrspydax.exe" [2008-10-05 73728]

C:\Dokumente und Einstellungen\..\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]
WKCALREM.LNK - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe [2004-07-12 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe [2005-12-14 651264]
Status Monitor.lnk - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe [2007-09-18 802816]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"apputilset"= {2E5A65BB-B055-C0DD-0118-09975F2EE086} - C:\Programme\uqbjlwd\apputilset.dll [2008-10-05 147456]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:TCP Port 135
"5000:TCP"= 5000:TCP:TCP Port 5000
"5001:TCP"= 5001:TCP:TCP Port 5001
"5002:TCP"= 5002:TCP:TCP Port 5002
"5003:TCP"= 5003:TCP:TCP Port 5003
"5004:TCP"= 5004:TCP:TCP Port 5004
"5005:TCP"= 5005:TCP:TCP Port 5005
"5006:TCP"= 5006:TCP:TCP Port 5006
"5007:TCP"= 5007:TCP:TCP Port 5007
"5008:TCP"= 5008:TCP:TCP Port 5008
"5009:TCP"= 5009:TCP:TCP Port 5009
"5010:TCP"= 5010:TCP:TCP Port 5010
"5011:TCP"= 5011:TCP:TCP Port 5011
"5012:TCP"= 5012:TCP:TCP Port 5012
"5013:TCP"= 5013:TCP:TCP Port 5013
"5014:TCP"= 5014:TCP:TCP Port 5014
"5015:TCP"= 5015:TCP:TCP Port 5015
"5016:TCP"= 5016:TCP:TCP Port 5016
"5017:TCP"= 5017:TCP:TCP Port 5017
"5018:TCP"= 5018:TCP:TCP Port 5018
"5019:TCP"= 5019:TCP:TCP Port 5019
"5020:TCP"= 5020:TCP:TCP Port 5020

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-28 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-17 45376]
R2 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]
R3 EKBfltr;ENE Keyboard Controller;C:\WINDOWS\system32\DRIVERS\EKBfltr.sys [2005-01-14 5504]

*Newly Created Service* - MBR
*Newly Created Service* - PROCEXP90
*Newly Created Service* - WINIO
.
Inhalt des "geplante Tasks" Ordners

2008-10-06 C:\WINDOWS\Tasks\Symantec NetDetect.job
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE [2004-08-24 11:32]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\..\Anwendungsdaten\Mozilla\Firefox\Profiles\jy3nuxko.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://start.icq.com/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-07 19:42:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0
         
Die Datei zu deinem Punkt 7 ist ebenfalls bei file-upload hochgeladen. Hier der Link: File-Upload.net - listing.zip

Ich hoffe, ich habe alles weitgehend korrekt durchgeführt und die Ergebnisse sind verwertbar.. Nochmal vielen Dank für die Hilfe!
Grüße!
__________________

Alt 07.10.2008, 21:50   #4
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Security Alert - Popups - Cool

Windows Security Alert - Popups



Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
ATTFilter
C:\WINDOWS\system32\ipsfujgz.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qzyrabot\qrspydax.exe
C:\Programme\uqbjlwd\apputilset.dll
         
Danach:

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
DirLook::
C:\Programme\uqbjlwd
C:\Programme\xsbbbfg
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qzyrabot

Collect::
C:\WINDOWS\system32\ipsfujgz.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qzyrabot\qrspydax.exe
C:\Programme\uqbjlwd\apputilset.dll
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!
-----
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.10.2008, 17:35   #5
nolan
 
Windows Security Alert - Popups - Standard

Windows Security Alert - Popups



Hallo...
Hier die Ergebnisse des Scans durch Virustotal:

C:\WINDOWS\system32\ipsfujgz.exe:

Code:
ATTFilter
 ipsfujgz.exe 
Ergebnis: 18/36 (50.00%)
Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.10.3.2 2008.10.08 - 
AntiVir 7.8.1.34 2008.10.08 TR/Obfuscated.GX.2150 
Authentium 5.1.0.4 2008.10.08 - 
Avast 4.8.1248.0 2008.10.08 Win32:PureMorph 
AVG 8.0.0.161 2008.10.08 Generic11.ARNH 
BitDefender 7.2 2008.10.08 - 
CAT-QuickHeal 9.50 2008.10.08 Win32.Trojan.Obfuscated.gx.3 
ClamAV 0.93.1 2008.10.08 - 
DrWeb 4.44.0.09170 2008.10.08 - 
eSafe 7.0.17.0 2008.10.07 - 
eTrust-Vet 31.6.6135 2008.10.08 - 
Ewido 4.0 2008.10.08 - 
F-Prot 4.4.4.56 2008.10.07 - 
F-Secure 8.0.14332.0 2008.10.08 Trojan.Win32.Obfuscated.gx 
Fortinet 3.113.0.0 2008.10.08 W32/PolySmall.BP!tr 
GData 19 2008.10.08 Win32:PureMorph  
Ikarus T3.1.1.34.0 2008.10.08 Virus.Trojan.Win32.Obfuscated.gx 
K7AntiVirus 7.10.488 2008.10.08 - 
Kaspersky 7.0.0.125 2008.10.08 Trojan.Win32.Obfuscated.gx 
McAfee 5400 2008.10.07 FakeAlert-BD 
Microsoft 1.4005 2008.10.08 Trojan:Win32/Busky.EI 
NOD32 3503 2008.10.08 a variant of Win32/TrojanDownloader.FakeAlert.IQ 
Norman 5.80.02 2008.10.07 W32/Busky.DJJE 
Panda 9.0.0.4 2008.10.07 Adware/Lop 
PCTools 4.4.2.0 2008.10.08 - 
Prevx1 V2 2008.10.08 Cloaked Malware 
Rising 20.65.22.00 2008.10.08 - 
SecureWeb-Gateway 6.7.6 2008.10.08 Trojan.Obfuscated.GX.2150 
Sophos 4.34.0 2008.10.08 Mal/Generic-A 
Sunbelt 3.1.1708.1 2008.10.08 Trojan.Win32.Obfuscated.gx 
Symantec 10 2008.10.08 - 
TheHacker 6.3.1.0.103 2008.10.07 - 
TrendMicro 8.700.0.1004 2008.10.08 - 
VBA32 3.12.8.6 2008.10.07 - 
ViRobot 2008.10.8.1412 2008.10.08 - 
VirusBuster 4.5.11.0 2008.10.08 - 
weitere Informationen 
File size: 94208 bytes 
MD5...: 6dc9e125540c1f9a0c94e95d22da3966 
SHA1..: c2b479306e8afb346edfe11562d0a0c19cb07e42 
SHA256: a1971b8d541c4c91d9d1800ecedce0f015731b5b0f7757dd950766cb1b56e47c 
SHA512: 227e11ad1de3ce50b5460b66b6c3ccb645347c12cc2fb5d3c6c6ce182e31864b
507bcd24d844e2c55666d3d5195f6b04f1613397f1d71c701942f37e063d3b53 
PEiD..: - 
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x403c4e
timedatestamp.....: 0x48e8909a (Sun Oct 05 10:02:02 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.iopyu 0x1000 0x139d2 0x14000 6.86 ce301c1159b1d8e7c94ff35640f528cb
.dvvxn 0x15000 0x25e 0x1000 1.14 15a7823aa42effba74a031402fb4eccd
.cpjk 0x16000 0x5a00 0x1000 0.56 8670dbc9c3a9b3d71303dd7edb4b4ecc

( 1 imports ) 
> KERNEL32.dll: GetLastError, GetLogicalDrives, ResumeThread, ReadProcessMemory, SetLastError, ResetEvent, GetCurrentProcessId, SetFilePointer, DeleteFileW, GetFileAttributesW, VirtualFree, LoadLibraryA, GetFileAttributesExW, MultiByteToWideChar, GlobalFree, GlobalAlloc, GetProcAddress, GlobalLock, InterlockedDecrement, GetCurrentThreadId, GetLocalTime

( 0 exports ) 
 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=09AFBAD400F1545B7038018AAE4E3F005180250F
         

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qzyrabot\qrspydax.exe:
Code:
ATTFilter
 qrspydax.exe 
Ergebnis: 19/36 (52.78%)
Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.10.3.2 2008.10.08 - 
AntiVir 7.8.1.34 2008.10.08 TR/Obfuscated.GX.2151 
Authentium 5.1.0.4 2008.10.08 - 
Avast 4.8.1248.0 2008.10.08 Win32:PureMorph 
AVG 8.0.0.161 2008.10.08 Generic11.ARMV 
BitDefender 7.2 2008.10.08 - 
CAT-QuickHeal 9.50 2008.10.08 Win32.Trojan.Obfuscated.gx.3 
ClamAV 0.93.1 2008.10.08 - 
DrWeb 4.44.0.09170 2008.10.08 - 
eSafe 7.0.17.0 2008.10.07 - 
eTrust-Vet 31.6.6134 2008.10.07 - 
Ewido 4.0 2008.10.08 - 
F-Prot 4.4.4.56 2008.10.07 - 
F-Secure 8.0.14332.0 2008.10.08 Trojan.Win32.Obfuscated.gx 
Fortinet 3.113.0.0 2008.10.08 W32/PolySmall.BP!tr 
GData 19 2008.10.08 Win32:PureMorph  
Ikarus T3.1.1.34.0 2008.10.08 Virus.Trojan.Win32.Obfuscated.gx 
K7AntiVirus 7.10.488 2008.10.08 - 
Kaspersky 7.0.0.125 2008.10.08 Trojan.Win32.Obfuscated.gx 
McAfee 5400 2008.10.07 Generic.dx 
Microsoft 1.4005 2008.10.08 VirTool:Win32/Obfuscator.CU 
NOD32 3503 2008.10.08 a variant of Win32/TrojanDownloader.FakeAlert.IQ 
Norman 5.80.02 2008.10.07 W32/Busky.DLFM 
Panda 9.0.0.4 2008.10.07 Adware/Lop 
PCTools 4.4.2.0 2008.10.08 - 
Prevx1 V2 2008.10.08 Fraudulent Security Program 
Rising 20.65.22.00 2008.10.08 - 
SecureWeb-Gateway 6.7.6 2008.10.08 Trojan.Obfuscated.GX.2151 
Sophos 4.34.0 2008.10.08 Mal/EncPk-DG 
Sunbelt 3.1.1708.1 2008.10.08 Trojan.Win32.Obfuscated.gx 
Symantec 10 2008.10.08 Packed.Generic.182 
TheHacker 6.3.1.0.103 2008.10.07 - 
TrendMicro 8.700.0.1004 2008.10.08 - 
VBA32 3.12.8.6 2008.10.07 - 
ViRobot 2008.10.8.1412 2008.10.08 - 
VirusBuster 4.5.11.0 2008.10.08 - 
weitere Informationen 
File size: 73728 bytes 
MD5...: a1cf7fc04f1799b9e1492de1085d46c7 
SHA1..: 554ceba6c6cc2ca07baef73526290f339dd7447b 
SHA256: b4b74121b459f74dc8d03523090f877b813024758de59598ca3114d34627253a 
SHA512: 64b9e4dfaf1f53c82e4f5f51f91ccb45f456dd1bd1fc856e1c3ee3fd4ec19c1d
5df114aef938f8a9851767f7e45c62598679eba1b3396a4684a44dd4b21e621e 
PEiD..: - 
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x408921
timedatestamp.....: 0x48e89339 (Sun Oct 05 10:13:13 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xe88e 0xf000 6.81 cadbd3cfe2823b0384046ad49f2b1f68
.rdata 0x10000 0x344 0x1000 1.50 2771652ef8b55f9a483c76fc06ce246f
.data 0x11000 0x47c 0x1000 0.38 88dc3f113b9607480022b034c50d98ec

( 1 imports ) 
> KERNEL32.dll: FreeResource, GetCurrentProcessId, GetProcAddress, LoadResource, VirtualAlloc, GetModuleFileNameW, WriteFile, VirtualFree, FileTimeToSystemTime, CreateProcessW, SetCurrentDirectoryW, WaitForSingleObject, GetLocalTime, SuspendThread, GetLogicalDrives, LoadLibraryA, SetEvent, GetDriveTypeW, Sleep, SizeofResource, GetUserDefaultLangID, GlobalFree, FindFirstChangeNotificationW, DeleteFileW, WideCharToMultiByte, MoveFileW, WaitForMultipleObjects, SetLastError, CreateThread, ReadFile

( 0 exports ) 
 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=1B72651B00DA391A200801ED00492900E407D9D9
         

C:\Programme\uqbjlwd\apputilset.dll:
Code:
ATTFilter
 apputilset.dll 
Ergebnis: 13/36 (36.11%)
Antivirus Version letzte aktualisierung Ergebnis 
AhnLab-V3 2008.10.3.2 2008.10.08 - 
AntiVir 7.8.1.34 2008.10.08 TR/Obfuscated.GX.2242 
Authentium 5.1.0.4 2008.10.08 - 
Avast 4.8.1248.0 2008.10.08 Win32:PureMorph 
AVG 8.0.0.161 2008.10.08 Generic11.ARPB 
BitDefender 7.2 2008.10.08 - 
CAT-QuickHeal 9.50 2008.10.08 - 
ClamAV 0.93.1 2008.10.08 - 
DrWeb 4.44.0.09170 2008.10.08 - 
eSafe 7.0.17.0 2008.10.07 - 
eTrust-Vet 31.6.6134 2008.10.07 - 
Ewido 4.0 2008.10.08 - 
F-Prot 4.4.4.56 2008.10.07 - 
F-Secure 8.0.14332.0 2008.10.08 Trojan.Win32.Obfuscated.gx 
Fortinet 3.113.0.0 2008.10.08 W32/Obfuscated.GX!tr 
GData 19 2008.10.08 Win32:PureMorph  
Ikarus T3.1.1.34.0 2008.10.08 Virus.Trojan.Win32.Obfuscated.gx 
K7AntiVirus 7.10.488 2008.10.08 - 
Kaspersky 7.0.0.125 2008.10.08 Trojan.Win32.Obfuscated.gx 
McAfee 5400 2008.10.07 Generic.dx 
Microsoft 1.4005 2008.10.08 - 
NOD32 3503 2008.10.08 - 
Norman 5.80.02 2008.10.07 - 
Panda 9.0.0.4 2008.10.07 - 
PCTools 4.4.2.0 2008.10.08 - 
Prevx1 V2 2008.10.08 Fraudulent Security Program 
Rising 20.65.22.00 2008.10.08 - 
SecureWeb-Gateway 6.7.6 2008.10.08 Trojan.Obfuscated.GX.2242 
Sophos 4.34.0 2008.10.08 Mal/EncPk-DG 
Sunbelt 3.1.1708.1 2008.10.08 Trojan.Win32.Obfuscated.gx 
Symantec 10 2008.10.08 - 
TheHacker 6.3.1.0.103 2008.10.07 - 
TrendMicro 8.700.0.1004 2008.10.08 - 
VBA32 3.12.8.6 2008.10.07 - 
ViRobot 2008.10.8.1412 2008.10.08 - 
VirusBuster 4.5.11.0 2008.10.08 - 
weitere Informationen 
File size: 147456 bytes 
MD5...: af491a9f45b38658bc343572425927ce 
SHA1..: 3e7c2c28e8c7e79b0c4f67b3e6e74dc7babbf1e5 
SHA256: c22d060eaaf13d86fb924cb71506c5d9985c2892caa55f8d05bbb13605e782f4 
SHA512: a8b45d815dd8e26445bb2c8ba21ed276fa20f1723673dc5447cb4c80a23afdf3
bd03b41eb7d288ada15a04b44c6910b7cb656bb666ab8fa5e058d737090bff87 
PEiD..: - 
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100106f2
timedatestamp.....: 0x48e890a0 (Sun Oct 05 10:02:08 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.dcbs 0x1000 0x1e05e 0x1f000 6.85 be87479b2971628edceb8c9d4ccc6bd7
.kcjf 0x20000 0x4b1 0x1000 2.02 0e0461a78e3d97db0e2f64be604364eb
.iwlipl 0x21000 0x1f60 0x1000 0.65 a1917aeb5403c8fe82c1a5ecfa261130
.reloc 0x23000 0x1976 0x2000 5.99 d8b17089b1c34ef9a10814aa1ccab01d

( 2 imports ) 
> KERNEL32.dll: GetCurrentThreadId, GetFileSize, GetFileAttributesW, ResumeThread, GlobalUnlock, GetProcAddress, TerminateThread, CreateEventW, ReadFile, SetWaitableTimer, CreateFileW, CloseHandle, lstrlenW, FindClose, WriteFile, GetTickCount, WaitForMultipleObjects, SuspendThread, SetCurrentDirectoryW, VirtualAlloc, GetCurrentThread, FindNextChangeNotification, LoadLibraryW, WritePrivateProfileStringW, MultiByteToWideChar, GetLastError, GlobalLock, ReadProcessMemory, SetEndOfFile, FreeResource, LoadLibraryA, GetCurrentProcessId
> GDI32.dll: SelectObject, SetBkColor, CreateDCW, CreateCompatibleDC

( 4 exports ) 
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
 
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=11A349B100BB91BF408002467F409600A8E465E1
         
Und das Combofix-Logfile:
Code:
ATTFilter
 ComboFix 08-10-07.06 - Jana 2008-10-08 17:11:59.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.164 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\...\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\..\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qzyrabot\qrspydax.exe
C:\Programme\uqbjlwd\apputilset.dll
C:\WINDOWS\system32\ipsfujgz.exe

.
(((((((((((((((((((((((   Dateien erstellt von 2008-09-08 bis 2008-10-08  ))))))))))))))))))))))))))))))
.

2008-10-05 21:47 . 2008-10-05 21:47	<DIR>	d--------	C:\Programme\CCleaner
2008-10-05 20:55 . 2008-10-08 17:12	<DIR>	d--------	C:\Programme\uqbjlwd
2008-10-05 20:55 . 2008-10-08 17:12	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qzyrabot
2008-10-05 18:43 . 2008-10-05 20:26	<DIR>	d--------	C:\Programme\Malwarebytes' Anti-Malware
2008-10-05 18:43 . 2008-10-05 18:43	<DIR>	d--------	C:\Dokumente und Einstellungen\Jana\Anwendungsdaten\Malwarebytes
2008-10-05 18:43 . 2008-10-05 18:43	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-05 18:43 . 2008-09-10 00:04	38,528	--a------	C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-05 18:43 . 2008-09-10 00:03	17,200	--a------	C:\WINDOWS\system32\drivers\mbam.sys
2008-10-03 17:35 . 2008-10-05 20:35	<DIR>	d--------	C:\Programme\xsbbbfg
2008-10-03 17:35 . 2008-10-05 20:35	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\crerkrqz
2008-10-01 21:26 . 2008-10-01 21:26	<DIR>	d--------	C:\Programme\ICQ6Toolbar
2008-10-01 21:26 . 2008-10-01 21:26	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ICQ
2008-10-01 21:25 . 2008-10-01 21:30	<DIR>	d--------	C:\Dokumente und Einstellungen\...\Anwendungsdaten\ICQ
2008-10-01 21:24 . 2008-10-01 21:31	<DIR>	d--------	C:\Programme\ICQ6
2008-09-27 17:21 . 2008-09-27 18:10	<DIR>	d--------	C:\WINDOWS\system32\CatRoot_bak

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-08 14:41	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-10-08 14:39	---------	d-----w	C:\Dokumente und Einstellungen\...\Anwendungsdaten\OpenOffice.org2
2008-10-05 18:45	---------	d-----w	C:\Programme\Java
2008-10-05 18:32	---------	d-----w	C:\Dokumente und Einstellungen\..\Anwendungsdaten\Desktopicon
2008-10-03 18:34	---------	d-----w	C:\Programme\DivX
2008-10-01 19:30	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-08-26 19:35	---------	d-----w	C:\Dokumente und Einstellungen\..\Anwendungsdaten\foobar2000
2008-08-19 13:57	---------	d-----w	C:\Programme\foobar2000
2008-08-12 14:49	---------	d-----w	C:\Programme\PDFTools
2008-07-29 14:17	2,584	----a-w	C:\Dokumente und Einstellungen\..\Anwendungsdaten\wklnhst.dat
2008-07-18 20:10	94,920	----a-w	C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10	53,448	----a-w	C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10	45,768	----a-w	C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10	36,552	----a-w	C:\WINDOWS\system32\wups.dll
2008-07-18 20:09	563,912	----a-w	C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09	325,832	----a-w	C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09	205,000	----a-w	C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09	1,811,656	----a-w	C:\WINDOWS\system32\wuaueng.dll
2006-05-03 09:06	163,328	--sh--r	C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47	31,232	--sh--r	C:\WINDOWS\system32\msfDX.dll
2007-12-17 12:43	27,648	--sh--w	C:\WINDOWS\system32\Smab0.dll
.

((((((((((((((((((((((((((((((((((((((((((((   Look   )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

---- Directory of C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qzyrabot ----

2008-10-05 20:55	73728	--a------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qzyrabot\qrspydax.exe 

---- Directory of C:\Programme\uqbjlwd ----

2008-10-05 20:55	147456	--a------	C:\Programme\uqbjlwd\apputilset.dll 

---- Directory of C:\Programme\xsbbbfg ----



((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2005-02-22 1611488]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\ypager.exe" [2004-08-06 2502656]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-22 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-22 344064]
"PowerManager"="C:\Programme\Power Manager\PM.exe" [2005-04-19 163840]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 57393]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 40960]
"SetDefPrt"="C:\Programme\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 49152]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 933888]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-11-26 185896]
"UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 15872]
"SoundMan"="SOUNDMAN.EXE" [2005-05-17 C:\WINDOWS\SOUNDMAN.EXE]
"SMSERIAL"="sm56hlpr.exe" [2005-04-08 C:\WINDOWS\sm56hlpr.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-10-23 443968]

C:\Dokumente und Einstellungen\..\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]
WKCALREM.LNK - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe [2004-07-12 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe [2005-12-14 651264]
Status Monitor.lnk - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe [2007-09-18 802816]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:TCP Port 135
"5000:TCP"= 5000:TCP:TCP Port 5000
"5001:TCP"= 5001:TCP:TCP Port 5001
"5002:TCP"= 5002:TCP:TCP Port 5002
"5003:TCP"= 5003:TCP:TCP Port 5003
"5004:TCP"= 5004:TCP:TCP Port 5004
"5005:TCP"= 5005:TCP:TCP Port 5005
"5006:TCP"= 5006:TCP:TCP Port 5006
"5007:TCP"= 5007:TCP:TCP Port 5007
"5008:TCP"= 5008:TCP:TCP Port 5008
"5009:TCP"= 5009:TCP:TCP Port 5009
"5010:TCP"= 5010:TCP:TCP Port 5010
"5011:TCP"= 5011:TCP:TCP Port 5011
"5012:TCP"= 5012:TCP:TCP Port 5012
"5013:TCP"= 5013:TCP:TCP Port 5013
"5014:TCP"= 5014:TCP:TCP Port 5014
"5015:TCP"= 5015:TCP:TCP Port 5015
"5016:TCP"= 5016:TCP:TCP Port 5016
"5017:TCP"= 5017:TCP:TCP Port 5017
"5018:TCP"= 5018:TCP:TCP Port 5018
"5019:TCP"= 5019:TCP:TCP Port 5019
"5020:TCP"= 5020:TCP:TCP Port 5020

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-04-28 22336]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-07-17 45376]
R2 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]
R3 EKBfltr;ENE Keyboard Controller;C:\WINDOWS\system32\DRIVERS\EKBfltr.sys [2005-01-14 5504]

*Newly Created Service* - WINIO
.
Inhalt des "geplante Tasks" Ordners

2008-10-08 C:\WINDOWS\Tasks\Symantec NetDetect.job
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE [2004-08-24 11:32]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-genapi - C:\WINDOWS\system32\ipsfujgz.exe
HKLM-Explorer_Run-kjwjIA1ess - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qzyrabot\qrspydax.exe
SSODL-apputilset-{2E5A65BB-B055-C0DD-0118-09975F2EE086} - C:\Programme\uqbjlwd\apputilset.dll



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-08 17:14:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-08 17:15:59
ComboFix-quarantined-files.txt  2008-10-08 15:15:56
ComboFix2.txt  2008-10-07 17:44:22

Vor Suchlauf: 21 Verzeichnis(se), 37.117.820.928 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 37,152,587,776 Bytes frei

163	--- E O F ---	2008-09-10 18:20:03
         
Und nochmal Danke


Alt 08.10.2008, 21:10   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Security Alert - Popups - Standard

Windows Security Alert - Popups



Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:
  • Doppelklick auf das Avenger-Symbol
  • Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"
Code:
ATTFilter
folders to delete:
C:\Programme\uqbjlwd
C:\Programme\xsbbbfg
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qzyrabot
         
  • Schliesse nun alle Programme und Browser-Fenster
  • Um den Avenger zu starten klicke auf -> Execute
  • Dann bestätigen mit "Yes" das der Rechner neu startet
  • Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt
  • Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
  • Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________
--> Windows Security Alert - Popups

Alt 09.10.2008, 21:37   #7
nolan
 
Windows Security Alert - Popups - Standard

Windows Security Alert - Popups



Hallo...
Hier einmal der Avenger Report:
Code:
ATTFilter
 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  folder "C:\Programme\uqbjlwd" not found!
Deletion of folder "C:\Programme\uqbjlwd" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  folder "C:\Programme\xsbbbfg" not found!
Deletion of folder "C:\Programme\xsbbbfg" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qzyrabot" not found!
Deletion of folder "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\qzyrabot" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
         
.. und das HijackThis Logfile:
Code:
ATTFilter
 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:31:07, on 09.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Power Manager\PM.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\..\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JF2862XY\qlketzd[1].com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/webhp?sourceid=navclient&hl=de&ie=UTF-8
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [PowerManager] C:\Programme\Power Manager\PM.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Startup: WKCALREM.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (Snapfish Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.de/SnapfishActivia.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {BF5F3A70-4ECD-446A-A4EE-68AE66C1CC79} (MoreUploadX) - http://kalender.pixaco.de/Upload/PixacoActiveX.cab
O16 - DPF: {CE3409C4-9E26-4F8E-83E4-778498F9E7B4} (PB_Uploader Class) - http://www.pixdiscount.de/clients/uploader_v2.2.0.6.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

--
End of file - 9449 bytes
         
grüße!

Alt 10.10.2008, 11:26   #8
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Windows Security Alert - Popups - Standard

Windows Security Alert - Popups



Logfiles sind ok - sind noch Probleme da?
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 10.10.2008, 15:19   #9
nolan
 
Windows Security Alert - Popups - Standard

Windows Security Alert - Popups



nein, die meldungen haben aufgehört und auch ansonsten scheint der laptop in ordnung zu sein.. ist also alles wieder gut?
vielen lieben danke für die hilfe!!
grüße

Antwort

Themen zu Windows Security Alert - Popups
.com, adware.bho, adware.egdaccess, alert, browser, dateien, disabletaskmgr, ebayshortcuts.exe, einstellungen, explorer, fake.dropped.malware, helper, hijack.taskmanager, icq, install.exe, löschen, malware.trace, malwarebytes, microsoft, popup, popups, problem, programme, registrierungsschlüssel, scan, security, super, system, systemcheck, temp, trojan.agent, trojan.clicker, trojan.fakealert.h, trojaner, vielen dank, warnung, windows, windows security, windows security alert, winlogon



Ähnliche Themen: Windows Security Alert - Popups


  1. Windows Security Alert-
    Log-Analyse und Auswertung - 26.05.2011 (1)
  2. AntiVirus Software Alert / Windows Security Alert
    Plagegeister aller Art und deren Bekämpfung - 15.01.2011 (19)
  3. Windows Security Alert / AV Security Suite / Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 08.01.2011 (1)
  4. Meldung Windows Security Alert / AV Security Suite / Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 17.09.2010 (26)
  5. Windows Security Alert / AV Security Suite / Antivirus Software Alert / gefakter AV lähmt PC
    Plagegeister aller Art und deren Bekämpfung - 09.09.2010 (3)
  6. Malware / Virus / Trojaner - "Windows Security Alert / Security Suite"
    Plagegeister aller Art und deren Bekämpfung - 31.08.2010 (11)
  7. Windows security alert!
    Plagegeister aller Art und deren Bekämpfung - 31.08.2010 (4)
  8. selbe problem mit Windows Security Alert - Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 15.08.2010 (3)
  9. Windows Security Alert
    Plagegeister aller Art und deren Bekämpfung - 08.08.2010 (2)
  10. Windows Security Alert / AV Security Suite / Antivirus Software Alert
    Plagegeister aller Art und deren Bekämpfung - 26.07.2010 (21)
  11. Windows Security Alert / AV Security Suite / Antivirus Software Alert// Ohne Internet
    Plagegeister aller Art und deren Bekämpfung - 21.07.2010 (1)
  12. windows security alert
    Plagegeister aller Art und deren Bekämpfung - 12.07.2010 (1)
  13. system alert, windows security alert und fremde antiviren programme
    Plagegeister aller Art und deren Bekämpfung - 01.01.2010 (51)
  14. Windows security alert - popups mit gefakten Viruswarnungen
    Plagegeister aller Art und deren Bekämpfung - 29.12.2009 (5)
  15. Windows Security Alert
    Plagegeister aller Art und deren Bekämpfung - 10.04.2008 (5)
  16. Ständiger PopUps mit Windows Security Alert
    Log-Analyse und Auswertung - 15.03.2008 (8)
  17. Bitte mal Log überprüfen, Security Alert geht an und Popups gehen hoch
    Log-Analyse und Auswertung - 12.11.2006 (1)

Zum Thema Windows Security Alert - Popups - Hallo! Ich erhalte seit zwei Tagen ca. alle 30 Minuten eine Warnung über Aktivitäten schädlicher Software. Die Nachrichten erscheinen als "Windows Security Alert"-Popup, was aber, wie ich annehme, gefaket ist. - Windows Security Alert - Popups...
Archiv
Du betrachtest: Windows Security Alert - Popups auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.