ständig gehen neue Seiten mit Werbung auf bitte Logfile auswerten
 

Ich habe Windows Vista und gehe mit Firefox ins Internet. Seit Mitte April gehen bei mir trotz PopupBlocker jedesmal Werbung auf wenn ich ins Internet gehe oder die Seite wechsle. Manchmal komme ich weder bei Google oder MSN rein. Lösche schon dauernd die temporären Dateien und Cookies.
Könnt ihr bitte den Logfile auswerten. Danke

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:40:44, on 29.04.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Windows\system32\rundll32.exe
C:\Windows\livemessenger.com
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\Hijackthis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {3A976454-549A-4ACE-AADD-08ADF6FE3E7B} - C:\Users\xxx\AppData\Local\Temp\vtUnmNGY.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: {40d5330e-de2b-7839-c7b4-6148225a3d08} - {80d3a522-8416-4b7c-9387-b2ede0335d04} - C:\Windows\system32\hcqgpogf.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [RoxWatchTray] "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe"
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless N DWA-140] C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe
O4 - HKLM\..\Run: [Microsoft Update] livemessenger.com
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [5cc4d7cd] rundll32.exe "C:\Windows\system32\kwcelqeb.dll",b
O4 - HKLM\..\Run: [BM5ff7e451] Rundll32.exe "C:\Windows\system32\ngcveefv.dll",s
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [MSServer] rundll32.exe C:\Users\xx\AppData\Local\Temp\urqQhIcC.dll,#1
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\xx\AppData\Local\Temp\vtUnmNGY.dll,c
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6D5C03D-FF27-46FF-AC6D-A47A11EA9A53}: NameServer = 213.191.74.18 62.109.123.196
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

--
End of file - 9013 bytes

vielen Dank Sunny,
jetzt hab ich aber ein Problem mit Virus Total. Der braucht leider nicht nur 2 Minuten um die Dateien zu laden. Bei der ersten hab ich nach ca 5 Minuten dann abgebrochen um es nochmal zu probieren. Da kam dann es schonmal gescannt wurde und ein leerer Bericht wurde angezeigt. Da drunter waren dann noch zwei Kästchen mit aktuellen Bericht anzeigen oder nochmal scannen. Leider konnte ich beide nicht anklicken. Die zweite Datei wird nun schon seit 12 Minuten geladen.
Kann ich die Dateien noch irgendwo anders überprüfen lassen?
Vielen Dank für eure Hilfe
Miffi

Dann versuche es mal bei -> Online Malware scan
Gleiche Verfahrensweise wie bei Virustotal. ;)

Sollte das auch nicht klappen, mach mit dem nächsten Anleitungsschritt weiter.

Edit:
Moin digger :party:

Hallo

hier noch eine alternative
VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(080422)

MFG

EDIT: Moin Sunny;)

Danke ihr Lieben,

könnt ihr mir bitte noch sagen, wo ich mein JavaScript aktiviere. Online Malware Scan reklamiert, dass er nicht aktiviert ist. Ich weiß aber nicht wie.
danke nochmals
Miffi

Hi, mein Javascript hab ich jetzt aktiviert bekommen. Jetzt funktioniert auch Virustotal. Leider konnte ich von C:Windows/livemessenger.com keinen scan machen, weil die Datei nicht oder nicht mehr vorhanden ist. (seltsam)
Jetzt aber die scans (ich hoffe ich habe alles richtig gemacht)
1.scan
Datei vtUnmNGY.dll empfangen 2008.04.29 21:22:54 (CET)


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.30.0 2008.04.29 -
AntiVir 7.8.0.10 2008.04.29 TR/Vundo.Gen
Authentium 4.93.8 2008.04.27 -
Avast 4.8.1169.0 2008.04.29 Win32:Virtumonde-IU
AVG 7.5.0.516 2008.04.29 BHO.DPR
CAT-QuickHeal 9.50 2008.04.29 -
ClamAV 0.92.1 2008.04.29 Trojan.Vundo-2663
DrWeb 4.44.0.09170 2008.04.29 Trojan.Virtumod.based
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5744 2008.04.29 Win32/Vundo!generic
Ewido 4.0 2008.04.29 -
F-Prot 4.4.2.54 2008.04.28 -
F-Secure 6.70.13260.0 2008.04.29 Packed.Win32.Monder.gen
FileAdvisor 1 2008.04.29 -
Fortinet 3.14.0.0 2008.04.29 -
Ikarus T3.1.1.26.0 2008.04.29 Trojan.Vundo.EHV
Kaspersky 7.0.0.125 2008.04.29 not-a-virus:AdWare.Win32.Virtumonde.qol
McAfee 5284 2008.04.29 -
Microsoft 1.3408 2008.04.22 Trojan:Win32/Vundo.gen!D
NOD32v2 3064 2008.04.29 -
Norman 5.80.02 2008.04.29 Vundo.gen148
Panda 9.0.0.4 2008.04.29 Spyware/Virtumonde
Prevx1 V2 2008.04.29 Trojan.Vundo
Rising 20.42.12.00 2008.04.29 AdWare.Win32.Vundo.f
Sophos 4.28.0 2008.04.29 Troj/Virtum-Gen
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.29 Trojan.Vundo.B
TheHacker 6.2.92.297 2008.04.29 -
VBA32 3.12.6.5 2008.04.29 AdWare.Win32.Virtumonde.plj
VirusBuster 4.3.26:9 2008.04.29 Adware.Vundo.Gen!Pac.21
Webwasher-Gateway 6.6.2 2008.04.29 Trojan.Vundo.Gen
weitere Informationen
File size: 274432 bytes
MD5...: 180a096d90ee1528b4a6ab663e658e72
SHA1..: 8687a34a6ce8e0bbc0abff6eba40d746bc5128a0
SHA256: 130c70fb3f471ae838ec64b01da1b31917bd7530d912a3a47fa3057957a9730b
SHA512: 43c8634bec7bd8aa7e0b55c4b34f97efef7de52b1bef0756c3ea0d9c3b061405
9694e365f453326f96ffb2aeccb0c9e7c36212e1c8f844d05a3a54b606f1b28a
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10005a2e
timedatestamp.....: 0x4bf95cbf (Sun May 23 16:50:07 2010)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x65000 0x4e00 7.26 e1ee276e4c268e95878a6a7b795b1e26
.data 0x66000 0x3d000 0x3ce00 8.00 6050cdd9fac5c4af6ca37964fb8ccff2
.rdata 0xa3000 0x1000 0xa00 7.15 f24028f0a13efd27bb4ad2e6de0b4601
.idata 0xa4000 0x1000 0x600 3.48 0317dbcf32c5772e72600c73592ad1fb

( 3 imports )
> user32.dll: ShowScrollBar, ShowOwnedPopups, OemToCharA, LoadMenuA, IsCharUpperA, CreateMDIWindowA, CreateIconFromResourceEx, CreateDialogParamA
> kernel32.dll: LoadResource, TlsSetValue, ReadFile, OpenFileMappingA, GetTimeFormatA, GetStartupInfoA, GetPrivateProfileStringA, lstrcatA, EnumResourceNamesA, UnmapViewOfFile
> oleaut32.dll: OleTranslateColor, SafeArrayAccessData, SafeArrayAllocData, SetErrorInfo, OleLoadPicture, ClearCustData

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=69CEBDA7001DFF6A305404B4FC8AC5000D26E457


2.scan
Datei hcqgpogf.dll empfangen 2008.04.29 21:29:43 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.30.0 2008.04.29 -
AntiVir 7.8.0.10 2008.04.29 TR/Vundo.Gen
Authentium 4.93.8 2008.04.27 -
Avast 4.8.1169.0 2008.04.29 Win32:TratBHO
AVG 7.5.0.516 2008.04.29 -
BitDefender 7.2 2008.04.29 -
CAT-QuickHeal 9.50 2008.04.29 -
ClamAV None 2008.04.29 -
DrWeb 4.44.0.09170 2008.04.29 Trojan.Virtumod.based
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5744 2008.04.29 -
Ewido 4.0 2008.04.29 -
F-Prot 4.4.2.54 2008.04.28 -
F-Secure 6.70.13260.0 2008.04.29 W32/Vundo.dam
Fortinet 3.14.0.0 2008.04.29 -
Ikarus T3.1.1.26.0 2008.04.29 Win32.Rigel.6468
Kaspersky 7.0.0.125 2008.04.29 Packed.Win32.Monder.gen
McAfee 5284 2008.04.29 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3064 2008.04.29 -
Norman 5.80.02 2008.04.29 W32/Vundo.dam1
Panda 9.0.0.4 2008.04.29 Suspicious file
Prevx1 V2 2008.04.29 -
Rising 20.42.12.00 2008.04.29 AdWare.Win32.Vundo.d
Sophos 4.28.0 2008.04.29 Troj/Virtum-Gen
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.29 Trojan.Vundo.B
TheHacker 6.2.92.297 2008.04.29 -
VBA32 3.12.6.5 2008.04.29 -
VirusBuster 4.3.26:9 2008.04.29 Adware.Vundo.Gen!Pac.21
Webwasher-Gateway 6.6.2 2008.04.29 Trojan.Vundo.Gen
weitere Informationen
File size: 107072 bytes
MD5...: 57ec6afbd4f376fec1543801ebff7ab5
SHA1..: 0e4df985641ad6255f6e6c6b778b2d57e447ede3
SHA256: 79e6c19c65f00bfe54e686d289866a107e7aca54497073aad51094b79908b031
SHA512: 60794122d80714613dea62372a99d7ec559de3ef9c9563ec2717a6137ad8960e
14ce2ee1568e99ead9dfc8ffc8887ce1e8caba6385845145ee40ad0d0b3d2e4a
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1000783f
timedatestamp.....: 0x84996b58L (invalid)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x20000 0x6e00 7.60 c1343e05d8192897fce4172866d166e4
.data 0x21000 0x13000 0x12600 8.00 43f4a94f2ed4ea0dfc7544371c2f1943
.rdata 0x34000 0x1000 0x400 6.47 75657b87d4f036729927b6a2eaf84932
.idata 0x35000 0x1000 0x600 2.75 523ad642e1621df7ea04cb65467f3fa0

( 3 imports )
> user32.dll: ToAscii, ShowCursor, SetCursor, OffsetRect, EnableScrollBar, DestroyCursor, CreateIconFromResource, CreateIcon, CreateDialogParamA, CreateDesktopW, CopyImage
> kernel32.dll: ExitProcess, GetTimeFormatA, SetLastError, VirtualAlloc, FlushFileBuffers
> oleaut32.dll: SafeArrayAccessData, SafeArrayAllocData, SysReAllocString, SysStringLen, OleTranslateColor, RevokeActiveObject

( 0 exports )
packers (Kaspersky): PE_Patch

3.scan
Datei kwcelqeb.dll empfangen 2008.04.29 21:46:39 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.30.0 2008.04.29 -
AntiVir 7.8.0.10 2008.04.29 TR/PCK.Monder.95232
Authentium 4.93.8 2008.04.27 -
Avast 4.8.1169.0 2008.04.29 Win32:TratBHO
AVG 7.5.0.516 2008.04.29 -
BitDefender 7.2 2008.04.29 -
CAT-QuickHeal 9.50 2008.04.29 -
ClamAV None 2008.04.29 -
DrWeb 4.44.0.09170 2008.04.29 Trojan.Virtumod.based
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5744 2008.04.29 Win32/Vundo!generic
Ewido 4.0 2008.04.29 -
F-Prot 4.4.2.54 2008.04.28 -
F-Secure 6.70.13260.0 2008.04.29 Packed.Win32.Monder.gen
FileAdvisor 1 2008.04.29 -
Fortinet 3.14.0.0 2008.04.29 -
Ikarus T3.1.1.26 2008.04.29 Win32.Rigel.6468
Kaspersky 7.0.0.125 2008.04.29 Packed.Win32.Monder.gen
McAfee 5284 2008.04.29 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3064 2008.04.29 -
Norman 5.80.02 2008.04.29 Vundo.gen165
Panda 9.0.0.4 2008.04.29 Suspicious file
Prevx1 V2 2008.04.29 Trojan.Vundo
Rising 20.42.12.00 2008.04.29 -
Sophos 4.28.0 2008.04.29 Troj/Virtum-Gen
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.29 Trojan.Vundo
TheHacker 6.2.92.297 2008.04.29 -
VBA32 3.12.6.5 2008.04.29 -
VirusBuster 4.3.26:9 2008.04.29 Adware.Vundo.Gen!Pac.21
Webwasher-Gateway 6.6.2 2008.04.29 Trojan.PCK.Monder.95232
weitere Informationen
File size: 95296 bytes
MD5...: ed9f0a9aa7b79f86d3ab721588657a5f
SHA1..: 3282dec4b9b810329f5a1781305cb1cf1c42c58b
SHA256: 452da62dc15cd82dd6d465bae0ed413b8eb28a62d05186f0cf51e721f14d33dd
SHA512: 081dbe7f98aea0d178ed3287c8846bdd94c35a6fbdc386610ec763067825c3cc
74452d93b49d9bd267a6828c6639714a2985aeadc2341201af5fee0543917c45
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10006d84
timedatestamp.....: 0x7f6f341a (Thu Oct 01 07:17:46 2037)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x18000 0x6400 7.59 c91baa1c549cf1523a7f53f050575aae
.data 0x19000 0x10000 0x10000 7.99 7a67b036156d3492f78eb3e736eddeaf
.rdata 0x29000 0x1000 0x400 6.36 ff08784d0e868a10f2826eef5ffc6ce2
.idata 0x2a000 0x1000 0x800 3.38 21172af8d54fb76d6265c09a23256356

( 3 imports )
> user32.dll: OffsetRect, LoadImageA, IsCharLowerA, EqualRect, EndDeferWindowPos, DrawTextA, DrawMenuBar, DispatchMessageA, DestroyCaret, CreateMenu, CreateDialogParamA, CreateCursor, CreateAcceleratorTableA, CharToOemA
> kernel32.dll: GetTimeFormatA, SetCurrentDirectoryA, OpenFileMappingA, OpenFile, MapViewOfFile, lstrlenA, lstrcpynA, lstrcpyA, lstrcmpA, WriteFile, VirtualFree, UnmapViewOfFile, TlsFree, TlsAlloc, CompareStringA, EnterCriticalSection, EnumResourceLanguagesW, EnumResourceTypesA, FreeResource, GetLocalTime, GetStartupInfoA, GetVersion, SleepEx
> oleaut32.dll: SafeArrayCreate, SafeArrayDestroy, VarBstrCmp, SafeArrayAllocData

( 0 exports )
packers: PE_Patch
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6E394EFD403AF459744001EA9464580034260E96

4.scan
ngcveefv.dll

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.30.0 2008.04.29 -
AntiVir 7.8.0.10 2008.04.29 ADSPY/Virtumonde.qrt
Authentium 4.93.8 2008.04.27 -
Avast 4.8.1169.0 2008.04.29 Win32:TratBHO
AVG 7.5.0.516 2008.04.29 Vundo.N
BitDefender 7.2 2008.04.29 -
CAT-QuickHeal 9.50 2008.04.29 -
ClamAV 0.92.1 2008.04.29 -
DrWeb 4.44.0.09170 2008.04.29 Trojan.Virtumod.based
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5744 2008.04.29 -
Ewido 4.0 2008.04.29 -
F-Prot 4.4.2.54 2008.04.28 -
F-Secure 6.70.13260.0 2008.04.29 W32/Vundo.dam
FileAdvisor 1 2008.04.29 -
Fortinet 3.14.0.0 2008.04.29 -
Ikarus T3.1.1.26 2008.04.29 Win32.Rigel.6468
Kaspersky 7.0.0.125 2008.04.29 not-a-virus:AdWare.Win32.Virtumonde.qrt
McAfee 5284 2008.04.29 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3064 2008.04.29 -
Norman 5.80.02 2008.04.29 W32/Vundo.dam1
Panda 9.0.0.4 2008.04.29 Suspicious file
Prevx1 V2 2008.04.29 Trojan.Vundo
Rising 20.42.12.00 2008.04.29 -
Sophos 4.28.0 2008.04.29 Troj/Virtum-Gen
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.29 Trojan.Vundo
TheHacker 6.2.92.297 2008.04.29 -
VBA32 3.12.6.5 2008.04.29 -
VirusBuster 4.3.26:9 2008.04.29 Adware.Vundo.Gen!Pac.21
Webwasher-Gateway 6.6.2 2008.04.29 Ad-Spyware.Virtumonde.qrt
weitere Informationen
File size: 104000 bytes
MD5...: 459a77285e58bf3dc9327b876ca9ed31
SHA1..: 8af2ff926bd4cd1ae83bc5823ddae204484aba1f
SHA256: 7bd81925010758a6dced249a199989daa28f53d5602a077a93d988ded22fbd6a
SHA512: 3856f1ddc36e68cbd31f992348df29d7f629782b765f26da2e7d25f335f8d901
df536938b535c463b716e4ec2f7e562233cdec0c6e8fe78ee3a60e0cf088a44c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10007317
timedatestamp.....: 0x7f755d11 (Mon Oct 05 23:26:09 2037)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1a000 0x6600 7.63 76b1fa42747e3ea0a55a99c5fb123bce
.data 0x1b000 0x12000 0x12000 7.99 9484892969ef3033a1eb7d04cc1aee23
.rdata 0x2d000 0x1000 0x400 7.13 cf0b2701f9a039f042ed68b8af59ff49
.idata 0x2e000 0x1000 0x800 3.51 4628bae34fbeb66bdc31f3b928e11dcf

( 3 imports )
> user32.dll: OemToCharA, LoadMenuA, GetDlgItem, DrawCaption, DestroyWindow, DestroyIcon, DeleteMenu, CreateIconFromResourceEx, CreateIcon, CharUpperA, CharToOemBuffA, CharToOemA
> kernel32.dll: OpenFileMappingA, TlsSetValue, TlsAlloc, SleepEx, Sleep, SetLastError, SetEndOfFile, SetCurrentDirectoryA, lstrcpynA, lstrcpyA, lstrcatA, WriteFile, CloseHandle, EnumResourceLanguagesA, EnumResourceNamesA, ExitProcess, FreeResource, GetLastError, GetSystemTime, GetVersion, InitializeCriticalSection, LoadResource, RaiseException, VirtualAlloc
> oleaut32.dll: GetErrorInfo, OleLoadPicturePath, RevokeActiveObject, SafeArrayAllocData, SafeArrayCreate, SafeArrayDestroy, SysReAllocString

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DE14098F40356465960901972324F50060EBB3EF


Die Dateien von Scan 3 und 4 habe ich über die Auswertung von Hijackthis gefunden (hatte ich auch noch ausprobiert und dadrüber euer Board gefunden)

Dies hier wurde dort auch noch gefunden

C:\Users\Maaike\AppData\Local\Temp\urqQhIcC.dll,#1

Art


Fuzzy Algorithmusprüfung (2.83 / 5.00), Schädlich

und noch eins

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Loading...

Art

Schädlich
Schädlich
Sofort fixen! Dieser Eintrag wurde von unseren Besuchern als schädlich eingestuft.


so dass war jetzt hoffentlich alles

Miffi

Das auswerten der Dateien ist vollbracht, fahre nun mit dem Schritt CCleaner und Combofix weiter fort.. ;)

Hi Sunny,
der Link zum Ccleaner funzt nicht.
LG Miffi

Dann versuch es mal mit diesem hier ;) : http://www.trojaner-board.de/51464-a...-ccleaner.html

Hi Sunny,
entschuldigung, dass ich mich erst jetzt melde. Danke für den neuen Link. Hatte inzwischen den CCleaner ohne Anleitung drüber laufen lassen.
Danach habe ich dann den Combofix drüber laufen lassen. Da sollte ich dann
eine Combofix.txt datei finden, die ich dann posten sollte. Leider konnte ich
diese txt. datei nicht finden.
Ich hab gerade nochmal nachgeschaut. Ich habe einen Ordner
C:Combofix (dort ist keine txt Datei drin)
C:Qoobox (dort ist unter anderem die Combofix Quarantänefile txt drin)
C:Bug (txt)
Kannst du mir vielleicht sagen, welche Datei du nun noch gerne sehen möchtest.
Danke Miffi

Normalerweise sollte der Report automatisch nachdem das Programm ausgeführt wurde erscheinen. ;)

Ansonsten suche doch einfach mal nach dieser Datei unter dem gesamten Arbeitsplatz -> combofix.txt

Hi, Sunny
diese Datei wird nicht gefunden.
Dass hatte ich vorher schon heraus gefunden. Deshalb hatte ich nach dem Datum und der Uhrzeit geschaut und dir die anderen txt Dateien angegeben.
LG Miffi

Dann führe das Combofix nochmal aus, es sollte nach dem Neustart eigentlich den Editor öffnen und dir das Ergebnis liefern.

Mach ich
Miffi

Hier nun das Log

ComboFix 08-04-29.5 - Maaike 2008-05-03 19:56:41.2 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1371 [GMT 2:00]
ausgeführt von:: C:\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Users\xx\AppData\Local\pomqbue_navtmp.dat
c:\Users\xx\AppData\Local\terzclwcui.dat
c:\users\xx\appdata\local\terzclwcui.exe
C:\Users\xx\AppData\Local\terzclwcui_nav.dat
C:\Users\xx\AppData\Local\terzclwcui_navps.dat
C:\Windows\system32\beqlecwk.ini
C:\Windows\system32\buvuamtb.dll
C:\Windows\system32\eiotuoub.dll
C:\Windows\system32\fuxatiaj.ini
C:\Windows\system32\hadwvgnf.ini
C:\Windows\system32\hcqgpogf.dll
C:\Windows\system32\hpfdxdkx.ini
C:\Windows\system32\jgsltcbi.ini
C:\Windows\system32\jifqkjey.dll
C:\Windows\system32\jrujwayp.dll
C:\Windows\system32\mcrh.tmp
C:\Windows\system32\mertiacq.dll
C:\Windows\system32\ngcveefv.dll
C:\Windows\system32\nvs2.inf
C:\Windows\system32\pfuywqob.ini
C:\Windows\system32\pfykcwvp.dll
C:\Windows\system32\pmfykvbq.dll
C:\Windows\system32\pwatghno.dll
C:\Windows\System32\qyysxsgw.ini
C:\Windows\system32\rsdsecxm.dll
C:\Windows\system32\sqyscsuq.dll
C:\Windows\system32\tbentxhc.ini
C:\Windows\system32\uihfjoxn.dll
C:\Windows\system32\ulylfuqs.dll
C:\Windows\system32\wgsxsyyq.dll
C:\Windows\system32\yilvkjvb.dll
C:\Windows\system32\ynuotixe.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-03 bis 2008-05-03 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-01 14:27 --------- d-----w C:\Program Files\Windows Mail
2008-05-01 14:20 1,780,380 ----a-w C:\ComboFix.exe
2008-05-01 14:16 --------- d-----w C:\Program Files\Windows Live Toolbar
2008-05-01 14:12 --------- d-----w C:\Program Files\GameSpy Arcade
2008-05-01 14:06 --------- d-----w C:\Program Files\CCleaner
2008-05-01 14:04 671,968 ----a-w C:\ccsetup205_slim.exe
2008-04-29 19:08 --------- d-----w C:\Users\Maaike\AppData\Roaming\Skype
2008-04-27 17:35 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-27 17:35 --------- d-----w C:\Program Files\RTL Playtainment
2008-04-25 14:13 --------- d-----w C:\Program Files\Brightstar Entertainment
2008-04-25 14:10 2,855 ----a-w C:\Windows\PIF\INSTALL.PIF
2008-04-23 15:08 --------- d-----w C:\Program Files\Java
2008-04-23 15:07 --------- d-----w C:\Program Files\Common Files\Java
2008-04-22 19:32 --------- d-----w C:\ProgramData\Symantec
2008-04-22 19:32 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-04-22 19:31 --------- d-----w C:\Program Files\Symantec
2008-04-22 19:31 --------- d-----w C:\Program Files\Norton 360
2008-04-18 17:40 39,424 --sh--r C:\Windows\livemessenger.com
2008-04-18 17:40 39,424 ----a-w C:\Users\xx\IMG00231.JPG-www.imageupload.com
2008-04-17 15:48 --------- d-----w C:\Program Files\Deep Silver
2008-04-14 10:47 --------- d-----w C:\Program Files\Ulead Systems
2008-04-14 10:43 11,014,144 ----a-w C:\Users\xx\UGA5TBYB_E_USG.exe
2008-04-14 10:37 --------- d-----w C:\ProgramData\Ulead Systems
2008-04-14 08:43 --------- d-----w C:\Program Files\Packard Bell
2008-04-14 07:40 --------- d-----w C:\Users\xx\AppData\Roaming\Ulead Systems
2008-04-13 15:43 --------- d-----w C:\Program Files\PopTop Software
2008-04-10 16:04 --------- d-----w C:\Program Files\CyberQix
2008-04-09 14:29 --------- d-----w C:\Program Files\QuickTime
2008-04-09 14:26 --------- d-----w C:\Program Files\Activision
2008-04-09 14:24 --------- d-----w C:\Program Files\Google
2008-04-09 14:23 --------- d-----w C:\Program Files\CyberLink
2008-04-08 18:19 --------- d-----w C:\ProgramData\QuickTime
2008-04-08 18:16 --------- d-----w C:\Program Files\LEGO Software
2008-04-08 18:11 --------- d-----w C:\Program Files\Microsoft.NET
2008-04-08 15:03 --------- d-----w C:\Users\xx\AppData\Roaming\DesktopPlayer
2008-04-08 15:03 --------- d-----w C:\Program Files\Jimi Blue Player
2008-04-03 14:59 --------- d-----w C:\Program Files\EA SPORTS
2008-04-02 19:08 --------- d-----w C:\ProgramData\WLInstaller
2008-04-02 19:08 --------- d-----w C:\Program Files\Windows Live
2008-03-31 20:53 --------- d-----w C:\Program Files\ANI
2008-03-31 20:52 --------- d-----w C:\Program Files\D-Link
2008-03-31 20:51 --------- d-----w C:\Users\xx\AppData\Roaming\InstallShield
2008-03-25 21:14 --------- d-----w C:\Program Files\sixteen tons entertainment
2008-03-25 16:30 --------- d-----w C:\Users\xx\AppData\Roaming\Roxio
2008-03-24 18:57 --------- d-----w C:\Program Files\Meine Tierpension
2008-03-23 17:42 --------- d-----w C:\Program Files\Common Files\Adobe
2008-03-23 14:53 --------- d-----w C:\Program Files\Windows Media-Komponenten
2008-03-23 14:52 --------- d-----w C:\Program Files\Common Files\Ulead Systems
2008-03-23 14:13 --------- d-----w C:\Users\xx\AppData\Roaming\HP
2008-03-22 22:25 --------- d-----w C:\Users\xx\AppData\Roaming\Packard Bell
2008-03-22 20:33 --------- d-----w C:\Program Files\Common Files\LogiShrd
2008-03-22 20:20 127,034 ------r C:\Windows\bwUnin-8.1.1.50-8876480SL.exe
2008-03-22 20:20 --------- d-----w C:\Program Files\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\LogiShrd
2008-03-22 18:48 --------- d-----w C:\Program Files\Atari
2008-03-22 18:47 9,472 ----a-w C:\Windows\system32\drivers\lemsgt.sys
2008-03-22 18:47 137,344 ----a-w C:\Windows\system32\drivers\hwpsgt.sys
2008-03-22 17:26 --------- d-----w C:\Program Files\AMP Font Viewer
2008-03-22 14:09 --------- d-----w C:\ProgramData\HP
2008-03-22 14:02 --------- d-----w C:\Program Files\Midway
2008-03-22 13:30 --------- d-----w C:\Users\xx\AppData\Roaming\Printer Info Cache
2008-03-22 13:30 --------- d-----w C:\Users\xx\AppData\Roaming\Image Zone Express
2008-03-22 12:35 --------- d-----w C:\Program Files\Norton Security Scan
2008-03-22 11:27 --------- d-----w C:\ProgramData\WEBREG
2008-03-22 11:26 --------- d-----w C:\ProgramData\HPSSUPPLY
2008-03-22 11:26 --------- d-----w C:\Program Files\HP
2008-03-22 11:26 --------- d-----w C:\Program Files\Common Files\HP
2008-03-22 11:24 --------- d-----w C:\Program Files\Hewlett-Packard
2008-03-22 11:24 --------- d-----w C:\Program Files\Common Files\Hewlett-Packard
2008-03-22 10:51 --------- d-----w C:\Users\xx\AppData\Roaming\Symantec
2008-03-22 06:46 174 --sha-w C:\Program Files\desktop.ini
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Sidebar
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Calendar
2008-03-22 06:21 8,192 ----a-w C:\Windows\System32\riched32.dll
2008-03-22 06:21 77,824 ----a-w C:\Windows\System32\rascfg.dll
2008-03-22 06:21 61,952 ----a-w C:\Windows\system32\drivers\wanarp.sys
2008-03-22 06:21 52,736 ----a-w C:\Windows\System32\rasdiag.dll
2008-03-22 06:21 48,640 ----a-w C:\Windows\system32\drivers\ndproxy.sys
2008-03-22 06:21 384,000 ----a-w C:\Windows\System32\netcfgx.dll
2008-03-22 06:21 32,768 ----a-w C:\Windows\System32\rasmxs.dll
2008-03-22 06:21 22,016 ----a-w C:\Windows\System32\rasser.dll
2008-03-22 06:21 20,480 ----a-w C:\Windows\system32\drivers\ndistapi.sys
2008-03-22 06:18 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-03-22 06:18 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-03-22 06:15 41,984 ----a-w C:\Windows\system32\drivers\monitor.sys
2008-03-22 06:15 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys
2008-03-22 06:14 8,147,968 ----a-w C:\Windows\System32\wmploc.DLL
2008-03-22 06:14 7,680 ----a-w C:\Windows\System32\spwmp.dll
2008-03-22 06:14 4,096 ----a-w C:\Windows\System32\dxmasf.dll
2008-03-22 06:14 356,864 ----a-w C:\Windows\System32\MediaMetadataHandler.dll
2008-03-22 06:12 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-03-22 06:12 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-03-22 06:12 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-03-22 06:12 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-03-22 06:12 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-03-22 06:12 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2008-03-22 06:11 9,728 ----a-w C:\Windows\System32\LAPRXY.DLL
2008-03-22 06:11 223,232 ----a-w C:\Windows\System32\WMASF.DLL
2008-03-22 06:11 2,048 ----a-w C:\Windows\System32\msxml6r.dll
2007-08-10 20:13 65,536 --sha-w C:\Windows\oem\mp\boot\bootstat.dat
.

((((((((((((((((((((((((((((( snapshot@2008-05-01_16.32.44.10 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-01 14:28:28 67,584 --s-a-w C:\Windows\bootstat.dat
+ 2008-05-03 13:32:56 67,584 --s-a-w C:\Windows\bootstat.dat
- 2008-05-01 14:28:29 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2008-05-03 13:32:57 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2008-05-01 14:28:29 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2008-05-03 13:32:57 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2008-05-01 14:29:57 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 17:48:05 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-01 14:29:11 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-05-03 13:34:27 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-05-03 13:34:27 262,144 ---ha-w C:\Windows\ServiceProfiles\LocalService\ntuser.dat.LOG1
- 2008-05-01 14:23:41 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 17:56:44 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-01 14:30:27 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-05-03 17:58:10 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-05-03 17:58:10 262,144 ---ha-w C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1
- 2008-05-01 14:28:56 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
+ 2008-05-01 14:43:22 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat
- 2008-05-01 14:28:56 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
+ 2008-05-01 14:43:22 32,768 --sha-w C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat
- 2008-05-01 14:28:56 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
+ 2008-05-01 14:43:22 16,384 --sha-w C:\Windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat
- 2008-05-01 13:40:10 391,252 ----a-w C:\Windows\System32\perfc007.dat
+ 2008-05-03 13:37:24 410,900 ----a-w C:\Windows\System32\perfc007.dat
- 2008-05-01 13:40:10 353,832 ----a-w C:\Windows\System32\perfc009.dat
+ 2008-05-03 13:37:24 371,784 ----a-w C:\Windows\System32\perfc009.dat
- 2008-05-01 13:40:10 1,505,424 ----a-w C:\Windows\System32\perfh007.dat
+ 2008-05-03 13:37:24 1,566,784 ----a-w C:\Windows\System32\perfh007.dat
- 2008-05-01 13:40:10 875,440 ----a-w C:\Windows\System32\perfh009.dat
+ 2008-05-03 13:37:24 894,160 ----a-w C:\Windows\System32\perfh009.dat
- 2008-05-01 13:36:36 6,624 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1966895989-983207608-2434261987-1002_UserData.bin
+ 2008-05-03 13:34:51 7,114 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1966895989-983207608-2434261987-1002_UserData.bin
- 2008-05-01 13:36:36 55,882 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-05-03 13:34:51 57,306 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
- 2008-05-01 13:36:34 37,810 ----a-w C:\Windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
+ 2008-05-03 13:34:50 37,842 ----a-w C:\Windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43128818-37A4-452D-B84B-F51BA0FD8710}]
C:\Users\xx\AppData\Local\Temp\vtUnmNGY.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-03-22 08:09 1232896]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-08-10 22:24 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 17:10 4468736 C:\Windows\RtHDVCpl.exe]
"Skytel"="Skytel.exe" [2007-05-07 18:51 1826816 C:\Windows\SkyTel.exe]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-09-11 23:28 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-09-11 23:28 8497696]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-09-11 23:28 81920]
"Symantec PIF AlertEng"="C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 18:38 583048]
"LogitechCommunicationsManager"="C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 17:02 563984]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [2007-07-25 17:06 2027792]
"RoxWatchTray"="C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-11 11:40 232184]
"ANIWZCS2Service"="C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 11:49 49152]
"D-Link D-Link Wireless N DWA-140"="C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe" [2007-03-14 18:29 1388544]
"Ulead AutoDetector v2"="C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe" [2007-08-02 22:08 95504]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-03-22 22:20:37 67128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv32"= C:\Windows\system32\ir32_32.dll
"vidc.iv31"= C:\Windows\system32\ir32_32.dll

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=C:\Windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2006-12-10 22:52 49152 C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPService]
C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2007-02-21 03:18 366400 C:\Program Files\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\toolbar_eula_launcher]
--a------ 2007-02-20 18:20 28672 C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
--a------ 2007-08-02 22:08 95504 C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{85364961-8DD7-43C3-AF40-69D4D839DB2F}"= UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{CAAF4B51-03DE-412A-AA4E-96C85D58B807}"= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{3F9B2452-81AA-4084-8727-A648FE55904A}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{F0CC14FE-4303-4E8F-A09B-0296B8A8744F}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{D629062B-F0DF-47B6-9873-19E80A19C6A8}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{75401C2F-6D67-433D-8295-2BDC52413F58}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{50BEEBCA-4A67-4C55-B6FE-9EC529FF0DB0}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{AACF5E19-25EE-4ADC-BB63-66F21578F325}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{84A7D554-74BF-4340-9E22-D05CAD60B2AC}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"TCP Query User{B8E24EB8-A2D1-40E6-8976-EE9650378198}D:\\d-link.exe"= UDP:D:\d-link.exe:Setup Wizard Template
"UDP Query User{76F3E38D-6A60-4E2A-8CC1-4F157EF9A01A}D:\\d-link.exe"= TCP:D:\d-link.exe:Setup Wizard Template
"{FC420349-C1E8-4B1C-8325-52DF8B2379DE}"= Disabled:UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{224FD273-20C8-46A3-A50C-6D419632ADF6}"= Disabled:TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

S3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver;C:\Windows\system32\DRIVERS\rt2870.sys [2007-07-05 04:16]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{306c3741-f765-11dc-9158-806e6f6e6963}]
\shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
\shell\configure\command - D:\SETUP.EXE
\shell\install\command - D:\SETUP.EXE

.
Inhalt des "geplante Tasks" Ordners
"2008-05-03 17:29:59 C:\Windows\Tasks\Erweiterte Garantie.job"
- C:\Program Files\Packard Bell\SetupmyPC\PBCarNot.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-03 19:58:18
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-03 19:59:12
ComboFix-quarantined-files.txt 2008-05-03 17:59:09

Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.

293 --- E O F --- 2008-05-01 13:40:13


LG Miffi

Hi Sunny
antwort von Move it
File/Folder C:\Users\Maaike\AppData\Local\Temp\vtUnmNGY.dll not found.
File/Folder C:\Users\Maaike\AppData\Local\Temp\urqQhIcC.dll not found.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05032008_204203

Log von Virus Total
Datei ir32_32.dll empfangen 2008.05.03 20:45:13 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.3.0 2008.05.02 -
AntiVir 7.8.0.11 2008.05.02 -
Authentium 4.93.8 2008.05.02 -
Avast 4.8.1169.0 2008.05.03 -
AVG 7.5.0.516 2008.05.03 -
BitDefender 7.2 2008.05.03 -
CAT-QuickHeal 9.50 2008.05.03 -
ClamAV 0.92.1 2008.05.03 -
DrWeb 4.44.0.09170 2008.05.03 -
eSafe 7.0.15.0 2008.04.28 -
eTrust-Vet 31.3.5755 2008.05.03 -
Ewido 4.0 2008.05.03 -
F-Prot 4.4.2.54 2008.05.02 -
F-Secure 6.70.13260.0 2008.05.03 -
FileAdvisor 1 2008.05.03 -
Fortinet 3.14.0.0 2008.05.03 -
Ikarus T3.1.1.26.0 2008.05.03 -
Kaspersky 7.0.0.125 2008.05.03 -
McAfee 5287 2008.05.02 -
Microsoft 1.3408 2008.04.22 -
NOD32v2 3072 2008.05.03 -
Norman 5.80.02 2008.05.02 -
Panda 9.0.0.4 2008.05.03 -
Prevx1 V2 2008.05.03 -
Rising 20.42.22.00 2008.04.30 -
Sophos 4.29.0 2008.05.03 -
Sunbelt 3.0.1097.0 2008.05.03 -
Symantec 10 2008.05.03 -
TheHacker 6.2.92.300 2008.05.03 -
VBA32 3.12.6.5 2008.05.03 -
VirusBuster 4.3.26:9 2008.05.03 -
Webwasher-Gateway 6.6.2 2008.05.03 -
weitere Informationen
File size: 197632 bytes
MD5...: 6ed0e5f422b58f30e32f90d3f57ab1fd
SHA1..: 553e3b10a1c30c07789cc031666956dfbc121a43
SHA256: dcd19322b915bf340149558baff43109fbb178fdf95d80f0dad76b25d2b6f986
SHA512: a84865956e3eeba3ad0bc60af157cf53dab2e9ac6e93b7d7b709b30577a11834
03be29eb12fe52b25873587ed0c74c1ed1e8029f41bdedbf254966249d0f7201
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6eef23c3
timedatestamp.....: 0x4549bd54 (Thu Nov 02 09:41:40 2006)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x15866 0x15a00 6.56 81ec4a0eeb531392f899bb87cddd68b6
.bss 0x17000 0x243e0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x3c000 0x23c 0x400 2.77 2fd9634e91d30c4b8cf6f5277a55e2db
.data 0x3d000 0x177b8 0x17800 3.01 40b5fe024a55ac08dc8f61f4042153c8
.idata 0x55000 0x58e 0x600 5.51 508c94bc127490b1638325068f0b5a6a
.edata 0x56000 0x90 0x200 1.68 f75928ecab740a1a47d43c778fdb229c
.rsrc 0x57000 0xe70 0x1000 3.29 9cd038d837224fc3353bfc34e13dba44
.reloc 0x58000 0x1140 0x1200 5.61 6ef3de6a1eff93f477aad3b630906f25

( 4 imports )
> GDI32.dll: CreateCompatibleDC, DeleteDC, SelectObject, BitBlt, GetSystemPaletteEntries, GetObjectA, GetNearestColor, GetDeviceCaps
> KERNEL32.dll: GetSystemInfo, GlobalLock, GlobalAlloc, GlobalFree, GlobalUnlock, LocalFree, LocalAlloc, MultiByteToWideChar, WideCharToMultiByte, RtlUnwind, WriteFile, GetProcAddress, GetFileType, GetStdHandle, GetStartupInfoA, GetOEMCP, GetACP, GetCPInfo, LoadLibraryA, GetModuleHandleA, GetLastError, VirtualAlloc, VirtualFree, GetModuleFileNameA, GetVersion, GetCommandLineA, GetEnvironmentStrings, ExitProcess
> USER32.dll: MessageBoxA, GetWindowRect, EndPaint, DialogBoxParamA, GetDlgItemInt, EndDialog, PostMessageA, SetDlgItemTextA, wsprintfA, GetDC, ReleaseDC, MessageBeep, LoadStringA, LoadBitmapA, GetWindowLongA, BeginPaint
> WINMM.dll: DefDriverProc

( 4 exports )
AboutDialogProc, DllMain, DriverDialogProc, DriverProc

Das sind erstmal die Logs. Den Malwarebytes mache ich jetzt gleich
Miffi

Versuche es bitte nochmal mit folgendem Text bei OtmoveIt:

Hab auch das Problem



[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem einen eigenen Beitrag.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.


Danke. :)

[/edit]

Hi Sunny,
Log von Malwarebytes,

Malwarebytes' Anti-Malware 1.11
Datenbank Version: 712

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 145945
Scan Dauer: 49 minute(s), 55 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 8

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\QooBox\Quarantine\C\Windows\System32\eiotuoub.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Windows\System32\jifqkjey.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Windows\System32\pmfykvbq.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Windows\System32\pwatghno.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Windows\System32\rsdsecxm.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Windows\System32\uihfjoxn.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Windows\System32\ulylfuqs.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\Windows\System32\yilvkjvb.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

Log von Moveot

File/Folder C:\Users\xx\AppData\Local\Temp\vtUnmNGY.dll not found.
File/Folder C:\Users\xx\AppData\Local\Temp\urqQhIcC.dll not found.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 05032008_215234

LG Miffi

Irgendwas habe ich übersehen, bitte nochmal das Combofix starten und den Report posten! :)

Log von Combofix

ComboFix 08-04-29.5 - Maaike 2008-05-03 22:02:20.3 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1259 [GMT 2:00]
ausgeführt von:: C:\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-03 bis 2008-05-03 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-03 18:53 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-05-03 18:52 --------- d-----w C:\Users\Maaike\AppData\Roaming\Malwarebytes
2008-05-03 18:52 --------- d-----w C:\ProgramData\Malwarebytes
2008-05-01 14:27 --------- d-----w C:\Program Files\Windows Mail
2008-05-01 14:20 1,780,380 ----a-w C:\ComboFix.exe
2008-05-01 14:16 --------- d-----w C:\Program Files\Windows Live Toolbar
2008-05-01 14:12 --------- d-----w C:\Program Files\GameSpy Arcade
2008-05-01 14:06 --------- d-----w C:\Program Files\CCleaner
2008-05-01 14:04 671,968 ----a-w C:\ccsetup205_slim.exe
2008-04-29 19:08 --------- d-----w C:\Users\Maaike\AppData\Roaming\Skype
2008-04-27 17:35 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-27 17:35 --------- d-----w C:\Program Files\RTL Playtainment
2008-04-25 14:13 --------- d-----w C:\Program Files\Brightstar Entertainment
2008-04-25 14:10 2,855 ----a-w C:\Windows\PIF\INSTALL.PIF
2008-04-23 15:08 --------- d-----w C:\Program Files\Java
2008-04-23 15:07 --------- d-----w C:\Program Files\Common Files\Java
2008-04-22 19:32 --------- d-----w C:\ProgramData\Symantec
2008-04-22 19:32 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-04-22 19:31 --------- d-----w C:\Program Files\Symantec
2008-04-22 19:31 --------- d-----w C:\Program Files\Norton 360
2008-04-18 17:40 39,424 --sh--r C:\Windows\livemessenger.com
2008-04-18 17:40 39,424 ----a-w C:\Users\Maaike\IMG00231.JPG-www.imageupload.com
2008-04-17 15:48 --------- d-----w C:\Program Files\Deep Silver
2008-04-14 10:47 --------- d-----w C:\Program Files\Ulead Systems
2008-04-14 10:43 11,014,144 ----a-w C:\Users\Maaike\UGA5TBYB_E_USG.exe
2008-04-14 10:37 --------- d-----w C:\ProgramData\Ulead Systems
2008-04-14 08:43 --------- d-----w C:\Program Files\Packard Bell
2008-04-14 07:40 --------- d-----w C:\Users\Maaike\AppData\Roaming\Ulead Systems
2008-04-13 15:43 --------- d-----w C:\Program Files\PopTop Software
2008-04-10 16:04 --------- d-----w C:\Program Files\CyberQix
2008-04-09 14:29 --------- d-----w C:\Program Files\QuickTime
2008-04-09 14:26 --------- d-----w C:\Program Files\Activision
2008-04-09 14:24 --------- d-----w C:\Program Files\Google
2008-04-09 14:23 --------- d-----w C:\Program Files\CyberLink
2008-04-08 18:19 --------- d-----w C:\ProgramData\QuickTime
2008-04-08 18:16 --------- d-----w C:\Program Files\LEGO Software
2008-04-08 18:11 --------- d-----w C:\Program Files\Microsoft.NET
2008-04-08 15:03 --------- d-----w C:\Users\Maaike\AppData\Roaming\DesktopPlayer
2008-04-08 15:03 --------- d-----w C:\Program Files\Jimi Blue Player
2008-04-03 14:59 --------- d-----w C:\Program Files\EA SPORTS
2008-04-02 19:08 --------- d-----w C:\ProgramData\WLInstaller
2008-04-02 19:08 --------- d-----w C:\Program Files\Windows Live
2008-03-31 20:53 --------- d-----w C:\Program Files\ANI
2008-03-31 20:52 --------- d-----w C:\Program Files\D-Link
2008-03-31 20:51 --------- d-----w C:\Users\Maaike\AppData\Roaming\InstallShield
2008-03-25 21:14 --------- d-----w C:\Program Files\sixteen tons entertainment
2008-03-25 16:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Roxio
2008-03-24 18:57 --------- d-----w C:\Program Files\Meine Tierpension
2008-03-23 17:42 --------- d-----w C:\Program Files\Common Files\Adobe
2008-03-23 14:53 --------- d-----w C:\Program Files\Windows Media-Komponenten
2008-03-23 14:52 --------- d-----w C:\Program Files\Common Files\Ulead Systems
2008-03-23 14:13 --------- d-----w C:\Users\Maaike\AppData\Roaming\HP
2008-03-22 22:25 --------- d-----w C:\Users\Maaike\AppData\Roaming\Packard Bell
2008-03-22 20:33 --------- d-----w C:\Program Files\Common Files\LogiShrd
2008-03-22 20:20 127,034 ------r C:\Windows\bwUnin-8.1.1.50-8876480SL.exe
2008-03-22 20:20 --------- d-----w C:\Program Files\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\LogiShrd
2008-03-22 18:48 --------- d-----w C:\Program Files\Atari
2008-03-22 18:47 9,472 ----a-w C:\Windows\system32\drivers\lemsgt.sys
2008-03-22 18:47 137,344 ----a-w C:\Windows\system32\drivers\hwpsgt.sys
2008-03-22 17:26 --------- d-----w C:\Program Files\AMP Font Viewer
2008-03-22 14:09 --------- d-----w C:\ProgramData\HP
2008-03-22 14:02 --------- d-----w C:\Program Files\Midway
2008-03-22 13:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Printer Info Cache
2008-03-22 13:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Image Zone Express
2008-03-22 12:35 --------- d-----w C:\Program Files\Norton Security Scan
2008-03-22 11:27 --------- d-----w C:\ProgramData\WEBREG
2008-03-22 11:26 --------- d-----w C:\ProgramData\HPSSUPPLY
2008-03-22 11:26 --------- d-----w C:\Program Files\HP
2008-03-22 11:26 --------- d-----w C:\Program Files\Common Files\HP
2008-03-22 11:24 --------- d-----w C:\Program Files\Hewlett-Packard
2008-03-22 11:24 --------- d-----w C:\Program Files\Common Files\Hewlett-Packard
2008-03-22 10:51 --------- d-----w C:\Users\Maaike\AppData\Roaming\Symantec
2008-03-22 06:46 174 --sha-w C:\Program Files\desktop.ini
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Sidebar
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Calendar
2008-03-22 06:21 8,192 ----a-w C:\Windows\System32\riched32.dll
2008-03-22 06:21 77,824 ----a-w C:\Windows\System32\rascfg.dll
2008-03-22 06:21 61,952 ----a-w C:\Windows\system32\drivers\wanarp.sys
2008-03-22 06:21 52,736 ----a-w C:\Windows\System32\rasdiag.dll
2008-03-22 06:21 48,640 ----a-w C:\Windows\system32\drivers\ndproxy.sys
2008-03-22 06:21 384,000 ----a-w C:\Windows\System32\netcfgx.dll
2008-03-22 06:21 32,768 ----a-w C:\Windows\System32\rasmxs.dll
2008-03-22 06:21 22,016 ----a-w C:\Windows\System32\rasser.dll
2008-03-22 06:21 20,480 ----a-w C:\Windows\system32\drivers\ndistapi.sys
2008-03-22 06:18 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-03-22 06:18 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-03-22 06:15 41,984 ----a-w C:\Windows\system32\drivers\monitor.sys
2008-03-22 06:15 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys
2008-03-22 06:14 8,147,968 ----a-w C:\Windows\System32\wmploc.DLL
2008-03-22 06:14 7,680 ----a-w C:\Windows\System32\spwmp.dll
2008-03-22 06:14 4,096 ----a-w C:\Windows\System32\dxmasf.dll
2008-03-22 06:14 356,864 ----a-w C:\Windows\System32\MediaMetadataHandler.dll
2008-03-22 06:12 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-03-22 06:12 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-03-22 06:12 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-03-22 06:12 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-03-22 06:12 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-03-22 06:12 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2007-08-10 20:13 65,536 --sha-w C:\Windows\oem\mp\boot\bootstat.dat
.

((((((((((((((((((((((((((((( snapshot_2008-05-03_19.58.51.94 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-03 17:48:05 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 19:48:07 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-03 17:56:44 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 20:02:27 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-03 17:58:10 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-05-03 20:03:47 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-05-03 20:03:47 262,144 ---ha-w C:\Windows\ServiceProfiles\NetworkService\ntuser.dat.LOG1
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43128818-37A4-452D-B84B-F51BA0FD8710}]
C:\Users\Maaike\AppData\Local\Temp\vtUnmNGY.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-03-22 08:09 1232896]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-08-10 22:24 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 17:10 4468736 C:\Windows\RtHDVCpl.exe]
"Skytel"="Skytel.exe" [2007-05-07 18:51 1826816 C:\Windows\SkyTel.exe]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-09-11 23:28 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-09-11 23:28 8497696]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-09-11 23:28 81920]
"Symantec PIF AlertEng"="C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 18:38 583048]
"LogitechCommunicationsManager"="C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 17:02 563984]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [2007-07-25 17:06 2027792]
"RoxWatchTray"="C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-11 11:40 232184]
"ANIWZCS2Service"="C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 11:49 49152]
"D-Link D-Link Wireless N DWA-140"="C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe" [2007-03-14 18:29 1388544]
"Ulead AutoDetector v2"="C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe" [2007-08-02 22:08 95504]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-03-22 22:20:37 67128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv32"= C:\Windows\system32\ir32_32.dll
"vidc.iv31"= C:\Windows\system32\ir32_32.dll

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=C:\Windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2006-12-10 22:52 49152 C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPService]
C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2007-02-21 03:18 366400 C:\Program Files\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\toolbar_eula_launcher]
--a------ 2007-02-20 18:20 28672 C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
--a------ 2007-08-02 22:08 95504 C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{85364961-8DD7-43C3-AF40-69D4D839DB2F}"= UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{CAAF4B51-03DE-412A-AA4E-96C85D58B807}"= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{3F9B2452-81AA-4084-8727-A648FE55904A}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{F0CC14FE-4303-4E8F-A09B-0296B8A8744F}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{D629062B-F0DF-47B6-9873-19E80A19C6A8}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{75401C2F-6D67-433D-8295-2BDC52413F58}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{50BEEBCA-4A67-4C55-B6FE-9EC529FF0DB0}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{AACF5E19-25EE-4ADC-BB63-66F21578F325}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{84A7D554-74BF-4340-9E22-D05CAD60B2AC}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"TCP Query User{B8E24EB8-A2D1-40E6-8976-EE9650378198}D:\\d-link.exe"= UDP:D:\d-link.exe:Setup Wizard Template
"UDP Query User{76F3E38D-6A60-4E2A-8CC1-4F157EF9A01A}D:\\d-link.exe"= TCP:D:\d-link.exe:Setup Wizard Template
"{FC420349-C1E8-4B1C-8325-52DF8B2379DE}"= Disabled:UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{224FD273-20C8-46A3-A50C-6D419632ADF6}"= Disabled:TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

S3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver;C:\Windows\system32\DRIVERS\rt2870.sys [2007-07-05 04:16]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{306c3741-f765-11dc-9158-806e6f6e6963}]
\shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
\shell\configure\command - D:\SETUP.EXE
\shell\install\command - D:\SETUP.EXE

.
Inhalt des "geplante Tasks" Ordners
"2008-05-03 19:59:59 C:\Windows\Tasks\Erweiterte Garantie.job"
- C:\Program Files\Packard Bell\SetupmyPC\PBCarNot.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-03 22:04:05
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-03 22:05:03
ComboFix-quarantined-files.txt 2008-05-03 20:04:59
ComboFix2.txt 2008-05-03 17:59:13

Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.

225 --- E O F --- 2008-05-01 13:40:13

LG Miffi

Hi Sunny,

könntest du mir bitte diese zwei Einträge vom Logfile erklären. Ich hab nämlich Probleme mit meinem D-Link Router und genau das Template das hier angegeben wird fehlt wohl damit ich ihn neu installieren kann.

"TCP Query User{B8E24EB8-A2D1-40E6-8976-EE9650378198}D:\\d-link.exe"= UDP:\d-link.exe:Setup Wizard Template
"UDP Query User{76F3E38D-6A60-4E2A-8CC1-4F157EF9A01A}D:\\d-link.exe"= TCP:\d-link.exe:Setup Wizard Template
Danke Miffi

Könntest du mir das bitte nochmal etwas genauer erklären, ich verstehe den Satz leider nicht. :schmoll:


desweiteren:



Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


http://swandog46.geekstogo.com/res/images/avenger.jpg



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")



3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hi Sunny,
diese zwei Einträge sind mir im Logfile von combofix aufgefallen, weil ein Smiley dahinterwar.
Ich hatte nun vor ein paar Tagen ein Problem mit meinem D-Link Router, der ging nicht mehr richtig. Ich wollte ihn dann neu installieren, er zeigte mir aber, das das nicht ginge weil das D-Link Wizard Template fehlt. Und nun steht das im Logfile. Ich wollte einfach nur wissen was der Eintrag dazu bedeutet.
LG Miffi

Hi Sunny,
Leider klappt das so nicht. Die antwort ist

Error: Invalid script. A valid script must begin with a command directive.
Aborting execution.

LG Miffi

Versuche es nochmal, wenn nötig auch mehrmals, denn auf diesem Wege versuche ich die Dateien von deinem System zu löschen.

Wie gesagt, alles abkopieren: (auch der Text "Files to delete"!)

Hi Sunny,
hier das Log.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: could not open file "C:\Users\xx\AppData\Local\Temp\vtUnmNGY.dll"
Deletion of file "C:\Users\xx\AppData\Local\Temp\vtUnmNGY.dll" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Error: could not open file "C:\Users\xx\AppData\Local\Temp\urqQhIcC.dll"
Deletion of file "C:\Users\xx\AppData\Local\Temp\urqQhIcC.dll" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished! Terminate.

Lieber Sunny
ich hab vorher den Avanger schon mit C:\Users\Maaike durchlaufen lassen,
auch da findet er kein Rootkit. Leider wurde das Log überschrieben. Ich lasse ihn aber gerne noch mal durchlaufen.
LG Miffi

Hi Sunny,
hab es nochmal mit Maaike durchlaufen lassen.

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\Users\Maaike\AppData\Local\Temp\vtUnmNGY.dll" not found!
Deletion of file "C:\Users\Maaike\AppData\Local\Temp\vtUnmNGY.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Users\Maaike\AppData\Local\Temp\urqQhIcC.dll" not found!
Deletion of file "C:\Users\Maaike\AppData\Local\Temp\urqQhIcC.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.
LG Miffi

Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Hi Sunny,
nun noch mal das Log von Combofix

ComboFix 08-04-29.5 - Maaike 2008-05-03 23:42:54.5 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1325 [GMT 2:00]
ausgeführt von:: C:\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-03 bis 2008-05-03 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-03 18:53 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-05-03 18:52 --------- d-----w C:\Users\Maaike\AppData\Roaming\Malwarebytes
2008-05-03 18:52 --------- d-----w C:\ProgramData\Malwarebytes
2008-05-01 14:27 --------- d-----w C:\Program Files\Windows Mail
2008-05-01 14:20 1,780,380 ----a-w C:\ComboFix.exe
2008-05-01 14:16 --------- d-----w C:\Program Files\Windows Live Toolbar
2008-05-01 14:12 --------- d-----w C:\Program Files\GameSpy Arcade
2008-05-01 14:06 --------- d-----w C:\Program Files\CCleaner
2008-05-01 14:04 671,968 ----a-w C:\ccsetup205_slim.exe
2008-04-29 19:08 --------- d-----w C:\Users\Maaike\AppData\Roaming\Skype
2008-04-27 17:35 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-27 17:35 --------- d-----w C:\Program Files\RTL Playtainment
2008-04-25 14:13 --------- d-----w C:\Program Files\Brightstar Entertainment
2008-04-25 14:10 2,855 ----a-w C:\Windows\PIF\INSTALL.PIF
2008-04-23 15:08 --------- d-----w C:\Program Files\Java
2008-04-23 15:07 --------- d-----w C:\Program Files\Common Files\Java
2008-04-22 19:32 --------- d-----w C:\ProgramData\Symantec
2008-04-22 19:32 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-04-22 19:31 --------- d-----w C:\Program Files\Symantec
2008-04-22 19:31 --------- d-----w C:\Program Files\Norton 360
2008-04-18 17:40 39,424 --sh--r C:\Windows\livemessenger.com
2008-04-18 17:40 39,424 ----a-w C:\Users\Maaike\IMG00231.JPG-www.imageupload.com
2008-04-17 15:48 --------- d-----w C:\Program Files\Deep Silver
2008-04-14 10:47 --------- d-----w C:\Program Files\Ulead Systems
2008-04-14 10:43 11,014,144 ----a-w C:\Users\Maaike\UGA5TBYB_E_USG.exe
2008-04-14 10:37 --------- d-----w C:\ProgramData\Ulead Systems
2008-04-14 08:43 --------- d-----w C:\Program Files\Packard Bell
2008-04-14 07:40 --------- d-----w C:\Users\Maaike\AppData\Roaming\Ulead Systems
2008-04-13 15:43 --------- d-----w C:\Program Files\PopTop Software
2008-04-10 16:04 --------- d-----w C:\Program Files\CyberQix
2008-04-09 14:29 --------- d-----w C:\Program Files\QuickTime
2008-04-09 14:26 --------- d-----w C:\Program Files\Activision
2008-04-09 14:24 --------- d-----w C:\Program Files\Google
2008-04-09 14:23 --------- d-----w C:\Program Files\CyberLink
2008-04-08 18:19 --------- d-----w C:\ProgramData\QuickTime
2008-04-08 18:16 --------- d-----w C:\Program Files\LEGO Software
2008-04-08 18:11 --------- d-----w C:\Program Files\Microsoft.NET
2008-04-08 15:03 --------- d-----w C:\Users\Maaike\AppData\Roaming\DesktopPlayer
2008-04-08 15:03 --------- d-----w C:\Program Files\Jimi Blue Player
2008-04-03 14:59 --------- d-----w C:\Program Files\EA SPORTS
2008-04-02 19:08 --------- d-----w C:\ProgramData\WLInstaller
2008-04-02 19:08 --------- d-----w C:\Program Files\Windows Live
2008-03-31 20:53 --------- d-----w C:\Program Files\ANI
2008-03-31 20:52 --------- d-----w C:\Program Files\D-Link
2008-03-31 20:51 --------- d-----w C:\Users\Maaike\AppData\Roaming\InstallShield
2008-03-25 21:14 --------- d-----w C:\Program Files\sixteen tons entertainment
2008-03-25 16:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Roxio
2008-03-24 18:57 --------- d-----w C:\Program Files\Meine Tierpension
2008-03-23 17:42 --------- d-----w C:\Program Files\Common Files\Adobe
2008-03-23 14:53 --------- d-----w C:\Program Files\Windows Media-Komponenten
2008-03-23 14:52 --------- d-----w C:\Program Files\Common Files\Ulead Systems
2008-03-23 14:13 --------- d-----w C:\Users\Maaike\AppData\Roaming\HP
2008-03-22 22:25 --------- d-----w C:\Users\Maaike\AppData\Roaming\Packard Bell
2008-03-22 20:33 --------- d-----w C:\Program Files\Common Files\LogiShrd
2008-03-22 20:20 127,034 ------r C:\Windows\bwUnin-8.1.1.50-8876480SL.exe
2008-03-22 20:20 --------- d-----w C:\Program Files\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\LogiShrd
2008-03-22 18:48 --------- d-----w C:\Program Files\Atari
2008-03-22 18:47 9,472 ----a-w C:\Windows\system32\drivers\lemsgt.sys
2008-03-22 18:47 137,344 ----a-w C:\Windows\system32\drivers\hwpsgt.sys
2008-03-22 17:26 --------- d-----w C:\Program Files\AMP Font Viewer
2008-03-22 14:09 --------- d-----w C:\ProgramData\HP
2008-03-22 14:02 --------- d-----w C:\Program Files\Midway
2008-03-22 13:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Printer Info Cache
2008-03-22 13:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Image Zone Express
2008-03-22 12:35 --------- d-----w C:\Program Files\Norton Security Scan
2008-03-22 11:27 --------- d-----w C:\ProgramData\WEBREG
2008-03-22 11:26 --------- d-----w C:\ProgramData\HPSSUPPLY
2008-03-22 11:26 --------- d-----w C:\Program Files\HP
2008-03-22 11:26 --------- d-----w C:\Program Files\Common Files\HP
2008-03-22 11:24 --------- d-----w C:\Program Files\Hewlett-Packard
2008-03-22 11:24 --------- d-----w C:\Program Files\Common Files\Hewlett-Packard
2008-03-22 10:51 --------- d-----w C:\Users\Maaike\AppData\Roaming\Symantec
2008-03-22 06:46 174 --sha-w C:\Program Files\desktop.ini
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Sidebar
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Calendar
2008-03-22 06:21 8,192 ----a-w C:\Windows\System32\riched32.dll
2008-03-22 06:21 77,824 ----a-w C:\Windows\System32\rascfg.dll
2008-03-22 06:21 61,952 ----a-w C:\Windows\system32\drivers\wanarp.sys
2008-03-22 06:21 52,736 ----a-w C:\Windows\System32\rasdiag.dll
2008-03-22 06:21 48,640 ----a-w C:\Windows\system32\drivers\ndproxy.sys
2008-03-22 06:21 384,000 ----a-w C:\Windows\System32\netcfgx.dll
2008-03-22 06:21 32,768 ----a-w C:\Windows\System32\rasmxs.dll
2008-03-22 06:21 22,016 ----a-w C:\Windows\System32\rasser.dll
2008-03-22 06:21 20,480 ----a-w C:\Windows\system32\drivers\ndistapi.sys
2008-03-22 06:18 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-03-22 06:18 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-03-22 06:15 41,984 ----a-w C:\Windows\system32\drivers\monitor.sys
2008-03-22 06:15 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys
2008-03-22 06:14 8,147,968 ----a-w C:\Windows\System32\wmploc.DLL
2008-03-22 06:14 7,680 ----a-w C:\Windows\System32\spwmp.dll
2008-03-22 06:14 4,096 ----a-w C:\Windows\System32\dxmasf.dll
2008-03-22 06:14 356,864 ----a-w C:\Windows\System32\MediaMetadataHandler.dll
2008-03-22 06:12 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-03-22 06:12 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-03-22 06:12 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-03-22 06:12 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-03-22 06:12 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-03-22 06:12 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2007-08-10 20:13 65,536 --sha-w C:\Windows\oem\mp\boot\bootstat.dat
.

((((((((((((((((((((((((((((( snapshot_2008-05-03_23.33.59.80 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-03 21:28:53 67,584 --s-a-w C:\Windows\bootstat.dat
+ 2008-05-03 21:41:27 67,584 --s-a-w C:\Windows\bootstat.dat
- 2008-05-03 21:28:54 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2008-05-03 21:41:28 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2008-05-03 21:28:54 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2008-05-03 21:41:28 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2008-05-03 21:30:20 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 21:42:48 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-03 21:30:24 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-05-03 21:42:58 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
- 2008-05-03 21:31:48 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 21:42:42 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-03 21:33:10 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-05-03 21:44:51 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
- 2008-05-03 21:14:47 425,636 ----a-w C:\Windows\System32\perfc007.dat
+ 2008-05-03 21:40:11 435,460 ----a-w C:\Windows\System32\perfc007.dat
- 2008-05-03 21:14:47 385,248 ----a-w C:\Windows\System32\perfc009.dat
+ 2008-05-03 21:40:13 394,224 ----a-w C:\Windows\System32\perfc009.dat
- 2008-05-03 21:14:47 1,612,804 ----a-w C:\Windows\System32\perfh007.dat
+ 2008-05-03 21:40:12 1,643,484 ----a-w C:\Windows\System32\perfh007.dat
- 2008-05-03 21:14:47 908,200 ----a-w C:\Windows\System32\perfh009.dat
+ 2008-05-03 21:40:14 917,560 ----a-w C:\Windows\System32\perfh009.dat
- 2008-05-03 21:30:48 7,114 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1966895989-983207608-2434261987-1002_UserData.bin
+ 2008-05-03 21:43:28 7,114 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1966895989-983207608-2434261987-1002_UserData.bin
- 2008-05-03 21:30:48 57,764 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-05-03 21:43:27 58,032 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43128818-37A4-452D-B84B-F51BA0FD8710}]
C:\Users\Maaike\AppData\Local\Temp\vtUnmNGY.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-03-22 08:09 1232896]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-08-10 22:24 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 17:10 4468736 C:\Windows\RtHDVCpl.exe]
"Skytel"="Skytel.exe" [2007-05-07 18:51 1826816 C:\Windows\SkyTel.exe]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-09-11 23:28 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-09-11 23:28 8497696]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-09-11 23:28 81920]
"Symantec PIF AlertEng"="C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 18:38 583048]
"LogitechCommunicationsManager"="C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 17:02 563984]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [2007-07-25 17:06 2027792]
"RoxWatchTray"="C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-11 11:40 232184]
"ANIWZCS2Service"="C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 11:49 49152]
"D-Link D-Link Wireless N DWA-140"="C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe" [2007-03-14 18:29 1388544]
"Ulead AutoDetector v2"="C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe" [2007-08-02 22:08 95504]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-03-22 22:20:37 67128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv32"= C:\Windows\system32\ir32_32.dll
"vidc.iv31"= C:\Windows\system32\ir32_32.dll

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=C:\Windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2006-12-10 22:52 49152 C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPService]
C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2007-02-21 03:18 366400 C:\Program Files\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\toolbar_eula_launcher]
--a------ 2007-02-20 18:20 28672 C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
--a------ 2007-08-02 22:08 95504 C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{85364961-8DD7-43C3-AF40-69D4D839DB2F}"= UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{CAAF4B51-03DE-412A-AA4E-96C85D58B807}"= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{3F9B2452-81AA-4084-8727-A648FE55904A}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{F0CC14FE-4303-4E8F-A09B-0296B8A8744F}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{D629062B-F0DF-47B6-9873-19E80A19C6A8}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{75401C2F-6D67-433D-8295-2BDC52413F58}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{50BEEBCA-4A67-4C55-B6FE-9EC529FF0DB0}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{AACF5E19-25EE-4ADC-BB63-66F21578F325}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{84A7D554-74BF-4340-9E22-D05CAD60B2AC}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"TCP Query User{B8E24EB8-A2D1-40E6-8976-EE9650378198}D:\\d-link.exe"= UDP:D:\d-link.exe:Setup Wizard Template
"UDP Query User{76F3E38D-6A60-4E2A-8CC1-4F157EF9A01A}D:\\d-link.exe"= TCP:D:\d-link.exe:Setup Wizard Template
"{FC420349-C1E8-4B1C-8325-52DF8B2379DE}"= Disabled:UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{224FD273-20C8-46A3-A50C-6D419632ADF6}"= Disabled:TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

S3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver;C:\Windows\system32\DRIVERS\rt2870.sys [2007-07-05 04:16]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{306c3741-f765-11dc-9158-806e6f6e6963}]
\shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
\shell\configure\command - D:\SETUP.EXE
\shell\install\command - D:\SETUP.EXE

.
Inhalt des "geplante Tasks" Ordners
"2008-05-03 21:29:59 C:\Windows\Tasks\Erweiterte Garantie.job"
- C:\Program Files\Packard Bell\SetupmyPC\PBCarNot.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-03 23:45:11
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-03 23:46:06
ComboFix-quarantined-files.txt 2008-05-03 21:46:03
ComboFix2.txt 2008-05-03 20:05:03
ComboFix3.txt 2008-05-03 17:59:13

Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.

245 --- E O F --- 2008-05-01 13:40:13

LG Miffi

Sorry, da steckt schon wieder ein Fehler drin, irgendwie läuft da was schief, versuch es nochmal:



Scripten mit Combofix

• Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt

• Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

http://users.pandora.be/bluepatchy/m...s/CFScript.gif

• Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten

Hinweis:
Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

Hi,
das Log

ComboFix 08-04-29.5 - Maaike 2008-05-03 23:59:52.7 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1319 [GMT 2:00]
ausgeführt von:: C:\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2008-04-03 bis 2008-05-03 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-03 18:53 --------- d-----w C:\Program Files\Malwarebytes' Anti-Malware
2008-05-03 18:52 --------- d-----w C:\Users\Maaike\AppData\Roaming\Malwarebytes
2008-05-03 18:52 --------- d-----w C:\ProgramData\Malwarebytes
2008-05-01 14:27 --------- d-----w C:\Program Files\Windows Mail
2008-05-01 14:20 1,780,380 ----a-w C:\ComboFix.exe
2008-05-01 14:16 --------- d-----w C:\Program Files\Windows Live Toolbar
2008-05-01 14:12 --------- d-----w C:\Program Files\GameSpy Arcade
2008-05-01 14:06 --------- d-----w C:\Program Files\CCleaner
2008-05-01 14:04 671,968 ----a-w C:\ccsetup205_slim.exe
2008-04-29 19:08 --------- d-----w C:\Users\Maaike\AppData\Roaming\Skype
2008-04-27 17:35 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-27 17:35 --------- d-----w C:\Program Files\RTL Playtainment
2008-04-25 14:13 --------- d-----w C:\Program Files\Brightstar Entertainment
2008-04-25 14:10 2,855 ----a-w C:\Windows\PIF\INSTALL.PIF
2008-04-23 15:08 --------- d-----w C:\Program Files\Java
2008-04-23 15:07 --------- d-----w C:\Program Files\Common Files\Java
2008-04-22 19:32 --------- d-----w C:\ProgramData\Symantec
2008-04-22 19:32 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-04-22 19:31 --------- d-----w C:\Program Files\Symantec
2008-04-22 19:31 --------- d-----w C:\Program Files\Norton 360
2008-04-18 17:40 39,424 --sh--r C:\Windows\livemessenger.com
2008-04-18 17:40 39,424 ----a-w C:\Users\Maaike\IMG00231.JPG-www.imageupload.com
2008-04-17 15:48 --------- d-----w C:\Program Files\Deep Silver
2008-04-14 10:47 --------- d-----w C:\Program Files\Ulead Systems
2008-04-14 10:43 11,014,144 ----a-w C:\Users\Maaike\UGA5TBYB_E_USG.exe
2008-04-14 10:37 --------- d-----w C:\ProgramData\Ulead Systems
2008-04-14 08:43 --------- d-----w C:\Program Files\Packard Bell
2008-04-14 07:40 --------- d-----w C:\Users\Maaike\AppData\Roaming\Ulead Systems
2008-04-13 15:43 --------- d-----w C:\Program Files\PopTop Software
2008-04-10 16:04 --------- d-----w C:\Program Files\CyberQix
2008-04-09 14:29 --------- d-----w C:\Program Files\QuickTime
2008-04-09 14:26 --------- d-----w C:\Program Files\Activision
2008-04-09 14:24 --------- d-----w C:\Program Files\Google
2008-04-09 14:23 --------- d-----w C:\Program Files\CyberLink
2008-04-08 18:19 --------- d-----w C:\ProgramData\QuickTime
2008-04-08 18:16 --------- d-----w C:\Program Files\LEGO Software
2008-04-08 18:11 --------- d-----w C:\Program Files\Microsoft.NET
2008-04-08 15:03 --------- d-----w C:\Users\Maaike\AppData\Roaming\DesktopPlayer
2008-04-08 15:03 --------- d-----w C:\Program Files\Jimi Blue Player
2008-04-03 14:59 --------- d-----w C:\Program Files\EA SPORTS
2008-04-02 19:08 --------- d-----w C:\ProgramData\WLInstaller
2008-04-02 19:08 --------- d-----w C:\Program Files\Windows Live
2008-03-31 20:53 --------- d-----w C:\Program Files\ANI
2008-03-31 20:52 --------- d-----w C:\Program Files\D-Link
2008-03-31 20:51 --------- d-----w C:\Users\Maaike\AppData\Roaming\InstallShield
2008-03-25 21:14 --------- d-----w C:\Program Files\sixteen tons entertainment
2008-03-25 16:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Roxio
2008-03-24 18:57 --------- d-----w C:\Program Files\Meine Tierpension
2008-03-23 17:42 --------- d-----w C:\Program Files\Common Files\Adobe
2008-03-23 14:53 --------- d-----w C:\Program Files\Windows Media-Komponenten
2008-03-23 14:52 --------- d-----w C:\Program Files\Common Files\Ulead Systems
2008-03-23 14:13 --------- d-----w C:\Users\Maaike\AppData\Roaming\HP
2008-03-22 22:25 --------- d-----w C:\Users\Maaike\AppData\Roaming\Packard Bell
2008-03-22 20:33 --------- d-----w C:\Program Files\Common Files\LogiShrd
2008-03-22 20:20 127,034 ------r C:\Windows\bwUnin-8.1.1.50-8876480SL.exe
2008-03-22 20:20 --------- d-----w C:\Program Files\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\Logitech
2008-03-22 20:16 --------- d-----w C:\ProgramData\LogiShrd
2008-03-22 18:48 --------- d-----w C:\Program Files\Atari
2008-03-22 18:47 9,472 ----a-w C:\Windows\system32\drivers\lemsgt.sys
2008-03-22 18:47 137,344 ----a-w C:\Windows\system32\drivers\hwpsgt.sys
2008-03-22 17:26 --------- d-----w C:\Program Files\AMP Font Viewer
2008-03-22 14:09 --------- d-----w C:\ProgramData\HP
2008-03-22 14:02 --------- d-----w C:\Program Files\Midway
2008-03-22 13:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Printer Info Cache
2008-03-22 13:30 --------- d-----w C:\Users\Maaike\AppData\Roaming\Image Zone Express
2008-03-22 12:35 --------- d-----w C:\Program Files\Norton Security Scan
2008-03-22 11:27 --------- d-----w C:\ProgramData\WEBREG
2008-03-22 11:26 --------- d-----w C:\ProgramData\HPSSUPPLY
2008-03-22 11:26 --------- d-----w C:\Program Files\HP
2008-03-22 11:26 --------- d-----w C:\Program Files\Common Files\HP
2008-03-22 11:24 --------- d-----w C:\Program Files\Hewlett-Packard
2008-03-22 11:24 --------- d-----w C:\Program Files\Common Files\Hewlett-Packard
2008-03-22 10:51 --------- d-----w C:\Users\Maaike\AppData\Roaming\Symantec
2008-03-22 06:46 174 --sha-w C:\Program Files\desktop.ini
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Sidebar
2008-03-22 06:40 --------- d-----w C:\Program Files\Windows Calendar
2008-03-22 06:21 8,192 ----a-w C:\Windows\System32\riched32.dll
2008-03-22 06:21 77,824 ----a-w C:\Windows\System32\rascfg.dll
2008-03-22 06:21 61,952 ----a-w C:\Windows\system32\drivers\wanarp.sys
2008-03-22 06:21 52,736 ----a-w C:\Windows\System32\rasdiag.dll
2008-03-22 06:21 48,640 ----a-w C:\Windows\system32\drivers\ndproxy.sys
2008-03-22 06:21 384,000 ----a-w C:\Windows\System32\netcfgx.dll
2008-03-22 06:21 32,768 ----a-w C:\Windows\System32\rasmxs.dll
2008-03-22 06:21 22,016 ----a-w C:\Windows\System32\rasser.dll
2008-03-22 06:21 20,480 ----a-w C:\Windows\system32\drivers\ndistapi.sys
2008-03-22 06:18 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-03-22 06:18 110,080 ----a-w C:\Windows\system32\drivers\mrxdav.sys
2008-03-22 06:15 41,984 ----a-w C:\Windows\system32\drivers\monitor.sys
2008-03-22 06:15 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys
2008-03-22 06:14 8,147,968 ----a-w C:\Windows\System32\wmploc.DLL
2008-03-22 06:14 7,680 ----a-w C:\Windows\System32\spwmp.dll
2008-03-22 06:14 4,096 ----a-w C:\Windows\System32\dxmasf.dll
2008-03-22 06:14 356,864 ----a-w C:\Windows\System32\MediaMetadataHandler.dll
2008-03-22 06:12 803,328 ----a-w C:\Windows\system32\drivers\tcpip.sys
2008-03-22 06:12 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-03-22 06:12 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-03-22 06:12 216,632 ----a-w C:\Windows\system32\drivers\netio.sys
2008-03-22 06:12 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-03-22 06:12 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2007-08-10 20:13 65,536 --sha-w C:\Windows\oem\mp\boot\bootstat.dat
.

((((((((((((((((((((((((((((( snapshot_2008-05-03_23.33.59.80 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-03 21:28:53 67,584 --s-a-w C:\Windows\bootstat.dat
+ 2008-05-03 21:58:30 67,584 --s-a-w C:\Windows\bootstat.dat
- 2008-05-03 21:28:54 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
+ 2008-05-03 21:58:31 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat
- 2008-05-03 21:28:54 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
+ 2008-05-03 21:58:31 2,048 --sha-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat
- 2008-05-03 21:30:20 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 22:01:09 262,144 ----a-w C:\Windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-03 21:30:24 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
+ 2008-05-03 22:00:07 262,144 --sha-w C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT
- 2008-05-03 21:31:48 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
+ 2008-05-03 22:02:03 262,144 ----a-w C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\UsrClass.dat
- 2008-05-03 21:33:10 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
+ 2008-05-03 22:01:51 262,144 --sha-w C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT
- 2008-05-03 21:14:47 425,636 ----a-w C:\Windows\System32\perfc007.dat
+ 2008-05-03 21:46:31 440,372 ----a-w C:\Windows\System32\perfc007.dat
- 2008-05-03 21:14:47 385,248 ----a-w C:\Windows\System32\perfc009.dat
+ 2008-05-03 21:46:31 398,712 ----a-w C:\Windows\System32\perfc009.dat
- 2008-05-03 21:14:47 1,612,804 ----a-w C:\Windows\System32\perfh007.dat
+ 2008-05-03 21:46:31 1,658,824 ----a-w C:\Windows\System32\perfh007.dat
- 2008-05-03 21:14:47 908,200 ----a-w C:\Windows\System32\perfh009.dat
+ 2008-05-03 21:46:31 922,240 ----a-w C:\Windows\System32\perfh009.dat
- 2008-05-03 21:30:48 7,114 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1966895989-983207608-2434261987-1002_UserData.bin
+ 2008-05-03 22:00:38 7,114 ----a-w C:\Windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1966895989-983207608-2434261987-1002_UserData.bin
- 2008-05-03 21:30:48 57,764 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
+ 2008-05-03 22:00:38 58,244 ----a-w C:\Windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{43128818-37A4-452D-B84B-F51BA0FD8710}]
C:\Users\Maaike\AppData\Local\Temp\vtUnmNGY.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-03-22 08:09 1232896]
"MsnMsgr"="C:\Program Files\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"WMPNSCFG"="C:\Program Files\Windows Media Player\WMPNSCFG.exe" [2006-11-02 14:36 201728]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="C:\Program Files\Windows Defender\MSASCui.exe" [2007-08-10 22:24 1006264]
"RtHDVCpl"="RtHDVCpl.exe" [2007-05-10 17:10 4468736 C:\Windows\RtHDVCpl.exe]
"Skytel"="Skytel.exe" [2007-05-07 18:51 1826816 C:\Windows\SkyTel.exe]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-09-11 23:28 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-09-11 23:28 8497696]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-09-11 23:28 81920]
"Symantec PIF AlertEng"="C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 18:38 583048]
"LogitechCommunicationsManager"="C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe" [2007-07-25 17:02 563984]
"LogitechQuickCamRibbon"="C:\Program Files\Logitech\QuickCam\Quickcam.exe" [2007-07-25 17:06 2027792]
"RoxWatchTray"="C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-11 11:40 232184]
"ANIWZCS2Service"="C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2007-01-19 11:49 49152]
"D-Link D-Link Wireless N DWA-140"="C:\Program Files\D-Link\D-Link Wireless N DWA-140\AirNCFG.exe" [2007-03-14 18:29 1388544]
"Ulead AutoDetector v2"="C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe" [2007-08-02 22:08 95504]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-03-22 22:20:37 67128]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableLUA"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv32"= C:\Windows\system32\ir32_32.dll
"vidc.iv31"= C:\Windows\system32\ir32_32.dll

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=C:\Windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 23:16 39792 C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2006-12-10 22:52 49152 C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPService]
C:\Program Files\CyberLink\MagicSports\Kernel\MagicSports\MSPMirage.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2007-02-21 03:18 366400 C:\Program Files\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\toolbar_eula_launcher]
--a------ 2007-02-20 18:20 28672 C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ulead AutoDetector v2]
--a------ 2007-08-02 22:08 95504 C:\Program Files\Common Files\Ulead Systems\AutoDetector\monitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{85364961-8DD7-43C3-AF40-69D4D839DB2F}"= UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{CAAF4B51-03DE-412A-AA4E-96C85D58B807}"= TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{3F9B2452-81AA-4084-8727-A648FE55904A}"= C:\Program Files\Windows Live\Messenger\livecall.exe:Windows Live Messenger (Phone)
"{F0CC14FE-4303-4E8F-A09B-0296B8A8744F}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{D629062B-F0DF-47B6-9873-19E80A19C6A8}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{75401C2F-6D67-433D-8295-2BDC52413F58}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{50BEEBCA-4A67-4C55-B6FE-9EC529FF0DB0}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{AACF5E19-25EE-4ADC-BB63-66F21578F325}"= UDP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"{84A7D554-74BF-4340-9E22-D05CAD60B2AC}"= TCP:C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe:Logitech Desktop Messenger
"TCP Query User{B8E24EB8-A2D1-40E6-8976-EE9650378198}D:\\d-link.exe"= UDP:D:\d-link.exe:Setup Wizard Template
"UDP Query User{76F3E38D-6A60-4E2A-8CC1-4F157EF9A01A}D:\\d-link.exe"= TCP:D:\d-link.exe:Setup Wizard Template
"{FC420349-C1E8-4B1C-8325-52DF8B2379DE}"= Disabled:UDP:C:\Program Files\Skype\Phone\Skype.exe:Skype
"{224FD273-20C8-46A3-A50C-6D419632ADF6}"= Disabled:TCP:C:\Program Files\Skype\Phone\Skype.exe:Skype

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"EnableFirewall"= 0 (0x0)

S3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver;C:\Windows\system32\DRIVERS\rt2870.sys [2007-07-05 04:16]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{306c3741-f765-11dc-9158-806e6f6e6963}]
\shell\AutoRun\command - D:\SETUP.EXE /AUTORUN
\shell\configure\command - D:\SETUP.EXE
\shell\install\command - D:\SETUP.EXE

.
Inhalt des "geplante Tasks" Ordners
"2008-05-03 22:00:00 C:\Windows\Tasks\Erweiterte Garantie.job"
- C:\Program Files\Packard Bell\SetupmyPC\PBCarNot.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-04 00:02:12
Windows 6.0.6000 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...


C:\Users\Maaike\AppData\Local\Temp\~DF17C6.tmp 65536 bytes
C:\Users\Maaike\AppData\Local\Temp\~DF2D21.tmp 32768 bytes
C:\Users\Maaike\AppData\Local\Temp\~DF40BE.tmp 512 bytes
C:\Users\Maaike\AppData\Local\Temp\~DF40D1.tmp 16384 bytes
C:\Users\Maaike\AppData\Local\Temp\~DF52A9.tmp 512 bytes
C:\Users\Maaike\AppData\Local\Temp\~DF8D89.tmp 512 bytes
C:\Users\Maaike\AppData\Local\Temp\~DF8D9A.tmp 65536 bytes
C:\Users\Maaike\AppData\Local\Temp\~DFDDC.tmp 512 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 8

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-04 0:03:18
ComboFix-quarantined-files.txt 2008-05-03 22:03:14
ComboFix2.txt 2008-05-03 21:46:07
ComboFix3.txt 2008-05-03 20:05:03
ComboFix4.txt 2008-05-03 17:59:13

Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.
Das System hat keinen Meldungstext für die Meldungsnummer 0x2379 in der Meldungsdatei Application gefunden.

254 --- E O F --- 2008-05-01 13:40:13

LG Miffi

Ok einen noch, dann machen wir Schluss für heute.. ;)


Unhackme Rootkit Killer

• Lade dir das unhackme herunter und überprüfe dein System -> UnHackMe - Rootkits finden

• Im Anschluss wird ein Report erstellt, kopiere diesen hier in deinen Beitrag

SDFix

* Lade das SDFix herunter und speichere es auf deinem Desktop.

* Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken.
* Starte deinen Rechner neu auf, in den abgesicherten Modus

* Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
* Gib ein Y ein, um den Reinigungsprozess zu beginnen.
* Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
* Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann.
* Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
* Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
* Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden.
* Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
* Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting.

Hi Sunny,
das mit dem unhack me muss ich später ausprobieren. Hab es zwar schon versucht, aber der will nicht so ganz. Er sagt es ist kein Trojaner vorhanden. Bericht zeigt er keinen an. Es gibt da dann einen Testbericht an regrun selber, den wollte ich dann posten, aber der hat viel zu viele Zeichen. Müßte glaub ich dann 10 posts einstellen. Jetzt werd ich erstmal schlafen gehen.

Vielen vielen Dank für deine Geduld und Hilfe
LG Miffi

Hi Sunny,

hab jetzt nochmal unHackme drüberlaufen lassen. Dasselbe wie heute Nacht. Keinen Trojaner gefunden und dann ein ellenlanger Log (über 200000 Zeichen)

Soll ich jetzt wirklich bis zu 10 Einträge machen oder gibt es dafür einen einfacheren Weg.

LG Miffi

Mach bitte mit dem anderen weiter.. ;)

ok sunny

in den abgesicherten Modus komme ich da über F8 während des Neustartens?
LG Miffi

Richtig, d.h. noch bevor der Bootscreen mit dem Windowslogo erscheint, die Taste F8 drücken.. :)

Hi Sunny,

jetzt tritt ein neues Problem auf. Der Eingabebildschirm verschwindet sofort wieder nach dem Doppelklick (im grunde ein kurzes Blinzeln) Ich kann also gar kein Y eingeben. Und nu was jetzt?

LG Miffi

Mhhh, das könnte alles verdächtig sein, normalerweise funktioniert das.


Ok, versuchen wir es nochmal auf eine andere Weise:

Lies dir die Anleitung zum Tool 2 durch -> Einstieg für Vista User - HijackThis.de Support Board

hier VistaFind Log

Dateien Online überprüfen lassen:

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• lass auch die versteckten Dateien anzeigen!

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Ich kann ansonsten nichts weiter finden, zumal ich nicht glaube das die Dateien dort oben schädlich sind.

Öffnen sich denn immer noch neue Seiten mit Werbung?

Hier nun die Logs zu Virustotal

LG Miffi

Ich werde später mal einen Kollegen hier auf dem Board hinzuziehen, vielleicht habe ich auch noch irgendwas übersehen.

Öffnen sich denn Seiten mit Werbung weiterhin?

Nein bin Werbefrei

LG Miffi

Dann scheint eines der Programme welche wir benutzt haben die Malware gelöscht zu haben!



Combofix Deinstallieren

Klick auf Start -> Ausführen -> eintippen combofix /U

Damit ist Combofix und alle weiteren Programme entfernt wurden.


Beobachte dein System weiterhin, ansonsten melde dich nochmal hier. ;)

Gruß
Sunny

Ok und wirlich herzlichen Dank.
Du hast super Arbeit geleistet.
LG Miffi

Hi Sunny,

leider ist nur Combofix selber verschwunden. Vielleicht liegt es ja an unHackme
der im Hintergrund noch wacht und alles ständig überprüft.

Drauf sind noch

Avanger
OTMoveIT2
VistaFind
...
Haste vielleicht noch ein Putzmittel?

LG Miffi

Starte OtmoveIt und klicke den grünen Clean Button, dann sollte der Rest auch gelöscht werden.

Vistafind kannst du einfach manuell löschen.

Hi Sunny

leider ist immer noch nicht alles runter.

Wie krieg ich denn den unhackme runter. Der zeigt beim starten immer irgendwelche Dateien an und ich soll dann selber entscheiden welche Anzeige
richtig sein könnte. Die überspring ich im Moment. Würde ihn aber gerne runter haben.

Weiterhin sind noch die mbam-setup.exe
und Malwarebytes drauf.

Noch ein Mittelchen bitte.

LG Miffi

Die beide Programme Malwarebytes und Unhackme sollten eigentlich in der Systemsteuerung zu finden sein:

Start -> Systemsteuerung -> Programme:


http://saved.im/mja2mdbuawnu/normal3vicc4.jpg

So jetzt bin ich fertig mit Putzen
Danke Miffi