Hallo liebe Experten,

habe seit gestern folgendes Problem!!!
http://picfront.de/d/pXGMfYSxm/vrs.jpg

Und dieses Fenster von AntiVir kommt alle 10min und es öffnen sich 5 Fenster gleichzeitig!
Hab auf löschen immer geklickt, aber es wurde nicht gelöscht, da es alle ver***** 10min kommt. Habe auch in dem Verzeichnis wo es "ist" geschaut, doch dort ist nichts.

Noch zu erwähnen ist das es nachdem ich ein Gadget installiert aufgetreten ist und das von der Seite gallery.live.com. Nach der Installation dieses gadgets ist es gleube ich aufgetreten: Windows Live Gallery

Hoffentlich könnt ihr mir helfen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:34:46, on 21.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\SOUNDMAN.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\system32\taskeng.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: add to &BOM - C:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Google Update Service (gupdate1c9c1bf7cdfca0c) (gupdate1c9c1bf7cdfca0c) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: lxcz_device - - C:\Windows\system32\lxczcoms.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe
O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

--
End of file - 4090 bytes

Hallo und ,

1.) bitte hole die Datei nochmal aus der Quarantäne, und erstelle sie auf dem Desktop!
DIE DATEI NICHT ÖFFNEN

Dann lade sie auf VirusTotal - Free Online Virus and Malware Scan hoch.

Lass sie überprüfen und schicke uns danach die Ergebnisse. (mit Größen und Prüfsummen).

2.) Schalte dann Deine Systemwiederherstellung aus. -> Start => systemsteuerung => System => Systemwiederherstellung => "Systemwiederherstellung auf allen Laufwerken deaktivieren" haken setzen => Übernehmen => OK

Warte dann auf weitere Anweisungen.

Wo ist denn die Quarantäne?

Sry, aber ich habe überhaupt keine ahnung davon.


und danke für den Willkommensgruß

Öffne Avira und dann unter "Administration".

Zumindest ist das bei mir so.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  
  Sollte sich ComboFix nicht starten lassen, dann benenne es um in cf.com und versuche es nocheinmal.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ComboFix 09-04-24.01 - B2K 24.04.2009 16:10.1 - NTFSx86
Microsoft® Windows Vista™ Ultimate 6.0.6001.1.1252.49.1031.18.2046.1227 [GMT 2:00]
ausgeführt von:: c:\users\B2K\Downloads\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\ovfsthlasoyyprxndabnnginhwrhtnsrsifbvt.sys
c:\windows\system32\ovfsthddldiqwdlbwrgmwsmctjigucvxtstpun.dll
c:\windows\system32\ovfsthoqermctnarjyjolfgiyxjunavekvwvut.dat
c:\windows\system32\ovfsthqrfvbfcaxtajbbcioljbomuxihnfwtym.dat

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_ovfsthpxbsqpfppfcjrrekehouejilxhbtpvuq


((((((((((((((((((((((( Dateien erstellt von 2009-05-24 bis 2009-4-24 ))))))))))))))))))))))))))))))
.

2009-04-23 15:55 . 2009-04-23 16:13 -------- d-----w c:\users\B2K\AppData\Roaming\vlc
2009-04-23 15:55 . 2009-04-23 15:55 -------- d-----w c:\users\B2K\AppData\Roaming\dvdcss
2009-04-23 15:53 . 2009-04-23 15:53 -------- d-----w c:\program files\VideoLAN
2009-04-23 15:47 . 2009-04-23 15:47 -------- d-----w c:\program files\CCleaner
2009-04-22 15:53 . 2009-04-22 15:53 -------- dc-h--w c:\users\All Users\{7451F7D5-591C-4490-8D3B-C73A69A0E782}
2009-04-22 15:53 . 2009-04-22 15:53 -------- dc-h--w c:\programdata\{7451F7D5-591C-4490-8D3B-C73A69A0E782}
2009-04-22 15:31 . 2009-04-22 15:31 -------- dc-h--w c:\users\All Users\{0691F710-1ECA-4B5A-9727-25554F1BFDC6}
2009-04-22 15:31 . 2009-04-22 15:31 -------- dc-h--w c:\programdata\{0691F710-1ECA-4B5A-9727-25554F1BFDC6}
2009-04-21 15:37 . 2009-04-21 15:37 -------- d-----w c:\users\All Users\Messenger Plus!
2009-04-21 15:37 . 2009-04-21 15:37 -------- d-----w c:\programdata\Messenger Plus!
2009-04-21 13:34 . 2009-04-21 13:34 -------- d-----w c:\program files\Trend Micro
2009-04-21 12:05 . 2009-04-21 12:05 -------- d-----w c:\program files\Messenger Plus! Live
2009-04-20 17:09 . 2009-04-20 18:02 -------- d-----w C:\temp
2009-04-20 17:06 . 2009-04-20 17:12 173 ----a-w c:\windows\Lexstat.ini
2009-04-20 16:28 . 2009-04-20 16:29 -------- d-----w c:\program files\QuickTime
2009-04-20 16:28 . 2009-04-20 16:28 -------- d-----w c:\users\All Users\Apple Computer
2009-04-20 16:28 . 2009-04-20 16:28 -------- d-----w c:\programdata\Apple Computer
2009-04-20 16:27 . 2009-04-20 16:27 -------- d-----w c:\users\B2K\AppData\Local\Apple
2009-04-20 16:27 . 2009-04-20 16:27 -------- d-----w c:\program files\Apple Software Update
2009-04-20 16:27 . 2009-04-20 16:27 -------- d-----w c:\users\All Users\Apple
2009-04-20 16:27 . 2009-04-20 16:27 -------- d-----w c:\programdata\Apple
2009-04-20 14:50 . 2009-02-13 09:31 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-04-20 14:50 . 2009-04-20 14:50 -------- d-----w c:\users\All Users\Avira
2009-04-20 14:50 . 2009-04-20 14:50 -------- d-----w c:\programdata\Avira
2009-04-20 14:50 . 2009-04-20 14:50 -------- d-----w c:\program files\Avira
2009-04-20 13:54 . 2009-04-20 13:54 -------- d-----w c:\users\B2K\AppData\Local\Google
2009-04-20 13:53 . 2009-04-20 13:55 -------- d-----w c:\program files\Google
2009-04-20 13:01 . 2009-04-20 13:01 -------- d-----w c:\program files\Lavalys
2009-04-20 12:55 . 2009-04-20 13:18 -------- d-----w c:\program files\NVIDIA Corporation
2009-04-20 12:51 . 2009-04-20 13:19 -------- d-----w c:\users\B2K\AppData\Roaming\Download Manager
2009-04-19 16:23 . 2009-04-19 16:23 -------- d-----w c:\users\All Users\KONAMI
2009-04-19 16:23 . 2009-04-19 16:23 -------- d-----w c:\programdata\KONAMI
2009-04-19 15:36 . 2003-01-07 00:22 15873 ----a-w c:\windows\system32\Inetde.dll
2009-04-19 15:36 . 2000-12-05 21:00 109248 ----a-w c:\windows\system32\Mswinsck.ocx
2009-04-19 15:36 . 2000-10-01 21:00 125712 ----a-w c:\windows\system32\vb6de.dll
2009-04-19 15:36 . 2000-05-22 13:58 115920 ----a-w c:\windows\system32\msinet.ocx
2009-04-19 15:36 . 2000-05-21 21:00 1066176 ----a-w c:\windows\system32\Mscomctl.ocx
2009-04-19 15:36 . 2000-04-03 17:06 16896 ----a-w c:\windows\system32\winskde.dll
2009-04-19 15:36 . 2000-04-03 17:05 118784 ----a-w c:\windows\system32\msstdfmt.dll
2009-04-19 15:36 . 1999-07-14 11:07 6656 ----a-w c:\windows\system32\stdftde.dll
2009-04-19 15:36 . 1998-07-05 21:00 22528 ----a-w c:\windows\system32\Tabctde.dll
2009-04-19 15:36 . 1998-07-05 21:00 158208 ----a-w c:\windows\system32\Mscmcde.dll
2009-04-19 15:36 . 1998-06-23 21:00 209192 ----a-w c:\windows\system32\Tabctl32.ocx
2009-04-19 15:36 . 2009-04-19 16:05 -------- d-----w c:\program files\Biet-O-Matic
2009-04-19 12:33 . 2009-04-19 12:33 -------- d-----w c:\users\B2K\AppData\Roaming\DivX
2009-04-19 12:18 . 2009-04-19 12:19 -------- d-----w c:\program files\Paint.NET
2009-04-19 12:18 . 2009-04-21 15:45 -------- d-----w c:\users\B2K\AppData\Local\Paint.NET
2009-04-18 23:35 . 2009-04-18 23:39 -------- d-----w c:\users\B2K\AppData\Local\Rockstar Games
2009-04-18 22:32 . 2009-04-18 22:32 107888 ----a-w c:\windows\system32\CmdLineExt.dll
2009-04-18 22:29 . 2009-04-19 00:28 -------- d-----w c:\program files\Microsoft Games for Windows - LIVE
2009-04-18 22:29 . 2009-04-18 22:29 -------- d-----w c:\windows\system32\xlive
2009-04-18 21:51 . 2009-04-18 21:52 -------- d--h--w c:\program files\InstallShield Installation Information
2009-04-18 20:42 . 2009-04-18 20:42 -------- d-----w c:\users\B2K\AppData\Roaming\DAEMON Tools Pro
2009-04-18 20:42 . 2009-04-18 20:42 -------- d-----w c:\users\B2K\AppData\Roaming\DAEMON Tools
2009-04-18 20:23 . 2009-04-18 20:23 -------- d-----w c:\users\All Users\DAEMON Tools Lite
2009-04-18 20:23 . 2009-04-18 20:23 -------- d-----w c:\programdata\DAEMON Tools Lite
2009-04-18 20:23 . 2009-04-18 20:23 -------- d-----w c:\program files\DAEMON Tools Lite
2009-04-18 20:17 . 2009-04-18 20:17 717296 ----a-w c:\windows\system32\drivers\sptd.sys
2009-04-18 20:16 . 2009-04-18 21:51 -------- d-----w c:\users\B2K\AppData\Roaming\DAEMON Tools Lite
2009-04-18 18:54 . 2009-04-18 18:54 -------- d-----w c:\program files\Common Files\PX Storage Engine
2009-04-18 18:54 . 2009-04-18 18:54 -------- d-----w c:\program files\DivX
2009-04-18 18:54 . 2009-04-18 18:54 -------- d-----w c:\program files\Common Files\DivX Shared
2009-04-18 17:15 . 2008-06-20 01:14 97800 ----a-w c:\windows\system32\infocardapi.dll
2009-04-18 17:15 . 2008-06-20 01:14 105016 ----a-w c:\windows\system32\PresentationCFFRasterizerNative_v0300.dll
2009-04-18 17:15 . 2008-06-20 01:14 43544 ----a-w c:\windows\system32\PresentationHostProxy.dll
2009-04-18 17:15 . 2008-06-20 01:14 37384 ----a-w c:\windows\system32\infocardcpl.cpl
2009-04-18 17:15 . 2008-06-20 01:14 11264 ----a-w c:\windows\system32\icardres.dll
2009-04-18 17:15 . 2008-06-20 01:14 622080 ----a-w c:\windows\system32\icardagt.exe
2009-04-18 17:15 . 2008-06-20 01:14 781344 ----a-w c:\windows\system32\PresentationNative_v0300.dll
2009-04-18 17:15 . 2008-06-20 01:14 326160 ----a-w c:\windows\system32\PresentationHost.exe
2009-04-18 17:02 . 2008-07-27 18:03 96760 ----a-w c:\windows\system32\dfshim.dll
2009-04-18 17:01 . 2008-07-27 18:03 282112 ----a-w c:\windows\system32\mscoree.dll
2009-04-18 17:01 . 2008-07-27 18:03 41984 ----a-w c:\windows\system32\netfxperf.dll
2009-04-18 17:01 . 2008-07-27 18:03 158720 ----a-w c:\windows\system32\mscorier.dll
2009-04-18 17:01 . 2008-07-27 18:03 83968 ----a-w c:\windows\system32\mscories.dll
2009-04-18 16:51 . 2009-04-24 12:57 -------- d-----w c:\users\B2K\Tracing
2009-04-18 16:51 . 2009-04-19 17:48 -------- d-----w c:\program files\Microsoft Silverlight
2009-04-18 16:50 . 2009-02-06 16:08 55280 ----a-w c:\windows\system32\drivers\fssfltr.sys
2009-04-18 16:50 . 2009-04-18 16:50 -------- dc----w c:\windows\system32\DRVSTORE
2009-04-18 16:49 . 2006-11-29 11:06 3426072 ----a-w c:\windows\system32\d3dx9_32.dll
2009-04-18 16:48 . 2009-04-18 16:48 -------- d-----w c:\program files\Microsoft SQL Server Compact Edition
2009-04-18 16:46 . 2009-04-18 16:46 -------- d-----w c:\program files\Microsoft
2009-04-18 16:45 . 2009-04-18 16:45 -------- d-----w c:\program files\Windows Live SkyDrive
2009-04-18 16:45 . 2009-04-18 16:50 -------- d-----w c:\program files\Windows Live
2009-04-18 16:45 . 2009-04-18 16:45 -------- d-----w c:\windows\PCHEALTH
2009-04-18 16:30 . 2009-04-18 16:30 -------- d-----w c:\program files\Common Files\Windows Live
2009-04-18 16:24 . 2009-04-18 16:24 603904 ----a-w c:\windows\system32\TUProgSt.exe
2009-04-18 16:24 . 2008-11-12 14:44 27904 ----a-w c:\windows\system32\uxtuneup.dll
2009-04-18 16:24 . 2008-11-12 14:44 17152 ----a-w c:\windows\system32\authuitu.dll
2009-04-18 16:24 . 2009-04-18 16:24 362240 ----a-w c:\windows\system32\TuneUpDefragService.exe
2009-04-18 16:24 . 2009-04-18 16:24 -------- d-----w c:\users\B2K\AppData\Roaming\TuneUp Software
2009-04-18 16:24 . 2009-04-18 16:24 -------- d-----w c:\program files\TuneUp Utilities 2009
2009-04-18 16:24 . 2009-04-18 16:24 -------- d-----w c:\users\All Users\TuneUp Software
2009-04-18 16:24 . 2009-04-18 16:24 -------- d-----w c:\programdata\TuneUp Software
2009-04-18 16:23 . 2009-04-18 16:23 -------- d-sh--w c:\users\All Users\{55A29068-F2CE-456C-9148-C869879E2357}
2009-04-18 16:23 . 2009-04-18 16:23 -------- d-sh--w c:\programdata\{55A29068-F2CE-456C-9148-C869879E2357}
2009-04-18 16:12 . 2009-04-19 11:52 -------- d-----w c:\program files\JDownloader
2009-04-18 16:09 . 2009-04-18 16:08 410984 ----a-w c:\windows\system32\deploytk.dll
2009-04-18 16:08 . 2009-04-18 16:08 -------- d-----w c:\program files\Java
2009-04-18 15:59 . 2009-04-22 15:14 -------- d-----w C:\Spiele
2009-04-18 15:46 . 2009-04-18 15:46 -------- d-----r c:\windows\system32\config\systemprofile\Music
2009-04-18 15:42 . 2009-04-18 15:42 0 ---ha-w c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2009-04-18 15:34 . 2009-04-18 14:42 -------- d-----w c:\windows\Panther
2009-04-18 15:34 . 2009-04-18 15:34 8192 --s-a-r C:\BOOTSECT.BAK
2009-04-18 15:34 . 2009-04-22 14:24 -------- d-sh--w C:\Boot
2009-04-18 15:34 . 2008-01-21 02:22 333203 --sha-r C:\bootmgr
2009-04-18 15:21 . 2009-03-03 04:40 827392 ----a-w c:\windows\system32\wininet.dll
2009-04-18 15:21 . 2009-03-03 03:01 389632 ----a-w c:\windows\system32\html.iec
2009-04-18 15:21 . 2009-03-03 02:28 26624 ----a-w c:\windows\system32\ieUnatt.exe
2009-04-18 15:21 . 2009-03-03 04:37 78336 ----a-w c:\windows\system32\ieencode.dll
2009-04-18 15:21 . 2009-03-03 02:27 1383424 ----a-w c:\windows\system32\mshtml.tlb
2009-04-18 15:20 . 2008-06-06 03:27 38912 ----a-w c:\windows\system32\xolehlp.dll
2009-04-18 15:20 . 2008-06-06 03:27 562176 ----a-w c:\windows\system32\msdtcprx.dll
2009-04-18 15:12 . 2009-04-18 15:12 -------- d-----w c:\users\All Users\NVIDIA
2009-04-18 15:12 . 2009-04-18 15:12 -------- d-----w c:\programdata\NVIDIA
2009-04-18 15:07 . 2007-10-19 02:42 3809 ----a-r c:\windows\Cmicnfg3.ini.cfg
2009-04-18 15:07 . 2007-09-19 09:06 241664 ----a-r c:\windows\system32\CmiInstallResAll.dll
2009-04-18 15:05 . 2009-04-18 15:05 -------- d-----w c:\users\B2K\AppData\Local\Mozilla
2009-04-18 15:05 . 2009-04-18 15:05 -------- d-----w c:\program files\AGEIA Technologies
2009-04-18 15:05 . 2009-04-18 15:05 -------- d-----w c:\windows\system32\AGEIA
2009-04-18 15:05 . 2009-04-18 15:05 -------- d-----w c:\windows\system32\Macromed
2009-04-18 15:05 . 2009-04-22 15:53 -------- d-sh--w c:\windows\Installer
2009-04-18 15:05 . 2009-04-18 15:05 -------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-04-18 15:05 . 2009-03-27 08:03 801312 ----a-w c:\windows\system32\nvcplui.exe
2009-04-18 15:05 . 2009-03-27 08:03 420384 ----a-w c:\windows\system32\nvcpl.cpl

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-24 14:15 . 2008-01-21 08:24 618204 ----a-w c:\windows\System32\perfh007.dat
2009-04-24 14:15 . 2008-01-21 08:24 122636 ----a-w c:\windows\System32\perfc007.dat
2009-04-20 17:06 . 2009-04-20 17:03 -------- d-----w c:\program files\Lexmark 1200 Series
2009-04-20 17:06 . 2006-11-02 10:25 86016 ----a-w c:\windows\Inf\infstrng.dat
2009-04-20 17:06 . 2006-11-02 10:25 51200 ----a-w c:\windows\Inf\infpub.dat
2009-04-20 17:05 . 2006-11-02 10:25 86016 ----a-w c:\windows\Inf\infstor.dat
2009-04-19 02:33 . 2009-04-18 14:53 680 ----a-w c:\users\B2K\AppData\Local\d3d9caps.dat
2009-04-18 17:44 . 2006-11-02 11:18 -------- d-----w c:\program files\Windows Mail
2009-04-18 14:51 . 2009-04-18 14:51 -------- d-sh--w c:\programdata\Vorlagen
2009-04-18 14:51 . 2009-04-18 14:51 -------- d-sh--w c:\programdata\Startmenü
2009-04-18 14:51 . 2009-04-18 14:51 -------- d-sh--w c:\programdata\Favoriten
2009-04-18 14:51 . 2009-04-18 14:51 -------- d-sh--w c:\programdata\Dokumente
2009-04-18 14:51 . 2009-04-18 14:51 -------- d-sh--w c:\programdata\Anwendungsdaten
2009-04-18 14:51 . 2009-04-18 14:51 -------- d-sh--w c:\program files\Gemeinsame Dateien
2009-03-17 03:38 . 2009-04-18 15:19 40960 ----a-w c:\windows\AppPatch\apihex86.dll
2009-03-17 03:38 . 2009-04-18 15:19 13824 ----a-w c:\windows\System32\apilogen.dll
2009-03-17 03:38 . 2009-04-18 15:19 24064 ----a-w c:\windows\System32\amxread.dll
2009-03-11 13:57 . 2009-03-11 13:57 268288 ----a-w c:\windows\System32\schannel.dll
2009-03-11 13:56 . 2009-03-11 13:56 8147456 ----a-w c:\windows\System32\wmploc.DLL
2009-03-11 13:56 . 2009-03-11 13:56 7680 ----a-w c:\windows\System32\spwmp.dll
2009-03-11 13:56 . 2009-03-11 13:56 4096 ----a-w c:\windows\System32\dxmasf.dll
2009-03-11 13:54 . 2009-03-11 13:54 2033152 ----a-w c:\windows\System32\win32k.sys
2009-03-03 04:46 . 2009-04-18 15:19 3599328 ----a-w c:\windows\System32\ntkrnlpa.exe
2009-03-03 04:46 . 2009-04-18 15:19 3547632 ----a-w c:\windows\System32\ntoskrnl.exe
2009-03-03 04:39 . 2009-04-18 15:19 183296 ----a-w c:\windows\System32\sdohlp.dll
2009-03-03 04:39 . 2009-04-18 15:19 551424 ----a-w c:\windows\System32\rpcss.dll
2009-03-03 04:39 . 2009-04-18 15:19 26112 ----a-w c:\windows\System32\printfilterpipelineprxy.dll
2009-03-03 04:37 . 2009-04-18 15:19 98304 ----a-w c:\windows\System32\iasrecst.dll
2009-03-03 04:37 . 2009-04-18 15:19 54784 ----a-w c:\windows\System32\iasads.dll
2009-03-03 04:37 . 2009-04-18 15:19 44032 ----a-w c:\windows\System32\iasdatastore.dll
2009-03-03 03:04 . 2009-04-18 15:19 666624 ----a-w c:\windows\System32\printfilterpipelinesvc.exe
2009-03-03 02:38 . 2009-04-18 15:19 17408 ----a-w c:\windows\System32\iashost.exe
2009-02-24 19:34 . 2009-02-24 19:34 90112 ----a-w c:\windows\System32\dpl100.dll
2009-02-24 19:34 . 2009-02-24 19:34 823296 ----a-w c:\windows\System32\divx_xx0c.dll
2009-02-24 19:34 . 2009-02-24 19:34 823296 ----a-w c:\windows\System32\divx_xx07.dll
2009-02-24 19:34 . 2009-02-24 19:34 815104 ----a-w c:\windows\System32\divx_xx0a.dll
2009-02-24 19:34 . 2009-02-24 19:34 802816 ----a-w c:\windows\System32\divx_xx11.dll
2009-02-24 19:34 . 2009-02-24 19:34 684032 ----a-w c:\windows\System32\DivX.dll
2009-02-13 08:49 . 2009-04-18 15:19 72704 ----a-w c:\windows\System32\secur32.dll
2009-02-13 08:49 . 2009-04-18 15:19 1255936 ----a-w c:\windows\System32\lsasrv.dll
2009-02-12 20:57 . 2009-02-12 20:57 428544 ----a-w c:\windows\System32\EncDec.dll
2009-02-12 20:57 . 2009-02-12 20:57 293376 ----a-w c:\windows\System32\psisdecd.dll
2009-02-06 17:46 . 2009-02-06 17:46 308600 ----a-w c:\windows\WLXPGSS.SCR
2009-02-06 16:52 . 2009-02-06 16:52 49504 ----a-w c:\windows\System32\sirenacm.dll
2008-01-21 02:41 . 2006-11-02 12:49 174 --sha-w c:\program files\desktop.ini
2009-02-24 19:2009-02-24 19:34 34:32 . c:\program files\mozilla firefox\plugins\libdivx.dll
2009-02-24 19:2009-02-24 19:34 34:32 . c:\program files\mozilla firefox\plugins\ssldivx.dll
2008-04-09 21:47 . 2008-04-09 21:47 8192 --sha-w c:\windows\Users\Default\NTUSER.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-27 13687328]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-27 92704]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"TCP Query User{9F098FFA-C561-46DF-B6DB-624CA8915B6E}c:\\program files\\java\\jre6\\bin\\javaw.exe"= UDP:c:\program files\java\jre6\bin\javaw.exe:Java(TM) Platform SE binary
"UDP Query User{98F3EEC4-5FDE-4C93-A958-3490F903EA71}c:\\program files\\java\\jre6\\bin\\javaw.exe"= TCP:c:\program files\java\jre6\bin\javaw.exe:Java(TM) Platform SE binary
"TCP Query User{BBB9537B-CF29-42DC-AA5B-DA868442E5B7}c:\\program files\\java\\jre6\\bin\\java.exe"= UDP:c:\program files\java\jre6\bin\java.exe:Java(TM) Platform SE binary
"UDP Query User{1A80F509-7B34-4D35-A16C-3C5D89EBFA94}c:\\program files\\java\\jre6\\bin\\java.exe"= TCP:c:\program files\java\jre6\bin\java.exe:Java(TM) Platform SE binary
"{0D447080-5149-4B1B-8952-A5E80939BC00}"= c:\program files\Windows Live\Sync\WindowsLiveSync.exe:Windows Live Sync
"{5053BE85-0023-426A-8087-F1F8D8281036}"= UDP:c:\spiele\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe:Rockstar Games Social Club
"{792C86BC-1B83-4493-A8B0-0DC4AB1E7241}"= TCP:c:\spiele\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe:Rockstar Games Social Club
"{35473EE5-1C88-4656-BD87-E493CE2DA3EE}"= UDP:c:\spiele\Rockstar Games\Grand Theft Auto IV\LaunchGTAIV.exe:Grand Theft Auto IV
"{3185FD8F-5DCE-406B-BE4D-2B8715CA6DF0}"= TCP:c:\spiele\Rockstar Games\Grand Theft Auto IV\LaunchGTAIV.exe:Grand Theft Auto IV
"TCP Query User{D3FB0BC3-74AB-4676-A95A-98920674BFD7}c:\\spiele\\rockstar games\\grand theft auto iv\\gtaiv.exe"= UDP:c:\spiele\rockstar games\grand theft auto iv\gtaiv.exe:Grand Theft Auto IV
"UDP Query User{163239DB-1ED4-4AB0-AC40-1B7B91D8178C}c:\\spiele\\rockstar games\\grand theft auto iv\\gtaiv.exe"= TCP:c:\spiele\rockstar games\grand theft auto iv\gtaiv.exe:Grand Theft Auto IV
"TCP Query User{795BBADC-014C-41CF-B25A-1658D26FDDD6}c:\\program files\\windows sidebar\\sidebar.exe"= UDP:c:\program files\windows sidebar\sidebar.exe:Windows-Sidebar
"UDP Query User{DB395186-EE5B-48E8-9851-459534B7F516}c:\\program files\\windows sidebar\\sidebar.exe"= TCP:c:\program files\windows sidebar\sidebar.exe:Windows-Sidebar
"{8E199EC0-1289-4E46-9253-B8017E549B9D}"= UDP:c:\windows\System32\lxczcoms.exe:Lexmark Communications System
"{8B7E7C6D-020A-443F-AC83-23DFBD36759D}"= TCP:c:\windows\System32\lxczcoms.exe:Lexmark Communications System
"{467F4F59-7679-414E-A6CC-B7A0D100A4B5}"= UDP:c:\windows\System32\spool\drivers\w32x86\3\lxczpswx.exe:Printer Status Window
"{DFCF4CCD-404D-4775-AC9C-B516E5C015F5}"= TCP:c:\windows\System32\spool\drivers\w32x86\3\lxczpswx.exe:Printer Status Window

R2 gupdate1c9c1bf7cdfca0c;Google Update Service (gupdate1c9c1bf7cdfca0c);c:\program files\Google\Update\GoogleUpdate.exe [2009-04-20 133104]
R3 avmeject;AVM Eject;c:\windows\system32\drivers\avmeject.sys [2007-01-25 4352]
R3 fssfltr;fssfltr;c:\windows\system32\DRIVERS\fssfltr.sys [2009-02-06 55280]
R3 fsssvc;Windows Live Family Safety;c:\program files\Windows Live\Family Safety\fsssvc.exe [2009-02-06 533360]
S2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-03-05 108289]
S2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\System32\TUProgSt.exe [2009-04-18 603904]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\system32\DRIVERS\fwlanusb.sys [2007-01-25 265088]


--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - sptd

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1103d094-2c29-11de-9934-00142a32799a}]
\shell\AutoRun\command - G:\pushinst.exe
.
Inhalt des "geplante Tasks" Ordners

2009-04-24 c:\windows\Tasks\1-Klick-Wartung.job
- c:\program files\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-13 10:03]

2009-04-24 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-04-20 13:54]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-CmPCIaudio - CMICNFG3.cpl


.
------- Zusätzlicher Suchlauf -------
.
IE: add to &BOM - c:\\PROGRA~1\\BIET-O~1\\\\AddToBOM.hta
FF - ProfilePath - c:\users\B2K\AppData\Roaming\Mozilla\Firefox\Profiles\ls1gyzpy.default\
FF - prefs.js: browser.search.selectedEngine - qtl
FF - prefs.js: browser.startup.homepage - www.google.de
FF - plugin: c:\program files\Google\Update\1.2.141.5\npGoogleOneClick7.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX Richtlinien ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-24 16:18
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


c:\windows\system32\drivers\ovfsthlasoyyprxndabnnginhwrhtnsrsifbvt.sys 83968 bytes executable
c:\windows\system32\ovfsthevopymhjtbqxeuurnbntorehertwtxac.dll 61440 bytes executable
c:\windows\system32\ovfsthfusqcnexmpsemrbiamabissniiqoptcn.dat 1519 bytes
c:\windows\system32\ovfsthkludytjtpspqcvulswmhhxgwxaqlodxv.dll 17920 bytes executable
c:\windows\system32\ovfsthmqveqryptudwujcjwqfppglikyffwwtf.dat 43 bytes
c:\windows\system32\ovfsthohiqwbivxqsvqkjrvgytvrasoogchbkc.dll 19456 bytes executable
c:\windows\system32\ovfsthsnyinroqnwodkeupkfgcgfebltuabeev.dll 19456 bytes executable
c:\windows\system32\ovfsthtisopxqpqdvitpwgqevipamsfxsuqwiv.dll 17920 bytes executable
c:\users\B2K\AppData\Local\Temp\ovfsth000 0 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 9

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ovfsthpxbsqpfppfcjrrekehouejilxhbtpvuq]
"imagepath"="\systemroot\system32\drivers\ovfsthlasoyyprxndabnnginhwrhtnsrsifbvt.sys"
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ovfsthpxbsqpfppfcjrrekehouejilxhbtpvuq]
@DACL=(02 0000)
"start"=dword:00000001
"type"=dword:00000001
"group"="file system"
"imagepath"=expand:"\\systemroot\\system32\\drivers\\ovfsthlasoyyprxndabnnginhwrhtnsrsifbvt.sys"
"inst"=dword:00000000
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\System32\nvvsvc.exe
c:\windows\System32\audiodg.exe
c:\windows\System32\rundll32.exe
c:\program files\Avira\AntiVir Desktop\avguard.exe
c:\windows\System32\lxczcoms.exe
c:\windows\System32\conime.exe
c:\windows\System32\rundll32.exe
c:\windows\System32\wbem\WMIADAP.exe
c:\windows\System32\wbem\unsecapp.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-04-24 16:22 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-04-24 14:21

Vor Suchlauf: 16 Verzeichnis(se), 29.270.974.464 Bytes frei
Nach Suchlauf: 16 Verzeichnis(se), 29.314.703.360 Bytes frei

314 --- E O F --- 2009-04-24 10:39

1.) Deinstalliere (falls möglich):

• Google Update
• TuneUp Utilities

2.) Scripten mit Combofix

• Öffne den Editor (Start => Zubehör => Editor ) kopiere nun folgenden Text in das weiße Feld:

Code: Alles auswählenAufklappen

ATTFilter

KILLALL::

Driver::
TuneUp.ProgramStatisticsSvc
gupdate1c9c1bf7cdfca0c
ovfsthpxbsqpfppfcjrrekehouejilxhbtpvuq

NetSvc::
UxTuneUp

RegLockDel::
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ovfsthpxbsqpfppfcjrrekehouejilxhbtpvuq]

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1103d094-2c29-11de-9934-00142a32799a}]

Folder::
c:\program files\Google\Update

File::
c:\windows\System32\perfh007.dat
c:\windows\System32\perfc007.dat
c:\windows\Tasks\1-Klick-Wartung.job
c:\windows\Tasks\GoogleUpdateTaskMachine.job
c:\windows\system32\drivers\ovfsthlasoyyprxndabnnginhwrhtnsrsifbvt.sys 
c:\windows\system32\ovfsthevopymhjtbqxeuurnbntorehertwtxac.dll
c:\windows\system32\ovfsthfusqcnexmpsemrbiamabissniiqoptcn.dat
c:\windows\system32\ovfsthkludytjtpspqcvulswmhhxgwxaqlodxv.dll
c:\windows\system32\ovfsthmqveqryptudwujcjwqfppglikyffwwtf.dat
c:\windows\system32\ovfsthohiqwbivxqsvqkjrvgytvrasoogchbkc.dll
c:\windows\system32\ovfsthsnyinroqnwodkeupkfgcgfebltuabeev.dll
c:\windows\system32\ovfsthtisopxqpqdvitpwgqevipamsfxsuqwiv.dll
c:\users\B2K\AppData\Local\Temp\ovfsth000

DirLook::
c:\windows\Panther
         

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann.

3.) Neues Gmer-Log posten.

4.) Malwarebytes laufen lassen und Log posten.

5.) SASW laufen lassen und Log posten.

ciao, andreas

Hallo,

arbeite mal diese Anleitung durch.
Hier zu finden unter Punkt 2: http://www.trojaner-board.de/69886-a...-beachten.html

Quarantäne in Avira finden:
1. Doppelklicken auf das Avira Symbol.
2. Links auf "Verwaltung" Drop Down Menü öffnet sich.
3. Auf "Quarantäne" gehen.
4. Oben auf dem Mülleimer gehen mit dem Blatt Papier vorne dran, steht bei der Mausanzeige "ausgewähltes Objekt wiederherstellen nach..."

Achso, danke Angel.

Ich glaube damit willste auch übernehmen oder?

(Hab nix dagegen. )

Wie sagte mal ein Großmeister? "Watch and learn"

Und daran halte ich mich auch.

Nur es antwortete keiner, da... Wollte ich eben helfen.

Das Prog. speichert es nicht oder es es ist TOTAL unsichtbar(Alle Dateien...anzeigen, ist angehackt)

hab mal Screenshot gemacht:
[AntiVir Quarantäne]

aber ich hab seitdem ich hier das letzte mal gepostet habe, keine Virenmeldungen mehr!

Anti Vir meldet jetzt häufiger Virenmeldungen. Ungefähr jede Minute
aber immer der gleiche ovfsafasdfblalaa... Rootkit etc...

Logs Vir Check

Rest FOLGT

Stoppe erstmal alles, so wird das nichts.

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code: Alles auswählenAufklappen

ATTFilter

Drivers to delete:
ovfsthpxbsqpfppfcjrrekehouejilxhbtpvuq

Registry keys to delete:
HKLM\System\ControlSet001\Services\ovfsthpxbsqpfppfcjrrekehouejilxhbtpvuq
HKLM\SYSTEM\ControlSet003\Services\ovfsthpxbsqpfppfcjrrekehouejilxhbtpvuq

Files to delete:
C:\Windows\System32\drivers\ovfsthlasoyyprxndabnnginhwrhtnsrsifbvt.sys
C:\Windows\System32\ovfsthewhvoveyntxswpriphqnmvtqxgpnudto.dll
C:\Windows\System32\ovfsthgumvmswixvqvqyysgqgtpbfhbokdohao.dat
C:\Windows\System32\ovfsthisrmbqoctrpqpavdexaskgbuecvmorwo.dat
C:\Windows\System32\ovfsthmiihwshdwigdbyhwuxcnbjmjsueqngmr.dll
C:\Windows\System32\ovfsthohiqwbivxqsvqkjrvgytvrasoogchbkc.dll
C:\Windows\System32\ovfsthumhwttynvfrmpkihqnibjpvyrrwbdphq.dat
C:\Windows\System32\ovfsthyctxkbbpihvbkyqipeqwdxedifrqfvrc.dll
         

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas