lali

Hallo zusammen,

Erstmal vorweg: ich musste mir aus gewissen Gruenden einen Crack vom Freund holen (ich weiss. Das ist nicht gern gesehen), naja und habe auch gleich meine Lektion daraus gelernt.

ich habe folgendes Problem:

Seit der Crack auf meiner Festplatte ist (mittlerweile wieder geloescht), kann ich zwar .exe Datein immer noch ausfuehren, doch sobald ich einen Rechtsklick mache auf eine .exe Datein, stuerzt kurze Zeit spaeter der Explorer ab. Manchmal von allein, manchmal muss ich noch uebern taskmanager sofort beenden. Bei allen anderen Dateitypen gehts nachwievor.

Die Zeit bzw. Anzahl der Rechtsklicke ist immer unterschiedlich. Manchmal kann man auch noch kontextmenue punkte wie kopieren, ausschneiden, etc. anwaehlen, dann ist aber schluss.

Weiss jemand weiter bzw. hatte schonmal jemand das problem? (ein paar eintraege hab ich schon bei google gefunden. Haben mir allerdings nichts gebracht).

Also ich waere dankbar fuer jede hilfe, da ich nur sehr ungern wieder formatieren will und zumal befuerchte ich auch, dass es diesmal nicht ausreicht nur C zu formatieren, da ja auf allen Partitionen die .exe Datein dieses Problem haben.

Gruesse
lali

Millennium

hy
ich hatte auch das problem
Tu einfach mal mit deinem Antivirprogramm (oder ein anderes Vierenprogramm) die c platte überprüfen.

Wenn nich dann weiß ich auch nich weiter!?

Leonixx

Aloha,

lade dir Malewarebytes (link in meiner Signatur), ausführen, updaten, Komplett Scan, alles löschen was gefunden wird, Report posten.

Danach bitte ein Hijackthis Logfile posten.
HJT-Anleitung

Dann sehen wir weiter.

Gruss Leonixx

lali

So danke fuer die Antworten erst mal,

Hier der Malware Bericht:

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1031
Windows 5.1.2600 Service Pack 3

23:46:05 07.08.2008
mbam-log-8-7-2008 (23-46-05).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|G:\|)
Durchsuchte Objekte: 265469
Laufzeit: 1 hour(s), 8 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
D:\System Volume Information\_restore{5E73EDC8-A637-43C7-BF0F-F4D52FB8F092}\RP15\A0002171.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{7416817B-A2E3-47E9-AB03-77638750B547}\RP23\A0003398.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{C2015EB2-34DF-437E-8A6F-4E885182179E}\RP12\A0010119.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{C2015EB2-34DF-437E-8A6F-4E885182179E}\RP13\A0017297.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{FD415B25-E6D7-485B-9037-7D21DD6E6D0A}\RP15\A0001504.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
D:\WC3Banlist\HotKeyHook.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{7416817B-A2E3-47E9-AB03-77638750B547}\RP21\A0002741.exe (Trojan.Agent) -> Quarantined and deleted successfully.

__________________________________________________ _________

Und hier die Hijackthis Log-file:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:47:59, on 07.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Adaware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\WINDOWS\RTHDCPL.EXE
D:\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\RUNDLL32.EXE
D:\DeamonTools\DAEMON Tools\daemon.exe
D:\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
D:\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.ex e
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
D:\Opera\opera.exe
D:\HiJackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [avgnt] "D:\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe "
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [StormCodec_Helper] "D:\Storm\Storm Codec\StormSet.exe" /S /opti
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Areader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [DAEMON Tools] "D:\DeamonTools\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Adaware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.ex e
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7377 bytes


Danke schon mal fuers Auswerten.

@Millennium:

Hab mittwerlweile Antivir, Spybot, Adaware, TuneUp rueberlaufen lassen und alle bis auf Spybot haben was gefunden und konnten es auch entfernen. Das Problem besteht jedoch weiterhin. Also hoffe ich ihr koennt mir mit den Log-files helfen.

Gruss

lali

Freezex

Folgendes fixxen:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Sonst ist er sauber.

Leonixx

Ok, lade dir Combofix, ausführen nach dieser Anleitung.

Combofix

Durch die Infizierung könnten auch Systemdateien verändert worden sein. Was du auch noch ausprobieren kannst, Start, Ausführen, CMD, hier eingeben
sfc /scannow. Bitte vorher die Original Windows CD einlegen. Mit diesem Befehl werden beschädigte Systemdateien repariert.

TIPower

Da ist man selber schuld wenn man sich cracks holt eine frage was hasste für ein AntiVirus.

lali

Ja... ich weiss, dass ich selber schuld bin! Ich benutze Avira Antivirus Personal Edition.

Combofix habe ich gestern schon durhclaufne lassen, hier die logfile:

ComboFix 08-08-06.04 - Flo 2008-08-07 18:23:52.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1555 [GMT 2:00]
ausgeführt von:: D:\Downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-07 bis 2008-08-07 ))))))))))))))))))))))))))))))
.

2008-08-07 18:16 . 2007-11-19 18:04 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-08-07 18:16 . 2007-11-19 17:59 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-08-07 18:16 . 2007-11-19 17:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-08-07 18:16 . 2008-08-07 18:25 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-08-07 18:16 . 2007-11-19 17:59 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-08-07 18:16 . 2007-11-19 17:59 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-08-07 18:16 . 2007-11-19 17:59 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-08-07 18:16 . 2008-08-07 18:16 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-08-07 13:06 . 2008-08-07 13:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-08-07 13:06 . 2008-08-07 13:06 361,216 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-08-07 13:06 . 2008-07-18 15:05 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-08-01 22:36 . 2008-08-01 22:37 <DIR> d-------- C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\fretsonfire
2008-07-28 18:55 . 2008-08-05 22:15 <DIR> d-------- C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Hamachi
2008-07-28 18:54 . 2008-07-28 18:54 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-07-19 04:18 . 2008-07-19 04:18 7,680 --ahs---- C:\WINDOWS\Thumbs.db
2008-07-16 01:09 . 2008-07-16 01:09 42,320 --a------ C:\WINDOWS\system32\xfcodec.dll
2008-07-08 16:27 . 2004-03-29 16:23 90,112 --a------ C:\WINDOWS\unvise32.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))) ))))
.
2008-08-07 12:41 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Xfire
2008-08-07 11:07 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-08-07 11:06 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-08-06 21:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-06 21:04 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-08-06 17:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrackMania
2008-08-04 21:27 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\teamspeak2
2008-08-02 18:17 --------- d-----w C:\Programme\Java
2008-07-22 03:51 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-07-18 23:43 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\ICQ
2008-07-10 17:50 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Winamp
2008-07-02 12:38 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-27 16:29 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\gtk-2.0
2008-06-21 18:41 --------- d-----w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\InstallShield Installation Information
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:32 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-05-30 12:19 507,400 ----a-w C:\WINDOWS\system32\XAudio2_1.dll
2008-05-30 12:18 238,088 ----a-w C:\WINDOWS\system32\xactengine3_1.dll
2008-05-30 12:17 65,032 ----a-w C:\WINDOWS\system32\XAPOFX1_0.dll
2008-05-30 12:17 25,608 ----a-w C:\WINDOWS\system32\X3DAudio1_4.dll
2008-05-30 12:11 467,984 ----a-w C:\WINDOWS\system32\d3dx10_38.dll
2008-05-30 12:11 3,850,760 ----a-w C:\WINDOWS\system32\D3DX9_38.dll
2008-05-30 12:11 1,491,992 ----a-w C:\WINDOWS\system32\D3DCompiler_38.dll
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-09 10:54 90,112 ----a-w C:\WINDOWS\system32\wshext.dll
2008-05-09 10:54 430,080 ----a-w C:\WINDOWS\system32\vbscript.dll
2008-05-09 10:54 180,224 ----a-w C:\WINDOWS\system32\scrobj.dll
2008-05-09 10:54 172,032 ----a-w C:\WINDOWS\system32\scrrun.dll
2008-05-08 11:24 155,648 ----a-w C:\WINDOWS\system32\wscript.exe
2008-05-07 09:07 135,168 ----a-w C:\WINDOWS\system32\cscript.exe
2008-05-07 05:10 1,293,824 ----a-w C:\WINDOWS\system32\quartz.dll
2007-11-20 15:09 16,368 ----a-w C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\GDIPFONTCACHEV1. DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"DAEMON Tools"="D:\DeamonTools\DAEMON Tools\daemon.exe" [2007-09-18 16:16 171464]
"SpybotSD TeaTimer"="D:\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-30 14:45 1829712]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 07:52 1695232]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"nTrayFw"="C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2006-02-17 11:40 270336]
"JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 14:44 36864]
"JMB36X Configure"="C:\WINDOWS\system32\JMRaidSetup.exe" [2006-10-30 14:44 1953792]
"avgnt"="D:\Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 00:02 266497]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_0 7\bin\jusched.exe" [2008-06-10 04:27 144784]
"StormCodec_Helper"="D:\Storm\Storm Codec\StormSet.exe" [2006-09-30 09:25 96984]
"Adobe Reader Speed Launcher"="D:\Areader\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2006-01-12 15:40 155648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-05-03 05:46 13529088]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray. dll" [2008-05-03 05:46 86016]
"RTHDCPL"="RTHDCPL.EXE" [2006-11-14 11:21 16270848 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-23 00:25 28160 C:\WINDOWS\KHALMNPR.Exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-07-23 00:25 28160 C:\WINDOWS\KHALMNPR.Exe]
"nwiz"="nwiz.exe" [2008-05-03 05:46 1630208 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 07:52 15360]

C:\Dokumente und Einstellungen\All Users\Startmený\Programme\Autostart\
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2007-12-25 16:31:03 528384]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll
"msacm.l3fhg"= mp3fhg.acm
"msacm.divxa32"= divxa32.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"VIDC.YV12"= yv12vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"D:\\XFire\\xfire.exe"=
"E:\\Steam\\Steam.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"E:\\Steam\\steamapps\\cheeroflo\\counter-strike source\\hl2.exe"=
"D:\\Opera\\Opera.exe"=
"E:\\Billigspiele\\Blobby Volley\\volley.exe"=
"E:\\Warcraft III\\Warcraft III.exe"=
"E:\\Steam\\steamapps\\cheeroflo\\counter-strike\\hl.exe"=
"D:\\Xampp\\mysql\\bin\\mysqld.exe"=
"D:\\Xampp\\apache\\bin\\apache.exe"=
"E:\\Soldier of Fortune Payback\\sof3.exe"=
"E:\\Soldat\\Soldat.exe"=
"E:\\QUAKE III\\quake3.exe"=
"E:\\UT3\\Binaries\\UT3.exe"=
"E:\\Swat 4\\Content\\System\\Swat4.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"E:\\UT\\UnrealTournament\\System\\UnrealTournamen t.exe"=
"E:\\Virtual Tennis\\Virtua Tennis\\VTENNIS\\VIRTUA_TENNIS_PC.exe"=
"E:\\C-S 1.5\\hl.exe"=
"E:\\C-S 2d\\cs2d\\CounterStrike2D.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"D:\\QiP\\qip.exe"=
"E:\\Call of Duty4 MW\\iw3mp.exe"=
"E:\\Crysis\\Bin32\\Crysis.exe"=
"E:\\Steam\\steamapps\\common\\trackmania nations forever\\TmForever.exe"=
"E:\\Hellgate London\\Launcher.exe"=
"E:\\Warcraft III\\war3.exe"=
"E:\\UT04\\System\\UT2004.exe"=
"E:\\LIttle Fighters\\Lf2 Kate\\lf2.exe"=
"E:\\LIttle Fighters\\Kate von chris mutter\\Lf2 Kate\\lf2.exe"=
"E:\\LIttle Fighters\\Lf2 Advature\\lf2.exe"=
"E:\\LIttle Fighters\\LF3 v2.5\\LF3ÑD¦{ªí¦-¦-+¦.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\ICQ6\\ICQ.exe"=
"E:\\AgeofEmpiresII\\age2_x1\\age2_x1.exe"=
"E:\\Vietcong\\vietcong.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:Wc3
"18768:TCP"= 18768:TCP:Opera

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 07:53]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-06-29 02:01]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-08-07 13:06]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{d2649213-96be-11dc-b023-806d6172696f}]
\Shell\AutoRun\command - F:\.\Bin\ASSETUP.exe

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-08-07 C:\WINDOWS\Tasks\1-Klick-Wartung.job
- D:\TuneUp\OneClickStarter.exe [2008-08-01 17:22]
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Flo\Anwendungsdaten\Mozilla\Firefox\ Profiles\bfu5fcec.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - google.de
FF -: plugin - D:\Areader\Reader\browser\nppdf32.dll
FF -: plugin - D:\Firefox\plugins\npnul32.dll
FF -: plugin - D:\Opera\program\plugins\npdsplay.dll
FF -: plugin - D:\Opera\program\plugins\NPSWF32.dll
FF -: plugin - D:\Opera\program\plugins\npwmsdrm.dll
FF -: plugin - D:\Storm\Storm Codec\Plugins\nppl3260.dll
FF -: plugin - D:\Storm\Storm Codec\Plugins\npqtplugin.dll
FF -: plugin - D:\Storm\Storm Codec\Plugins\nprpjplug.dll


************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-07 18:25:18
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

************************************************** ************************
.
Zeit der Fertigstellung: 2008-08-07 18:26:16
ComboFix-quarantined-files.txt 2008-08-07 16:26:10

Pre-Run: 8 Verzeichnis(se), 11,591,163,904 Bytes frei
Post-Run: 10 Verzeichnis(se), 11,685,789,696 Bytes frei

193 --- E O F --- 2008-07-09 11:37:50

__________________________________________________ _________

Das mit der CMD werd ich als naechstes machen, bloederweise bin ich dieses Wochenende nicht zu hause. Ich melde mich Sonntag abend sobald der fertig ist.

@Freezex: Wie fixe ich das ? kenn mich da nicdhtso aus, ist dsa ein registry Eintrag oder so ?


Danke bis jetzt und
Gruss
lali

Leonixx

Aloha,
ich hoffe das Logfile von Combofix war nach der Desinfektion mit Spybot etc.?

Bitte diese Datei bei Virustotal hochladen und Report posten.
Virustotal

C:\WINDOWS\system32\xfcodec.dll

Eventuell musst du die versteckten Ordner sichtbar machen.
Versteckte Ordner


Hier hat du Spyware.Spytech.B auf dem System. Eine Anleitung zum entfernen erhälst du hier. Ist zwar auf English aber doch verständlich. Unter Punkt Note die Schritte abarbeiten.
Anleitung Removal

C:\WINDOWS\unvise32.exe

Gruss Leonixx

Freezex

@lali
Du machst noch mal ein Scan mit Hijackthis, dann machst du auf der linken Seite ein Päckchen bei:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

und klickst unten auf "fix checked".
Dann ist der Eintrag gefixxed.