Windows Vista: Trojan-Downloader.Win32.Peregar.ah

Moin!
Als erstes würde ich die Frage nochmal ganz genau bei den Kollegen vom HiJack-Support stellen: Forum - klick hier!
Wäre es mein PC, wüsste ich, was ich machen würde...
kasi

Mein Tipp bei Trojanern
 formatieren

Richtig bei Trojanern formatieren.

@Kasi warum soll er dass Hijackthis forum wählen ?? Hier kann es genauso ausgewertet werden.


@conny mach ein neues Logfile,da ist was schief gelaufen!!

Hallo,
hier nochmal mein Logffile Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:50:34, on 12.04.2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Nero\Nero 7\InCD\InCD.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\ASScrPro.exe
C:\Program Files\P4P\P4P.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\SPYWAREfighter\spftray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Common Files\Marmiko Shared\MWLaMaS.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - C:\Program Files\NetProject\sbmdl.dll (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\ASScrProlog.exe
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe
O4 - HKLM\..\Run: [PowerForPhone] "C:\Program Files\P4P\P4P.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [spywarefighterguard] C:\Program Files\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Program Files\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ieservicegate.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ieservicegate.com/redirect.php (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Program Files\SPYWAREfighter\spfprc.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\Windows\System32\StkCSrv.exe

--
End of file - 7323 bytes
Vielen Dank für Eure Mühe
Conny

Da ich mich an eine verläßliche Auswertung dieses Logfiles nicht wage, weißt du ja, auf wen du nur warten musst:
 

@Kasi warum soll er dass Hijackthis forum wählen ?? Hier kann es genauso ausgewertet werden.

Einmal ist hier Zlob zu sehen und noch ein weiterer Schädling!

Lade diese Dateien auf http://virustotal.com hoch und poste die Ergebnisse.

C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe

C:\Program Files\ATKGFNEX\GFNEXSrv.exe

Ladt dir Smitfraudfix runter und benütze es nach dieser Anleitung:

http://siri.geekstogo.com/SmitfraudFix_De.php


 

Datei Boonty.exe empfangen 2008.04.12 15:15:10 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 40 und 57 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:    
   
Antivirus    Version    letzte aktualisierung    Ergebnis
AhnLab-V3   2008.4.12.0   2008.04.11   -
AntiVir   7.6.0.85   2008.04.11   -
Authentium   4.93.8   2008.04.11   -
Avast   4.8.1169.0   2008.04.12   -
AVG   7.5.0.516   2008.04.12   -
BitDefender   7.2   2008.04.12   -
CAT-QuickHeal   9.50   2008.04.12   -
ClamAV   0.92.1   2008.04.12   -
DrWeb   4.44.0.09170   2008.04.12   -
eSafe   7.0.15.0   2008.04.09   -
eTrust-Vet   31.3.5692   2008.04.11   -
Ewido   4.0   2008.04.12   -
F-Prot   4.4.2.54   2008.04.11   -
F-Secure   6.70.13260.0   2008.04.11   -
FileAdvisor   1   2008.04.12   -
Fortinet   3.14.0.0   2008.04.12   -
Ikarus   T3.1.1.26   2008.04.12   -
Kaspersky   7.0.0.125   2008.04.12   -
McAfee   5272   2008.04.11   -
Microsoft   1.3408   2008.04.12   -
NOD32v2   3020   2008.04.11   -
Norman   5.80.02   2008.04.12   -
Panda   9.0.0.4   2008.04.12   -
Prevx1   V2   2008.04.12   -
Rising   20.39.52.00   2008.04.12   -
Sophos   4.28.0   2008.04.12   -
Sunbelt   3.0.1041.0   2008.04.12   -
Symantec   10   2008.04.12   -
TheHacker   6.2.92.275   2008.04.12   -
VBA32   3.12.6.4   2008.04.06   -
VirusBuster   4.3.26:9   2008.04.12   -
Webwasher-Gateway   6.6.2   2008.04.11   -
weitere Informationen
File size: 69120 bytes
MD5...: 98200508be50d9567c379f5743052425
SHA1..: c4c66e36ea7f38b0dc3ea13f28d9a6a61cc7764d
SHA256: 488639d55657cc8f24cd20e0552b56b5ddf160e6b06de7fb71fca9941cc13332
SHA512: 8b2eb3d7d41587c4ac200b6e1d364fc83af4152237569fafc044340d09f09983
b524b4862f98448f353e29f01ad6d1a80b6ed7061669cdb5352266be94aa9a1d
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x405300
timedatestamp.....: 0x406164ee (Wed Mar 24 10:37:34 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xbc5a 0xbe00 6.60 f0e8256080c2f07e025d5e685773b03b
.rdata 0xd000 0x13a0 0x1400 5.35 8834cb9bef0f0ec2a506acea8d1e2833
.data 0xf000 0x524c 0x3400 1.49 9e2dbb97ef8512ac2330242b63d0767d
.rsrc 0x15000 0x31c 0x400 3.64 53e5c8002af128c890ff20e8a60b78dd

( 3 imports )
> KERNEL32.dll: GetOverlappedResult, WaitForMultipleObjectsEx, ConnectNamedPipe, GetTickCount, ReleaseMutex, FindClose, FindNextFileA, FindFirstFileA, CreateDirectoryA, ResumeThread, DisconnectNamedPipe, EnterCriticalSection, WaitForSingleObject, OpenProcess, GetModuleFileNameA, QueryDosDeviceA, SetWaitableTimer, CreateWaitableTimerA, SuspendThread, SetEvent, InitializeCriticalSection, LoadLibraryA, CreateEventA, CreateMutexA, CreateNamedPipeA, CreateThread, FreeLibrary, WaitForSingleObjectEx, WriteFile, GetVersionExA, GetLastError, GetSystemDirectoryA, SetFilePointer, ReadFile, lstrlenA, CreateFileA, LeaveCriticalSection, GetProcAddress, HeapFree, CloseHandle, DeviceIoControl, HeapAlloc, RtlUnwind, InterlockedDecrement, InterlockedIncrement, GetTimeZoneInformation, GetSystemTime, GetLocalTime, GetCommandLineA, GetVersion, ExitProcess, GetModuleHandleA, GetEnvironmentVariableA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, IsBadWritePtr, DeleteCriticalSection, TerminateProcess, GetCurrentProcess, HeapSize, GetCurrentThreadId, TlsSetValue, TlsAlloc, SetLastError, TlsGetValue, CompareStringW, SetEnvironmentVariableA, WideCharToMultiByte, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetCPInfo, GetACP, GetOEMCP, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadCodePtr, GetStringTypeA, GetStringTypeW, SetStdHandle, FlushFileBuffers, CompareStringA
> USER32.dll: wsprintfA
> ADVAPI32.dll: QueryServiceConfigA, RegDeleteValueA, RegSetValueExA, RegCreateKeyExA, RegOpenKeyExA, RegEnumKeyExA, RegCloseKey, RegDeleteKeyA, RegisterEventSourceA, ReportEventA, DeregisterEventSource, SetServiceStatus, RegisterServiceCtrlHandlerA, OpenSCManagerA, OpenServiceA, CloseServiceHandle, InitializeSecurityDescriptor, SetSecurityDescriptorDacl, StartServiceCtrlDispatcherA, GetLengthSid, RegQueryValueExA


Antivirus     Version     letzte aktualisierung     Ergebnis
AhnLab-V3   2008.4.12.0   2008.04.11   -
AntiVir   7.6.0.85   2008.04.11   -
Authentium   4.93.8   2008.04.11   -
Avast   4.8.1169.0   2008.04.12   -
AVG   7.5.0.516   2008.04.12   -
BitDefender   7.2   2008.04.12   -
CAT-QuickHeal   9.50   2008.04.12   -
ClamAV   0.92.1   2008.04.12   -
DrWeb   4.44.0.09170   2008.04.12   -
eSafe   7.0.15.0   2008.04.09   -
eTrust-Vet   31.3.5692   2008.04.11   -
Ewido   4.0   2008.04.12   -
F-Prot   4.4.2.54   2008.04.11   -
F-Secure   6.70.13260.0   2008.04.11   -
FileAdvisor   1   2008.04.12   -
Fortinet   3.14.0.0   2008.04.12   -
Ikarus   T3.1.1.26.0   2008.04.12   -
Kaspersky   7.0.0.125   2008.04.12   -
McAfee   5272   2008.04.11   -
Microsoft   1.3408   2008.04.12   -
NOD32v2   3020   2008.04.11   -
Norman   5.80.02   2008.04.12   -
Panda   9.0.0.4   2008.04.12   -
Prevx1   V2   2008.04.12   -
Rising   20.39.52.00   2008.04.12   -
Sophos   4.28.0   2008.04.12   -
Sunbelt   3.0.1041.0   2008.04.12   -
Symantec   10   2008.04.12   -
TheHacker   6.2.92.275   2008.04.12   -
VBA32   3.12.6.4   2008.04.06   -
VirusBuster   4.3.26:9   2008.04.12   -
Webwasher-Gateway   6.6.2   2008.04.11   -
weitere Informationen
File size: 94208 bytes
MD5...: dce3f93c8ad509c51060edd4b6c71e70
SHA1..: 8095343305b80349f189c24f6933614a8cffa5c0
SHA256: f24ad471ee4ea09ed628b8ff4182fc0d1d8d9c74bd6562a299a71e23774afad8
SHA512: 35e929f54169c118d2f6a5d44f192391e938e3518d128ab444596aab2bc65fc0
b6ddee488ad4c60db90d8fdcfdf88663233dbb1e3352d2cdc50df39b697b2b41
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4029b0
timedatestamp.....: 0x466cc1e0 (Mon Jun 11 03:30:40 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x95f4 0xa000 6.41 1aaf11fd781dc81586cc502fa22635aa
.rdata 0xb000 0x2242 0x3000 4.40 3cd166914e6dfa5c6615600fa15b1cee
.data 0xe000 0x5504 0x2000 1.26 695e26f8bafc749f05f267a9a94fc17e
.rsrc 0x14000 0x61e8 0x7000 4.62 9feacc79833f3d6393948efcaa44956f

( 3 imports )
> KERNEL32.dll: OpenEventA, ReadFile, GetLastError, ConnectNamedPipe, CreateNamedPipeA, CreateMutexA, HeapSize, SetEvent, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, MultiByteToWideChar, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, DisconnectNamedPipe, FlushFileBuffers, Sleep, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, GetModuleHandleA, GetProcAddress, InitializeCriticalSection, GetVersionExA, GetCurrentProcess, CreateThread, SetFilePointer, WriteFile, DeviceIoControl, CloseHandle, CreateFileA, GetCommandLineA, HeapFree, HeapAlloc, GetProcessHeap, GetStartupInfoA, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, ExitProcess, GetStdHandle, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStringsW, SetHandleCount, GetFileType, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, InterlockedIncrement, SetLastError, GetCurrentThreadId, InterlockedDecrement, HeapDestroy, HeapCreate, VirtualFree, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, GetSystemTimeAsFileTime, GetConsoleCP, GetConsoleMode, GetCPInfo, GetACP, GetOEMCP, LoadLibraryA, VirtualAlloc, HeapReAlloc, RtlUnwind, SetStdHandle
> USER32.dll: DestroyWindow, GetMessageA, TranslateMessage, DispatchMessageA, TranslateAcceleratorA, LoadIconA, LoadCursorA, RegisterClassExA, DefWindowProcA, BeginPaint, EndPaint, PostQuitMessage, CreateWindowExA, UpdateWindow
> ADVAPI32.dll: RegisterServiceCtrlHandlerA, InitializeSecurityDescriptor, AllocateAndInitializeSid, InitializeAcl, AddAccessAllowedAce, SetSecurityDescriptorDacl, IsValidSecurityDescriptor, FreeSid, SetServiceStatus, StartServiceCtrlDispatcherA

( 0 exports )
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=dce3f93c8ad509c51060edd4b6c71e70
 

Bei beiden kein Fund 

Naja mach dass mit Smitfraudfix und poste danach ein neues Hijackthis logfile.

Hallo
hab mich durch Smitfraud gewurschtelt, dias ist der RapportSmitFraudFix v2.312

Scan done at 16:05:31,32, 12.04.2008
Run from C:\Users\Besitzer\Desktop\SmitfraudFix
OS: Microsoft Windows [Version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1       localhost
::1             localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8DFBC52F-4D69-415E-9F65-B69C6BFB8FD1}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{A692F722-093C-4979-A008-1CD5460C1CEC}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{8DFBC52F-4D69-415E-9F65-B69C6BFB8FD1}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A692F722-093C-4979-A008-1CD5460C1CEC}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning
 
Registry Cleaning done.
 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



hier nun noch das aktuelle Logfile

Danke

war nicht mit dran
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:50:34, on 12.04.2008
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16643)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Nero\Nero 7\InCD\InCD.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\ASUS\ATK Media\DMedia.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\ASUS Live Update\ALU.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\ASScrPro.exe
C:\Program Files\P4P\P4P.exe
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Program Files\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\SPYWAREfighter\spftray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Common Files\Marmiko Shared\MWLaMaS.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.asus.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - C:\Program Files\NetProject\sbmdl.dll (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\ASScrProlog.exe
O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe
O4 - HKLM\..\Run: [PowerForPhone] "C:\Program Files\P4P\P4P.exe"
O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [spywarefighterguard] C:\Program Files\SPYWAREfighter\spftray.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Program Files\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ieservicegate.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.ieservicegate.com/redirect.php (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O13 - Gopher Prefix:
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll
O23 - Service: ADSM Service (ADSMService) - Unknown owner - C:\Program Files\ASUS\ASUS Data Security Manager\ADSMSrv.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program Files\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Program Files\SPYWAREfighter\spfprc.exe
O23 - Service: Syntek AVStream USB2.0 WebCam Service (StkSSrv) - Syntek America Inc. - C:\Windows\System32\StkCSrv.exe

--
End of file - 7323 bytes
 

Öffne Hijackthis und mache bei folgenden Einträgen einen Haken,klicke danach fix checked.

O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program Files\NetProject\sbmntr.exe

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Common Files\BOONTY Shared\Service\Boonty.exe

Spyware Fighter muss auch nicht auf em System sein!!

O4 - HKLM\..\Run: [spywarefighterguard] C:\Program Files\SPYWAREfighter\spftray.exe

O23 - Service: SPYWAREfighterRP - SpamFighter APS - C:\Program Files\SPYWAREfighter\spfprc.exe

Danach neustart und neues Hijackthis Logfile erstellen.



EDIT: Diesen Eintrag auch noch fixxen!!

O2 - BHO: (no name) - {7C109800-A5D5-438F-9640-18D17E168B88} - C:\Program Files\NetProject\sbmdl.dll (file missing)

 

Kleine Anmerkung, die ich mir nicht verkneifen kann: seit Fragestellung bis jetzt sind gut sechs Stunden ´rum - in der Zeit hätte ich mindestens einmal ein neues und vor allem sauberes System mit allem Zippp & Zapp installiert. Aber macht ihr mal...
kasi
 

Ich hätte auch kurz en Image drauf gespielt und gut ist.

Aber warum soll man umbedingt formatieren, wenn nicht nötig ist ??

nach jedem virus befall soll man immer formatieren?? wieso das den ok es ist der einfachste weg das is klar aber wen man wichtige datein drauf hatt und zwar viele datein die man nicht einfach so wegschmeißen kann oder sicherstellen (brennen ect) kann man das auch so lösen (so lange dies möglich ist) ausserdem wozu ein sicherheits forum wo man tipps bekommt wie man viren entfernen kann bzw den personen hilft es zu entfärnen
dan kann man ja auch gleich sagen Formatieren!