Email Flut

[Corleone]

Huhu,

wende mich als mal wieder hoffnungsvoll an dieses Forum, als letzte Hilfe sozusagen.

Habe gestern ein (Spiele-)Demo installiert und seit dem habe ich dieses Problem.
Wenn ich meinen PC hochfahre kommt mir eine wahre EmailFlut entgegen.
Mit den gängigen Antivirus Programmen habe ich es schon probiert, leider ohne Erfolg.

Hier mein HiJack Prtrokoll:

Logfile of HijackThis v1.99.1
Scan saved at 19:53:50, on 07.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\QuickTime\QTTask.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sandisk\Common\Bin\WinCinemaMgr.exe
C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareControl.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Michael Lünse\Desktop\Antispy\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AnyDVD] "C:\Programme\SlySoft\AnyDVD\AnyDVD.exe"
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [XboxStat] "C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Programme\Anti-Blaxx\Anti-Blaxx.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [Ashampoo AntiSpyWare Guard] C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [qwfq] C:\PROGRA~1\COMMON~1\qwfq\qwfqm.exe
O4 - HKCU\..\Run: [opmrket] C:\WINDOWS\opmrket.exe
O4 - HKCU\..\Run: [omf] C:\WINDOWS\omf.exe
O4 - HKCU\..\Run: [Steam] C:\Programme\Valve\Steam\\Steam.exe -silent
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\Icq.exe -trayboot
O4 - HKCU\..\RunOnce: [McWebDownlMgr] C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\McDMTemp007 (2)\DwnldMgr.exe /runkey
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinCinema Manager.lnk = C:\Programme\Sandisk\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - E:\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - E:\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v ... 1926930765
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - http://as.photoprintit.de/ips-opdata/la ... oader4.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

[Nikita]

Hallo, Corleone

ich vermute , dein Rechner ist nun ein Mail-Boot, also schwer verseucht.

1.
wende cleaner an + lösche die temp-Dateien
http://virus-protect.org/ccleaner.html

2.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

O4 - HKCU\..\Run: [qwfq] C:\PROGRA~1\COMMON~1\qwfq\qwfqm.exe

O4 - HKCU\..\Run: [opmrket] C:\WINDOWS\opmrket.exe

O4 - HKCU\..\Run: [omf] C:\WINDOWS\omf.exe

O4 - HKCU\..\RunOnce: [McWebDownlMgr] C:\DOKUME~1\MICHAE~1\LOKALE~1\Temp\McDMTemp007 (2)\DwnldMgr.exe /runkey

3.
wende combofix an , warnmeldung wegklicken + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html

4.
lade sdfix
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)
gehe in den Ordner C:\SDFix
RunThis.bat doppelt klicken
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,

[Corleone]

Hallo,

erstmal danke für die schnelle Hilfe.

Hier die beiden Protokolle.

SDFix:

SDFix: Version 1.203
Run by Michael Lnse on 08.07.2008 at 18:25

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found




Folder C:\WINDOWS\system32\734914 - Removed


Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-08 18:32:13
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\jqzgfpy]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\jqzgfpy.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\jqzgfpy\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vax347s\Config\jdgg40]
"ujdew"=hex:20,02,00,00,ad,b6,93,6e,e4,8c,70,a5,45,29,e9,48,67,a9,8a,73,f7,..
"ljej40"=hex:ef,af,c1,21,ea,74,ff,3c,80,e5,9d,07,69,b1,9e,6e,9f,ab,73,ee,2e,..
"ljej41"=hex:13,af,c1,21,92,74,ff,3c,81,e5,9c,07,68,b1,9e,6e,9f,ab,73,ee,2e,..
"ljej42"=hex:13,af,c1,21,92,74,ff,3c,81,e5,9c,07,68,b1,9e,6e,9f,ab,73,ee,2e,..
"ljej43"=hex:13,af,c1,21,92,74,ff,3c,81,e5,9c,07,68,b1,9e,6e,9f,ab,73,ee,2e,..
"ljej44"=hex:13,af,c1,21,92,74,ff,3c,81,e5,9c,07,68,b1,9e,6e,9f,ab,73,ee,2e,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\jqzgfpy]
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000000
"ImagePath"=str(2):"\??\C:\WINDOWS\system32\jqzgfpy.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\jqzgfpy\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120%"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQ\\Icq.exe"="C:\\Programme\\ICQ\\Icq.exe:*:Enabled:ICQ"
"C:0\\UnrealTournament\\System\\UnrealTournament.exe"="C:0\\UnrealTournament\\System\\UnrealTournament.exe:*:Enabled:UnrealTournament.exe"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Program Files\\mIRC\\mirc.exe"="C:\\Program Files\\mIRC\\mirc.exe:*:Enabled:mIRC"
"E:\\Serious Sam\\Bin\\SeriousSam.exe"="E:\\Serious Sam\\Bin\\SeriousSam.exe:*:Enabled:SeriousSam"
"C:\\WINDOWS\\system32\\dxdiag.exe"="C:\\WINDOWS\\system32\\dxdiag.exe:*:Enabled:Microsoft DirectX-Diagnoseprogramm"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"E:\\Call of Duty 2\\CoD2MP_s.exe"="E:\\Call of Duty 2\\CoD2MP_s.exe:*:Enabled:CoD2MP_s"
"E:\\Medal of Honor Pacific Assault(tm)\\mohpa.exe"="E:\\Medal of Honor Pacific Assault(tm)\\mohpa.exe:*:Enabled:Medal of Honor Pacific Assault(tm)"
"E:\\MotoGP URT 3\\motogp.exe"="E:\\MotoGP URT 3\\motogp.exe:*:Enabled:motogp"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"F:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"="F:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (CLI)"
"F:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"="F:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe:*:Enabled:S.T.A.L.K.E.R. - Shadow of Chernobyl (SRV)"
"C:\\Programme\\Valve\\Steam\\Steam.exe"="C:\\Programme\\Valve\\Steam\\Steam.exe:*:Enabled:Steam"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"F:\\Hellgate London\\Launcher.exe"="F:\\Hellgate London\\Launcher.exe:*:Enabled:Hellgate: London"
"C:\\Programme\\TVUPlayer\\TVUPlayer.exe"="C:\\Programme\\TVUPlayer\\TVUPlayer.exe:*:Enabled:TVUPlayer Component"
"C:\\Programme\\SopCast\\SopCast.exe"="C:\\Programme\\SopCast\\SopCast.exe:*:Enabled:SopCast Main Application"
"C:\\Programme\\SopCast\\adv\\SopAdver.exe"="C:\\Programme\\SopCast\\adv\\SopAdver.exe:*:Enabled:SopCast Adver"
"C:\\Programme\\TVAnts\\Tvants.exe"="C:\\Programme\\TVAnts\\Tvants.exe:*:Enabled:TVAnts"
"F:\\Programme\\Microsoft Games\\Age of Empires II\\EMPIRES2.EXE"="F:\\Programme\\Microsoft Games\\Age of Empires II\\EMPIRES2.EXE:*:Enabled:Age of Empires II"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"

Remaining Files :



Files with Hidden Attributes :

Tue 4 Oct 2005 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Tue 2 Nov 2004 1,206 A..HR --- "C:\Programme\Gemeinsame Dateien\Symantec Shared\Registry Backup\ccReg.reg"
Tue 2 Nov 2004 12,792 A..HR --- "C:\Programme\Gemeinsame Dateien\Symantec Shared\Registry Backup\CommonClient.reg"
Sat 1 Dec 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\11ff9edcc14d824e43781892eb21a97b\BIT2.tmp"
Thu 8 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\851ec77bad9deffe5a3e6f29ba9e9716\BIT3.tmp"
Fri 7 Oct 2005 444 ...HR --- "C:\Dokumente und Einstellungen\Michael Lnse\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"

Finished!

ComboFix:

ComboFix 08-07-07.3 - Michael Lünse 2008-07-08 17:49:49.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1335 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Michael Lünse\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
The following files were disabled during the run:
C:\Programme\Ashampoo\Ashampoo AntiSpyWare\Guard.dll


(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\sys.txt
C:\WINDOWS\Downloaded Program Files\setup.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-08 bis 2008-07-08 ))))))))))))))))))))))))))))))
.

2008-07-08 17:08 . 2008-07-08 17:08 <DIR> d-------- C:\Programme\CCleaner
2008-07-08 16:38 . 2008-07-08 16:38 <DIR> d-------- C:\Dokumente und Einstellungen\Michael Lünse\Anwendungsdaten\Avira
2008-07-08 16:36 . 2008-07-08 16:36 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Avira
2008-07-08 16:32 . 2008-07-08 16:32 <DIR> d-------- C:\Programme\Avira
2008-07-08 16:32 . 2008-07-08 16:49 71,592 --a------ C:\WINDOWS\system32\drivers\avfwot.sys
2008-07-08 16:32 . 2008-07-08 16:49 71,464 --a------ C:\WINDOWS\system32\drivers\avfwim.sys
2008-07-07 18:43 . 2008-07-07 18:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2008-07-06 16:49 . 2008-07-08 16:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-07-06 15:13 . 2008-07-06 15:13 <DIR> d-------- C:\Dokumente und Einstellungen\Michael Lünse\Anwendungsdaten\rhcn64j0ej7e
2008-07-06 15:07 . 2008-07-06 15:07 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhcn64j0ej7e
2008-07-06 15:06 . 2008-07-06 18:20 <DIR> d-------- C:\WINDOWS\system32\734914
2008-07-06 15:05 . 2008-07-08 18:03 76,126 --a------ C:\WINDOWS\system32\jqzgfpy.sys
2008-07-06 14:42 . 2008-07-06 15:42 <DIR> d-------- C:\Dokumente und Einstellungen\Michael Lünse\Anwendungsdaten\ChessBase
2008-06-19 23:45 . 2008-06-14 19:57 273,024 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-08 15:10 --------- d-----w C:\Programme\ewido anti-malware
2008-07-08 15:06 --------- d-----w C:\Programme\ICQ
2008-07-08 15:00 --------- d-----w C:\Programme\eMule
2008-07-07 16:57 --------- d-----w C:\Programme\Symantec
2008-07-07 16:57 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-07 16:55 --------- d-----w C:\Programme\Norton SystemWorks
2008-07-07 16:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-07-06 13:48 --------- d-----w C:\Programme\CleanUp!
2008-07-06 13:42 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-06 13:12 --------- d-----w C:\Programme\Anti-Blaxx
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-18 20:24 --------- d-----w C:\Programme\Java
2008-05-16 19:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2008-05-16 19:58 --------- d-----w C:\Programme\Buhl
2008-05-16 19:56 --------- d-----w C:\Dokumente und Einstellungen\Michael Lünse\Anwendungsdaten\Buhl Data Service GmbH
2008-05-16 19:56 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2008-05-10 12:24 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2008-05-10 12:24 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2008-05-10 12:24 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-04-21 07:01 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2005-11-24 16:36 457 ----a-w C:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [2006-01-24 20:23 7094272]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 02:04 1415824]
"Steam"="C:\Programme\Valve\Steam\\Steam.exe" [2008-03-28 18:18 1271032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-02-24 07:32 5537792]
"ElbyCheckAnyDVD"="C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" [2002-11-02 08:33 45056]
"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2003-07-14 21:48 189440]
"CloneDVDElbyDelay"="C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" [2002-11-02 08:33 45056]
"ASUS Probe"="C:\Program Files\ASUS\Probe\AsusProb.exe" [2002-12-06 17:07 617984]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2003-12-13 02:50 33792]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24 286720]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50 155648]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-02-24 08:32 86016]
"XboxStat"="C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" [2007-09-26 19:05 734264]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 02:06 487424]
"Anti-Blaxx Manager"="C:\Programme\Anti-Blaxx\Anti-Blaxx.exe" [2005-05-18 17:08 208896]
"avgnt"="C:\Programme\Avira\Avira Premium Security Suite\avgnt.exe" [2008-02-12 10:06 262401]
"Ashampoo AntiSpyWare Guard"="C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe" [2006-09-15 02:30 1385472]
"nwiz"="nwiz.exe" [2005-02-24 07:32 1495040 C:\WINDOWS\system32\nwiz.exe]
"nForce Tray Options"="sstray.exe" [2003-08-13 06:25 73728 C:\WINDOWS\system32\sstray.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

C:\Dokumente und Einstellungen\Michael Lnse\Startmen\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50 113664]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
WinCinema Manager.lnk - C:\Programme\Sandisk\Common\Bin\WinCinemaMgr.exe [2007-10-26 20:36:59 303104]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\system]
"NoDispScrSavPage"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ\\Icq.exe"=
"C:0\\UnrealTournament\\System\\UnrealTournament.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Program Files\\mIRC\\mirc.exe"=
"E:\\Serious Sam\\Bin\\SeriousSam.exe"=
"C:\\WINDOWS\\system32\\dxdiag.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"E:\\Call of Duty 2\\CoD2MP_s.exe"=
"E:\\Medal of Honor Pacific Assault(tm)\\mohpa.exe"=
"E:\\MotoGP URT 3\\motogp.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"F:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\XR_3DA.exe"=
"F:\\S.T.A.L.K.E.R. - Shadow of Chernobyl\\bin\\dedicated\\XR_3DA.exe"=
"C:\\Programme\\Valve\\Steam\\Steam.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"F:\\Hellgate London\\Launcher.exe"=
"C:\\Programme\\TVUPlayer\\TVUPlayer.exe"=
"C:\\Programme\\SopCast\\SopCast.exe"=
"C:\\Programme\\SopCast\\adv\\SopAdver.exe"=
"C:\\Programme\\TVAnts\\Tvants.exe"=
"F:\\Programme\\Microsoft Games\\Age of Empires II\\EMPIRES2.EXE"=

R0 nvcchflt;NVIDIA Disk Cache Filter Driver;C:\WINDOWS\system32\DRIVERS\nvcchflt.sys [2005-02-11 19:11]
R0 si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\drivers\si3112r.sys [2003-05-09 10:55]
R0 SiWinAcc;SiWinAcc;C:\WINDOWS\system32\drivers\SiWinAcc.sys [2003-02-12 07:37]
R1 avfwot;avfwot;C:\WINDOWS\system32\DRIVERS\avfwot.sys [2008-07-08 16:49]
R1 ewido security suite driver;ewido security suite driver;C:\Programme\ewido anti-malware\guard.sys [2005-12-30 13:12]
R2 antivirfirewallservice;Avira Premium Security Suite Firewall;C:\Programme\Avira\Avira Premium Security Suite\avfwsvc.exe [2008-03-26 15:33]
R2 antivirmailservice;Avira Premium Security Suite MailGuard;C:\Programme\Avira\Avira Premium Security Suite\avmailc.exe [2008-07-08 16:48]
R2 antivirwebservice;Avira Premium Security Suite WebGuard;C:\Programme\Avira\Avira Premium Security Suite\AVWEBGRD.EXE [2008-04-09 15:57]
R2 aveservice;Avira Premium Security Suite MailGuard Hilfsdienst;C:\Programme\Avira\Avira Premium Security Suite\avesvc.exe [2008-02-07 10:06]
R2 UMAXPCLS;Scannertreiber (Druckeranschluss);C:\WINDOWS\system32\DRIVERS\umaxpcls.sys [2001-08-17 14:58]
R3 avfwim;AvFw Packet Filter Miniport;C:\WINDOWS\system32\DRIVERS\avfwim.sys [2008-07-08 16:49]
R3 yukonx86;NDIS5.1 Miniport Driver for Marvell Yukon Gigabit Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\yukonx86.sys [2003-10-17 00:27]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\Q]
\Shell\AutoRun\command - Q:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\Z]
\Shell\AutoRun\command - Z:\Start.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0ea4608a-4205-11dd-8941-00112f6e29e9}]
\Shell\AutoRun\command - wd_windows_tools\WDEULA.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{261d9a0b-9e3a-11d9-804e-806d6172696f}]
\Shell\AutoRun\command - M:\AutoRun.exe

*Newly Created Service* - catchme
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-Symantec NetDriver Monitor - C:\PROGRA~1\SYMNET~1\SNDMon.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-08 18:02:02
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-08 18:07:52
ComboFix-quarantined-files.txt 2008-07-08 16:07:31

12 Verzeichnis(se), 18,935,803,904 Bytes frei
14 Verzeichnis(se), 18,936,418,304 Bytes frei

158 --- E O F --- 2008-06-20 13:02:56

[Nikita]

Hallo, Corleone

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html

-setze nur ein Häkchen in: "Automatically disable any rootkits found"
-Das Häkchen "Scan for Rootkits" sollte angehakt sein.

kopiere in das weisse Feld:

Code: Alles auswählen

Drivers to disable:
jqzgfpy
Drivers to delete:
jqzgfpy
Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\jqzgfpy
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\jqzgfpy
Folders to delete:
C:\Dokumente und Einstellungen\Michael Lünse\Anwendungsdaten\rhcn64j0ej7e
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhcn64j0ej7e
C:\WINDOWS\system32\734914
Files to delete:
C:\WINDOWS\system32\jqzgfpy.sys
C:\WINDOWS\opmrket.exe
C:\WINDOWS\omf.exe



schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), wenn es im Sicherheitsforum verlangt wird, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

---------------------

««
lade avz, scanne + poste den report
http://virus-protect.org/artikel/tools/avz.html

[Corleone]

Hallo,

habe den Avenger nun ausgeführt.

Der Pc läuft nun auch wieder schneller. Das Protokoll:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "jqzgfpy" disabled successfully.
Driver "jqzgfpy" deleted successfully.

Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\jqzgfpy" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\jqzgfpy" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\jqzgfpy" deleted successfully.
Folder "C:\Dokumente und Einstellungen\Michael Lünse\Anwendungsdaten\rhcn64j0ej7e" deleted successfully.
Folder "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\rhcn64j0ej7e" deleted successfully.

Error: folder "C:\WINDOWS\system32\734914" not found!
Deletion of folder "C:\WINDOWS\system32\734914" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\jqzgfpy.sys" deleted successfully.

Error: file "C:\WINDOWS\opmrket.exe" not found!
Deletion of file "C:\WINDOWS\opmrket.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\WINDOWS\omf.exe" not found!
Deletion of file "C:\WINDOWS\omf.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.

[Nikita]

««
lade avz, scanne + poste den report
http://virus-protect.org/artikel/tools/avz.html