Hallo,

Ich habe einen hartnäckigen Viruse/Trojaner auf meinem Pc ...
Habe Antivir, Malwarebytes' Anti-Malware und Spybot - Search & Destroy ausprobieret. Sie finden zwar ein paar der Viren löschen sie auch angeblich doch nach einem Neustart sind sie wieder da.
Unten in der Taskleiste erschein ein Text "Warning! Security report. Your Computer is infected! It is recommended to start spyware cleaner tool."
Dieser Text ist definitiv NICHT von Windows und wenn ich darauf klicke kommt eine internetseite mit einem unseriösen Antivir-Programm.
Außerdem färbt sich der Desktop kurz blau und anschließen wieder zum normalen Hintergrundbild...

Malwarebytes' Anti-Malware entdeckt:

Malwarebytes' Anti-Malware 1.27
Datenbank Version: 1127
Windows 5.1.2600 Service Pack 2

13.12.2008 19:58:13
mbam-log-2008-12-13 (19-58-13).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 45548
Laufzeit: 14 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 5
Infizierte Registrierungsschlüssel: 14
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 11

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\fwmacltr.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\wvuSIbYr.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\ssqPfdCR.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\tacrgeng.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\acpmwq.dll (Trojan.Vundo.H) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01f31654-1a91-4fd7-a078-63d579237573} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{01f31654-1a91-4fd7-a078-63d579237573} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2aabd0c3-1b64-4de0-ae17-bbbe806197f2} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ssqpfdcr (Trojan.Vundo.H) -> Delete on reboot.
HKEY_CLASSES_ROOT\CLSID\{2aabd0c3-1b64-4de0-ae17-bbbe806197f2} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{b1af7afc-f06a-4ab7-900a-39e053df0f93} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b1af7afc-f06a-4ab7-900a-39e053df0f93} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\secdrv (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\secdrv (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\secdrv (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{2aabd0c3-1b64-4de0-ae17-bbbe806197f2} (Trojan.Vundo.H) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winsys2 (Spyware.OnlineGames) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\wvusibyr -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo.H) -> Data: c:\windows\system32\wvusibyr -> Delete on reboot.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\wvuSIbYr.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\rYbISuvw.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\rYbISuvw.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssqPfdCR.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\acpmwq.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\fwmacltr.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\rtlcamwf.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tacrgeng.dll (Trojan.Vundo.H) -> Delete on reboot.
C:\WINDOWS\system32\mlJApoME.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WinSys2.exe (Spyware.OnlineGames) -> Delete on reboot.
C:\WINDOWS\system32\drivers\secdrv.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Antivir entdeckt:
Tr/Dropper.Gen
Tr/Crypt.XPACK.Gen



Diese vom virus befallenden .dll datein erstellen sich aber immer wieder von neu somit kann ich 100 mal einen Scan durchführen und die datein löschen es
hilft nich =(

Hat jmd eine Ahnung wie ich diese Trojaner und Viruse von meinem Sytem kriege ohne Windows nochmal komplett neu zu installieren ??

Mfg,
Angel

Hi

hast du XP?
Wenn ja Systemsteuerung-> System ->Systemwiederherstellung-> dort Hacken bei Systemwiederherstellung auf allen Laufwerken deaktivieren.


Rechner Neustarten.

Lade dir Vundofix runter.
Erst Scan for Vundo und dann FixVundo.

Danach Nochmal Malwarebytes Neuladen und Fullscan.
Die Neuste Version ist 1.36 und Datenbankversion > 2050. Deine Version ist Uralt.

Dann ein Log von HijackThis bitte.

MfG

Ghost1975

ich führe grade den Malwarebytes scan durch..habe im hintergrund antivir laufen
wenn Malwarebytes den ordner system32 durchsucht findet antivir den virus
was soll ich machen ? mit antivir die datei löschen oder findet Malwarebytes die datei auch und ist das besser ?

Zur Info, du solltest das aktuelle von der aktualisierten Mbam Version posten und nicht eins von Dezember 2008

Zitat:

13.12.2008 19:58:13

das ist peinlich xD
ich habe jetzt alles gemacht was ghost gesagt hat und hier ist mein hijack log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:54:45, on 28.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\Programme\Avira\AntiVir Desktop\sched.exe
F:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
F:\Programme\BillP Studios\WinPatrol\winpatrol.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
F:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
F:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
F:\Downloads\HiJackThis.exe
F:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.de
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinPatrol] f:\Programme\BillP Studios\WinPatrol\winpatrol.exe -expressboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] F:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1220189644812
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1220189718750
O20 - Winlogon Notify: !SASWinLogon - F:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - F:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - F:\Programme\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 4271 bytes

superantispyware hat auch keinen weiteren virus gfunden, dennoch färbt sich mein bildschirm beim neustart für ca 5 sekunden blau und die farbe hinter der schrift der desktop-icons bleibt blau...

@Angelofdark3

Mache mal bitte nach einem Update von Avira einen Kompletten Scan,stell Avira nach dieser Anleitung ein und Poste die Komplette Log-Datei.

Dann fehlt die Logdatei von Malwarebytes noch.
Hast du Vundofix scannen gelassen?
Ist die Systemwiederherstellung Deaktiviert?

Dann Deinstalliere mal Java 1.6.0_07 ist auch Uralt Hier gibts die Neuste Version *KLICK*

vundofix habe ich ausgeführt
systemwiederherstellung deaktiviert

hier der Malwarebytes log:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2053
Windows 5.1.2600 Service Pack 2

28.04.2009 20:33:06
mbam-log-2009-04-28 (20-33-06).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 77717
Laufzeit: 7 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 3
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\GodLib (Trojan.Agent) -> Quarantined and deleted successfully.
KHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\prnet (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ovfsthgowcshimybuttlsiblxwhiksvonjcqcm.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ovfsthxdadikplyxeoogxudmfcmtfwwibyauhi.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\win32hlp.cnf (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\nsrbgxod.bak (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\tmp112.exe (Trojan.Downloader) -> Quarantined and deleted successfully.


er findet jedes mal wieder den virus (nur unter anderem datei namen)
außerdem hat er 3 Infizierte Dateiobjekte bei Hijack gefunden ??

den avira log poste ich gleich
vll kann einer damit schon was anfangen

habe heute morgen nochmal avira antivir drüber laufen lassen , er findet dort nicht
außerdme hab ich dannach noch n Malwarebytes scan gemacht dort findet er deinen hijack reg:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2055
Windows 5.1.2600 Service Pack 2

29.04.2009 08:31:00
mbam-log-2009-04-29 (08-31-00).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 77392
Laufzeit: 7 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Dxdiag.exe (Security.Hijack) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Guten Morgen

Zitat:

außerdem hat er 3 Infizierte Dateiobjekte bei Hijack gefunden ??

meinst du das hier:

Zitat:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\activedesktop\NoChangingWallpa per (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\NoActiveDesktopChange s (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

das ist kein Fund in Hijackthis,sondern da hat eine Software bestimmte Sachen an deinem PC abgeändert.Auf gut Deutsch es wurden Teile des Pcs entführt.(=gehijackt)

Dann laß bitte mal Combofix laufen:

Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.

-Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Während des Scans bitte nichts am Rechner unternehmen

Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird

Alternative downloads: http://subs.geekstogo.com/ComboFix.exe


MfG

Ghost1975


Für die Auswertung von Combofix versuche ich einen der Kompetenzler zu fragen.

guten morgen,

habe alles (soweit ich weiß) geschlossen
antivir hab ich nicht geschlossen bekommen, habe aber den guard deaktiviert
hier ist mein combofix log:

ComboFix 09-04-28.02 - *** 29.04.2009 9:57.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.1023.679 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\***\Desktop\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\test.ttt

.
((((((((((((((((((((((( Dateien erstellt von 2009-05-28 bis 2009-4-29 ))))))))))))))))))))))))))))))
.

2009-04-28 09:19 . 2009-04-28 09:19 -------- d-----w C:\VundoFix Backups
2009-04-28 07:41 . 2009-04-28 07:41 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-28 07:40 . 2009-04-28 07:40 -------- d-----w c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2009-04-28 07:40 . 2009-04-28 07:40 -------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-04-27 14:45 . 2009-04-29 06:42 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-04-15 11:06 . 2005-11-30 19:20 2314332 ----a-w c:\windows\system32\LIBMMD.DLL
2009-04-09 16:28 . 2009-04-09 16:28 12400 ----a-w c:\windows\system32\drivers\SECDRV.SYS
2009-04-09 16:28 . 2009-04-09 16:28 657 ----a-w c:\windows\eReg.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-29 07:55 . 2009-04-28 20:32 -------- d-----w c:\programme\Gemeinsame Dateien\Softwin
2009-04-29 07:54 . 2009-04-28 20:39 81984 ----a-w c:\windows\system32\bdod.bin
2009-04-29 06:41 . 2009-04-29 06:41 -------- d-----w c:\programme\TeaTimer (Spybot - Search & Destroy)
2009-04-29 06:41 . 2009-04-29 06:41 -------- d-----w c:\programme\SDHelper (Spybot - Search & Destroy)
2009-04-29 06:41 . 2009-04-29 06:41 -------- d-----w c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2009-04-29 06:41 . 2009-04-29 06:41 -------- d-----w c:\programme\File Scanner Library (Spybot - Search & Destroy)
2009-04-27 10:53 . 2009-03-19 07:14 55640 ----a-w c:\windows\system32\drivers\avgntflt.sys
2009-04-15 08:27 . 2008-03-05 14:49 -------- d--h--w c:\programme\InstallShield Installation Information
2009-04-06 13:32 . 2008-12-13 18:42 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 13:32 . 2008-12-13 18:42 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-03-29 09:37 . 2001-08-18 12:00 98634 ----a-w c:\windows\system32\perfc007.dat
2009-03-29 09:37 . 2001-08-18 12:00 472094 ----a-w c:\windows\system32\perfh007.dat
2009-03-02 08:20 . 2009-03-02 08:20 137 ----a-w c:\dokumente und einstellungen\***\Lokale Einstellungen\Anwendungsdaten\fusioncache.dat
2009-02-18 21:54 . 2009-02-18 21:54 368640 ----a-w c:\windows\system32\ReWire.dll
2009-02-18 21:54 . 2009-02-18 21:54 233472 ----a-w c:\windows\system32\REX Shared Library.dll
2009-02-05 11:53 . 2009-02-05 11:53 22328 ----a-w c:\windows\system32\drivers\PnkBstrK.sys
2009-02-05 11:53 . 2009-02-05 11:53 22328 ----a-w c:\dokumente und einstellungen\***\Anwendungsdaten\PnkBstrK.sys
2009-02-05 11:53 . 2009-02-05 11:53 107832 ----a-w c:\windows\system32\PnkBstrB.exe
2009-02-05 11:53 . 2009-02-05 11:53 66872 ----a-w c:\windows\system32\PnkBstrA.exe
2009-02-05 11:53 . 2009-02-05 11:53 2250024 ----a-w c:\windows\system32\pbsvc.exe
2009-02-03 13:04 . 2008-05-04 20:26 86016 ----a-w c:\windows\system32\OpenAL32.dll
2005-09-14 09:58 . 2005-09-09 11:08 20480 ----a-w c:\programme\Gemeinsame Dateien\UninstallDrv.exe
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-10-09 139264]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2007-12-05 8523776]
"SW20"="c:\windows\System32\sw20.exe" [2006-09-07 208896]
"SW24"="c:\windows\System32\sw24.exe" [2006-09-07 69632]
"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2007-12-05 81920]
"WinPatrol"="f:\programme\BillP Studios\WinPatrol\winpatrol.exe" [2008-01-27 316728]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"avgnt"="f:\programme\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2007-12-05 1626112]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-01-20 77824]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSetActiveDesktop"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "f:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w f:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"f:\\Programme\\ICQ6.5\\ICQ.exe"=
"f:\\Programme\\Eclipse\\Server\\Server.exe"=
"c:\\Programme\\Java\\jre1.6.0_07\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\WINDOWS\\system32\\javaw.exe"=
"f:\\Programme\\heroes II\\HEROES2W.EXE"=
"f:\\Programme\\Eclipse 2.7\\Server\\Server.exe"=
"f:\\World of Warcraft\\Launcher.exe"=
"f:\\World of Warcraft\\BackgroundDownloader.exe"=
"f:\\Programme\\EA GAMES\\Battlefield 1942\\BF1942.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

S2 AntiVirSchedulerService;Avira AntiVir Planer;f:\programme\Avira\AntiVir Desktop\sched.exe [2009-04-27 108289]

.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

Notify-WgaLogon - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = google.de
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\o8akps9z.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://start.icq.com/
FF - plugin: c:\programme\Google\Google Updater\2.4.1439.6872\npCIDetect13.dll
FF - plugin: f:\programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF - plugin: f:\programme\DivX\DivX Player\npDivxPlayerPlugin.dll
FF - plugin: f:\programme\DivX\DivX Web Player\npdivx32.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin2.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin3.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin4.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin5.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin6.dll
FF - plugin: f:\programme\QuickTime\Plugins\npqtplugin7.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-29 09:59
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_USERS\S-1-5-21-1715567821-1965331169-725345543-1003\Software\SecuROM\License information*]
"datasecu"=hex:6a,6a,13,5c,3e,53,1f,8c,b3,77,26,57,60,16,e9,f5,55,ed,ff,39,77,
75,fb,44,6e,d0,de,18,83,48,3f,57,29,07,81,cc,23,b9,05,4f,89,4f,87,04,a4,1e,\
"rkeysecu"=hex:b9,22,fe,51,0d,6f,7b,ee,43,e9,f4,11,6d,f0,94,4d
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(628)
f:\programme\SUPERAntiSpyware\SASWINLO.dll
c:\dokumente und einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
.
Zeit der Fertigstellung: 2009-04-29 10:05
ComboFix-quarantined-files.txt 2009-04-29 08:04

Vor Suchlauf: 1.412.632.576 Bytes frei
Nach Suchlauf: 2.074.357.760 Bytes frei

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
143

mal kurz reinhüpf

Das ist nicht das komplette Combofix Log. Bitte den rest mitposten, dass man dir dementsprechend helfen kann

danke, das wars auch schon

raushüpfe

hallo angel21,

wie meinst du das nicht komplett ? ich habe den alles kopiert und eingefügt...

mfg,
angel

Nach diesem hier "Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
143" müsste irgendwann noch E O F stehen.
Lade das komplette Log bei Materialordner hoch.

nach Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
143 ist bei mir ende ... ich kann nochmal einen scan durchlaufen lassen wenn es was bringt