Trojaner-Board - Irgendwas ist auf meinem rechner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Irgendwas ist auf meinem rechner (https://www.trojaner-board.de/51224-irgendwas-meinem-rechner.html)

Irgendwas ist auf meinem rechner

Hallo zusammen

Wie schon im Titel genannt ist irgendwas auf mein Rechner!

Es öffnet sich oft ein neues Browserfenster und dann unten rechts ein fenster indem drin steht (ihr rechner ist mit ......... laden was runter OK ABRECHEN kann ich anklicken) ob es was mit dem TR/Dldr.Swizzor.Gen zu tun hat(wie krieg ich den weg?)

bitte um hilfe und ratschläge

danke dubedition

hallo,
lade dir hier
http://www.trendsecure.com/portal/en...HiJackThis.exe
hijackthis herunter, nenne die HiJackThis.exe in abc.exe um,
dann
- do a system scan and save a logfile
und dann poste das log.

hier rein posten die log?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:48:39, on 31.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\system32\umonit.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\PROGRA~1\CACHEM~1\CachemanXP.exe
C:\Programme\CVSNT\cvslock.exe
C:\Programme\CVSNT\cvsservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\xampp\xampp-control.exe
C:\xampp\apache\bin\apache.exe
C:\xampp\mysql\bin\mysqld.exe
C:\xampp\apache\bin\apache.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\SpeedProject\SpeedCommander 11\SpeedCommander.exe
C:\Programme\Zend\ZendStudio-5.5.0\bin\ZDE.exe
C:\Programme\Zend\ZendStudio-5.5.0\jre\bin\javaw.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: VideoRaptorIePlugin Class - {90C8E8F8-A7C9-41E4-92E4-C679AE6FB78D} - C:\Programme\RapidSolution\Videoraptor\VideoRaptorIePlugin.dll
O2 - BHO: IE Developer Toolbar BHO - {CC7E636D-39AA-49b6-B511-65413DA137A1} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsgCenterExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" -osboot
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\RunOnce: [FFTI] C:\Dokumente und Einstellungen\BoosT\Anwendungsdaten\Mozilla\Firefox\Profiles\bq7hvg9t.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Dokumente und Einstellungen\BoosT\Anwendungsdaten\Mozilla\Firefox\Profiles/bq7hvg9t.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: CachemanXP (CachemanXPService) - OuterTechnologies - C:\PROGRA~1\CACHEM~1\CachemanXP.exe
O23 - Service: CVSNT Locking Service 2.5.03.2382 (cvslock) - Unknown owner - C:\Programme\CVSNT\cvslock.exe
O23 - Service: CVSNT Dispatch service 2.5.03.2382 (cvsnt) - March Hare Software Ltd - C:\Programme\CVSNT\cvsservice.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7669 bytes

ich kann in deinem log bis auf den veralteten ie und die
nicht umbennante hijackthis.exe weder swizzor noch etwas anderes auffälliges finden.

Zitat:

ihr rechner ist mit ......... laden was runter OK ABRECHEN kann ich anklicken

was ist der genaue wortlaut?

lade dir hier
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
combofix auf den desktop herunter,
alle programme, guards, firewall etc. schliessen.
combofix ausführen,
drücke die 1 und lass das programm durchlaufen.
währenddessen nichts am computer machen und dann
poste bitte das combofix-log combofix.txt.

dann folge dieser anleitung
http://www.trojaner-board.de/51187-m...i-malware.html
und poste das log.

Hallo.

Bevor du boston's Ratschlägebefolgst lass mal Smitfraudfix laufen.

mein rechner los voll sein mit sparware und so und soll eine domain besuchen und da ein prog. runter laden

danke undoreal jetzt hat mein antivir noch mehr viren in quarantäne geschickt(erkannt)

ComboFix 08-03-30.5 - BoosT 2008-04-01 18:50:23.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1245 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\BoosT\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
TimedOut: progfile.dat

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\Dokumente und Einstellungen\BoosT\Lokale Einstellungen\Anwendungsdaten\ojpwpjd.dat
C:\Dokumente und Einstellungen\BoosT\Lokale Einstellungen\Anwendungsdaten\ojpwpjd.exe
c:\Dokumente und Einstellungen\BoosT\Lokale Einstellungen\Anwendungsdaten\ojpwpjd_nav.dat
c:\Dokumente und Einstellungen\BoosT\Lokale Einstellungen\Anwendungsdaten\ojpwpjd_navps.dat
C:\WINDOWS\system32\nvs2.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-01 bis 2008-04-01 ))))))))))))))))))))))))))))))
.

2008-03-31 15:47 . 2008-03-31 15:47 <DIR> d-------- C:\Programme\Trend Micro
2008-03-31 13:06 . 2008-03-31 13:06 <DIR> d-------- C:\Programme\Safari
2008-03-31 13:05 . 2008-03-31 13:05 <DIR> d-------- C:\Programme\Apple Software Update
2008-03-30 13:07 . 2008-03-30 13:07 <DIR> d-------- C:\Programme\ICQToolbar
2008-03-30 13:07 . 2008-03-30 13:09 <DIR> d-------- C:\Programme\ICQ6
2008-03-14 13:05 . 2008-03-14 13:05 <DIR> d-------- C:\Programme\Microsoft
2008-03-02 11:16 . 2008-03-02 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\BoosT\Anwendungsdaten\Yahoo!

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-01 16:45 --------- d-----w C:\Programme\Trillian
2008-04-01 16:45 --------- d-----w C:\Dokumente und Einstellungen\BoosT\Anwendungsdaten\Skype
2008-04-01 14:04 --------- d-----w C:\Dokumente und Einstellungen\BoosT\Anwendungsdaten\skypePM
2008-03-31 14:05 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-03-31 13:53 --------- d-----w C:\Programme\Java
2008-03-31 11:06 --------- d-----w C:\Programme\Bonjour
2008-03-31 11:06 --------- d-----w C:\Dokumente und Einstellungen\BoosT\Anwendungsdaten\Apple Computer
2008-03-17 09:06 --------- d-----w C:\Programme\Opera
2008-03-17 08:52 --------- d-----w C:\Programme\Yahoo!
2008-03-17 08:42 --------- d-----w C:\Dokumente und Einstellungen\BoosT\Anwendungsdaten\DBDesigner4
2008-03-16 15:25 --------- d-----w C:\Dokumente und Einstellungen\BoosT\Anwendungsdaten\temp
2008-02-29 08:47 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-02-29 08:47 --------- d-----w C:\Programme\Skype
2008-02-29 08:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-02-29 08:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-02-27 15:47 --------- d-----w C:\Programme\WmrPro
2008-02-27 14:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Synacast
2008-02-27 14:33 --------- d-----w C:\Dokumente und Einstellungen\BoosT\Anwendungsdaten\PPMate
2008-02-27 13:34 --------- d-----w C:\Programme\JLC's Software
2008-02-27 13:34 --------- d-----w C:\Dokumente und Einstellungen\BoosT\Anwendungsdaten\JLC's Software
2008-02-25 11:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo!
2008-02-18 16:21 --------- d-----w C:\Programme\Scriptocean
2008-02-18 16:21 --------- d-----w C:\Dokumente und Einstellungen\BoosT\Anwendungsdaten\scriptocean
2008-02-03 09:32 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-02 14:02 --------- d-----w C:\Programme\eBay
2007-04-01 07:54 71,049 ----a-w C:\Dokumente und Einstellungen\xampp\Uninstall.exe
2006-10-30 08:46 90,624 ----a-w C:\Dokumente und Einstellungen\xampp\xampp-control.exe
2006-10-23 14:24 60,928 ----a-w C:\Dokumente und Einstellungen\xampp\service.exe
2005-12-05 19:11 47 ----a-w C:\Dokumente und Einstellungen\xampp\mercury_stop.bat
2005-12-02 12:05 134 ----a-w C:\Dokumente und Einstellungen\xampp\filezilla_stop.bat
2005-11-29 02:17 144,592 ----a-w C:\Dokumente und Einstellungen\xampp\xampp-portcheck.exe
2005-09-26 11:27 363 ----a-w C:\Dokumente und Einstellungen\xampp\setup_xampp.bat
2005-09-26 11:26 329 ----a-w C:\Dokumente und Einstellungen\xampp\php-switch.bat
2005-08-18 19:51 468 ----a-w C:\Dokumente und Einstellungen\xampp\mysql_start.bat
2005-08-18 19:51 424 ----a-w C:\Dokumente und Einstellungen\xampp\apache_start.bat
2005-07-08 11:33 90 ----a-w C:\Dokumente und Einstellungen\xampp\mysql_stop.bat
2005-07-08 11:33 76 ----a-w C:\Dokumente und Einstellungen\xampp\filezilla_setup.bat
2005-07-08 11:33 135 ----a-w C:\Dokumente und Einstellungen\xampp\filezilla_start.bat
2005-07-08 11:33 128 ----a-w C:\Dokumente und Einstellungen\xampp\apache_stop.bat
2005-07-08 11:33 123 ----a-w C:\Dokumente und Einstellungen\xampp\mercury_start.bat
2004-12-21 23:34 163,840 ----a-w C:\Dokumente und Einstellungen\xampp\xampp_restart.exe
2004-08-15 23:09 163,840 ----a-w C:\Dokumente und Einstellungen\xampp\xampp_stop.exe
2004-04-06 02:28 45,056 ----a-w C:\Dokumente und Einstellungen\xampp\xampp_start.exe
2005-05-13 16:12 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-07-14 11:31 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 14:32 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 21:37 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2005-02-28 12:16 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 23:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{90C8E8F8-A7C9-41E4-92E4-C679AE6FB78D}]
2007-10-26 18:20 83248 --a------ C:\Programme\RapidSolution\Videoraptor\VideoRaptorIePlugin.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS0]
@={5d1cb710-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS1]
@={5d1cb711-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS2]
@={5d1cb712-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS3]
@={5d1cb713-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS4]
@={5d1cb714-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS5]
@={5d1cb715-1c4b-11d4-bed5-005004b1f42f}

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\TortoiseCVS6]
@={5d1cb716-1c4b-11d4-bed5-005004b1f42f}

[HKEY_CLASSES_ROOT\CLSID\{5d1cb710-1c4b-11d4-bed5-005004b1f42f}]
2007-12-02 23:00 1421312 --a------ C:\Programme\TortoiseCVS\TortoiseShell.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb711-1c4b-11d4-bed5-005004b1f42f}]
2007-12-02 23:00 1421312 --a------ C:\Programme\TortoiseCVS\TortoiseShell.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb712-1c4b-11d4-bed5-005004b1f42f}]
2007-12-02 23:00 1421312 --a------ C:\Programme\TortoiseCVS\TortoiseShell.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb713-1c4b-11d4-bed5-005004b1f42f}]
2007-12-02 23:00 1421312 --a------ C:\Programme\TortoiseCVS\TortoiseShell.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb714-1c4b-11d4-bed5-005004b1f42f}]
2007-12-02 23:00 1421312 --a------ C:\Programme\TortoiseCVS\TortoiseShell.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb715-1c4b-11d4-bed5-005004b1f42f}]
2007-12-02 23:00 1421312 --a------ C:\Programme\TortoiseCVS\TortoiseShell.dll

[HKEY_CLASSES_ROOT\CLSID\{5d1cb716-1c4b-11d4-bed5-005004b1f42f}]
2007-12-02 23:00 1421312 --a------ C:\Programme\TortoiseCVS\TortoiseShell.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"MsgCenterExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\RealOneMessageCenter.exe" [ ]
"msnmsgr"="C:\Programme\MSN Messenger\msnmsgr.exe" [ ]
"Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 18:43 4670704]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-12-19 16:48 172280]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"FFTI"="C:\Dokumente und Einstellungen\BoosT\Anwendungsdaten\Mozilla\Firefox\Profiles\bq7hvg9t.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-16 09:35 7630848]
"nwiz"="nwiz.exe" [2006-08-16 09:35 1617920 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-08-16 09:35 86016]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-13 14:05 16239616 C:\WINDOWS\RTHDCPL.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 13:16 249896]
"UMonit"="C:\WINDOWS\system32\umonit.exe" [2004-01-05 09:59 53248]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 setuid

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
--a------ 2007-12-19 16:48 172280 C:\Programme\ICQ6\ICQ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-04-27 09:41 282624 C:\Programme\QuickTime\qttask.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Zend\\ZendStudio-5.5.0\\jre\\bin\\javaw.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\xampp\\mysql\\bin\\mysqld.exe"=
"C:\\xampp\\apache\\bin\\apache.exe"=
"C:\\Games\\TrackMania Nations ESWC\\TmNationsESWC.exe"=
"C:\\Programme\\TrackMania United\\TmUnited.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Trillian\\trillian.exe"=
"C:\\Programme\\BZFlag2.0.10\\bzflag.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R2 CachemanXPService;CachemanXP;C:\PROGRA~1\CACHEM~1\CachemanXP.exe [2004-02-20 01:46]
S3 fixustor;fixustor;C:\WINDOWS\system32\drivers\fixustor.sys [2004-01-05 10:23]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{621FCD24-4498-4324-A81E-07D331376EDF}]
C:\Programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-03-31 11:05:52 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-01 19:00:29
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\CVSNT\cvslock.exe
C:\Programme\CVSNT\cvsservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-01 19:06:40 - machine was rebooted [BoosT]
ComboFix-quarantined-files.txt 2008-04-01 17:06:37
22 Verzeichnis(se), 169,784,647,680 Bytes frei
24 Verzeichnis(se), 169,733,140,480 Bytes frei
.
2008-03-13 02:01:20 --- E O F ---

Zitat:

danke undoreal jetzt hat mein antivir noch mehr viren in quarantäne geschickt(erkannt)

habe ich das richtig verstanden: antivir hat smitfraudfix als schädlich eingestuft?
dann lies mal den hinweis am ende dieser seite
SmitFraudFix
und deaktiviere antivir für den scan. und bitte das log posten.
bitte stell auch mal den kompletten antivir-report rein.
ich glaub aber nicht, daß wir mit smitfraudfix allein weiterkommen.

Zitat:

habe ich das richtig verstanden: antivir hat smitfraudfix als schädlich eingestuft?

nein, das denke ich nicht.
Wenn smitfraudfix die Dateien anfässt schaltet sich AntiVir dazwischen und löscht sie.

@Dubedition:
Schalte AntiVir für die Dauer des SmitfraudFix Scans ab. Befolge dann ganz genau die Anleitung die ich dir gepostet haben.. Nur so erwischt SmitfraudFix auch wirklich alle schädlichen Dateien.

@undoreal:
oh, doch, das ist so. schon beim runterladen der smitfraudfix.exe
meldet sich antivir zu wort : DR/Tool.Reboot.F.75

@dubedition: bitte dann noch die beiden(smitfraudfix+anti-malware) logs.

Malwarebytes' Anti-Malware 1.09
Datenbank Version: 578

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 386788
Scan Dauer: 15 hour(s), 7 minute(s), 26 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Typelib\{50ccd00a-66b6-4d95-aaef-8ee959498f92} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\stfngdvw.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

Vor der Reinigung von smitfranFix

SmitFraudFix v2.309

Scan done at 11:09:39,96, 02.04.2008
Run from C:\Dokumente und Einstellungen\BoosT\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\umonit.exe
C:\PROGRA~1\CACHEM~1\CachemanXP.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\CVSNT\cvslock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\CVSNT\cvsservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\BoosT

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\BoosT\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\BoosT\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Paketplaner-Miniport
DNS Server Search Order: 80.69.98.110
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C5DF7231-7146-4CAD-B043-4949DAF1284A}: DhcpNameServer=80.69.98.110 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C5DF7231-7146-4CAD-B043-4949DAF1284A}: DhcpNameServer=80.69.98.110 192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C5DF7231-7146-4CAD-B043-4949DAF1284A}: DhcpNameServer=80.69.98.110 192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=80.69.98.110 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=80.69.98.110 192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=80.69.98.110 192.168.0.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

danach

SmitFraudFix v2.309

Scan done at 11:19:11,98, 02.04.2008
Run from C:\Dokumente und Einstellungen\BoosT\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{C5DF7231-7146-4CAD-B043-4949DAF1284A}: DhcpNameServer=80.69.98.110 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{C5DF7231-7146-4CAD-B043-4949DAF1284A}: DhcpNameServer=80.69.98.110 192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{C5DF7231-7146-4CAD-B043-4949DAF1284A}: DhcpNameServer=80.69.98.110 192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=80.69.98.110 192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=80.69.98.110 192.168.0.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=80.69.98.110 192.168.0.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End