Programme starten nicht mehr ordentlich: Meldung:C:\WINDOWS\system32\rundll3

#31 Hallo zusammen,

wie schon bei den vorhergehenden Posts habe ich ähnliches Problem. AntiVir hat 2 Viren/Trojaner erkannt, welche ich in quarantäne verschoben habe.
Jetzt lässt sich kein Programm mehr öffnen, entweder kommt die Fehlermeldung "C:\WINDOWS\system32\rundll32.exe Anwendung nicht gefunden", "Anwendung nicht gefunden" oder der "Öffnen mit" screen.

Da ich mittlerweile nicht mehr weiter weiss, wende ich mich hier ans Forium, die HJT log datei lautet folgendermassen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:50:45, on 28.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Nadine\Desktop\HJT\HiJackThis.exe

O1 - Hosts: 61.129.115.198 www.xldd.com
O1 - Hosts: 61.129.115.198 www.ojiang.com
O1 - Hosts: 61.129.115.198 www.shuixian.net
O1 - Hosts: 61.129.115.198 www.xlarea.com
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [soundmix] C:\WINDOWS\system32\soundmix.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [E06DDXRC_2729546] "C:\Programme\Microsoft Encarta\Encarta 2006 Enzyklopaedie\EDICT.EXE" -m
O4 - HKCU\..\Run: [EPSON Stylus D92 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBZE.EXE /FU "C:\WINDOWS\TEMP\E_SC5.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Zusätzliche Software-CD.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {8EE5046C-394B-4CB7-A3F8-253BE8BB60BD} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{5ABE023A-E1DF-4FF8-9CC4-BB558ED5C10A}: NameServer = 141.48.3.3,141.48.3.17
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 6370 bytes

Gruss chrissk

#32 chrissk

Systemwiederherstellung Start -> Hilfe und Support -> zur Option "Computeränderungen mit der Systemwiederherstellung rückgängig machen"
Dort wählt man: "Computer zu einem früheren Zeitpunkt wiederherstellen" -> Weiter
Die fett angezeigten Daten im Kalender zeigen die gesetzten Wiederherstellungspunkte.

dann berichte, ob der Fehler noch auftritt.
+
poste ein neus Log vom HijacktHis
__________
MfG Sabina

rund um die PC-Sicherheit

#33 Danke, Fehler hat sich anscheinend erledigt.

Vielen Dank

Gruss chrissk

#34 Ich hab ebenfalls einen Virus. Hier der mit Hijack erstellte Log.

Logfile of HijackThis v1.99.1
Scan saved at 19:21:28, on 30.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Apps\Softex\OmniPass\OPXPApp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\HijackThis\1_99_1.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
R3 - URLSearchHook: Multi Media Germany Toolbar - {dac6ed64-8dd1-4ab8-aedf-b97892d28ffe} - C:\Programme\Multi_Media_Germany\tbMul1.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
R3 - URLSearchHook: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programme\Share_Accelerator_MM\tbShar.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programme\Share_Accelerator_MM\tbShar.dll
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Programme\ConnectionServices\ConnectionServices.dll (file missing)
O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Programme\BitAccelerator\BitAccelerator.dll (file missing)
O2 - BHO: Multi Media Germany Toolbar - {dac6ed64-8dd1-4ab8-aedf-b97892d28ffe} - C:\Programme\Multi_Media_Germany\tbMul1.dll
O2 - BHO: (no name) - {F5B5B3D9-CBF9-4F6A-A083-372ADB0B492E} - C:\WINDOWS\system32\hgGwWonk.dll
O2 - BHO: (no name) - {FA8BE6D5-40E0-48B8-B317-18A4A590918A} - C:\WINDOWS\system32\tuvuRLdd.dll
O3 - Toolbar: Multi Media Germany Toolbar - {dac6ed64-8dd1-4ab8-aedf-b97892d28ffe} - C:\Programme\Multi_Media_Germany\tbMul1.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programme\Share_Accelerator_MM\tbShar.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] D:\E-Mule\eMule\emule.exe -AutoStart
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139959597828
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll
O20 - Winlogon Notify: OPXPGina - C:\Apps\Softex\OmniPass\opxpgina.dll
O20 - Winlogon Notify: tuvuRLdd - C:\WINDOWS\SYSTEM32\tuvuRLdd.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PSIService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

#35 Hallo, suh

neuaufsetzen , formatieren wäre hier das vernünftigste, wegen ntos.exe...

«
entferne mit cleaner die temporären dateien
http://www.ccleaner.de/?protecus.de

«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

R3 - URLSearchHook: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programme\Share_Accelerator_MM\tbShar.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,

O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Programme\ConnectionServices\ConnectionServices.dll (file missing)

O2 - BHO: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programme\Share_Accelerator_MM\tbShar.dll

O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Programme\BitAccelerator\BitAccelerator.dll (file missing)

O2 - BHO: (no name) - {F5B5B3D9-CBF9-4F6A-A083-372ADB0B492E} - C:\WINDOWS\system32\hgGwWonk.dll

O2 - BHO: (no name) - {FA8BE6D5-40E0-48B8-B317-18A4A590918A} - C:\WINDOWS\system32\tuvuRLdd.dll

O3 - Toolbar: Share Accelerator MM Toolbar - {4596013b-6c31-408b-a266-deae5c086dc2} - C:\Programme\Share_Accelerator_MM\tbShar.dll

O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe

O20 - Winlogon Notify: tuvuRLdd - C:\WINDOWS\SYSTEM32\tuvuRLdd.dll

2.
scanne mit sdfix im abgesicherten modus ! poste dann nach neustart den report
http://virus-protect.org/artikel/tools/sdfix.html

3.
wende rvaxo an + poste den report
http://virus-protect.org/artikel/tools/rvaxo.html

4.
scanne Kaspersky - Virus Removal Tool - AVPTool+ poste den report
http://virus-protect.org/artikel/tools/kaspersky.html

5.
wende combofix an + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#36 Hallo zusammen,

auch ich kämpfe schon den ganzen Tag :-( Ich hoffe ihr könnt mir helfen?
Anbei mein Log aud HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:29:20, on 03.06.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\lotus\notes\ntmulti.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\svchost.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\OfficeScan NT\OfcPfwSvc.exe
C:\WINDOWS\TEMP\PR2EC8.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.xxxxx:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = www.xxxxx.de;www.xxxxx.com;xxxxx.de;<local>
F2 - REG:system.ini: Shell=
O1 - Hosts: 172.27.2.40 xxxxxx
O1 - Hosts: 172.27.5.42 xxxxxx
O1 - Hosts: 172.28.4.99 xxxxxx
O1 - Hosts: 172.28.4.98 xxxxxx
O1 - Hosts: 172.27.0.49 xxxxxx
O1 - Hosts: 172.27.6.52 xxxxxx
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6f74-2d53-2644-206d7942484f} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll
O2 - BHO: Microsoft copyright - {ffffffff-bbbb-4146-86fd-a722e8ab3489} - sockins32.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [NPDTray] C:\PROGRA~1\ThinkPad\UTILIT~1\NPDTray.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programme\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [DrvIcon] C:\Programme\VistaDriveIcon\DrvIcon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office2000\Office\OSA9.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_14\bin\npjpi150_14.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_14\bin\npjpi150_14.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - https://eu.xxx.com/inquiero/mod/setup/xxxxx.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxxx.local
O17 - HKLM\Software\..\Telephony: DomainName = xxxxx.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxxxx.local
O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)
O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: iSeries Access für Windows - Ferner Befehl (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Programme\lotus\notes\ntmulti.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\OfficeScan NT\OfcPfwSvc.exe
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe (file missing)
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan NT\tmlisten.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--
End of file - 7345 bytes

Besten Dank schonmal.
feliks

#37 feliks

entferne mit cleaner die temporären dateien
http://www.ccleaner.de/?protecus.de

«
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

F2 - REG:system.ini: Shell=

O2 - BHO: Microsoft copyright - {ffffffff-bbbb-4146-86fd-a722e8ab3489} - sockins32.dll (file missing)

O20 - Winlogon Notify: WLCtrl32 - WLCtrl32.dll (file missing)

O21 - SSODL: WebProxy - {66186F05-BBBB-4a39-864F-72D84615C679} - sockins32.dll (file missing)

2.
scanne mit sdfix im abgesicherten modus ! poste dann nach neustart den report
http://virus-protect.org/artikel/tools/sdfix.html

3.
wende rvaxo an + poste den report
http://virus-protect.org/artikel/tools/rvaxo.html

4.
scanne Kaspersky - Virus Removal Tool - AVPTool+ poste den report
http://virus-protect.org/artikel/tools/kaspersky.html

5.
wende combofix an + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#38 Hallo Sabina,

Respekt! Das nenn ich mal eine spontane Antwortzeit. Danke.

Also ich hatte zwischenzeitlich Malwarebyte's Anti.Malware drüberlaufen lassen (ich geb zu, ich war etwas ungeduldig...), der hatte 7 Probleme festgestellt und gefixt.

Aktueller Stand in HJT:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:06:05, on 03.06.2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\lotus\notes\ntmulti.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\WINDOWS\System32\svchost.exe
C:\OfficeScan NT\tmlisten.exe
C:\WINDOWS\system32\TpKmpSVC.exe
C:\OfficeScan NT\OfcPfwSvc.exe
C:\WINDOWS\TEMP\NO685D.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\NPDTray.exe
C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\OfficeScan NT\pccntmon.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\VistaDriveIcon\DrvIcon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.xxxxx.de:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6f74-2d53-2644-206d7942484f} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Programme\styler\TB\StylerTB.dll
O4 - HKLM\..\Run: [S3TRAY2] S3Tray2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QCWLICON] C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
O4 - HKLM\..\Run: [TPHOTKEY] C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
O4 - HKLM\..\Run: [TPKMAPHELPER] C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
O4 - HKLM\..\Run: [TP4EX] tp4ex.exe
O4 - HKLM\..\Run: [NPDTray] C:\PROGRA~1\ThinkPad\UTILIT~1\NPDTray.exe
O4 - HKLM\..\Run: [EZEJMNAP] C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Client Access Service] "C:\Programme\IBM\Client Access\cwbsvstr.exe"
O4 - HKLM\..\Run: [Client Access Help Update] "C:\Programme\IBM\Client Access\cwbinhlp.exe"
O4 - HKLM\..\Run: [Client Access Check Version] "C:\Programme\IBM\Client Access\cwbckver.exe" LOGIN
O4 - HKLM\..\Run: [Client Access Express Welcome] "C:\Programme\IBM\Client Access\cwbwlwiz.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [DrvIcon] C:\Programme\VistaDriveIcon\DrvIcon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Office2000\Office\OSA9.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_14\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} (NTR ActiveX 1.1.8) - https://eu.xxxxx.com/inquiero/mod/setup/xxxxx.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = xxxxx.local
O17 - HKLM\Software\..\Telephony: DomainName = xxxxx.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = xxxxx.local
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: iSeries Access für Windows - Ferner Befehl (Cwbrxd) - IBM Corporation - C:\WINDOWS\CWBRXD.EXE
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Programme\lotus\notes\ntmulti.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\OfficeScan NT\OfcPfwSvc.exe
O23 - Service: PLSRemote Service (PLSRemoteSvc) - Unknown owner - C:\WINDOWS\SYSTEM32\PLSRemote.exe (file missing)
O23 - Service: QCONSVC - Unknown owner - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - C:\Programme\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\OfficeScan NT\tmlisten.exe
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--
End of file - 7335 bytes

Und hier das Log aus SDFix:

Zitat

SDFix: Version 1.187
Run by masterofdesaster on 03.06.2008 at 18:42

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Name :
ksnhtr

Path :
\??\C:\WINDOWS\system32\ksnhtr.sys

ksnhtr - Deleted



Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\ttt\ddddd\System32\schrott\ie_updates3r.exe - Deleted
C:\WINDOWS\system32\TFTP2064 - Deleted
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe - Deleted
C:\WINDOWS\system32\spooIsv.exe - Deleted
C:\WINDOWS\Temp\loader.exe - Deleted
C:\WINDOWS\system32\ksnhtr.sys - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-03 18:58:18
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Vax347s\Config\jdgg40]

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}]
"DisplayName"="Alcohol 120%"

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Tue 12 Oct 2004 219,136 ...H. --- "C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Anwendungsdaten\Microsoft\Word\~WRL0005.tmp"
Tue 12 Oct 2004 224,256 ...H. --- "C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Anwendungsdaten\Microsoft\Word\~WRL0400.tmp"
Tue 12 Oct 2004 224,768 ...H. --- "C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Anwendungsdaten\Microsoft\Word\~WRL0582.tmp"
Tue 12 Oct 2004 223,232 ...H. --- "C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Anwendungsdaten\Microsoft\Word\~WRL1078.tmp"
Tue 12 Oct 2004 224,768 ...H. --- "C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Anwendungsdaten\Microsoft\Word\~WRL1802.tmp"
Tue 12 Oct 2004 224,768 ...H. --- "C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Anwendungsdaten\Microsoft\Word\~WRL3057.tmp"
Tue 12 Oct 2004 224,768 ...H. --- "C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Anwendungsdaten\Microsoft\Word\~WRL3520.tmp"
Wed 8 Oct 2003 38,912 ...H. --- "C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Anwendungsdaten\Microsoft\Vorlagen\xxxxx1\~WRL0003.tmp"
Mon 11 Oct 2004 242,688 A..H. --- "C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\xxxxx\yyyyy\xxxxx\ccccc\vvvvv\~WRL2615.tmp"

Finished!

Das System verhält sich seitdem wieder so, wie es zu erwarten ist. Der einzige Nachteil, meine angepasste host-Datei ist futsch. Aber das ist kein Problem. Den rest ziehe ich auch noch durch. Melde mich wieder.

Bis hierhin schonmal tausend Dank.

feliks

#39 feliks

««
gehe zur Systemsteuerung -- Internetoptionen -- auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen -- auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen
und stelle eine neue Startseite ein

««
scanne Kaspersky - Virus Removal Tool - AVPTool+ poste den report
http://virus-protect.org/artikel/tools/kaspersky.html

««
wende combofix an + poste den report
http://virus-protect.org/artikel/tools/combofix.html

««
wende datfindbat an , poste von jedem log c.a 2 monate (sind nach Datum geordnet)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#40 Hi Sabina,

da bin ich wieder ;-)

Ich war ganz erschrocken, AVPTool hat noch jede Menge gefunden oder ich war schon wieder infiziert?!?!?!

Anbei die Log's als Anhang. (posten geht nicht, zu viele Zeichen...)

Wie sieht das jetzt asu? Kann ich beruhigt sein??

Danke für deine Hilfe.

feliks

--

Zitat

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\hidrwupd.dll
C:\WINDOWS\msacm32.drv
C:\WINDOWS\rasqervy.dll
C:\WINDOWS\sdfinacs.dll
C:\WINDOWS\system32\clbinit.dll
C:\WINDOWS\wuasirvy.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CLBDRIVER
-------\Service_clbdriver


((((((((((((((((((((((( Dateien erstellt von 2008-05-07 bis 2008-06-07 ))))))))))))))))))))))))))))))
.

2008-06-04 13:24 . 2008-06-04 13:24 8,463 --a------ C:\WINDOWS\masterofdesaster8.xlb
2008-06-03 18:37 . 2008-06-03 18:37 <DIR> d-------- C:\WINDOWS\ERUNT
2008-06-03 18:25 . 2008-06-03 19:02 <DIR> d-------- C:\SDFix
2008-06-03 17:28 . 2008-06-03 17:28 <DIR> d-------- C:\Programme\Trend Micro
2008-06-03 17:28 . 2008-06-03 17:28 <DIR> d-------- C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Anwendungsdaten\Malwarebytes
2008-06-03 17:28 . 2008-05-30 01:06 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-03 17:28 . 2008-05-30 01:06 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-03 16:32 . 2008-06-03 16:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-03 12:52 . 2008-06-03 17:28 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-06-03 12:52 . 2008-06-03 12:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-06-01 19:50 . 2002-08-29 06:00 4,224 --a------ C:\WINDOWS\system32\beep.sys
2008-05-31 20:05 . 2008-05-31 20:05 262,246 --a------ C:\DSC00532.JPG
2008-05-31 20:04 . 2008-05-31 20:05 240,895 --a------ C:\DSC00533.JPG
2008-05-31 20:03 . 2008-05-31 20:03 206,083 --a------ C:\DSC00534.JPG
2008-05-29 16:15 . 2008-05-29 16:15 <DIR> d-------- C:\Programme\QuickTime
2008-05-18 19:31 . 2008-05-18 19:32 <DIR> d-------- C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Anwendungsdaten\Supreme Auction
2008-05-18 19:30 . 2008-06-03 12:52 <DIR> d-------- C:\Programme\Supreme Auction
2008-05-12 22:36 . 2008-05-12 22:36 <DIR> d-------- C:\WINDOWS\Sun

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-03 15:13 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-05-19 08:44 --------- d-----w C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Anwendungsdaten\ntr
.

Code

<pre>
----a-w           814,996 2007-07-18 16:51:36  C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\xxxxx\Schulung\e-Schulung\Referenzprojekt Definition Referenzprojekt .exe
</pre>

------- Sigcheck -------

2002-08-29 06:00 749568 5d258f6528f55bc742824c0dcf78a4a6 C:\WINDOWS\system32\wininet.dll
2002-08-29 06:00 604672 e332e1bbf073bdd18742b9a0db6f208a C:\WINDOWS\VistaMizer\old\wininet.dll

2002-08-29 06:00 561152 0bd08c9f365f1d4686e696fb6ba6d130 C:\WINDOWS\system32\winlogon.exe
2002-08-29 06:00 521728 616896b708286da98d6a099293f181d7 C:\WINDOWS\VistaMizer\old\winlogon.exe

2003-04-24 11:15 1951616 9c47201be3e7840cdbc95eaa9470a452 C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2003-04-24 11:15 2295296 08f4491f6130dc6fbb36bc48818e2d6a C:\WINDOWS\system32\ntkrnlpa.exe
2003-04-24 11:15 1951616 9c47201be3e7840cdbc95eaa9470a452 C:\WINDOWS\VistaMizer\old\ntkrnlpa.exe

2003-04-24 11:15 1927936 3b7aaa1852bc635b52788144ea797cbc C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2003-04-24 11:15 2271616 546e82f3dcaca413e0f77f385ea94e6d C:\WINDOWS\system32\ntoskrnl.exe
2003-04-24 11:15 1927936 3b7aaa1852bc635b52788144ea797cbc C:\WINDOWS\VistaMizer\old\ntoskrnl.exe

2003-05-29 12:48 1518080 04f014bf1bdf24cde5405a2f453fe27a C:\WINDOWS\explorer.exe
2002-08-29 06:00 1007104 22b0a56e6c5847292437078b484ec61b C:\WINDOWS\$NtUninstallKB820291$\explorer.exe
2003-05-29 12:48 999424 0589140c62d1a5d1adc13c79266122da C:\WINDOWS\Driver Cache\i386\explorer.exe
2003-05-29 12:48 999424 0589140c62d1a5d1adc13c79266122da C:\WINDOWS\VistaMizer\old\explorer.exe

2002-08-29 06:00 23040 c163e02b23ee810af4fe41678a304cd9 C:\WINDOWS\system32\ctfmon.exe
2002-08-29 06:00 13312 e5ee2f4700b6a85f0d45a18c67da500f C:\WINDOWS\VistaMizer\old\ctfmon.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"S3TRAY2"="S3Tray2.exe" [2002-07-15 14:45 69632 C:\WINDOWS\system32\S3Tray2.exe]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-07-31 16:25 110592]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-07-31 16:24 512000]
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 17:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"BluetoothAuthenticationAgent"="irprops.cpl" [2002-11-22 15:46 108544 C:\WINDOWS\system32\irprops.cpl]
"QCWLICON"="C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE" [2003-03-27 03:06 53248]
"TPHOTKEY"="C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe" [2003-08-07 16:57 94208]
"TPKMAPHELPER"="C:\Programme\ThinkPad\Utilities\TpKmapAp.exe" [2003-08-08 16:39 897024]
"TP4EX"="tp4ex.exe" [2002-09-04 02:05 53248 C:\WINDOWS\system32\TP4EX.exe]
"NPDTray"="C:\PROGRA~1\ThinkPad\UTILIT~1\NPDTray.exe" [2002-10-30 03:01 204800]
"EZEJMNAP"="C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe" [2002-11-01 03:00 204800]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-04-29 22:00 315392]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2002-11-08 04:50 106551]
"Client Access Service"="C:\Programme\IBM\Client Access\cwbsvstr.exe" [2002-08-06 06:20 20530]
"Client Access Help Update"="C:\Programme\IBM\Client Access\cwbinhlp.exe" [2002-08-06 06:20 24576]
"Client Access Check Version"="C:\Programme\IBM\Client Access\cwbckver.exe" [2002-08-06 06:20 45106]
"Client Access Express Welcome"="C:\Programme\IBM\Client Access\cwbwlwiz.exe" [2002-08-06 06:20 20480]
"OfficeScanNT Monitor"="C:\OfficeScan NT\pccntmon.exe" [2007-01-13 00:19 356429]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 11:24 146944]
"DrvIcon"="C:\Programme\VistaDriveIcon\DrvIcon.exe" [2007-07-04 21:59 45056]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ckpNotify]
ckpNotify.dll 2005-03-01 19:49 24672 C:\WINDOWS\system32\ckpNotify.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hnt63.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^masterofdesaster.TP-7376^Startmenü^Programme^Autostart^Glass2k.lnk]
path=C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Startmenü\Programme\Autostart\Glass2k.lnk
backup=C:\WINDOWS\pss\Glass2k.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^masterofdesaster.TP-7376^Startmenü^Programme^Autostart^Thoosje Sidebar.lnk]
path=C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Startmenü\Programme\Autostart\Thoosje Sidebar.lnk
backup=C:\WINDOWS\pss\Thoosje Sidebar.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^masterofdesaster.TP-7376^Startmenü^Programme^Autostart^TrueTransparency.lnk]
path=C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Startmenü\Programme\Autostart\TrueTransparency.lnk
backup=C:\WINDOWS\pss\TrueTransparency.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^masterofdesaster.TP-7376^Startmenü^Programme^Autostart^ViOrb.lnk]
path=C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Startmenü\Programme\Autostart\ViOrb.lnk
backup=C:\WINDOWS\pss\ViOrb.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^masterofdesaster.TP-7376^Startmenü^Programme^Autostart^ViStart.lnk]
path=C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Startmenü\Programme\Autostart\ViStart.lnk
backup=C:\WINDOWS\pss\ViStart.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^masterofdesaster.TP-7376^Startmenü^Programme^Autostart^VisualTaskTips.lnk]
path=C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Startmenü\Programme\Autostart\VisualTaskTips.lnk
backup=C:\WINDOWS\pss\VisualTaskTips.lnkStartup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^masterofdesaster.TP-7376^Startmenü^Programme^Autostart^WinFlip.lnk]
path=C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Startmenü\Programme\Autostart\WinFlip.lnk
backup=C:\WINDOWS\pss\WinFlip.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\advap32]
C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Desktop\.//..//win.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\agrsmmsg]
--a------ 2002-10-18 12:07 87751 C:\WINDOWS\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CMESys]
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmona]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DTVRemote]
--a------ 2005-06-10 14:30 40960 C:\Programme\LifeView DTV\RemoteControl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FreePDFAssistent]
--a------ 2003-12-24 17:35 150528 C:\Programme\FreePDF\FreePDFA.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ibmmessages]
--a------ 2002-12-19 12:02 491520 C:\Programme\IBM\Messages By IBM\ibmmessages.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\quicktime task]
--a------ 2008-05-29 16:15 413696 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\spooler subsystem app]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StorageGuard]
--a------ 2002-06-18 01:01 155648 c:\Programme\VERITAS Software\Update Manager\sgtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tgcmd]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UC_SMB]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\DRIVERS\avgntmgr.sys [2008-01-21 18:11]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntdd.sys [2008-01-21 18:12]
R1 IBMTPCHK;IBMTPCHK;C:\WINDOWS\System32\drivers\IBMBLDID.SYS [2003-03-27 03:06]
R1 TPPWR;TPPWR;C:\WINDOWS\System32\drivers\Tppwr.sys [2002-11-01 02:31]
R2 Scap;SecureClient Application Policy Module;C:\WINDOWS\System32\DRIVERS\Scap.sys [2005-03-01 19:49]
R2 setup_7.0.0.180_18.05.2008_22-36;setup_7.0.0.180_18.05.2008_22-36;"C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_22-36.exe" -r []
R2 VPN-1;VPN-1 Module;C:\WINDOWS\System32\drivers\vpn.sys [2005-03-01 19:49]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\System32\DRIVERS\avmwan.sys [2001-08-17 12:13]
R3 FW1;SecuRemote Miniport;C:\WINDOWS\System32\DRIVERS\fw.sys [2005-03-01 19:49]
R3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;C:\WINDOWS\System32\NSNDIS5.SYS [2004-03-24 04:12]
R3 RMSPPPOE;WAN Miniport (PPP over Ethernet Protocol);C:\WINDOWS\System32\DRIVERS\RMSPPPOE.SYS [2002-10-03 01:09]
S0 Hnt63;Hnt63;C:\WINDOWS\System32\Drivers\Hnt63.sys []
S2 LVEzLoader;LifeView EZ-USB FX2 FIRMWARE LOADER (LVEzLD06.sys);C:\WINDOWS\System32\Drivers\LVEzLD06.sys [2005-05-19 05:48]
S3 fpcmbase;AVM ISDN-Controller FRITZ!Card PCMCIA;C:\WINDOWS\System32\DRIVERS\fpcmbase.sys [2001-08-17 12:14]
S3 Ip6FwHlp;IPv6-Internetverbindungsfirewall;C:\WINDOWS\System32\svchost.exe [2002-08-29 06:00]
S3 LifeView_USBDVBT;LVUSB Service;C:\WINDOWS\System32\Drivers\LVUSB_TX.sys [2005-06-16 06:08]
S3 LucentSoftModem;Lucent Technologies Soft Modem;C:\WINDOWS\System32\DRIVERS\LTSM.sys [2001-08-17 14:28]
S3 OMVA;VPN-1 SecureClient Adapter;C:\WINDOWS\System32\DRIVERS\OMVA.sys [2005-03-01 19:49]
S3 PCDRDRV;Pcdr Helper Driver;C:\PROGRA~1\PC-DOC~1\DIAGNO~1\PCDRDRV.sys []

.
Inhalt des "geplante Tasks" Ordners
"2007-09-12 09:42:23 C:\WINDOWS\Tasks\BMMTask.job"
- C:\PROGRA~1\ThinkPad\UTILIT~1\BMMTASK.EXE
"2006-02-05 18:16:47 C:\WINDOWS\Tasks\Spider.job"
- C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\Daten vom NB_old\Eigene Dateien\TMP\tmp\downloads\Spider\spider116\Spider.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-07 13:35:44
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\lotus\notes\ntmulti.exe
C:\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\system32\QCONSVC.EXE
C:\OfficeScan NT\tmlisten.exe
C:\WINDOWS\system32\TpKmpSvc.exe
C:\OfficeScan NT\OfcPfwSvc.exe
C:\WINDOWS\TEMP\KKC923.EXE
C:\Programme\ThinkPad\PkgMgr\HOTKEY\TPONSCR.exe
C:\Programme\ThinkPad\PkgMgr\HOTKEY_1\TpScrex.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-07 13:43:03 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-07 11:42:53

21 Verzeichnis(se), 25,561,550,848 Bytes frei
24 Verzeichnis(se), 25,609,441,280 Bytes frei

200





Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: D86D-5C12

Verzeichnis von c:\

07.06.2008 13:52 0 dirdat.txt
07.06.2008 13:43 14.215 ComboFix.txt
07.06.2008 13:32 1.072.680.960 hiberfil.sys
07.06.2008 13:32 805.306.368 pagefile.sys
04.06.2008 17:31 150 YServer.txt
02.06.2008 06:57 194 BOOT.INI
31.05.2008 20:05 262.246 DSC00532.JPG
31.05.2008 20:05 240.895 DSC00533.JPG
31.05.2008 20:03 206.083 DSC00534.JPG

Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: D86D-5C12

Verzeichnis von C:\WINDOWS\system32

07.06.2008 13:38 21.744 FFASTLOG.TXT
07.06.2008 13:35 234.339 ckpNotify.log
03.06.2008 12:48 382.026 perfh009.dat
03.06.2008 12:48 53.770 perfc009.dat
03.06.2008 12:48 393.086 perfh007.dat
03.06.2008 12:48 64.848 perfc007.dat
03.06.2008 12:48 902.476 PerfStringBackup.INI
31.05.2008 19:48 2.278 wpa.dbl


Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: D86D-5C12

Verzeichnis von C:\WINDOWS

07.06.2008 13:35 256 system.ini
07.06.2008 13:33 4.234 ModemLog_Agere Systems AC'97 Modem.txt
07.06.2008 13:33 159 wiadebug.log
07.06.2008 13:32 50 wiaservc.log
07.06.2008 13:32 0 0.log
07.06.2008 13:32 2.048 bootstat.dat
06.06.2008 11:23 746.540 ntbtlog.txt
06.06.2008 08:32 5.142.838 setupapi.log
05.06.2008 11:08 7.878 cfgall.ini
04.06.2008 13:24 8.463 masterofdesaster8.xlb
03.06.2008 16:35 4.992 ModemLog_Sony Ericsson 750 USB WMC Modem #3.txt
03.06.2008 16:35 5.002 ModemLog_Sony Ericsson 750 USB WMC Data Modem #3.txt
03.06.2008 12:14 15.220 xpsp1hfm.log
03.06.2008 12:14 13.525 KB823980.log
03.06.2008 12:13 628 avmcoins.log
02.06.2008 06:57 553 win.ini
27.05.2008 11:37 193.006 Windows Update.log
14.05.2008 12:56 1.033 IE4 Error Log.txt

Datentr„ger in Laufwerk C: ist IBM_PRELOAD
Volumeseriennummer: D86D-5C12

Verzeichnis von C:\DOKUME~1\masterof~1.TP-\LOKALE~1\Temp

07.06.2008 13:36 16.384 ~DFB333.tmp
1 Datei(en) 16.384 Bytes

#41 Hallo feliks

wende RenV an
http://virus-protect.org/artikel/tools/renvexe.html

danach
Ziehe die erzeugte Reportdatei (Log.txt) auf RenV.exe



+ klicke RenV.exe noch mal an

-----------------------------------------------------------------

http://virus-protect.org/artikel/tools/regsearch.html

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Hnt63

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

ckpNotify

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

jdgg40

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit

#42

Zitat

Sabina postete
Hallo feliks

wende RenV an
http://virus-protect.org/artikel/tools/renvexe.html

........

Hallo Sabina,

RenV.exe lässt sich nicht downloaden (Datei/Seite nicht vorhanden). Hab auch schon in der File-Database von bleepingcomputer nachgesehen und die Datei nicht gefunden :-(
Kannst Du sie mir per PN od. Mail zusenden?

feliks

#43 ich hatte die exe nicht auf meinen Server geladen, sie ist also nicht mehr da, wenn der Ersteller sie vom Server genommen hat. Ich denke, man hat sie in combofix integriert.
Ich baue das kommando dann in ein neues Script ein.
Arbeite also alles weitere ab und poste die logs.
__________
MfG Sabina

rund um die PC-Sicherheit

#44 Hi,

also hier schonmal die Logs aus regsearch:

Hnt63:

Zitat

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 09.06.2008 14:30:38 for strings:
; 'hnt63'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Hnt63.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Hnt63.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Hnt63]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Hnt63]
"ImagePath"="System32\\Drivers\\Hnt63.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Hnt63\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\Hnt63.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\Hnt63.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Hnt63]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Hnt63]
"ImagePath"="System32\\Drivers\\Hnt63.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Hnt63\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hnt63.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hnt63.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Hnt63]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Hnt63]
"ImagePath"="System32\\Drivers\\Hnt63.sys"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Hnt63\Security]

; End Of The Log...

ckpNotify:

Zitat

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 09.06.2008 14:32:52 for strings:
; 'ckpnotify'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ckpNotify]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ckpNotify]
"DLLName"="ckpNotify.dll"

; End Of The Log...

jdgg40:

Zitat

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 09.06.2008 14:34:32 for strings:
; 'jdgg40'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Vax347s\Config\jdgg40]

; End Of The Log...

Grüße

feliks

#45 feliks

''
um das hier zu finden:
C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Desktop\.//..//win.exe

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Desktop" >>files.txt
notepad files.txt

-------------

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Driver::
ksnhtr
Hnt63

RenV::
C:\Dokumente und Einstellungen\masterofdesaster.TP-7376\Eigene Dateien\xxxxx\Schulung\e-Schulung\Referenzprojekt Definition Referenzprojekt .exe

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\advap32]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CMESys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Hnt63.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Hnt63.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Hnt63]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\Hnt63.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\Hnt63.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Hnt63]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hnt63.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hnt63.sys]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Hnt63]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmona]

File::
C:\WINDOWS\system32\ksnhtr.sys
C:\WINDOWS\System32\Drivers\Hnt63.sys

Folder::
C:\Programme\Gemeinsame Dateien\CMEII

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


danach: Combofix noch einmal anwenden

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
lade combofix neu + poste den report
http://virus-protect.org/artikel/tools/combofix.html

««
scanne mit sophos-anti-rootkit + berichte
http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html


««
scanne mit Bitdefender + poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit