Trojaner-Board - Der neue MSN Virus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Der neue MSN Virus (https://www.trojaner-board.de/83131-neue-msn-virus.html)

Der neue MSN Virus

Hallo ich hab ein ernstes Problem hier.
Meine freundin hat sich einen MSN Virus eingefangen.
Ich habe noch keine ahnung was er macht ausser das er alle 10-15 Minuten an alle anderen User in der MSN Liste eine Nachricht schickt die etwa so aussiht:
haha :D foto http://msn-gallery.net/images.php?=xyz@xyz.com aber der Link war etwas anders ich habe ihn mir nich auswendig gelernt.
Ich hab die Dateien gefunden in dem system32 Ordner: "sysprint.sep" und "sysprtj.sep"
Löschen kan ich sie nicht! Nicht einmal im abgesicherten modus!
MSN habe ich bereits deinstalliert

Mein betriebssystem ist Windows Vista Home Premium

und hier ist ein hijackthis log :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:24:05, on 20.02.2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v7.00 (7.00.6002.18005)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe
C:\hp\support\hpsysdrv.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe
C:\Windows\system32\schtasks.exe
C:\Program Files\Common Files\microsoft shared\Works Shared\WkCalRem.exe
C:\Windows\system32\jusched.exe
C:\Users\Public\infocard.exe
C:\Windows\Explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=Pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=Pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: Messenger Plus Live Toolbar - {9b339f6e-ddcd-401b-8764-230adbd01761} - C:\Program Files\Messenger_Plus_Live\tbMess.dll
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Messenger Plus Live Toolbar - {9b339f6e-ddcd-401b-8764-230adbd01761} - C:\Program Files\Messenger_Plus_Live\tbMess.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Program Files\Power Video Converter\msdxm.ocx
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4FE6-8A56-BBB695989046} - C:\Program Files\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Messenger Plus Live Toolbar - {9b339f6e-ddcd-401b-8764-230adbd01761} - C:\Program Files\Messenger_Plus_Live\tbMess.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [vmware-tray] C:\Program Files\VMware\VMware Workstation\vmware-tray.exe
O4 - HKLM\..\Run: [VMware hqtray] "C:\Program Files\VMware\VMware Workstation\hqtray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateReg] "C:\Windows\system32\jureg.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [OsdMaestro] "C:\Program Files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe"
O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe
O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [FileZilla Server Interface] "C:\Users\Coldpep\Documents\FileZilla Server\FileZilla Server Interface.exe"
O4 - HKLM\..\Run: [AVMWlanClient] C:\Program Files\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKCU\..\Run: [{F798CD1E-EF3E-4625-8858-EAC6AA6D6010}] C:\Users\Coldpep\AppData\Roaming\USB DRIVE\USBVISIBLE.exe
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ICQ] "C:\Program Files\ICQ7.0\ICQ.exe" silent loginmode=4
O4 - HKCU\..\Run: [HPAdvisor] C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe autoRun
O4 - HKCU\..\Run: [Firewall Administrating] C:\Users\Public\infocard.exe
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" -autorun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [ares] "C:\Program Files\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: WkCalRem.LNK = C:\Program Files\Common Files\microsoft shared\Works Shared\WkCalRem.exe
O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files\ICQ7.0\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} -
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: WebEx Service Host for Support Center (atashost) - WebEx Communications, Inc. - C:\Windows\system32\atashost.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Program Files\FileZilla Server\FileZilla Server.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IPTools - Unknown owner - C:\Users\Coldpep\Desktop\sniffer\iptools.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\Windows\system32\GameMon.des.exe (file missing)
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe

--
End of file - 7607 bytes

kennt sich einer damit aus?
hoffentlich kan mir jemand helfen! Danke im vorraus

MFG Coldpep

++++++++++++++++++++++++++++++++++++++++++++++++++

Hab genau die selben probleme

habe malware mal gedownlaodet und der hat 2 infizierte daten gefunden und sie gelöscht

schicke nicht mehr diese links ^^

also rate dir

malware + spybot zu downloaden

am ende machst du dann noch anti vir scan
und dein problem müsste gelöst werden

also bei mir ist das so

ich weiß aber nicht ob der virus dann 100% weg ist...

hmm danke ich mach das schon mal
vielleicht kommen ja noch antworten ;)
meinst du mit maleware malewarebytes?

jo malwarebytes

hab ehm

hijack gerade gedownloade
und im internet findest du eine Online auswertung

hab gerade gemacht dermeinte alles ist inordnung^^

Also ich hab eine schlechte nachricht und

ich habe alle scans gemacht und alles mit den 2 programmen und scan mit antivir aber er schickt die nachrichten immernoch weiter
und ich werde jedes mal dabei rausgeschmissen
wie einen das aufregt >.<

Komisch

also bei mir funkte es o0

hat er bei dir den acuh infizierte daten gefunden?

hast du auch einen viren scan gemacht?

...

naja will auch halt wissen bei mir schickt er diese links nicht mehr

aber kann sein das ich trotzdem das virus hab,...

guck mal bei dir im system32 ordner op die beiden dateien da sind : "sysprint.sep" und "sysprtj.sep"
bei mir existiren sie immernoch und ich kan sie immer noch nicht löschen
das komische dadran istg wen ich den computer mit gesichertem modus starte kan ich sie trotztdem nicht löschen
uind ja er hat was gefunden bei maleware und das andere!

Hab die auch was machen die?

aber das ist kein virus

SYSPRINT.SEP: ist eine PostScript-Kompatibele Trenndatei. Es druckt also eine Trennseite an dem Anfang jedes Dokuments.
sysprtj.sep: Dies ist eine Variante der Datei sysprint.sep mit Unterstützung für japanische Schriftzeichen.

wenn du eine datei hast die sysprint.dll heißt dann ja

also hab es so verstanden^^

lies dir das mal durch
http://www.netzwelt.de/download/3759...messenger.html

okey.. ne die dll ist nich vorhanden
meinst du wen ich wieder zu miranda Hauptseite ? Miranda IM auf Deutsch wechseln würde währe er immernoch da?
ich meine miranda ist ja nicht msn aber es funktioniert vielleicht so ähnlich?

Würd aufjeden fall sagen

wenn du diese datei nicht hast sysprint.dll

wenn dein anti vir keine meldung von einem trojaner sagt

wenn malewarebytes sagt alles ist inordnung

wenn spybot keine probleme findet

müsste dein pc tip top sein =)

ich mein msn virus ist kein virus das die vielen programme austricksen kann...

ist einfach so ein virus von anfänger erstellt ^^

also
für mich siht er ganz gut aus
ich bin aber auch ein noob ich könte vielleicht mal ein taschenrechner in visual basic 6 erstellen mehr auch nicht.
also ich habe den virus gefunden
bei meinem vista pc war es so
ich ging auf start/systemsteuerung/autostartprogramme ändern
und dan da oben kan mana uf zur zeit ausgeführte programme gehen
da war so ein komisches
keine ahnung mehr wie es heisst
ich guck gleich nach
und dan hab ichs halt also den prozess beendet
rausgewordn wertd ich immernoch aber er verschickt keine links mehr!

Also ich dachte ich hab den virus auch los

aber irgendwie hat heute
anti vir ein trojaner gefunden -.-

infocard.exe

weiß aber nicht ob ich jetzt die viren los bin

wieso findet er die viren nicht wenn ich scanne??? -.-

ja und dann scanne ich wieder

gucke finde ein virus namens TR/Buzus.dgno

omg was soll das -.-

LoL
ich habs glaub ich wirklich geschafft :P
also avira meldet eine datei "C:\Users\Public\infocard.exe" die hab ich erst zugriff verweigert nachgekukt und die datei selber nicht gefunden versteckt ist sie auch nicht
dan meldet avira sie nochmal
dan habe ich quarantäne gemacht und ich werde weder rausgeworfen und schicke keine links ab :D
wofür ist eigentlich quarantäne das er sie immer verweigert oder ignoriert?
ignorieren steht da ja auch also denk ich mal das erste

LOL komisch guck mal

bei mir ist heute meldung gekommen

infocard.exe ok !! gelöscht

jetzt lass ich anti vir durchlaufen was komtm?

noch ein virus

TR/Buzus.dgno !!!!

was den los .,.

der kam bei mir auch mal aber kommt nicht mehr :applaus: du solst die nicht löschen weil sie kommen doch vllt immer wieder
aber es muss irgendwo ne datei geben die die dateien immer erstellt und die müssen wir finden :rolleyes:

report von anti vir

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 22. Februar 2010 15:01

Es wird nach 1781722 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista 64 Bit
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : CEMIL-PC

Versionsinformationen:
BUILD.DAT : 9.0.0.419 21701 Bytes 22.01.2010 18:24:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 17:00:27
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 17:00:27
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 17:00:11
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 17:00:21
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 16:54:46
VBASE004.VDF : 7.10.3.76 2048 Bytes 26.01.2010 16:54:46
VBASE005.VDF : 7.10.3.77 2048 Bytes 26.01.2010 16:54:47
VBASE006.VDF : 7.10.3.78 2048 Bytes 26.01.2010 16:54:47
VBASE007.VDF : 7.10.3.79 2048 Bytes 26.01.2010 16:54:47
VBASE008.VDF : 7.10.3.80 2048 Bytes 26.01.2010 16:54:47
VBASE009.VDF : 7.10.3.81 2048 Bytes 26.01.2010 16:54:48
VBASE010.VDF : 7.10.3.82 2048 Bytes 26.01.2010 16:54:48
VBASE011.VDF : 7.10.3.83 2048 Bytes 26.01.2010 16:54:48
VBASE012.VDF : 7.10.3.84 2048 Bytes 26.01.2010 16:54:48
VBASE013.VDF : 7.10.3.85 2048 Bytes 26.01.2010 16:54:48
VBASE014.VDF : 7.10.3.122 172544 Bytes 29.01.2010 20:07:53
VBASE015.VDF : 7.10.3.149 79872 Bytes 01.02.2010 20:07:54
VBASE016.VDF : 7.10.3.174 68608 Bytes 03.02.2010 20:08:14
VBASE017.VDF : 7.10.3.199 76800 Bytes 04.02.2010 20:08:12
VBASE018.VDF : 7.10.3.222 64512 Bytes 05.02.2010 11:03:20
VBASE019.VDF : 7.10.3.243 75776 Bytes 08.02.2010 11:03:21
VBASE020.VDF : 7.10.4.6 81920 Bytes 09.02.2010 12:08:19
VBASE021.VDF : 7.10.4.30 78848 Bytes 11.02.2010 13:55:30
VBASE022.VDF : 7.10.4.50 107520 Bytes 15.02.2010 13:55:25
VBASE023.VDF : 7.10.4.62 105472 Bytes 15.02.2010 14:22:17
VBASE024.VDF : 7.10.4.85 111616 Bytes 17.02.2010 14:22:17
VBASE025.VDF : 7.10.4.109 122368 Bytes 21.02.2010 13:59:50
VBASE026.VDF : 7.10.4.110 2048 Bytes 21.02.2010 13:59:50
VBASE027.VDF : 7.10.4.111 2048 Bytes 21.02.2010 13:59:50
VBASE028.VDF : 7.10.4.112 2048 Bytes 21.02.2010 13:59:50
VBASE029.VDF : 7.10.4.113 2048 Bytes 21.02.2010 13:59:50
VBASE030.VDF : 7.10.4.114 2048 Bytes 21.02.2010 13:59:50
VBASE031.VDF : 7.10.4.119 67072 Bytes 22.02.2010 13:59:51
Engineversion : 8.2.1.172
AEVDF.DLL : 8.1.1.3 106868 Bytes 23.01.2010 16:52:33
AESCRIPT.DLL : 8.1.3.16 827771 Bytes 20.02.2010 13:02:12
AESCN.DLL : 8.1.4.0 127348 Bytes 27.01.2010 17:23:03
AESBX.DLL : 8.1.1.1 246132 Bytes 19.11.2009 17:00:27
AERDL.DLL : 8.1.4.2 479602 Bytes 13.02.2010 13:55:33
AEPACK.DLL : 8.2.0.8 426357 Bytes 13.02.2010 13:55:31
AEOFFICE.DLL : 8.1.0.39 196987 Bytes 20.02.2010 13:02:11
AEHEUR.DLL : 8.1.1.7 2326902 Bytes 20.02.2010 13:02:10
AEHELP.DLL : 8.1.10.0 237942 Bytes 15.01.2010 15:15:20
AEGEN.DLL : 8.1.1.87 369013 Bytes 20.02.2010 13:02:06
AEEMU.DLL : 8.1.1.0 393587 Bytes 19.10.2009 22:27:43
AECORE.DLL : 8.1.11.1 184694 Bytes 01.02.2010 20:07:51
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 13:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 19.10.2009 22:28:07
AVREP.DLL : 8.0.0.7 159784 Bytes 18.02.2010 14:22:18
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 14:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 14:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 17:00:26

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files (x86)\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel
Abweichende Gefahrenkategorien........: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 22. Februar 2010 15:01

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SpybotSD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mbam.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAVCpl64.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesApp64.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'TuneUpUtilitiesService64.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvSCPAPISvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvvsvc.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '0' Modul(e) wurden durchsucht
Es wurden '10' Prozesse mit '10' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '28' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Users\Cemil\AppData\Local\VirtualStore\Windows\infocard.exb
[FUND] Ist das Trojanische Pferd TR/Buzus.dgno

Beginne mit der Desinfektion:
C:\Users\Cemil\AppData\Local\VirtualStore\Windows\infocard.exb
[FUND] Ist das Trojanische Pferd TR/Buzus.dgno
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4be8950e.qua' verschoben!

Ende des Suchlaufs: Montag, 22. Februar 2010 15:28
Benötigte Zeit: 26:31 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

23146 Verzeichnisse wurden überprüft
338650 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
338648 Dateien ohne Befall
2052 Archive wurden durchsucht
1 Warnungen
2 Hinweise

also bei mir findet avira nix malewarebytes sagt auch alles sauber und spybot findet nur cookies :teufel3:

Ja gestern war das so vorgestern auch

hallo?

habe tausendmal gescannt alles schien ok

und heute dann meldung von infocard??!??

omg kann endlich mal einer uns helfen -.-

wan hast du letztes mal update mit avira gemacht? vllt kannte er die datei vorher einfach nicht und das waren die reste die noch übrig geblieben sind!

gestern hab ich updates gemacht heute auch

und heute fand er virus -.-

hmm komisch
mein msn stürtzt heute schon das 2te mal ab:nixda:

Bei mir funktioniert alles !!!!

aber wenn er heute mir sagt

infocard.exe trojaner gefunden

hallo ??? woher kann ich ejtzt sicher gehen das die meinen pc nicht längst gehackt haben

man dachte die könnten mir hier helfen aber wir führen hier ein dialog omg ^^

naja also dein password haben sie sowieso! davon kanst du ausgehen
und mit ein bissien pech noch einen trojaner

warte doch erstmal ab bevor du dich beschwerst wir schrieben ja jede 2 min ne antwort :D
vllt komt ja noch jemand
wen nicht dan könenn wir uns beschweren

lol was heißt hier meinen passwort haben die ja sowieso

pw geändert

schicke keine links -.-

als ob das so einfach geht-.-

überleg doch mal
ein trojaner ist ein paar bytes groß
wen avira ihn nicht kennt wird avira ihn nicht finden
und der könte ständig dein neues paswort an sie senden
und
wen avira schon sagt da ist noch was auf deinen pc könte es einer sein
vielleicht hat der virus ja dein msn manipuliert so das msn.exe oder so dein passwort weg sendet
und aus welchem grund sollte man diesen virus erstellen auser um passwörter zu bekommen? einen anderer gruznd fällt mir nicht ein

Man so ein scheiß ich verklag gleich windows xD

ich würde lieber nach linux wechseln :Ddafüt gibts sehr sehr sehr bis garkeine viren :) soweit ich weiss ich hatte es auch ne zeit lang aber war mir zu kompliziert :D dafür mus man programieren können ich konte nicht mal mein fritzwlan stick verbinden =D
ned mal mit wine

Hab malware bytes update gemacht

du weiß nicht was er alles gefunden hat....

11 infizierte daten

davon 8 trojaner glaub hatte shcon immer diesen kack egal

morgen oder freitag mache ich neuinstallertion alle pw änder^^

oha
dan mach ich jetzt auch besser ein scan
weisst du den welche dateien das warn?

bei mir findet malewarebytes und avira und spybot garnixx wirklich nix :D ich habs irgendwie geschafft

TFCleaner
Download TFC.exe by OldTimer zum Desktop
Schliesse alle Fenster und doppelklick TFC.exe um das Programm zu starten
Vista benutzer: rechtermausklick auf TFC.exe und waehle "Run as an Administrator"
Lasse Temp File Cleaner seine Arbeit tun
Am Ende wird dein Rechner neu starten,wenn nicht starte manuell neu

ComboFix © (by sUBs)
Download ComboFix © by sUBs und speichert es auf den Desktop!
Waehrend ComboFix runter geladen wird aendere Combofix um in cofi.exe und nicht nachher wenn CF schon auf dein Rechner steht

http://www.imgdumper.nl/uploads2/4b5...4719a-cofi.jpg

Note:Wenn wehrend du ComboFix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner
Schalte diese scanner dann aus und download ComboFix erneut

Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen
Starte combofix.exe
Note:Vista
Um Combofix unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten.
Also rechte Maustaste auf die Combofix.exe und "Als Administrator ausfuehren" waehlen.

Folge den Instruktionen in das Fenster
Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt
Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combo-fix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Befolge diese Anleitung

Hallo zusammen.

Einen ähnlichen Link hatte ich auch und nun, dank Neugierde:koch:, das schon bekannte Problem mit dem automatischen Verschicken dieses blöden Links.
Ich hab mit CCCleaner aufgeräumt. Malewarebyte hat keine Probleme gezeigt, Ad Aware und Spybot waren absolut unauffällig. Avira Antivir hat ebenfalls nichts gefunden.
Heißt das, ich kann ein Fass aufmachen weil er weg ist :Boogie: oder steckt dieser Wurm, oder was auch immerdas ist, noch irgendwo?

Grüße
ein Spatz

lol
ich hab das gefühl avira etc. erkennt ihn nicht mal
bei mir siht es jetzt so aus: immer wen ich msn on komme steht da das jemand anders bei mir on kommt
auch 5 sek nachde ich pw gewechselt hab
einmal waren es sogar
und avira hat jetzt doch wieder was gefunden und zwar infocard.exb =/ man is das kompliziert
meine schwester ihr leptop hat nix mit meinem pc zu tun ich habe sie nich in msn sie hat mich nicht sie hat ihn jetzt auhc und meine cusine ebenfalls aber daswarscheinlich von meiner schwester

und noch ein freund von mir der hat diesen link ständig geschickt bekommen
von jemanden aus seiner liste aber er hat ihn auch nie geöffnet und trotztdem hat er den virus!

ist das etwa der weltuntergang :crazy::blabla:

haha nein ich mach nur spaß :D

HijackThis
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Unter Windows Vista/7 muss Hijackthis als Administrator ausgefuehrt werden.
Dazu mit der linken Maustaste auf das Programm klicken und "Als Administrator ausfuehren" waehlen.

Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O4 - HKCU\..\Run: [Firewall Administrating] C:\Users\Public\infocard.exe

Klicke Fixed checked

Und mache bitte was ich oben schon geschrieben habe

Also ich hab den scan gemacht hier der Log

ComboFix 10-02-25.02 - Coldpep 26.02.2010 10:25:24.1.2 - x86
Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.49.1031.18.1015.123 [GMT 1:00]
ausgeführt von:: c:\users\Coldpep\Desktop\ComboFix.exe
SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows-Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.
ADS - system32: deleted 12 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\$recycle.bin\S-1-5-21-2152478756-3922319563-605102323-500
c:\$recycle.bin\S-1-5-21-2732399995-4212196881-139498621-500
c:\program files\Cheat Engine\dbk32.sys
c:\program files\ICQ6.5\ICQLRun.exe
c:\windows\system32\COMCTL32.OCA
c:\windows\system32\Ijl11.dll
D:\resycled
E:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2010-01-26 bis 2010-02-26 ))))))))))))))))))))))))))))))
.

2010-02-25 12:10 . 2008-03-16 13:30 216064 --sh--r- c:\windows\system32\nbDX.dll
2010-02-25 12:10 . 2007-02-21 11:47 31232 --sh--r- c:\windows\system32\msfDX.dll
2010-02-25 12:10 . 2010-02-25 12:10 -------- d-----w- c:\program files\eRightSoft
2010-02-25 11:21 . 2010-02-25 11:21 766 ----a-r- c:\users\Coldpep\AppData\Roaming\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_6FEFF9B68218417F98F549.exe
2010-02-25 11:21 . 2010-02-25 11:21 2550 ----a-r- c:\users\Coldpep\AppData\Roaming\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_E83942FDD21AE7EBDDE816.exe
2010-02-25 11:21 . 2010-02-25 11:21 1518 ----a-r- c:\users\Coldpep\AppData\Roaming\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_A5D27F3246FA06A1F32E67.exe
2010-02-25 11:21 . 2010-02-25 11:21 1078 ----a-r- c:\users\Coldpep\AppData\Roaming\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_B59C22905D01E24AC2F2E2.exe
2010-02-25 11:21 . 2010-02-25 11:21 1078 ----a-r- c:\users\Coldpep\AppData\Roaming\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_38FC3D72E82D1A5C41CCD2.exe
2010-02-25 11:21 . 2010-02-25 11:21 10134 ----a-r- c:\users\Coldpep\AppData\Roaming\Microsoft\Installer\{8B9852AF-B0B0-47B7-9BC5-89A95D77B6C9}\_1AC2F9D23202205BD12695.exe
2010-02-25 11:21 . 2010-02-25 11:21 -------- d-----w- c:\program files\MP3 Player Utilities 4.18
2010-02-25 11:11 . 2006-05-03 10:06 163328 --sh--r- c:\windows\system32\flvDX.dll
2010-02-24 14:31 . 2010-02-24 14:31 -------- d-----w- c:\program files\WinPcap
2010-02-24 13:49 . 2010-02-24 13:49 2238 ----a-r- c:\users\Coldpep\AppData\Roaming\Microsoft\Installer\{6CA671A5-954C-4B75-8104-7B085246A8B5}\_47636419.exe
2010-02-24 13:46 . 2010-02-24 13:46 -------- d-----w- c:\program files\dolp_demo
2010-02-24 02:16 . 2010-02-24 02:16 -------- d-----w- c:\users\Coldpep\AppData\Roaming\fltk.org
2010-02-23 23:20 . 2010-02-26 06:43 413696 ----a-w- c:\windows\system32\wrap_oal.dll
2010-02-23 23:20 . 2010-02-26 06:43 110592 ----a-w- c:\windows\system32\OpenAL32.dll
2010-02-23 23:20 . 2010-02-23 23:20 -------- d-----w- c:\program files\OpenAL
2010-02-23 23:20 . 2010-02-23 23:27 -------- d-----w- c:\users\Coldpep\AppData\Roaming\flightgear.org
2010-02-22 12:58 . 2010-02-26 09:34 -------- d-----w- c:\program files\ICQ6.5
2010-02-22 12:45 . 2010-02-22 12:45 -------- d-----w- c:\users\Coldpep\AppData\Local\AOL
2010-02-22 12:45 . 2010-02-22 12:45 -------- d-----w- c:\program files\ICQ7.0
2010-02-20 21:16 . 2010-02-20 21:16 -------- d-----w- c:\users\mama\AppData\Roaming\Malwarebytes
2010-02-20 18:38 . 2010-02-20 18:38 -------- d-----w- c:\program files\Windows Live SkyDrive
2010-02-20 18:37 . 2010-02-20 18:37 -------- d-----w- c:\windows\PCHEALTH
2010-02-20 18:17 . 2010-02-20 18:17 -------- d-----w- c:\users\Coldpep\AppData\Roaming\Malwarebytes
2010-02-20 18:17 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-02-20 18:16 . 2010-02-20 18:16 -------- d-----w- c:\programdata\Malwarebytes
2010-02-20 18:16 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-02-20 18:16 . 2010-02-20 18:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-20 17:46 . 2010-02-25 14:03 -------- d-----w- c:\programdata\Spybot - Search & Destroy
2010-02-20 17:46 . 2010-02-22 11:00 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-02-19 17:14 . 2010-02-19 17:14 -------- d-----w- c:\users\Coldpep\AppData\Roaming\DivX
2010-02-19 11:22 . 2010-02-25 11:33 -------- d-----w- c:\users\Coldpep\AppData\Roaming\dvdcss
2010-02-15 22:24 . 2010-02-25 20:44 -------- d-----w- c:\users\Coldpep\AppData\Roaming\vlc
2010-02-15 22:23 . 2010-02-15 22:23 -------- d-----w- c:\program files\VideoLAN
2010-02-15 21:36 . 2010-02-15 21:36 -------- d-----w- c:\users\Coldpep\AppData\Roaming\C__Program Files_MSNRecorderMax_youtubeuploader.exe
2010-02-15 21:36 . 2010-02-15 21:36 -------- d-----w- c:\programdata\C__Program Files_MSNRecorderMax_youtubeuploader.exe
2010-02-15 20:39 . 2010-02-15 20:39 -------- d-----w- c:\users\Coldpep\AppData\Roaming\MSNRecorderMax
2010-02-15 20:39 . 2010-02-15 20:39 -------- d-----w- c:\programdata\MSNRecorderMax
2010-02-14 22:33 . 2010-02-14 22:33 -------- d-----w- c:\programdata\Messenger Plus!
2010-02-14 22:33 . 2010-02-14 22:33 -------- d-----w- c:\program files\Conduit
2010-02-14 22:33 . 2010-01-20 11:14 52224 ----a-w- c:\users\Coldpep\AppData\Roaming\Mozilla\Firefox\Profiles\lq91krsm.default\extensions\{9b339f6e-ddcd-401b-8764-230adbd01761}\components\FFExternalAlert.dll
2010-02-14 22:33 . 2010-01-20 11:14 101376 ----a-w- c:\users\Coldpep\AppData\Roaming\Mozilla\Firefox\Profiles\lq91krsm.default\extensions\{9b339f6e-ddcd-401b-8764-230adbd01761}\components\RadioWMPCore.dll
2010-02-14 22:33 . 2010-02-14 22:33 -------- d-----w- c:\program files\Messenger Plus! Live
2010-02-12 03:53 . 2010-02-13 23:32 -------- d-----w- c:\users\Coldpep\AppData\Roaming\Audacity
2010-02-12 03:52 . 2010-02-12 03:52 -------- d-----w- c:\program files\Audacity 1.3 Beta (Unicode)
2010-02-10 16:30 . 2010-02-10 16:30 -------- d-----w- c:\users\Coldpep\AppData\Roaming\U3
2010-02-08 23:29 . 2010-02-22 11:22 -------- d-----w- c:\program files\Common Files\PX Storage Engine
2010-02-08 23:28 . 2010-02-22 12:23 -------- d-----w- c:\program files\DivX
2010-02-08 23:20 . 2010-02-22 17:35 -------- d-----w- c:\users\Coldpep\dwhelper
2010-02-07 10:51 . 2010-02-07 10:52 -------- d-----w- c:\program files\Stealth
2010-02-05 16:41 . 2010-02-08 08:31 -------- d-----w- c:\program files\Netzmanager
2010-02-05 16:41 . 2010-02-05 16:41 -------- d-----w- c:\users\Coldpep\AppData\Local\PackageAware
2010-02-05 15:55 . 2004-10-07 06:19 140800 ----a-w- c:\windows\system32\sqliteodbc.dll
2010-02-05 15:55 . 2005-01-16 23:12 53248 ----a-w- c:\windows\system32\SSubTmr6.dll
2010-02-05 15:55 . 2005-01-16 23:12 294912 ----a-w- c:\windows\system32\mbr_sqlite.dll
2010-02-05 15:55 . 2005-01-16 23:12 20992 ----a-w- c:\windows\system32\vbalIPrg.dll
2010-02-05 15:55 . 2003-06-22 19:57 94208 ----a-w- c:\windows\system32\CMDLGD6.dll
2010-02-05 15:55 . 2005-01-16 23:12 29696 ----a-w- c:\windows\system32\VB6DE.dll
2010-02-05 13:02 . 2010-02-24 14:31 -------- d-----w- c:\program files\Cain
2010-02-05 12:21 . 2010-02-05 12:21 -------- d-----w- c:\users\Coldpep\AppData\Roaming\PeerNetworking
2010-02-05 11:25 . 2010-02-05 11:25 -------- d-----w- c:\program files\Pure Networks
2010-02-05 11:24 . 2009-03-06 12:01 76184 ----a-w- c:\windows\system32\atsckernel.exe
2010-02-05 11:24 . 2009-03-06 11:59 20376 ----a-w- c:\windows\system32\atashost.exe
2010-02-05 11:24 . 2010-02-05 11:24 -------- d-----w- c:\programdata\webex
2010-02-05 04:00 . 2010-02-05 04:00 -------- d-----w- c:\users\Coldpep\AppData\Local\Downloaded Installations
2010-02-02 12:55 . 2010-02-02 12:57 -------- d-----w- C:\Lop SD
2010-02-02 00:55 . 2010-02-20 16:35 -------- d-----w- c:\users\Coldpep\AppData\Roaming\BitTorrent
2010-02-02 00:55 . 2010-02-02 00:55 -------- d-----w- c:\program files\BitTorrent
2010-02-01 18:27 . 2010-02-01 18:27 -------- d-----w- c:\users\mama\AppData\Roaming\Template
2010-02-01 17:54 . 2010-02-01 17:55 -------- d-----w- c:\users\mama\AppData\Local\Adobe
2010-01-30 20:16 . 2010-01-30 20:16 -------- d-----w- c:\program files\Trend Micro
2010-01-30 07:02 . 2010-01-30 07:02 -------- d-----w- c:\program files\VB Decompiler Pro
2010-01-30 06:50 . 2010-01-30 06:50 -------- d-----w- c:\programdata\LightScribe
2010-01-30 06:48 . 2010-02-22 11:28 -------- d-----w- c:\program files\Common Files\Ahead
2010-01-30 02:27 . 2010-02-03 19:47 -------- d-----w- c:\program files\XBC
2010-01-28 11:01 . 2010-01-28 11:01 680 ----a-w- c:\users\mama\AppData\Local\d3d9caps.dat
2010-01-28 11:00 . 2010-01-28 11:02 -------- d-----w- c:\users\mama\AppData\Roaming\PCToolsFirewallPlus

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-26 09:34 . 2009-11-09 11:38 -------- d-----w- c:\program files\Cheat Engine
2010-02-26 06:40 . 2009-10-27 10:30 -------- d-----w- c:\program files\FlightGear
2010-02-25 08:03 . 2009-10-21 20:26 -------- d-----w- c:\users\Coldpep\AppData\Roaming\FileZilla
2010-02-24 14:49 . 2009-12-27 20:24 -------- d-----w- c:\users\Coldpep\AppData\Roaming\ICQ
2010-02-24 03:44 . 2007-09-11 01:31 628672 ----a-w- c:\windows\system32\perfh007.dat
2010-02-24 03:44 . 2007-09-11 01:31 127206 ----a-w- c:\windows\system32\perfc007.dat
2010-02-23 18:54 . 2010-01-15 23:44 -------- d-----w- c:\program files\CCleaner
2010-02-23 15:32 . 2010-01-20 13:08 -------- d-----w- c:\program files\ICQ6Toolbar
2010-02-22 19:13 . 2009-11-06 11:35 1622 ----a-w- c:\users\Coldpep\AppData\Roaming\wklnhst.dat
2010-02-22 12:46 . 2010-01-20 13:08 -------- d-----w- c:\programdata\ICQ
2010-02-22 11:41 . 2009-10-18 09:25 67888 ----a-w- c:\users\Coldpep\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-22 11:21 . 2010-01-03 06:45 -------- d-----w- c:\program files\CACE Technologies
2010-02-20 18:38 . 2009-12-13 19:12 -------- d-----w- c:\program files\Windows Live
2010-02-18 23:32 . 2010-02-01 18:27 1378 ----a-w- c:\users\mama\AppData\Roaming\wklnhst.dat
2010-02-17 15:23 . 2009-12-22 10:24 -------- d-----w- c:\program files\NeoSmart Technologies
2010-02-16 00:10 . 2009-12-29 07:12 -------- d-----w- c:\users\Coldpep\AppData\Roaming\TeamViewer
2010-02-14 20:56 . 2010-01-07 08:45 -------- d-----w- c:\users\Coldpep\AppData\Roaming\Skype
2010-02-14 19:29 . 2010-01-07 08:52 -------- d-----w- c:\users\Coldpep\AppData\Roaming\skypePM
2010-02-12 15:16 . 2009-11-11 19:38 -------- d-----w- c:\program files\SystemRequirementsLab
2010-02-12 00:00 . 2010-01-23 06:16 -------- d-----w- c:\program files\Game Optimizer Pro
2010-02-10 10:15 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail
2010-02-09 22:03 . 2009-10-19 09:48 68336 ----a-w- c:\users\mama\AppData\Local\GDIPFONTCACHEV1.DAT
2010-02-06 19:43 . 2009-12-27 00:38 -------- d-----w- c:\users\Coldpep\AppData\Roaming\Wireshark
2010-02-05 11:24 . 2010-02-05 11:24 8892928 ----a-w- c:\programdata\atscie.msi
2010-02-04 15:02 . 2010-01-01 11:57 -------- d-----w- c:\program files\avmwlanstick
2010-02-03 20:02 . 2009-11-20 15:21 -------- d-----w- c:\program files\FileZilla Server
2010-01-28 12:11 . 2009-12-28 14:08 -------- d-----w- c:\users\mama\AppData\Roaming\ICQ
2010-01-25 16:43 . 2009-11-06 11:36 -------- d-----w- c:\users\Coldpep\AppData\Roaming\Template
2010-01-25 13:00 . 2010-01-25 08:56 -------- d-----w- c:\program files\PC Tools Firewall Plus
2010-01-25 13:00 . 2010-01-25 08:57 100136 ----a-w- c:\windows\system32\drivers\pctwfpfilter.sys
2010-01-25 13:00 . 2010-01-25 08:56 70664 ----a-w- c:\windows\system32\drivers\pctNdis-PacketFilter.sys
2010-01-25 13:00 . 2010-01-25 08:56 58816 ----a-w- c:\windows\system32\drivers\pctNdis.sys
2010-01-25 13:00 . 2010-01-25 08:56 115216 ----a-w- c:\windows\system32\drivers\pctplfw.sys
2010-01-25 13:00 . 2010-01-25 08:57 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2010-01-25 13:00 . 2010-01-25 08:56 32680 ----a-w- c:\windows\system32\drivers\pctNdis-DNS.sys
2010-01-25 09:02 . 2010-01-25 09:01 -------- d-----w- c:\users\Coldpep\AppData\Roaming\PCToolsFirewallPlus
2010-01-25 08:57 . 2010-01-25 08:56 -------- d-----w- c:\program files\Common Files\PC Tools
2010-01-25 08:50 . 2010-01-25 08:50 -------- d-----w- c:\program files\Microsoft Silverlight
2010-01-20 13:09 . 2007-09-10 16:17 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-14 13:13 . 2009-11-16 17:05 -------- d-----w- c:\program files\Vodafone PC Suite
2010-01-14 11:52 . 2010-01-14 11:46 -------- d-----w- c:\program files\Mobile Partner
2010-01-14 10:12 . 2009-10-18 20:34 181120 ------w- c:\windows\system32\MpSigStub.exe
2010-01-13 20:42 . 2010-01-13 20:42 680 ----a-w- c:\users\Coldpep\AppData\Local\d3d9caps.dat
2010-01-13 16:56 . 2010-01-13 16:54 -------- d-----w- c:\program files\ManyCam 2.4
2010-01-13 16:56 . 2010-01-13 16:54 -------- d-----w- c:\users\Coldpep\AppData\Roaming\ManyCam
2010-01-10 13:00 . 2009-12-26 04:28 -------- d-----w- c:\programdata\TamoSoft
2010-01-10 12:47 . 2007-09-10 16:29 -------- d-----w- c:\program files\Common Files\muvee Technologies
2010-01-08 08:55 . 2010-01-08 08:55 -------- d-----w- c:\users\Coldpep\AppData\Roaming\LightZone
2010-01-08 08:55 . 2010-01-08 08:55 -------- d-----w- c:\program files\Common Files\eSellerate
2010-01-08 08:55 . 2010-01-08 08:54 -------- d-----w- c:\program files\LightZone 3
2010-01-07 08:49 . 2010-01-07 08:44 -------- d-----r- c:\program files\Skype
2010-01-07 08:49 . 2010-01-07 08:49 -------- d-----w- c:\program files\Common Files\Skype
2010-01-07 08:44 . 2009-12-24 20:07 -------- d-----w- c:\programdata\Skype
2010-01-03 06:26 . 2010-01-03 06:26 -------- d-----w- c:\program files\Technitium
2010-01-01 06:09 . 2010-01-01 06:09 13 ---h--w- c:\programdata\ÐÝÃÄ›.sys
2010-01-01 06:09 . 2010-01-01 06:09 13 ---h--w- c:\programdata\ÐÝÃÄ›.sys
2010-01-01 05:32 . 2010-01-01 05:32 -------- d-----w- c:\program files\Emerald Editor Community
2009-12-29 13:35 . 2009-12-29 13:29 -------- d-----w- c:\users\mama\AppData\Roaming\DeepBurner Pro
2009-12-29 07:11 . 2009-12-29 07:11 -------- d-----w- c:\program files\TeamViewer
2009-12-29 04:58 . 2009-12-27 21:08 -------- d--h--w- c:\program files\InstallJammer Registry
2009-12-28 14:07 . 2009-12-28 14:07 -------- d-----w- c:\users\mama\AppData\Roaming\VMware
2009-12-18 13:01 . 2010-01-22 14:09 78336 ----a-w- c:\windows\system32\ieencode.dll
2009-12-17 14:02 . 2009-12-26 17:04 123280 ----a-w- c:\windows\system32\drivers\VBoxDrv.sys
2009-12-17 14:02 . 2009-12-26 17:04 41616 ----a-w- c:\windows\system32\drivers\VBoxUSBMon.sys
2009-12-17 14:02 . 2009-12-17 14:02 99152 ----a-w- c:\windows\system32\drivers\VBoxNetAdp.sys
2009-12-17 14:02 . 2009-12-17 14:02 31824 ----a-w- c:\windows\system32\drivers\VBoxUSB.sys
2009-12-17 14:02 . 2009-12-17 14:02 133648 ----a-w- c:\windows\system32\VBoxNetFltNotify.dll
2009-12-17 14:02 . 2009-12-17 14:02 110096 ----a-w- c:\windows\system32\drivers\VBoxNetFlt.sys
2009-12-16 11:44 . 2010-01-22 14:09 834048 ----a-w- c:\windows\system32\wininet.dll
2009-12-11 11:43 . 2010-02-10 09:44 302080 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-11 11:43 . 2010-02-10 09:44 98816 ----a-w- c:\windows\system32\drivers\srvnet.sys
2009-12-09 17:40 . 2009-11-01 10:12 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-08 20:01 . 2010-02-10 09:44 904776 ----a-w- c:\windows\system32\drivers\tcpip.sys
2009-12-08 20:01 . 2010-02-10 09:44 3600456 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-08 20:01 . 2010-02-10 09:44 3548216 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-08 17:26 . 2010-02-10 09:44 30720 ----a-w- c:\windows\system32\drivers\tcpipreg.sys
2009-12-04 18:30 . 2010-02-10 09:44 12288 ----a-w- c:\windows\system32\tsbyuv.dll
2009-12-04 18:29 . 2010-02-10 09:44 1314816 ----a-w- c:\windows\system32\quartz.dll
2009-12-04 18:28 . 2010-02-10 09:44 22528 ----a-w- c:\windows\system32\msyuv.dll
2009-12-04 18:28 . 2010-02-10 09:44 31744 ----a-w- c:\windows\system32\msvidc32.dll
2009-12-04 18:28 . 2010-02-10 09:44 123904 ----a-w- c:\windows\system32\msvfw32.dll
2009-12-04 18:28 . 2010-02-10 09:44 13312 ----a-w- c:\windows\system32\msrle32.dll
2009-12-04 18:28 . 2010-02-10 09:44 82944 ----a-w- c:\windows\system32\mciavi32.dll
2009-12-04 18:28 . 2010-02-10 09:44 50176 ----a-w- c:\windows\system32\iyuv_32.dll
2009-12-04 18:27 . 2010-02-10 09:44 91136 ----a-w- c:\windows\system32\avifil32.dll
2009-12-04 15:56 . 2010-02-10 09:44 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys
2009-12-04 15:56 . 2010-02-10 09:44 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2002-07-31 18:55 . 2010-01-01 06:01 104 --sh--w- c:\windows\WSYS049.SYS
2006-05-03 10:06 . 2010-02-25 11:11 163328 --sh--r- c:\windows\System32\flvDX.dll
2007-02-21 11:47 . 2010-02-25 12:10 31232 --sh--r- c:\windows\System32\msfDX.dll
2008-03-16 13:30 . 2010-02-25 12:10 216064 --sh--r- c:\windows\System32\nbDX.dll
2007-09-11 01:56 . 2007-09-11 01:34 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT
.

------- Sigcheck -------

[-] 2008-02-17 . EAC2A93DB28E831CE601AE140CA89F8A . 448512 . . [6.0.6001.18000] . . c:\windows\System32\termsrv.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
"RtHDVCpl"="RtHDVCpl.exe" [2007-07-06 4669440]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"00PCTFW"="c:\program files\PC Tools Firewall Plus\FirewallGUI.exe" [2010-01-25 3168216]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-01-07 1394000]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WindowsWelcomeCenter"=rundll32.exe oobefldr.dll,ShowWelcomeCenter

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
"VistaSp2"=hex(b):da,b8,ff,cb,87,56,ca,01

R1 pctgntdi;pctgntdi;c:\windows\System32\drivers\pctgntdi.sys [25.01.2010 09:57 233136]
R1 VBoxDrv;VirtualBox Service;c:\windows\System32\drivers\VBoxDrv.sys [26.12.2009 18:04 123280]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;c:\windows\System32\drivers\VBoxUSBMon.sys [26.12.2009 18:04 41616]
R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [01.11.2009 11:12 108289]
R2 atashost;WebEx Service Host for Support Center;c:\windows\System32\atashost.exe [05.02.2010 12:24 20376]
R2 NPF;NetGroup Packet Filter Driver;c:\windows\System32\drivers\npf.sys [20.10.2009 19:19 50704]
R2 PCTAppEvent;PCTAppEvent Driver;c:\windows\System32\drivers\PCTAppEvent.sys [25.01.2010 09:57 88040]
R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [20.02.2010 18:46 1153368]
R3 FWLANUSB;AVM FRITZ!WLAN;c:\windows\System32\drivers\fwlanusb.sys [25.12.2009 05:06 265088]
R3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\System32\drivers\ManyCam.sys [14.01.2008 11:06 21632]
R3 PCTFW-PacketFilter;PCTools Firewall - Packet filter driver;c:\windows\System32\drivers\pctNdis-PacketFilter.sys [25.01.2010 09:56 70664]
R3 pctNDIS;PC Tools Driver;c:\windows\System32\drivers\pctNdis.sys [25.01.2010 09:56 58816]
R3 pctplfw;pctplfw;c:\windows\System32\drivers\pctplfw.sys [25.01.2010 09:56 115216]
R3 VBoxNetFlt;VBoxNetFlt Service;c:\windows\System32\drivers\VBoxNetFlt.sys [17.12.2009 15:02 110096]
S0 sptd;sptd;c:\windows\System32\drivers\sptd.sys [18.10.2009 12:06 721904]
S3 avmeject;AVM Eject;c:\windows\System32\drivers\avmeject.sys [02.01.2010 03:04 4352]
S3 IPTools;IPTools;c:\users\Coldpep\Desktop\sniffer\iptools.exe --> c:\users\Coldpep\Desktop\sniffer\iptools.exe [?]
S3 MobileAdapter;Mobile Adapter USB Modem and USB Serial;c:\windows\System32\drivers\qscvusb.sys [16.11.2009 18:07 103552]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
S3 PCTFW-DNS;PCTools Firewall - DNS driver;c:\windows\System32\drivers\pctNdis-DNS.sys [25.01.2010 09:56 32680]
S3 rt2870;Ralink 802.11n USB Wireless LAN Card Driver;c:\windows\System32\drivers\rt2870.sys [04.01.2010 03:05 729728]
S3 TS_AR5416;[CommView] Atheros AR5008 Wireless Network Adapter Service;c:\windows\System32\drivers\ts_athw.sys [26.12.2009 05:27 1351104]
S3 VBoxNetAdp;VirtualBox Host-Only Ethernet Adapter;c:\windows\System32\drivers\VBoxNetAdp.sys [17.12.2009 15:02 99152]
S3 VBoxUSB;VirtualBox USB;c:\windows\System32\drivers\VBoxUSB.sys [17.12.2009 15:02 31824]
S4 ICQ Service;ICQ Service;c:\program files\ICQ6Toolbar\ICQ Service.exe [20.01.2010 14:08 246520]
S4 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [17.12.2009 17:04 185640]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache
.
Inhalt des "geplante Tasks" Ordners

2010-02-22 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job
- c:\program files\Spybot - Search & Destroy\SpybotSD.exe [2010-02-20 14:31]

2010-02-25 c:\windows\Tasks\User_Feed_Synchronization-{670D9234-22F2-448E-8EDC-15C6059BB000}.job
- c:\windows\system32\msfeedssync.exe [2009-10-22 07:33]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://start.icq.com/
mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=74&bd=Pavilion&pf=desktop
IE: Add to AMV Converter... - c:\program files\MP3 Player Utilities 4.18\AMVConverter\grab.html
FF - ProfilePath - c:\users\Coldpep\AppData\Roaming\Mozilla\Firefox\Profiles\lq91krsm.default\
FF - prefs.js: browser.search.selectedEngine - ICQ Search
FF - prefs.js: browser.startup.homepage - google.com
FF - prefs.js: keyword.URL - hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.0&q=
FF - component: c:\users\Coldpep\AppData\Roaming\Mozilla\Firefox\Profiles\lq91krsm.default\extensions\{9b339f6e-ddcd-401b-8764-230adbd01761}\components\FFExternalAlert.dll
FF - component: c:\users\Coldpep\AppData\Roaming\Mozilla\Firefox\Profiles\lq91krsm.default\extensions\{9b339f6e-ddcd-401b-8764-230adbd01761}\components\RadioWMPCore.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

AddRemove-{43B74FAB-FB58-447D-8D3A-5F638AF36FD1} - c:\users\Coldpep\AppData\Local\{9F3E013D-5CC0-40CE-82C2-47A599C1BC72}\Netzmanager1.041b_091125a.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-26 10:35
Windows 6.0.6002 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\npggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PsSdk30]
"ImagePath"="\??\c:\windows\system32\Drivers\PsSdk30.drv"
.
Zeit der Fertigstellung: 2010-02-26 10:38:01
ComboFix-quarantined-files.txt 2010-02-26 09:37

Vor Suchlauf: 13 Verzeichnis(se), 66.237.923.328 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 66.203.004.928 Bytes frei

- - End Of File - - DD9B1242EE246FAAC5CB63D7CAA0C695

steht da das jetzt wieder alles cool ist? ich werde aus dem log nicht sehr schlau.

Bei Hijack this also vor dem scan mit ComboFix war kein eintrag der so hies: O4 - HKCU\..\Run: [Firewall Administrating] C:\Users\Public\infocard.exe

CombiFix entfernen
Start > Ausführen> Kopiere rein combofix /uninstall OK

so einen ähnlichen virus gabs vor anderthalb jahren schonmal und damals wie jetzt auch hab ich den mit keinem vierenprogramm wegbekommen

ich hab einfach die daten die ich noch brauche gebrannt und danach die festplatte formatiert und alles neu instaliert

ist zwar nervig und umstaendlich aber nur für ein zwei stunden das is immer noch besser als sich tage oder wochenlang mit dem scheiss rumzuärgern und den so nur noch weiter zu verbreiten,