Trojaner-Board - Virus BAT/Fake.Privdanger macht Desktop weiss.

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Virus BAT/Fake.Privdanger macht Desktop weiss. (https://www.trojaner-board.de/49097-virus-bat-fake-privdanger-macht-desktop-weiss.html)

Virus BAT/Fake.Privdanger macht Desktop weiss.

Hallo zusammen, ich habe mir wohl einen Virus eingefangen. Der Name des Dings - BAT/Fake.Privdanger.

Ich habe schon Antivir, Adaware, Spyware Doctor und Spybot laufen lassen
- alles entfernt was angezeigt wurde.

Trotzdem ist mein Desktop noch weiss , ich kann da auch keine Eigenschaften anklicken. Alles was ich mache am PC passiert mit Verzögerung und nervt gewaltig.

Ich habe hier schon viel gelesen und mir auch einige empfohlene Programme runtergeladen - unter anderem auch dieses Hijack Dingens :)

Ich hoffe ich habe alles richtig gepostet. Ich habe nicht wirklich viel Ahnung von PCs und viele Programme sind in englisch und das kann ich leider nicht.

Ich bedanke mich schonmal für jede Hilfe.

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:30:41, on 04.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tools&More\GhostWriter\GhostWriter.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\explorer.exe
C:\Programme\Spyware Doctor\update.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: SXG Advisor - {FBFD0ABF-A31F-4165-B574-4CF6CD946C7D} - C:\WINDOWS\dwrmntsqld.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: edfqvrw - {44DBA688-6E83-4538-BB5B-982A3C7A4E12} - C:\WINDOWS\edfqvrw.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GhostWriter] "C:\Programme\Tools&More\GhostWriter\GhostWriter.exe" /AUTOSTART
O4 - HKCU\..\Run: [PDK] C:\Downloads\Kalender PDK\kalender.exe /Autostart
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Programme\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O21 - SSODL: bfrgnos - {12D3A683-79B6-4B66-AE96-82E2DF3FA8EF} - C:\WINDOWS\bfrgnos.dll (file missing)
O21 - SSODL: afxlspw - {E4E59993-F888-4369-8EDA-97240486838A} - C:\WINDOWS\afxlspw.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 8997 bytes

Hallo

mach zuerst bitte alle versteckten Dateien und Ordner sichtbar.

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Schließe alle übrigen Programme
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
-Mache nichts am Rechner während des Durchlaufs
-kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Der Durchlauf kann einige Zeit dauern und es kann sein, dass dein Rechner neu startet.
Anschließend erstelle bitte auch ein frisches Hijackthis Log und poste es ebenfalls.

MFG

Zitat:

Zitat von nochdigger (Beitrag 320191)

Hallo und danke schonmal - aber dieses Combofix funktioniert irgendwie nicht.
Das runterladen geht schon viel zu schnell und das Icon ist falsch und es kommt die Meldung:

Combofix ist keine zulässige Win 32 Anwendung

Hexlein

Hallo

:oich hab dir 'nen toten Link geschickt, entschuldige.
Versuch es nochmal hier
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

MFG

Zitat:

Zitat von nochdigger (Beitrag 320248)

Hallo

:oich hab dir 'nen toten Link geschickt, entschuldige.
Versuch es nochmal hier
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

MFG

Danke, das sieht ganz anders aus :) Roter Button mit weißem Kreuz. Dann lege ich mal los.

Es nervt - jetzt ist mein Desktop knallrot mit englischer Schrift und anklickbar - ohne Browser.

Hexlein

Hallo Hexlein,

Zu deinem Problem : Du hast dich defenitiv falsch verhalten !! Du hast willkürlich schädliche Dateien gelöscht/gefix hast. Das war falsch, weil man so nicht herausbekommen kann um welche Art von Trojaner/Virus es sich gehandelt hat. Vorallem das Ausmaß der Infektion wird so nicht mehr erkennbar. Der log von hijackthis zeigt nun nicht mehr die wahre Infektion an und verleitet vll. nun zu falschen Schlüssen. Je nach Art muss man entscheiden wie man weiter vorfährt. Bei Werbe-Pop Up-Trojanern muss man z.B. nicht neuinstallieren, bei gefährlichen Backdoor Programmen meistens aber schon. Hierzu gibt meistens der Name des Schädlings Auskunft. Einfach den Namen in google eingeben und danach suchen. Weiter Infos erhält man über virustotal.com, hier bekommt auch meist noch andere Namen serviert nach den man auf den jeweiligen Hompages der Hersteller suchen kann. Wichtig ist auch die Box von Norman, weil dort sehr genau die Aktivitäten des Schädlings detalliert geschildert werden. ==> Am Besten das Ergebnis bzw. die Ergebnisse von virustotal.com hier im Topic posten. Bei solch einem Fehlverhalten ist formatiern die einzigste Möglichkeit. Denn du weißt gar nichts über den Schädling !! Über den/die Namen hätte man was heraus bekommen können, aber so ... . So könnte es sich z.B. um eine Trojaner.Downloader handeln der z.B. Rootkits o.ä. auf deinen rechner geladen hat, was keins der Av programme die benutzt hast im moment findet, or irgendwelche registry einstellungen wurden geändert, die du auch nicht mehr gefixt bekommst. Fürs nächste mal :

1. Schritt :logfile erstellen
2. Schritt :virustotal.com
3. Schritt :formatiren,Desinfektion ...

Zitat:

Zitat von Chwreif (Beitrag 320259)

Dankeschön - für die Zukunft mache ich es besser.

Ich weiß aber womit alles angefangen hat - der hier war zuerst da - worm.win32.netsky

Danach habe ich ein paar Sachen gemacht die hier vorgeschlagen wurden - war aber scheinbar für mich das falsche.

Ich weiß auch wo das alles angefangen hat - ich war auf einer Seite für die Sims die ich mir angucken musste - kaum hatte ich die angeklickt kam die Trojanerwarnung mit den Worm.

Während Combofix gescannt hat war mein Desktopbild auch wieder da - jetzt ist wieder alles weiss. Allerdings ist der PC wieder schneller und hängt nicht mehr.

Dafür habe ich eine neue komische Fehlermeldung nach dem starten.

"file:///WINDOWS/privacy_danger/index.htm" wurde nicht gefunden. Stellen sie sicher das der Pfad bez. die Internetadresse richtig ist.

Hexlein

Meinen ersten Beitrag kann ich scheinbar nicht mehr editieren also poste ich die Logdinger hier rein - sorry falls es nicht richtig ist.

Zitat:

ComboFix 08-02.05.1 - Heidi 2008-02-04 22:01:11.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.599 [GMT 1:00]
ausgeführt von:: C:\SIMSZONEORDNER\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\inst.exe
C:\WINDOWS\dwrmntsqld.dll
C:\WINDOWS\privacy_danger
C:\WINDOWS\privacy_danger\images\capt.gif
C:\WINDOWS\privacy_danger\images\danger.jpg
C:\WINDOWS\privacy_danger\images\down.gif
C:\WINDOWS\privacy_danger\images\spacer.gif
C:\WINDOWS\privacy_danger\index.htm

----- BITS: Possible infected sites -----

hxxp://softworldnetwork.com
hxxp://onsafepro.com
hxxp://77.91.228.186
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\HDUSB

((((((((((((((((((((((( Dateien erstellt von 2008-01-04 bis 2008-02-04 ))))))))))))))))))))))))))))))
.

2008-02-04 14:43 . 2008-02-04 14:43 <DIR> d-------- C:\Programme\Lavasoft
2008-02-04 14:43 . 2008-02-04 14:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-04 14:35 . 2008-02-04 14:35 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-04 11:49 . 2008-02-04 11:49 <DIR> d-------- C:\Programme\Trend Micro
2008-02-04 02:35 . 2008-02-04 03:09 <DIR> d-------- C:\Programme\Spyware Doctor
2008-02-04 02:35 . 2008-02-04 02:35 <DIR> d-------- C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\PC Tools
2008-02-04 02:35 . 2005-09-23 07:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-02-04 02:35 . 2007-08-02 10:49 82,248 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-02-04 02:35 . 2007-08-02 10:49 57,672 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-02-04 02:35 . 2007-08-02 10:49 38,728 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-02-04 02:35 . 2007-08-02 10:49 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-02-04 02:02 . 2008-02-04 02:02 97 --a------ C:\WINDOWS\wininit.ini
2008-02-03 16:11 . 2008-02-02 16:48 196,608 --a------ C:\WINDOWS\afxlspw.dll
2008-02-03 16:11 . 2008-02-02 16:48 81,920 --a------ C:\WINDOWS\frplprg.exe
2008-02-02 02:09 . 2008-02-04 11:02 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-02-02 01:59 . 2008-02-02 01:59 <DIR> d-------- C:\Programme\Nero
2008-02-02 01:59 . 2008-02-02 02:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-02-01 22:09 . 2008-02-01 22:09 <DIR> d-------- C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\Ahead
2008-02-01 09:59 . 2008-02-02 01:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-01-23 06:51 . 2008-01-23 06:51 <DIR> d-------- C:\spoolerlogs
2008-01-17 09:45 . 2008-02-02 01:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-01-17 04:06 . 2008-01-17 04:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vsosdk
2008-01-16 23:23 . 2008-01-16 23:23 <DIR> d-------- C:\WINDOWS\uninstall\10-Sekunden-Haushaltsbuch
2008-01-16 19:43 . 2008-02-03 23:05 <DIR> d-------- C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\Vso
2008-01-16 19:43 . 2006-09-29 11:24 217,127 --a------ C:\WINDOWS\system32\drv43260.dll
2008-01-16 19:43 . 2006-09-29 11:25 208,935 --a------ C:\WINDOWS\system32\drv33260.dll
2008-01-16 19:43 . 2006-09-29 11:26 176,165 --a------ C:\WINDOWS\system32\drv23260.dll
2008-01-16 19:43 . 2008-01-16 19:43 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-01-16 19:43 . 2008-01-16 19:43 47,360 --a------ C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\pcouffin.sys
2008-01-16 19:42 . 2008-01-16 19:43 <DIR> d-------- C:\Programme\VSO
2008-01-16 01:23 . 2008-01-16 01:23 <DIR> d-------- C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\Ashampoo
2008-01-16 01:22 . 2008-01-16 01:22 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ashampoo
2008-01-13 07:51 . 2008-01-20 11:14 <DIR> d-------- C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\CommunicaEtor
2008-01-12 13:40 . 2008-01-12 13:40 <DIR> d-------- C:\Programme\DVD Shrink
2008-01-12 13:40 . 2008-02-02 17:21 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-01-11 17:10 . 2008-01-11 17:14 8 --a------ C:\WINDOWS\system32\nvModes.dat
2008-01-11 17:03 . 2008-01-11 17:03 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-01-11 17:01 . 2008-01-11 17:55 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-01-11 17:00 . 2007-12-05 02:53 356,352 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2008-01-11 17:00 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-01-11 17:00 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-01-11 16:59 . 2008-01-11 16:59 <DIR> d-------- C:\NVIDIA

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-04 19:49 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-02-04 13:12 --------- d-----w C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\Lavasoft
2008-02-04 09:41 --------- d-----w C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\uTorrent
2008-02-02 11:55 --------- d-----w C:\Programme\DVD-Video-Archiv 4.0 Edition 2008
2008-01-20 10:15 --------- d-----w C:\Programme\aEton CommunicaEor
2008-01-17 08:48 --------- d-----w C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\Nero
2008-01-12 21:59 --------- d-----w C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\GameHouse
2008-01-12 12:23 --------- d-----w C:\Programme\QuickPar
2007-12-28 09:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-12-26 22:21 --------- d-----w C:\Programme\Yahoo!
2007-12-26 13:15 --------- d-----w C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\Yahoo!
2007-12-25 16:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LogiShrd
2007-12-25 16:56 --------- d-----w C:\Programme\Common Files
2007-12-25 16:54 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2007-12-25 16:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Logitech
2007-12-25 11:16 --------- d-----w C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\Logitech
2007-12-25 11:14 127,034 ------r C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe
2007-12-25 11:14 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-25 11:14 --------- d-----w C:\Programme\Logitech
2007-12-25 11:14 --------- d-----w C:\Programme\Gemeinsame Dateien\LogiShrd
2007-12-25 11:13 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2007-12-25 11:13 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf
2007-12-25 11:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2007-12-20 19:37 --------- d-----w C:\Dokumente und Einstellungen\Heidi\Anwendungsdaten\Free Download Manager
2007-12-19 07:01 --------- d-----w C:\Programme\Spybot - Search & Destroy
2007-12-16 10:08 --------- d-----w C:\Programme\Gemeinsame Dateien\GBelectronics Shared
2007-12-16 10:08 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GBelectronics
2007-12-10 16:32 --------- d-----w C:\Programme\ICQ6
2007-12-08 14:14 --------- d-----w C:\Programme\epson
2007-12-08 14:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON
2007-12-05 00:41 7,435,392 ----a-w C:\WINDOWS\system32\drivers\nv4_mini.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11D4-9B18-009027A5CD4F}
{44DBA688-6E83-4538-BB5B-982A3C7A4E12}

[HKEY_CLASSES_ROOT\clsid\{44dba688-6e83-4538-bb5b-982a3c7a4e12}]
[HKEY_CLASSES_ROOT\edfqvrw.1]
[HKEY_CLASSES_ROOT\TypeLib\{FB4AE30F-1E8A-481D-8B00-C408FD689FD4}]
[HKEY_CLASSES_ROOT\edfqvrw]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"GhostWriter"="C:\Programme\Tools&More\GhostWriter\GhostWriter.exe" [2006-05-13 18:15 552960]
"PDK"="C:\Downloads\Kalender PDK\kalender.exe" [2003-11-20 19:23 286720]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-09-20 15:35 202024]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-21 17:01 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"Cmaudio"="cmicnfg.cpl" []
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 16:39 249896]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-04-11 15:32 56080 C:\WINDOWS\KHALMNPR.Exe]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-01-12 03:09 488984]
"LVCOMSX"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe" [2007-01-12 03:12 244512]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 09:51 1836328]
"NWEReboot"="" []
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
Source= file:///C:\WINDOWS\privacy_danger\index.htm
FriendlyName= Privacy Protection

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"bfrgnos"= {12D3A683-79B6-4B66-AE96-82E2DF3FA8EF} - C:\WINDOWS\bfrgnos.dll [ ]
"afxlspw"= {E4E59993-F888-4369-8EDA-97240486838A} - C:\WINDOWS\afxlspw.dll [2008-02-02 16:48 196608]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Upload Manager]
--a------ 2007-07-23 22:56 253952 C:\Programme\Free Download Manager\fum\fum.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Free Uploader Oe Integration]
--a------ 2007-06-10 18:02 40960 C:\Programme\Free Download Manager\FUM\fumoei.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hp Update 3300C]
C:\Downloads\zTreiber\treiber scanner\hpupdate.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

R3 DtvAudio;DtvAudio;C:\WINDOWS\system32\DRIVERS\DtvAudio.sys [2004-02-26 02:42]
R3 DtvVideo;DtvVideo;C:\WINDOWS\system32\DRIVERS\DtvVideo.sys [2004-02-26 03:27]
S0 NVDual;NVDual;C:\WINDOWS\system32\DRIVERS\nvDual.sys []
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-04 22:30:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-04 22:33:25 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-04 21:33:21
.
2008-01-09 16:09:21 --- E O F ---

und das Hijack

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:44:19, on 04.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Tools&More\GhostWriter\GhostWriter.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: edfqvrw - {44DBA688-6E83-4538-BB5B-982A3C7A4E12} - C:\WINDOWS\edfqvrw.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [GhostWriter] "C:\Programme\Tools&More\GhostWriter\GhostWriter.exe" /AUTOSTART
O4 - HKCU\..\Run: [PDK] C:\Downloads\Kalender PDK\kalender.exe /Autostart
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Programme\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O21 - SSODL: bfrgnos - {12D3A683-79B6-4B66-AE96-82E2DF3FA8EF} - C:\WINDOWS\bfrgnos.dll (file missing)
O21 - SSODL: afxlspw - {E4E59993-F888-4369-8EDA-97240486838A} - C:\WINDOWS\afxlspw.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

--
End of file - 8404 bytes

Zitat:

Ich weiß aber womit alles angefangen hat - der hier war zuerst da - worm.win32.netsky

welches AV ?

Hast du die files in quuarantäne gestellt oder gelöscht ?

Zitat:

Dafür habe ich eine neue komische Fehlermeldung nach dem starten.
"file:///WINDOWS/privacy_danger/index.htm" wurde nicht gefunden. Stellen sie sicher das der Pfad bez. die Internetadresse richtig ist.

Nicht komisch sondern logisch. Du hast diese file gelöscht und diese file hat sich aber in den autostart reingeschreiben, dies wurde aber nicht entfernt ==> Fehlermeldung Tune Up etc. sollte das Problem beheben ...

Zitat:

Zitat von Chwreif (Beitrag 320286)

welches AV ?

Hast du die files in quuarantäne gestellt oder gelöscht ?

Nicht komisch sondern logisch. Du hast diese file gelöscht und diese file hat sich aber in den autostart reingeschreiben, dies wurde aber nicht entfernt ==> Fehlermeldung Tune Up etc. sollte das Problem beheben ...

Ich habe die Files gelöscht - war das falsch?

Was ist Tune Up??

Hexlein

Hallo

Zitat:

Ich weiß aber womit alles angefangen hat - der hier war zuerst da - worm.win32.netsky

diese Meldung kommt von dem Faketool und soll dem unbedarften Nutzer weißmachen, dass das System schwerst infiziert ist und als Lösung wird dir dann gleich das passende Antivirenprogramm präsentiert.
Damit dieses Tool natürlich auch richtig arbeitet musst du es kaufen und schon hat das Faketool sein Ziel erreicht:(...

Auch hier nachzulesen
Spyware Warrior: Rogue/Suspect Anti-Spyware Products & Web Sites

Zitat:

Was ist Tune Up??

Ein Systemverschlimmbesserungstool, lass besser die Finger davon diese Programme bringen wenig bis überhaupt nichts.

Lade dir bitte den Avenger und fixe die folgenden Einträge mit Hijackthis.
Starte Hijackthis mit der Option - Scan - und hake diese Einträge an

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O3 - Toolbar: edfqvrw - {44DBA688-6E83-4538-BB5B-982A3C7A4E12} - C:\WINDOWS\edfqvrw.dll (file missing)
O21 - SSODL: bfrgnos - {12D3A683-79B6-4B66-AE96-82E2DF3FA8EF} - C:\WINDOWS\bfrgnos.dll (file missing)
O21 - SSODL: afxlspw - {E4E59993-F888-4369-8EDA-97240486838A} - C:\WINDOWS\afxlspw.dll
O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

klicke nun auf - fix checked - und beende Hijackthis.

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://virus-protect.org/artikel/bilder/avanger.png

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code:

Files to delete:

C:\WINDOWS\afxlspw.dll

C:\WINDOWS\frplprg.exe

C:\WINDOWS\bfrgnos.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

http://virus-protect.org/artikel/bilder/avenger4.png

4.) Danach das System unverzüglich neu starten lassen
5.) Starte deinen Rechner neu
6.) Kontrolliere bitte per Hijackthis ob die oben "gefixten" Einträge dauerhaft verschwunden bleiben
7.) Poste den Inhalt der C:\avenger.txt Datei.

Berichte bitte wie es deinem System geht.

MFG

Hallo nochdigger hier das Protokoll von Avenger

Zitat:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\mpbijqcy

*******************

Script file located at: \??\C:\jewqsexm.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\afxlspw.dll deleted successfully.
File C:\WINDOWS\frplprg.exe deleted successfully.

File C:\WINDOWS\bfrgnos.dll not found!
Deletion of file C:\WINDOWS\bfrgnos.dll failed!

Could not process line:
C:\WINDOWS\bfrgnos.dll
Status: 0xc0000034

Completed script processing.

*******************

Finished! Terminate.

Die gefixten Einträge sind verschwunden

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:54:03, on 05.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\Tools&More\GhostWriter\GhostWriter.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [GhostWriter] "C:\Programme\Tools&More\GhostWriter\GhostWriter.exe" /AUTOSTART
O4 - HKCU\..\Run: [PDK] C:\Downloads\Kalender PDK\kalender.exe /Autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Programme\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Upload - {FD4E2FF8-973C-4A19-89BD-8E86B3CFCFE1} - C:\Programme\Free Download Manager\FUM\fumiebtn.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O21 - SSODL: afxlspw - {C0E553D3-1408-482C-9FC6-FE365832E589} - C:\WINDOWS\afxlspw.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7645 bytes

Der Desktop sieht merkwürdig aus. Ich habe mal einen Screen gemacht und hier angehängt. Die Verzögerungen sind auch wieder da und nerven.

Hexlein

Hallo

kannst du das Bild in größerer Darstellung hochladen?
z.B. hier
File-Upload.net - Ihr kostenloser File Hoster!

Hast du schon nach der Bereinigung versucht deinen Hintergrund zu ändern?

MFG

Ein größeres Bild. http://files.simplaza.de/site/showcase/desktop1.jpg
Ich kann das Fenster oben in der Ecke größer und kleiner ziehen.

Ich konnte den Desktop ändern - allerdings war nach einem Neustart alles wieder beim Alten.

Das hängen ist mal wieder weg - auch nach dem Neustart. Mir ist noch aufgefallen das ich keine Passwörter mehr speichern kann - ich muss überall alles immer neu eingeben.

Danke für deine Geduld

Hexlein

hallo. ich hab deasselbe problem. habe die anleitung hier ausgeführt und hat bei mir nichts gebracht. :(

Zitat:

Hi. Ich habe durch einen tip meines Freundes den Virus wegbekommen.

Als erstes muss man den Rechner im abgesicherten Modus starten. Das macht man indem man vor dem Windows Start F8 drückt. Da kommt ein Menu wo man abgesicherter Modus auswählen kann.
Im abgesicherten Modus müsst ihr dann das Programm SmitFraudFix laufen lassen. Extrem wichtig ist hierbei das ihr das im abgesicherten Modus macht. Ich habe es mehrere male im normalen Modus probiert, dort ging es nicht!!!! Nachdem ihr das gemacht habt dürften die wichtigen Dateien des Virus verschwunden sein. Es gibt aber noch Reste. Diese entfernt ihr am besten mit Adaware und (ganz wichtig) ihr löscht am besten den gesamten inhalt eures Windows Temp Ordners.

Den findet ihr unter: C:\Dokumente und Einstellungen\"PCName"\Lokale Einstellungen\Temp

Aber nur den Inhalt. Nicht den Ordner. Ihr könnt euch auch die Arbeit machen und raussuchen welche datien im temp ordner alle infiziert sind, aber mir war das egal. Hauptsache das Ding ist weg. Hab 5h gebraucht um das hier herauszufinden^^

also denn ich fühle mit euch "infizierte". ich hoffe das hier hilft euch weiter....

Grüße Jonas

hab das ganze auch in meinem thread stehen.

der link noch zu dem programm: http://siri.geekstogo.com/SmitfraudFix_De.php

grüße Jonas