Trojaner-Board - antiviruspro infektion und blauer bildschirm

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - antiviruspro infektion und blauer bildschirm (https://www.trojaner-board.de/50841-antiviruspro-infektion-blauer-bildschirm.html)

antiviruspro infektion und blauer bildschirm

Hallo,

Habe seit einigen Tagen ein Problem mit meinem Laptop. Und zwar hat sich beim surfen ein Fenster geöffnet, dass einfach ein "Antivirusprogramm" namens Anti-Virus-Pro installiert hat.Dieses befindet sich bei mir unter Programme.
Danach tauchte ein blauer Desktophintergrund auf,in der Mitte die gelbe Nachricht: warning! spyware detected on your computer
das Bild lässt sich umstellen, aber nach neustart ist es wieder da.
Habe schon ein paar sachen ausprobiert:
ersteinmal antivir durchlaufen lassen hat zwar gefunden und gelöscht, aber hintergrund stellt sich immer wieder ein.
blacklight, escan,sdfix alles im abgesicherten modus durchlaufen lassen.
kann damit leider nicht viel anfangen,hoffe ihr könnt mir helfen!
hier mein logfile mit hjt:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:39:01, on 21.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [BluetoothAuthorizationAgent] C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5094 bytes

kann mir niemand helfen? hab angst um meine passwörter..
es ist dringend.

vielen vielen dank

Hallo,
das kann man scnell beheben :)
wende CCleaner und Combofix an + poste dann hier das Log von Combofix
combofix

---

Information: anti-virus-pro
AntiVirusPro löschen

Hey erstmal vielen vielen Dank !

also habe den ccleaner durchgeführt und hier ist das log von Combofix :

ComboFix 08-03-18.1 - Marcel 2008-03-22 13:14:38.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.296 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\All Users\Dokumente\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-22 bis 2008-03-22 ))))))))))))))))))))))))))))))
.

2008-03-22 13:10 . 2008-03-22 13:10 <DIR> d-------- C:\Programme\CCleaner
2008-03-22 13:07 . 2008-03-22 13:07 269,334 --a------ C:\WINDOWS\system32\rmdobedsn.bmp
2008-03-21 18:25 . 2008-03-21 18:25 <DIR> d-------- C:\Programme\antivirus-kaspa
2008-03-21 16:37 . 2008-03-21 16:37 <DIR> d-------- C:\Programme\Trend Micro
2008-03-21 16:04 . 2008-03-21 16:04 269,334 --a------ C:\WINDOWS\system32\qlkjepgfah.bmp
2008-03-19 13:08 . 2008-03-19 13:08 269,334 --a------ C:\WINDOWS\system32\knelkb.bmp
2008-03-19 11:51 . 2008-03-19 11:51 269,334 --a------ C:\WINDOWS\system32\fmlofapgbqh.bmp
2008-03-19 11:37 . 2008-03-19 11:37 269,334 --a------ C:\WINDOWS\system32\jetorelsnilkn.bmp
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-03-19 11:24 . 2008-03-19 11:29 26 --a------ C:\WINDOWS\Lic.xxx
2008-03-19 11:23 . 2002-12-31 13:00 153,600 --a------ C:\WINDOWS\R.COM
2008-03-19 11:23 . 2002-12-31 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-03-19 11:15 . 2008-03-19 11:15 269,334 --a------ C:\WINDOWS\system32\grapknmt.bmp
2008-03-19 11:04 . 2008-03-19 11:04 269,334 --a------ C:\WINDOWS\system32\dgnqhsn.bmp
2008-03-19 10:32 . 2008-03-19 10:32 <DIR> d-------- C:\WINDOWS\ERUNT
2008-03-19 10:29 . 2008-03-19 11:04 <DIR> d-------- C:\SDFix
2008-03-18 23:56 . 2008-03-18 23:56 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\Anti-Virus-Pro.com
2008-03-18 23:00 . 2008-03-18 23:00 <DIR> d-------- C:\Programme\Avira
2008-03-18 23:00 . 2008-03-18 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-18 18:46 . 2008-03-19 11:09 <DIR> d-------- C:\Programme\AntiVirusPro
2008-03-18 18:45 . 2008-03-18 18:45 18,432 --a------ C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe
2008-03-02 17:20 . 2008-03-22 13:07 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-02 17:20 . 2008-03-02 17:20 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-14 11:18 --------- d-----w C:\Programme\iTunes
2008-03-14 11:18 --------- d-----w C:\Programme\iPod
2008-03-02 16:18 --------- d-----w C:\Programme\QuickTime
2008-02-07 15:19 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:11 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2004-02-24 18:08 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-02-03 20:10 335872]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-10 03:37 87751 C:\WINDOWS\AGRSMMSG.exe]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-06-17 02:40 126976]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-06-17 02:40 561152]
"Hcontrol"="C:\WINDOWS\ATK0100\Hcontrol.exe" [2003-09-08 15:02 61440]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-31 23:13 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 13:10 267048]
"BluetoothAuthorizationAgent"="C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe" [2008-03-18 18:45 18432]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-18 23:01 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 00:17:18 147456]
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 00:06:58 28672]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bearshare\\BearShare.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 rmedia;Ricoh MediaCard Driver;C:\WINDOWS\system32\DRIVERS\rmedia.sys [2002-12-24 18:52]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\start.bat

.
Inhalt des "geplante Tasks" Ordners
"2008-03-06 17:21:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-01-07 12:00:24 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1191493774.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-22 13:15:37
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-22 13:16:02
ComboFix-quarantined-files.txt 2008-03-22 12:15:52
ComboFix2.txt 2008-03-19 10:57:00

ist der virus jetzt schon weg oder muss ich noch etwas machen ?

lg

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\fmlofapgbqh.bmp
C:\WINDOWS\system32\jetorelsnilkn.bmp
C:\WINDOWS\system32\knelkb.bmp

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 2)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Desweiteren, hast du das hier schon abgearbeitet?

AntiVirusPro löschen

so habe das mit virustotal durchgeführt und hier sind die ergebnisse:

fmlofapgbqh.bmp
___________________________________________________________
Datei fmlofapgbqh.bmp empfangen 2008.03.22 13:59:09 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.22.1 2008.03.21 -
AntiVir 7.6.0.75 2008.03.21 -
Authentium 4.93.8 2008.03.22 -
Avast 4.7.1098.0 2008.03.22 -
AVG 7.5.0.516 2008.03.21 -
BitDefender 7.2 2008.03.22 -
CAT-QuickHeal 9.50 2008.03.21 -
ClamAV 0.92.1 2008.03.22 -
DrWeb 4.44.0.09170 2008.03.22 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5633 2008.03.21 -
Ewido 4.0 2008.03.22 -
F-Prot 4.4.2.54 2008.03.22 -
F-Secure 6.70.13260.0 2008.03.21 -
FileAdvisor 1 2008.03.22 -
Fortinet 3.14.0.0 2008.03.21 -
Ikarus T3.1.1.20 2008.03.22 -
Kaspersky 7.0.0.125 2008.03.22 -
McAfee 5257 2008.03.21 -
Microsoft 1.3301 2008.03.22 -
NOD32v2 2967 2008.03.21 -
Norman 5.80.02 2008.03.20 -
Panda 9.0.0.4 2008.03.22 -
Prevx1 V2 2008.03.22 -
Rising 20.36.42.00 2008.03.21 -
Sophos 4.27.0 2008.03.22 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.22 -
TheHacker 6.2.92.250 2008.03.19 -
VBA32 3.12.6.3 2008.03.21 -
VirusBuster 4.3.26:9 2008.03.21 -
Webwasher-Gateway 6.6.2 2008.03.22 -
weitere Informationen
File size: 269334 bytes
MD5: 048d36722cdedb58886c9ea795b05684
SHA1: 22e25a21e3f4f4dc2f92dc02bed8714cfd1f947c
PEiD: -

jetorelsnilkn.bmp
__________________________________________________________

Datei jetorelsnilkn.bmp empfangen 2008.03.22 13:52:48 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.22.1 2008.03.21 -
AntiVir 7.6.0.75 2008.03.21 -
Authentium 4.93.8 2008.03.22 -
Avast 4.7.1098.0 2008.03.22 -
AVG 7.5.0.516 2008.03.21 -
BitDefender 7.2 2008.03.22 -
CAT-QuickHeal 9.50 2008.03.21 -
ClamAV 0.92.1 2008.03.22 -
DrWeb 4.44.0.09170 2008.03.22 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5633 2008.03.21 -
Ewido 4.0 2008.03.22 -
F-Prot 4.4.2.54 2008.03.22 -
F-Secure 6.70.13260.0 2008.03.21 -
FileAdvisor 1 2008.03.22 -
Fortinet 3.14.0.0 2008.03.21 -
Ikarus T3.1.1.20 2008.03.22 -
Kaspersky 7.0.0.125 2008.03.22 -
McAfee 5257 2008.03.21 -
Microsoft 1.3301 2008.03.22 -
NOD32v2 2967 2008.03.21 -
Norman 5.80.02 2008.03.20 -
Panda 9.0.0.4 2008.03.22 -
Prevx1 V2 2008.03.22 -
Rising 20.36.42.00 2008.03.21 -
Sophos 4.27.0 2008.03.22 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.22 -
TheHacker 6.2.92.250 2008.03.19 -
VBA32 3.12.6.3 2008.03.21 -
VirusBuster 4.3.26:9 2008.03.21 -
Webwasher-Gateway 6.6.2 2008.03.22 -
weitere Informationen
File size: 269334 bytes
MD5: 048d36722cdedb58886c9ea795b05684
SHA1: 22e25a21e3f4f4dc2f92dc02bed8714cfd1f947c
PEiD: -

______________________________________________________

Datei knelkb.bmp empfangen 2008.03.22 14:07:32 (CET)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.22.1 2008.03.21 -
AntiVir 7.6.0.75 2008.03.21 -
Authentium 4.93.8 2008.03.22 -
Avast 4.7.1098.0 2008.03.22 -
AVG 7.5.0.516 2008.03.21 -
BitDefender 7.2 2008.03.22 -
CAT-QuickHeal 9.50 2008.03.21 -
ClamAV 0.92.1 2008.03.22 -
DrWeb 4.44.0.09170 2008.03.22 -
eSafe 7.0.15.0 2008.03.18 -
eTrust-Vet 31.3.5633 2008.03.21 -
Ewido 4.0 2008.03.22 -
F-Prot 4.4.2.54 2008.03.22 -
F-Secure 6.70.13260.0 2008.03.21 -
FileAdvisor 1 2008.03.22 -
Fortinet 3.14.0.0 2008.03.21 -
Ikarus T3.1.1.20 2008.03.22 -
Kaspersky 7.0.0.125 2008.03.22 -
McAfee 5257 2008.03.21 -
Microsoft 1.3301 2008.03.22 -
NOD32v2 2967 2008.03.21 -
Norman 5.80.02 2008.03.20 -
Panda 9.0.0.4 2008.03.22 -
Prevx1 V2 2008.03.22 -
Rising 20.36.42.00 2008.03.21 -
Sophos 4.27.0 2008.03.22 -
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.22 -
TheHacker 6.2.92.250 2008.03.19 -
VBA32 3.12.6.3 2008.03.21 -
VirusBuster 4.3.26:9 2008.03.21 -
Webwasher-Gateway 6.6.2 2008.03.22 -
weitere Informationen
File size: 269334 bytes
MD5: 048d36722cdedb58886c9ea795b05684
SHA1: 22e25a21e3f4f4dc2f92dc02bed8714cfd1f947c
PEiD: -

lg

habe jetzt auch "antiviruspro löschen" abgearbeitet und hier ist das neue log von combofix:

ComboFix 08-03-18.1 - Marcel 2008-03-22 14:33:01.3 - NTFSx86

ausgeführt von:: C:\Dokumente und Einstellungen\All Users\Dokumente\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Marcel\Desktop\cfscript.txt.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\altvxvm.dll
C:\WINDOWS\bokpkov.dll
C:\WINDOWS\etlrlws.dll
C:\WINDOWS\fmsxwqs.exe
C:\WINDOWS\system32\iesearch.dll
C:\WINDOWS\system32\msram.dll
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\snmpkn.bmp
.
TimedOut: Windir.dat

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\AntiVirusPro
C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten\Anti-Virus-Pro.com

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-22 bis 2008-03-22 ))))))))))))))))))))))))))))))
.

2008-03-22 14:22 . 2008-03-22 14:22 269,334 --a------ C:\WINDOWS\system32\cfqdsrahkjal.bmp
2008-03-22 13:10 . 2008-03-22 13:10 <DIR> d-------- C:\Programme\CCleaner
2008-03-22 13:07 . 2008-03-22 13:07 269,334 --a------ C:\WINDOWS\system32\rmdobedsn.bmp
2008-03-21 18:25 . 2008-03-21 18:25 <DIR> d-------- C:\Programme\antivirus-kaspa
2008-03-21 16:37 . 2008-03-21 16:37 <DIR> d-------- C:\Programme\Trend Micro
2008-03-21 16:04 . 2008-03-21 16:04 269,334 --a------ C:\WINDOWS\system32\qlkjepgfah.bmp
2008-03-19 13:08 . 2008-03-19 13:08 269,334 --a------ C:\WINDOWS\system32\knelkb.bmp
2008-03-19 11:51 . 2008-03-19 11:51 269,334 --a------ C:\WINDOWS\system32\fmlofapgbqh.bmp
2008-03-19 11:37 . 2008-03-19 11:37 269,334 --a------ C:\WINDOWS\system32\jetorelsnilkn.bmp
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-03-19 11:24 . 2008-03-19 11:29 26 --a------ C:\WINDOWS\Lic.xxx
2008-03-19 11:23 . 2002-12-31 13:00 153,600 --a------ C:\WINDOWS\R.COM
2008-03-19 11:23 . 2002-12-31 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-03-19 11:15 . 2008-03-19 11:15 269,334 --a------ C:\WINDOWS\system32\grapknmt.bmp
2008-03-19 11:04 . 2008-03-19 11:04 269,334 --a------ C:\WINDOWS\system32\dgnqhsn.bmp
2008-03-19 10:32 . 2008-03-19 10:32 <DIR> d-------- C:\WINDOWS\ERUNT
2008-03-19 10:29 . 2008-03-19 11:04 <DIR> d-------- C:\SDFix
2008-03-18 23:56 . 2008-03-18 23:56 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\Anti-Virus-Pro.com
2008-03-18 23:00 . 2008-03-18 23:00 <DIR> d-------- C:\Programme\Avira
2008-03-18 23:00 . 2008-03-18 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-18 18:45 . 2008-03-18 18:45 18,432 --a------ C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe
2008-03-02 17:20 . 2008-03-22 14:35 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-02 17:20 . 2008-03-02 17:20 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-14 11:18 --------- d-----w C:\Programme\iTunes
2008-03-14 11:18 --------- d-----w C:\Programme\iPod
2008-03-02 16:18 --------- d-----w C:\Programme\QuickTime
2008-02-07 15:19 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:11 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2004-02-24 18:08 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-02-03 20:10 335872]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-10 03:37 87751 C:\WINDOWS\AGRSMMSG.exe]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-06-17 02:40 126976]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-06-17 02:40 561152]
"Hcontrol"="C:\WINDOWS\ATK0100\Hcontrol.exe" [2003-09-08 15:02 61440]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-31 23:13 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 13:10 267048]
"BluetoothAuthorizationAgent"="C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe" [2008-03-18 18:45 18432]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-18 23:01 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bearshare\\BearShare.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 rmedia;Ricoh MediaCard Driver;C:\WINDOWS\system32\DRIVERS\rmedia.sys [2002-12-24 18:52]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\start.bat

.
Inhalt des "geplante Tasks" Ordners
"2008-03-06 17:21:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-01-07 12:00:24 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1191493774.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-22 14:35:37
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-22 14:36:50 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-22 13:36:48
ComboFix2.txt 2008-03-22 12:16:03
ComboFix3.txt 2008-03-19 10:57:00

_________________________________

nebenbeibemerkt hatte ich allerdings nach einem neustart immernoch dieses blaue hintergrundbild

Hallo,
würd nur noch gern wissen ob mein pc jetzt sauber ist? aber hab halt immer noch den blauen hintergrund und er geht nicht weg...
vielleicht hat noch jemand einen tip?

lg

Zitat:

Zitat von shira (Beitrag 330093)

Hallo,
würd nur noch gern wissen ob mein pc jetzt sauber ist? aber hab halt immer noch den blauen hintergrund und er geht nicht weg...
vielleicht hat noch jemand einen tip?

lg

Hast du das Smitfraudfix-tool auch nochmal durchlaufen lassen?
Ansonsten hier nochmal die Anleitung dazu:

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 2)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

hi hab smitfraud durchlaufen lassen, doch wie es aussieht ist der hintergrung immernoch derselbe...
hier das log:

SmitFraudFix v2.307

Scan done at 13:43:09,47, 24.03.2008
Run from C:\Dokumente und Einstellungen\Marcel\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5CE1059E-6444-4A10-BBDA-5F48380D568C}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5CE1059E-6444-4A10-BBDA-5F48380D568C}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{5CE1059E-6444-4A10-BBDA-5F48380D568C}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\systems.txt Please, Reboot and Run SmitfraudFix option 2 once again.

»»»»»»»»»»»»»»»»»»»»»»»» End

___________________________________

das bedeutet doch jetzt das die malware immer noch nicht weg ist oder ?
trotzdem erstmal vielen dank für alles
hoffe es fällt euch noch was ein ?

Folge dieser Anleitung zum Avenger -> The Avenger

Kopiere dieses Script in das weiße Fenster und gehe vor wie es dir vorgegeben wurde in der Anleitung:

Zitat:

Files to delete:
C:\WINDOWS\system32\cfqdsrahkjal.bmp
C:\WINDOWS\system32\rmdobedsn.bmp
C:\WINDOWS\system32\qlkjepgfah.bmp
C:\WINDOWS\system32\knelkb.bmp
C:\WINDOWS\system32\fmlofapgbqh.bmp
C:\WINDOWS\system32\jetorelsnilkn.bmp
C:\WINDOWS\system32\grapknmt.bmp
C:\WINDOWS\system32\dgnqhsn.bmp

Folders to delete:
C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\Anti-Virus-Pro.com

Desweiteren solltest du danach folgendes tun:

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Online-Viren-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

hallöchen

habe den avenger durchgeführt und auch den kaspersky onlinescanner, welcher ziemlich lange gebraucht hat.

das kasp log:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 24. März 2008 17:00:08
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 24/03/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 593026
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
C:\
D:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 35894
Viren gefunden: 1
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 2
Untersuchungszeit: 00:55:47

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Marcel\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Marcel\Eigene Dateien\pinfect.zip/BluetoothAuthorizationAgent.exe Verdächtige Objekte: Password-protected-EXE übersprungen
C:\Dokumente und Einstellungen\Marcel\Eigene Dateien\pinfect.zip ZIP: verdächtig - 1 übersprungen
C:\Dokumente und Einstellungen\Marcel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Marcel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Marcel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Marcel\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Marcel\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Marcel\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{947EFE89-815A-41D6-8581-80796D070995}\RP142\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.
_______________________

was kann ich jetzt machen ?

lg

hmmmm,
habe jetzt schon so viele sachen ausprobiert und der blaue bildschirm mit dem " Warning" in der mitte kommt immer wieder und geht nicht weg. könnt ihr mir nicht vllt noch einen tip geben was ich tun kann.
BZW könnt ihr eine Stellung abgeben wie der o.g. LOG von Kaspersky aussieht? Wäre super. Bin euch echt dankbar für die Hilfe.

Zitat:

Zitat von shira (Beitrag 330645)

Sorry, hab dich ganz aus den "Augen" verloren. :o

Bitte nochmal ein neues:

ComboFix

-Lade dir das Tool hier herunter -> KLICK

Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

Anleitung Combofix

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

viiielen dank es sieht gut aus ! der hintergrund ist endlich wieder meiner!!

malwarebytes hatte immerhin an die 38 infizierte dateien gefunden..
ist mein pc jetzt definitiv sauber oder muss ich noch irgendetwas überprüfen ?

aber tausend dank

lg

Zitat:

Zitat von shira (Beitrag 330695)

viiielen dank es sieht gut aus ! der hintergrund ist endlich wieder meiner!!

Poste bitte noch den Verlauf von Combofix, auch wenn alles wieder funktioniert muss noch lange nicht alles entfernt worden sein. ;)

nun denn hoffentlich der finale test ;)

das log von combofix:

ComboFix 08-03-18.1 - Marcel 2008-03-25 21:50:24.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.316 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\All Users\Dokumente\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-25 bis 2008-03-25 ))))))))))))))))))))))))))))))
.

2008-03-25 20:24 . 2008-03-25 20:31 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-25 20:24 . 2008-03-25 20:24 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\Malwarebytes
2008-03-25 20:24 . 2008-03-25 20:24 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-25 20:19 . 2008-03-25 20:19 269,334 --a------ C:\WINDOWS\system32\nehsbqdofqt.bmp
2008-03-25 19:44 . 2008-03-25 19:44 269,334 --a------ C:\WINDOWS\system32\qporqd.bmp
2008-03-24 14:21 . 2008-03-24 14:21 269,334 --a------ C:\WINDOWS\system32\sralkf.bmp
2008-03-24 14:03 . 2008-03-24 14:03 269,334 --a------ C:\WINDOWS\system32\gnatonid.bmp
2008-03-24 13:47 . 2008-03-24 13:47 269,334 --a------ C:\WINDOWS\system32\ehkrmhkbil.bmp
2008-03-24 13:32 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-03-24 13:32 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-03-24 13:32 . 2008-03-22 15:49 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-03-24 13:32 . 2008-03-15 17:16 82,432 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-03-24 13:32 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-03-24 13:32 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-03-24 13:32 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-03-24 13:32 . 2008-03-24 13:43 2,552 --a------ C:\WINDOWS\system32\tmp.reg
2008-03-22 14:40 . 2008-03-22 14:40 269,334 --a------ C:\WINDOWS\system32\ehgfidcf.bmp
2008-03-22 14:35 . 2008-03-22 14:35 269,334 --a------ C:\WINDOWS\system32\hkrmdsnqlcb.bmp
2008-03-22 13:10 . 2008-03-22 13:10 <DIR> d-------- C:\Programme\CCleaner
2008-03-21 18:25 . 2008-03-21 18:25 <DIR> d-------- C:\Programme\antivirus-kaspa
2008-03-21 16:37 . 2008-03-21 16:37 <DIR> d-------- C:\Programme\Trend Micro
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-03-19 11:31 . 2008-03-19 11:31 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-03-19 11:24 . 2008-03-19 11:29 26 --a------ C:\WINDOWS\Lic.xxx
2008-03-19 11:23 . 2002-12-31 13:00 153,600 --a------ C:\WINDOWS\R.COM
2008-03-19 11:23 . 2002-12-31 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-03-19 10:32 . 2008-03-19 10:32 <DIR> d-------- C:\WINDOWS\ERUNT
2008-03-19 10:29 . 2008-03-19 11:04 <DIR> d-------- C:\SDFix
2008-03-18 23:00 . 2008-03-18 23:00 <DIR> d-------- C:\Programme\Avira
2008-03-18 23:00 . 2008-03-18 23:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-03-02 17:20 . 2008-03-25 21:46 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-02 17:20 . 2008-03-02 17:20 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-14 11:18 --------- d-----w C:\Programme\iTunes
2008-03-14 11:18 --------- d-----w C:\Programme\iPod
2008-03-02 16:18 --------- d-----w C:\Programme\QuickTime
2008-02-07 15:19 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 00:11 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIModeChange"="Ati2mdxx.exe" [2004-02-24 18:08 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-02-03 20:10 335872]
"AGRSMMSG"="AGRSMMSG.exe" [2003-06-10 03:37 87751 C:\WINDOWS\AGRSMMSG.exe]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-06-17 02:40 126976]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-06-17 02:40 561152]
"Hcontrol"="C:\WINDOWS\ATK0100\Hcontrol.exe" [2003-09-08 15:02 61440]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-31 23:13 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 13:10 267048]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-18 23:01 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [2003-04-06 00:17:18 147456]
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 00:06:58 28672]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bearshare\\BearShare.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

R0 rmedia;Ricoh MediaCard Driver;C:\WINDOWS\system32\DRIVERS\rmedia.sys [2002-12-24 18:52]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\start.bat

.
Inhalt des "geplante Tasks" Ordners
"2008-03-06 17:21:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-01-07 12:00:24 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1191493774.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-25 21:51:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-25 21:51:50
ComboFix-quarantined-files.txt 2008-03-25 20:51:42
ComboFix2.txt 2008-03-25 19:17:55
ComboFix3.txt 2008-03-22 13:36:51
ComboFix4.txt 2008-03-22 12:16:03
ComboFix5.txt 2008-03-19 10:57:00
________________________________________________________

und wie siehts aus ?

hallöchen !

würd nur gern wissen ob mit meinem rechner jetzt alles wieder ok ist und ich ihn wieder benutzen kann ???

dankeschön!

Zitat:

Zitat von shira (Beitrag 331044)

hallöchen !

würd nur gern wissen ob mit meinem rechner jetzt alles wieder ok ist und ich ihn wieder benutzen kann ???

dankeschön!

Sorry, du bist wohl irgendwie "untergegangen" .. ;)

Ich brauche unbedingt noch die Auswertung von Malwarebytes, das hast du doch schon durchgeführt, oder?! ;)

Hier nochmal die Anleitung:

Malwarebytes' Anti-Malware

Lies dir die Entfernungsanleitung durch und lass alles entfernen was gefunden wurde:

Download von Malwarebytes' Anti-Malware

ja genau hab ich schon durchgeführt und scheint geholfen zu haben :

Malwarebytes' Anti-Malware 1.08
Datenbank Version: 471

Scan Art: Schnell Scan
Objekte gescannt: 26329
Scan Dauer: 3 minute(s), 23 second(s)

Infizierte Speicher Prozesse: 1
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 35
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe (Trojan.Downloader) -> Unloaded process successfully.

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{7afdb136-8433-46af-9d8d-42ab37cccd0f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9222ee90-928a-455e-9298-98d41f2f5ce3} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{c9328120-16f7-4aa3-9408-60fd5bdcc37f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d4ad2785-64dc-4c22-9c1d-62fa759ea137} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{5addfe10-9b32-4489-adc3-495750b7eaf9} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{07ef06d7-8ba8-4f5a-886b-84cc38fcdf5f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{10f07e10-ba78-4162-82e9-4caad2d18478} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{11df24a1-a106-4c7f-bf2c-f7d5411fe74e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2036b120-bd5d-4e50-b82f-d4d6d522f68e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{215f19fd-a509-4e03-958e-ea3b3f9b2ff9} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{280c7289-8caf-446a-98fe-c0f9217cee1e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2dd00c35-ae7f-4b96-912d-1a991b66f363} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{2fa9e9a6-5956-4977-9bef-a067b996f96f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{305dbf41-6179-4d97-87a8-bb23b0ff74fe} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{3e755986-4cd0-4cfe-bfa5-23cdfd354288} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4463934e-005b-4b73-8881-9e58603b2dcb} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4f8252da-ddbd-4e3f-a84d-6d4ef8bacd4e} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4fdbc56b-873e-4663-ae52-0a60f2bf2053} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{58da7d32-ce59-4e58-9b6e-295ed4986dd3} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{5e6ae9e1-1495-4ade-b94c-9416458f75b7} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{6788fa7b-f9fb-4d97-a631-11171519ec47} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{68579fa8-3b04-49c1-9cc7-6f36f71e17dc} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9f18caba-442d-4ab9-82f7-db4c7a93dc3c} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{afe2f1ad-488f-4845-8707-76b31e6aa7ff} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{bfe95ca1-4501-48e3-813d-ff5cbc335d0d} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{c6b25ff9-9788-4377-840f-e6990f990b56} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{cd959f6a-3083-42cd-8b9a-e5a79897f071} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d0da99db-1661-464d-ad36-52f0d03b959f} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d2bed334-77e8-47fe-b68c-ff7179114ee4} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d4b336b9-03d5-47df-984d-1135d4a10999} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{db29e08e-bc52-40a7-8099-0935d7dbee63} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{e359a09a-6e50-4e21-8079-329efa21db86} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f14759bd-36b5-4c42-9451-00db471ab5c2} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{fff85aa2-8c3e-43f5-934b-31eeab0258bc} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{ada69949-6704-425c-808e-cf86f5666aba} (Rogue.AntiVirusPro) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BluetoothAuthorizationAgent (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\BluetoothAuthorizationAgent.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

vielen dank fürs drüberschauen !!

Es ist für dich leider noch nicht beendet: :o

Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE]

Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Lauferken.

hey also hier die 2 logs von deckard :

Code:

Deckard's System Scanner v20071014.68

Extra logfile - please post this as an attachment with your post.

--------------------------------------------------------------------------------
 

-- System Information ----------------------------------------------------------
 

Microsoft Windows XP Professional (build 2600) SP 2.0

Architecture: X86; Language: German
 

CPU 0: Intel(R) Pentium(R) M processor 1.60GHz

Percentage of Memory in Use: 40%

Physical Memory (total/avail): 510.98 MiB / 302.05 MiB

Pagefile Memory (total/avail): 1249.48 MiB / 1019.97 MiB

Virtual Memory (total/avail): 2047.88 MiB / 1937.69 MiB
 

C: is Fixed (NTFS) - 74.52 GiB total, 44.86 GiB free. 

D: is CDROM (CDFS)
 

\\.\PHYSICALDRIVE0 - TOSHIBA MK8032GAX - 74.53 GiB - 1 partition

  \PARTITION0 (bootable) - Installierbares Dateisystem - 74.52 GiB - C:
 
 
 

-- Security Center -------------------------------------------------------------
 

Windows Internal Firewall is disabled.
 

FirstRunDisabled is set.
 

AV: Avira AntiVir PersonalEdition v 7.0.3.83

 (Avira GmbH)
 

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
 

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Programme\\Bearshare\\BearShare.exe"="C:\\Programme\\Bearshare\\BearShare.exe:*:Enabled:BearShare"

"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
 
 

-- Environment Variables -------------------------------------------------------
 

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users

APPDATA=C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten

CLASSPATH=.;C:\Programme\QuickTime\QTSystem\QTJava.zip

CLIENTNAME=Console

CommonProgramFiles=C:\Programme\Gemeinsame Dateien

COMPUTERNAME=CHRISTINA

ComSpec=C:\WINDOWS\system32\cmd.exe

FP_NO_HOST_CHECK=NO

HOMEDRIVE=C:

HOMEPATH=\Dokumente und Einstellungen\Marcel

LOGONSERVER=\\CHRISTINA

NUMBER_OF_PROCESSORS=1

OS=Windows_NT

Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\system32\wbem;C:\Programme\ATI Technologies\ATI Control Panel;C:\Programme\QuickTime\QTSystem

PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH

PROCESSOR_ARCHITECTURE=x86

PROCESSOR_IDENTIFIER=x86 Family 6 Model 13 Stepping 6, GenuineIntel

PROCESSOR_LEVEL=6

PROCESSOR_REVISION=0d06

ProgramFiles=C:\Programme

PROMPT=$P$G

QTJAVA=C:\Programme\QuickTime\QTSystem\QTJava.zip

SESSIONNAME=Console

SystemDrive=C:

SystemRoot=C:\WINDOWS

TEMP=C:\DOKUME~1\Marcel\LOKALE~1\Temp

TMP=C:\DOKUME~1\Marcel\LOKALE~1\Temp

USERDOMAIN=CHRISTINA

USERNAME=Marcel

USERPROFILE=C:\Dokumente und Einstellungen\Marcel

windir=C:\WINDOWS
 
 

-- User Profiles ---------------------------------------------------------------
 

Marcel (admin)
 
 

-- Add/Remove Programs ---------------------------------------------------------
 

 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{BAD400A0-F924-4BB6-9651-CD45642B3917}\SETUP.EXE" -l0x9 anything

 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf

Actiontec MDC AC'97 Modem v2122D --> agrsmdel

Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}

Apple Mobile Device Support --> MsiExec.exe /I{44734179-8A79-4DEE-BB08-73037F065543}

Apple Software Update --> MsiExec.exe /I{B74F042E-E1B9-4A5B-8D46-387BB172F0A4}

ATI - Dienstprogramm zur Deinstallation der Software --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe

ATI Control Panel --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{0BEDBD4E-2D34-47B5-9973-57E62B29307C}\setup.exe" 

ATI Display Driver --> rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class:DISPLAY -clean

ATK0100 ACPI UTILITY --> C:\WINDOWS\ATK0100\XPunin.exe

Avira AntiVir PersonalEdition Classic --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE

AviSynth 2.5 --> "C:\Programme\AviSynth 2.5\Uninstall.exe"

BearShare --> C:\PROGRA~1\BEARSH~1\UNWISE.EXE C:\PROGRA~1\BEARSH~1\INSTALL.LOG

CCleaner (remove only) --> "C:\Programme\CCleaner\uninst.exe"

EMEA02 --> MsiExec.exe /X{949460AD-3C77-44FD-8D78-BF605EF28114}

Free Video to iPod Converter version 2.4 --> "C:\Programme\Free Video to iPod Converter\unins000.exe"

HijackThis 2.0.2 --> "C:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall

HP Foto- und Bildbearbeitung 2.0 - All-in-One --> MsiExec.exe /X{9867A917-5D17-40DE-83BA-BEA5293194B1}

HP Foto- und Bildbearbeitung 2.0 All-in-One Treiber --> MsiExec.exe /X{6ECB39BD-73C2-44DD-B1A0-898207C58D8B}

HP Foto und Bildbearbeitung 2.0 - hp psc 1200 series --> C:\Programme\Hewlett-Packard\Digital Imaging\{7C8BB31C-E09E-4c7d-BBF1-45E33B467FE1}\Setup\hpzscr01.exe -datfile hposcr02.dat -forcereboot

hp psc 1200 series --> MsiExec.exe /X{C900EF06-2E76-49C7-8DB0-41F629B21DC5}

HP Speicher-Disc --> MsiExec.exe /X{B376402D-58EA-45EA-BD50-DD924EB67A70}

iDump Build: 24 --> C:\Programme\iDump\uninst.exe

iPod for Windows 2006-01-10 --> C:\Programme\Gemeinsame Dateien\InstallShield\Driver\8\Intel 32\IDriver.exe /M{3D047C15-C859-45F7-81CE-F2681778069B} /l1031 

iTunes --> MsiExec.exe /I{80FD852F-5AAC-4129-B931-06AAFFA43138}

Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"

Microsoft Office XP Professional mit FrontPage --> MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}

PhotoBookWorld 1.2 --> C:\Programme\PhotoBookWorld\unins000.exe

QuickTime --> MsiExec.exe /I{BFD96B89-B769-4CD6-B11E-E79FFD46F067}

RTLSetup for Realtek RTL8139/810x Family NIC 3.00 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{97AA0C55-AFAD-4126-B21C-F1318FB6DADA}\SETUP.EXE" -l0x9 REMOVE

SAMSUNG CDMA Modem Driver Set --> C:\WINDOWS\system32\Samsung_USB_Drivers\3\SSCDUninstall.exe

SAMSUNG Mobile USB Modem ^^ --> C:\WINDOWS\system32\Samsung_USB_Drivers\4\SSVDUninstall.exe

SAMSUNG Mobile USB Modem 1.0 Software --> C:\WINDOWS\system32\Samsung_USB_Drivers\1\SS_Uninstall.exe

SAMSUNG Mobile USB Modem Software --> C:\WINDOWS\system32\Samsung_USB_Drivers\2\SSM_Uninstall.exe

Samsung PC Studio --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{C4A4722E-79F9-417C-BD72-8D359A090C97}\setup.exe" -l0x7  -removeonly

Samsung PC Studio 3 USB Driver Installer --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EBA29752-DDD2-4B62-B2E3-9841F92A3E3A}\setup.exe" -l0x7  -removeonly

Synaptics TouchPad --> rundll32.exe "C:\Programme\Synaptics\SynTP\SynISDLL.dll",standAloneUninstall
 
 

-- Application Event Log -------------------------------------------------------
 

Event Record #/Type1427 / Warning

Event Submitted/Written: 03/27/2008 05:47:04 PM

Event ID/Source: 4113 / H+BEDV AntiVir

Event Description:

AntiVir erkannte in der Datei

C:\Dokumente und Einstellungen\Marcel\Desktop\SmitfraudFix.exe

verdächtigen Code mit der Bezeichnung 'DR/Tool.Reboot.F.69'!
 

Event Record #/Type1398 / Warning

Event Submitted/Written: 03/25/2008 08:28:26 PM

Event ID/Source: 4113 / H+BEDV AntiVir

Event Description:

AntiVir erkannte in der Datei

C:\Dokumente und Einstellungen\Marcel\Desktop\SmitfraudFix.exe

verdächtigen Code mit der Bezeichnung 'DR/Tool.Reboot.F.69'!
 

Event Record #/Type1395 / Warning

Event Submitted/Written: 03/25/2008 08:21:32 PM

Event ID/Source: 4113 / H+BEDV AntiVir

Event Description:

AntiVir erkannte in der Datei

C:\Dokumente und Einstellungen\Marcel\Desktop\SmitfraudFix.exe

verdächtigen Code mit der Bezeichnung 'DR/Tool.Reboot.F.69'!
 

Event Record #/Type1263 / Error

Event Submitted/Written: 03/18/2008 08:51:36 PM

Event ID/Source: 1002 / Application Hang

Event Description:

Stillstehende Anwendung IEXPLORE.EXE, Version 6.0.2900.2180, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 

Event Record #/Type1262 / Error

Event Submitted/Written: 03/18/2008 08:32:42 PM / 03/18/2008 08:32:43 PM

Event ID/Source: 1002 / Application Hang

Event Description:

Stillstehende Anwendung IEXPLORE.EXE, Version 6.0.2900.2180, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.
 
 
 

-- Security Event Log ----------------------------------------------------------
 

No Errors/Warnings found.
 
 

-- System Event Log ------------------------------------------------------------
 

Event Record #/Type10550 / Warning

Event Submitted/Written: 03/27/2008 02:33:14 PM

Event ID/Source: 8021 / BROWSER

Event Description:

Der Suchdienst konnte keine Serverliste vom Hauptsuchdienst "\\MAXLAPTOP" auf dem Netzwerk "\Device\NetBT_Tcpip_{5CE1059E-6444-4A10-BBDA-5F48380D568C}" erhalten.

Daten: Fehlercode.
 

Event Record #/Type10439 / Warning

Event Submitted/Written: 03/25/2008 08:34:17 PM

Event ID/Source: 3019 / MRxSmb

Event Description:

Der Redirectordienst konnte den Verbindungstyp nicht erkennen.
 

Event Record #/Type10438 / Warning

Event Submitted/Written: 03/25/2008 08:33:33 PM

Event ID/Source: 3019 / MRxSmb

Event Description:

Der Redirectordienst konnte den Verbindungstyp nicht erkennen.
 

Event Record #/Type10335 / Error

Event Submitted/Written: 03/25/2008 08:18:56 PM

Event ID/Source: 10005 / DCOM

Event Description:

Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten ""

gestartet wurde, um den folgenden Server zu verwenden:

{1BE1F766-5536-11D1-B726-00C04FB926AF}
 

Event Record #/Type10334 / Error

Event Submitted/Written: 03/25/2008 08:18:28 PM

Event ID/Source: 10005 / DCOM

Event Description:

Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "StiSvc" mit den Argumenten ""

gestartet wurde, um den folgenden Server zu verwenden:

{A1F4E726-8CF1-11D1-BF92-0060081ED811}
 
 
 

-- End of Deckard's System Scanner: finished at 2008-03-27 17:50:29 ------------
 

_____________________________________________________________
 

Deckard's System Scanner v20071014.68

Run by Marcel on 2008-03-27 17:49:36

Computer is in Normal Mode.

--------------------------------------------------------------------------------
 

-- System Restore --------------------------------------------------------------
 

Successfully created a Deckard's System Scanner Restore Point.
 
 

-- Last 5 Restore Point(s) --

75: 2008-03-27 16:49:43 UTC - RP145 - Deckard's System Scanner Restore Point

74: 2008-03-27 13:47:05 UTC - RP144 - Systemprüfpunkt

73: 2008-03-25 19:04:54 UTC - RP143 - Systemprüfpunkt

72: 2008-03-24 13:41:07 UTC - RP142 - Systemprüfpunkt

71: 2008-03-22 13:32:45 UTC - RP141 - ComboFix created restore point
 
 

-- First Restore Point -- 

1: 2007-12-28 20:17:17 UTC - RP71 - Systemprüfpunkt
 
 

Backed up registry hives.

Performed disk cleanup.
 
 Total Physical Memory: 511 MiB (512 MiB recommended).
 
 

-- HijackThis (run as Marcel.exe) ----------------------------------------------
 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:50:04, on 27.03.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Programme\Synaptics\SynTP\SynTPLpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\ATK0100\Hcontrol.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe

C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Dokumente und Einstellungen\Marcel\Desktop\dss.exe

C:\PROGRA~1\TRENDM~1\HIJACK~1\Marcel.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: hp psc 1000 series.lnk = ?

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
 

--

End of file - 4940 bytes
 

-- File Associations -----------------------------------------------------------
 

All associations okay.
 
 

-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------
 

R1 AFS2K - c:\windows\system32\drivers\afs2k.sys <Not Verified; Oak Technology Inc.; AFS>
 

S3 catchme - c:\dokume~1\marcel\lokale~1\temp\catchme.sys (file missing)
 
 

-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------
 

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; Scheduler>

R2 Apple Mobile Device - "c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>
 
 

-- Device Manager: Disabled ----------------------------------------------------
 

No disabled devices found.
 
 

-- Scheduled Tasks -------------------------------------------------------------
 

2008-03-06 18:21:04       276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

2008-01-07 13:00:24       336 --a------ C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1191493774.job
 
 

-- Files created between 2008-02-27 and 2008-03-27 -----------------------------
 

2008-03-25 20:24:18         0 d-------- C:\Programme\Malwarebytes' Anti-Malware

2008-03-24 13:32:54      2552 --a------ C:\WINDOWS\system32\tmp.reg

2008-03-24 13:32:33     25600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-03-24 13:32:33    289144 --a------ C:\WINDOWS\system32\VCCLSID.exe <Not Verified; S!Ri; >

2008-03-24 13:32:33     86528 --a------ C:\WINDOWS\system32\VACFix.exe <Not Verified; S!Ri.URZ; VACFix>

2008-03-24 13:32:33    288417 --a------ C:\WINDOWS\system32\SrchSTS.exe <Not Verified; S!Ri; SrchSTS>

2008-03-24 13:32:33     53248 --a------ C:\WINDOWS\system32\Process.exe <Not Verified; http://www.beyondlogic.org; Command Line Process Utility>

2008-03-24 13:32:33     82432 --a------ C:\WINDOWS\system32\IEDFix.exe <Not Verified; S!Ri.URZ; IEDFix>

2008-03-24 13:32:33     51200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-03-22 13:12:48         0 dr-h----- C:\Dokumente und Einstellungen\Marcel\Recent

2008-03-22 13:10:58         0 d-------- C:\Programme\CCleaner

2008-03-21 18:25:07         0 d-------- C:\Programme\antivirus-kaspa

2008-03-21 16:37:08         0 d-------- C:\Programme\Trend Micro

2008-03-19 11:52:35     68096 --a------ C:\WINDOWS\system32\zip.exe

2008-03-19 11:52:35     98816 --a------ C:\WINDOWS\system32\sed.exe

2008-03-19 11:52:35     80412 --a------ C:\WINDOWS\system32\grep.exe

2008-03-19 11:52:35     73728 --a------ C:\WINDOWS\system32\fdsv.exe <Not Verified; Smallfrogs Studio; >

2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\zts2.exe

2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\system32\vcmgcd32.dll

2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\system32\iifgfgf.dll

2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\system32\Delete_Me_Dummy_systems.txt

2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\rundll16.exe

2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\rundl132.dll

2008-03-19 11:31:30         0 d-a------ C:\WINDOWS\logo1_.exe

2008-03-19 10:32:49         0 d-------- C:\WINDOWS\ERUNT

2008-03-18 23:00:12         0 d-------- C:\Programme\Avira
 
 

-- Find3M Report ---------------------------------------------------------------
 

2008-03-25 20:24:28         0 d-------- C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\Malwarebytes

2008-03-14 12:18:42         0 d-------- C:\Programme\iTunes

2008-03-14 12:18:30         0 d-------- C:\Programme\iPod

2008-03-02 17:18:17         0 d-------- C:\Programme\QuickTime

2008-02-07 16:19:38         0 d-------- C:\Programme\Gemeinsame Dateien\Adobe
 
 

-- Registry Dump ---------------------------------------------------------------
 

*Note* empty entries & legit default entries are not shown
 
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATIModeChange"="Ati2mdxx.exe" [24.02.2004 18:08 C:\WINDOWS\system32\Ati2mdxx.exe]

"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [03.02.2004 20:10]

"AGRSMMSG"="AGRSMMSG.exe" [10.06.2003 03:37 C:\WINDOWS\AGRSMMSG.exe]

"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [17.06.2003 02:40]

"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [17.06.2003 02:40]

"Hcontrol"="C:\WINDOWS\ATK0100\Hcontrol.exe" [08.09.2003 15:02]

"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.01.2008 22:16]

"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [31.01.2008 23:13]

"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [19.02.2008 13:10]

"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [18.03.2008 23:01]
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [31.12.2002 13:00]

"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [04.08.2004 00:11]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

hp psc 1000 series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe [06.04.2003 00:17:18]

hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [06.04.2003 00:06:58]

Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [13.02.2001 00:01:04]
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]

@="Service"
 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]

@="Volume shadow copy"
 
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]

AutoRun\command- D:\start.bat
 
 
 
 

-- End of Deckard's System Scanner: finished at 2008-03-27 17:50:29 ------------

und wie siehts jetzt aus? endlich weg ?

vielen vielen dank für die ganze mühe mit mir !!

Zitat:

Zitat von shira (Beitrag 331061)

und wie siehts jetzt aus? endlich weg ?

Ich hoffe es für dich, bislang habe ich nur einen Eintrag zu einem Trojaner finden können, welcher wiederum nicht mehr aktiv ist. (bzw. sein sollte!)

Das ist das letzte Programm für dich, danach ist hoffentlich alles gefunden und gelöscht:

Anleitung durchlesen und abarbeiten -> UnHackMe - Rootkits finden

Und noch was... :)

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

d:\start.bat

hi sunny

hab unhack me durchgeführt und datei überprüfen lassen:

Code:



Antivirus Version letzte aktualisierung Ergebnis 

AhnLab-V3 2008.3.26.0 2008.03.27 - 

AntiVir 7.6.0.75 2008.03.27 - 

Authentium 4.93.8 2008.03.27 - 

Avast 4.7.1098.0 2008.03.27 - 

AVG 7.5.0.516 2008.03.27 - 

BitDefender 7.2 2008.03.27 - 

CAT-QuickHeal 9.50 2008.03.26 - 

ClamAV 0.92.1 2008.03.27 - 

DrWeb 4.44.0.09170 2008.03.27 - 

eSafe 7.0.15.0 2008.03.18 - 

eTrust-Vet 31.3.5648 2008.03.27 - 

Ewido 4.0 2008.03.27 - 

F-Prot 4.4.2.54 2008.03.27 - 

F-Secure 6.70.13260.0 2008.03.27 - 

FileAdvisor 1 2008.03.27 - 

Fortinet 3.14.0.0 2008.03.27 - 

Ikarus T3.1.1.20 2008.03.27 - 

Kaspersky 7.0.0.125 2008.03.27 - 

McAfee 5261 2008.03.27 - 

Microsoft 1.3301 2008.03.27 - 

NOD32v2 2978 2008.03.27 - 

Norman 5.80.02 2008.03.26 - 

Panda 9.0.0.4 2008.03.26 - 

Prevx1 V2 2008.03.27 - 

Rising 20.37.32.00 2008.03.27 - 

Sophos 4.27.0 2008.03.27 - 

Sunbelt 3.0.978.0 2008.03.18 - 

Symantec 10 2008.03.27 - 

TheHacker 6.2.92.256 2008.03.27 - 

VBA32 3.12.6.3 2008.03.25 - 

VirusBuster 4.3.26:9 2008.03.27 - 

Webwasher-Gateway 6.6.2 2008.03.27 - 

weitere Informationen 

File size: 16 bytes 

MD5: 9d164df185f9af0114e201bdf100d641 

SHA1: aa5aeeebfaca73f9abe08f624604ca4b952cff04 

PEiD: -

Zitat:

Zitat von shira (Beitrag 331092)

hi sunny

hab unhack me durchgeführt und datei überprüfen lassen:

Hat das Programm denn irgendwas gefunden? Irgendwelche "hidden files"?

ach so sorry ...also unhack me kam zu dem ergebnis: nix gefunden.no trojan found.

wars das nun?

lg

Zitat:

Zitat von shira (Beitrag 331102)

ach so sorry ...also unhack me kam zu dem ergebnis: nix gefunden.no trojan found.

wars das nun?

lg

Es gibt noch einige Überreste von Antiviruspro, ich hoffe das ich sie auf diese Art löschen kann:

OTMoveIt by OldTimer

Folgendes Tool herunterladen -> OTMoveIt2.exe
--> Starte nun die OTMoveIt.exe

--> Im Fenster links (Paste Standard List of Files/Folders to be Move) folgendes reinkopieren:

Zitat:

C:\WINDOWS\system32\nehsbqdofqt.bmp
C:\WINDOWS\system32\qporqd.bmp
C:\WINDOWS\system32\sralkf.bmp
C:\WINDOWS\system32\gnatonid.bmp
C:\WINDOWS\system32\ehkrmhkbil.bmp
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\ehgfidcf.bmp
C:\WINDOWS\system32\hkrmdsnqlcb.bmp

--> Danach den Roten MoveIt!-Button klicken
--> Das Programm wird dir anschliessend einen Bericht anzeigen, kopiere diesen ab und füge ihn in deinen Beitrag ein!

hm der virus ist ja echt hartnäckig !

hier der bericht :

C:\WINDOWS\system32\nehsbqdofqt.bmp moved successfully.
C:\WINDOWS\system32\qporqd.bmp moved successfully.
C:\WINDOWS\system32\sralkf.bmp moved successfully.
C:\WINDOWS\system32\gnatonid.bmp moved successfully.
C:\WINDOWS\system32\ehkrmhkbil.bmp moved successfully.
C:\WINDOWS\system32\tmp.reg moved successfully.
C:\WINDOWS\system32\ehgfidcf.bmp moved successfully.
C:\WINDOWS\system32\hkrmdsnqlcb.bmp moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03272008_192231
___________________________________

nu alles weg ?

Zitat:

Zitat von shira (Beitrag 331112)

nu alles weg ?

"Nu" sollte alles weg sein ... :daumenhoc :)

ach endlich !!!

super vielen vielen dank für das ganze durchlesen und die vielen programme. hast mir echt sehr geholfen, hätte das alleine niemals geschafft. merci !!

also schönen abend noch und tausen dank

Zitat:

Zitat von shira (Beitrag 331118)

also schönen abend noch und tausen dank

Danke, den wünsche ich dir auch.. :)