Trojaner/Virus erstellt win**.tmp.exe dateien - folge: systemüberlastung

Thema ist geschlossen!
Thema ist geschlossen!
#0
30.08.2006, 14:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#151 erstelle eine neu.bat - poste den text (komplett)

Zitat

cd\
dir "C:\Dokumente und Einstellungen\HFennert\Lokale Einstellungen\Anwendungsdaten\{3248F0A6-6813-11D6-A77B-00B0D0150030}" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.08.2006, 15:27
Member

Beiträge: 11
#152 Hallo Sabina,

hier nochmal die files.txt



Verzeichnis von C:\WINDOWS\TEMP

30.08.2006 14:07 <DIR> .
30.08.2006 14:07 <DIR> ..
30.08.2006 09:22 <DIR> c.programme.notes.Lotus.Data
30.08.2006 14:00 255 WGAErrLog.txt
30.08.2006 14:03 409 WGANotify.settings
30.08.2006 10:22 40.448 win1E.tmp.exe
30.08.2006 10:42 0 win26.tmp
30.08.2006 10:44 40.448 win27.tmp.exe
30.08.2006 11:04 0 win2B.tmp
30.08.2006 11:06 0 win35.tmp
30.08.2006 11:28 0 win57.tmp
30.08.2006 11:30 1.043 win58.tmp
30.08.2006 11:50 0 win64.tmp
30.08.2006 11:53 0 win65.tmp
30.08.2006 12:15 0 win6E.tmp
30.08.2006 12:37 0 win8A.tmp
30.08.2006 12:39 0 win8B.tmp
30.08.2006 09:42 0 winD.tmp
30.08.2006 10:02 0 winE.tmp
16 Datei(en) 82.603 Bytes
3 Verzeichnis(se), 14.227.116.032 Bytes frei
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 48DC-3D30

Verzeichnis von C:\Dokumente und Einstellungen\HFennert\Lokale Einstellungen\Anwendungsdaten\{3248F0A6-6813-11D6-A77B-00B0D0150030}

28.08.2006 14:42 <DIR> .
28.08.2006 14:42 <DIR> ..
28.08.2006 14:42 58.368 1031.MST
28.08.2006 14:42 11.339.776 J2SE Runtime Environment 5.0 Update 3.msi
2 Datei(en) 11.398.144 Bytes
2 Verzeichnis(se), 14.225.137.664 Bytes frei
Seitenanfang Seitenende
30.08.2006, 22:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#153 age.ef

1.
ist das geloescht ??
C:\Programme\Common Files
29.08.2006 12:41 - ??sks

2.
Avenger

Zitat

Files to delete:
C:\WINDOWS\TEMP\win1E.tmp.exe
C:\WINDOWS\TEMP\win26.tmp
C:\WINDOWS\TEMP\win27.tmp.exe
C:\WINDOWS\TEMP\win2B.tmp
C:\WINDOWS\TEMP\win35.tmp
C:\WINDOWS\TEMP\win57.tmp
C:\WINDOWS\TEMP\win58.tmp
C:\WINDOWS\TEMP\win64.tmp
C:\WINDOWS\TEMP\win65.tmp
C:\WINDOWS\TEMP\win6E.tmp
C:\WINDOWS\TEMP\win8A.tmp
C:\WINDOWS\TEMP\win8B.tmp
C:\WINDOWS\TEMP\winD.tmp
C:\WINDOWS\TEMP\winE.tmp
3.
wende smitfraudfix an (option 1 und 2 - poste die reporte)
http://virus-protect.org/artikel/tools/smitfrautfix.html

4.
scanne mit ewido im normalmodus und dann im abgesicherten modus und poste die scanreporte
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.08.2006, 06:48
...neu hier

Beiträge: 4
#154 Hallo Sabina,
nachdem Du das Problem schon bei den anderen so klasse gelöst hast, dachte ich, Du könntest mir vielleicht auch helfen?

Es handelt sich um die bekannten win**.tmp-Dateien in c:\windows\temp, die gelegentlich mal zur EXE "mutieren".

Nachdem ich hier mal durchgeblättert hatte, dachte ich, der Störenfried müsste sich mit HijackThis zumindest leicht aufspüren lassen, aber weit gefehlt... Das Zeug zum Experten habe ich offenbar nicht.

Die Viren-Dateien im system32-Verzeichnis sind auch für mich offensichtlich, aber wo wird das Ding gestartet? HijackThis zeigt kein O20 an, und die anderen Autostarts und Services scheinen alle Sinn zu machen. Noch kurioser ist, dass es im abgesicherten Modus weitergeht, obwohl dort laut Scan wirklich nur noch Systemprozesse laufen.

Hier die beiden HijackThis-Reports sowie die Ausgabe von datFindBat:

Normaler Modus:
----------------
Logfile of HijackThis v1.99.1
Scan saved at 05:32:40, on 31.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
c:\Programme\Norton AntiVirus\navapsvc.exe
c:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\totalcmd\TOTALCMD.EXE
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\IDM Computer Solutions\UltraEdit-32\uedit32.exe
C:\Programme\Messenger\msmsgs.exe
c:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - c:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - c:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPBBCSvc - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Abgesicherter Modus:
---------------------
Logfile of HijackThis v1.99.1
Scan saved at 06:02:00, on 31.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cmd.exe
C:\HJT\HijackThis.exe

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - c:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - c:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPBBCSvc - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

-----------------------------------------------------------------------
datFindBat-Ausgabe:
-----------------------------------------------------------------------

Verzeichnis von C:\WINDOWS\system32

31.08.2006 05:26 578 dcbeg.ini2
31.08.2006 05:24 2.331 ***_KBD.ini
30.08.2006 14:22 416 dcbeg.ini
30.08.2006 12:02 1.644 PQ_DEBUG.TXT
30.08.2006 11:39 381.090 perfh009.dat
30.08.2006 11:39 53.504 perfc009.dat
30.08.2006 11:39 392.936 perfh007.dat
30.08.2006 11:39 64.378 perfc007.dat
30.08.2006 11:39 897.778 PerfStringBackup.INI
30.08.2006 01:45 971.767 dcbeg.tmp
30.08.2006 01:45 13.844 rrgbhlwi.exe
30.08.2006 01:44 573.492 gebcd.dll
30.08.2006 01:39 40.973 urqpqqp.dll
30.08.2006 01:39 18.944 winhoo32.dll

27.08.2006 16:15 1.158 wpa.dbl
07.08.2006 23:06 239.944 FNTCACHE.DAT
03.08.2006 03:22 8.255.912 MRT.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll


Verzeichnis von C:\WINDOWS

31.08.2006 05:23 0 0.log
31.08.2006 05:22 1.473.755 WindowsUpdate.log
31.08.2006 05:22 159 wiadebug.log
31.08.2006 05:22 50 wiaservc.log
31.08.2006 05:21 2.048 bootstat.dat
31.08.2006 05:20 32.496 SchedLgU.Txt
30.08.2006 19:22 399.328 ntbtlog.txt
30.08.2006 14:29 239.731 setupapi.log
30.08.2006 12:49 1.905 diagwrn.xml
30.08.2006 12:49 1.905 diagerr.xml
30.08.2006 12:49 1.090 setupact.log
30.08.2006 12:49 0 setuperr.log
30.08.2006 00:38 69 NeroDigital.ini
16.08.2006 13:38 155.205 SetupWLD.log
15.08.2006 00:12 101.315 wmsetup.log
14.08.2006 01:52 2.908 COM+.log
14.08.2006 00:11 356.850 DPINST.LOG
10.08.2006 15:06 71.049 iis6.log
10.08.2006 15:06 158.719 comsetup.log
10.08.2006 15:06 24.952 ocmsn.log


Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

31.08.2006 05:26 102.875 system32.000
31.08.2006 05:23 16.384 ~DFE55E.tmp

Verzeichnis von C:\

31.08.2006 05:27 0 sys.txt
31.08.2006 05:27 9.546 system.txt
31.08.2006 05:26 343 systemtemp.txt
31.08.2006 05:26 102.875 system32.txt
31.08.2006 05:21 1.071.894.528 hiberfil.sys
31.08.2006 05:21 1.610.612.736 pagefile.sys
09.07.2006 18:06 0 dxva_sig.txt

Ich hoffe, Du kannst mir helfen! Vielen Dank schon einmal im Voraus!
Seitenanfang Seitenende
31.08.2006, 11:08
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#155 blueguy

1.
vundofix anwenden
http://virus-protect.org/artikel/tools/vundofixx.html
poste den report

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebcd
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winhoo32

Files to delete:
C:\WINDOWS\system32\dcbeg.ini2
C:\WINDOWS\system32\dcbeg.ini
C:\WINDOWS\system32\dcbeg.tmp
C:\WINDOWS\system32\rrgbhlwi.exe
C:\WINDOWS\system32\gebcd.dll
C:\WINDOWS\system32\urqpqqp.dll
C:\WINDOWS\system32\winhoo32.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

poste das log vom avenger, was erscheint

**
3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt
4.
poste das log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.08.2006, 13:08
Member

Beiträge: 11
#156 Hallo Sabina,

ich habe die von dir gewünschten logs erstellt

SmitFraudFix v2.82

Scan done at 8:54:45,95, 31.08.2006
Run from C:\Dokumente und Einstellungen\HFennert\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\HFennert\FAVORI~1\Antivirus Test Online.url Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 12:15:06 31.08.2006

+ Scan-Ergebnis:



HKLM\SOFTWARE\Microsoft\VisualStudio\Analyzer\Events\{6C736D71-BCBF-11D0-8A23-00AA00B58E10} -> Adware.CoolWebSearch : Keine Aktion durchgeführt.

HKU\S-1-5-21-861567501-1383384898-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Ext\
Stats\
{052B12F7-86FA-4921-8482-26C42316B522} -> Adware.Generic : Keine Aktion durchgeführt.

C:\RECYCLER\S-1-5-21-861567501-1383384898-839522115-1003\Dc12\regedit.exe -> Downloader.PurityScan.da : Keine Aktion durchgeführt.

C:\avenger\backup.zip/avenger/win1E.tmp.exe -> Trojan.Pakes : Keine Aktion durchgeführt.

C:\avenger\backup.zip/avenger/win27.tmp.exe -> Trojan.Pakes : Keine Aktion durchgeführt.


::Berichtende

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 12:55:52 31.08.2006

+ Scan-Ergebnis:



Keine Bedrohung gefunden.



::Berichtende
Seitenanfang Seitenende
31.08.2006, 13:18
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#157 age.ef

1.
den Papierkorb leeren

2.
gehe in die registry
Start - Ausfuehren - regedit

loeschen: (was ich fett gekennzeichnet habe, kannst du suchen:
barbeiten - suchen- reinkopieren:

{6C736D71-BCBF-11D0-8A23-00AA00B58E10}
{052B12F7-86FA-4921-8482-26C42316B522}

HKLM\SOFTWARE\Microsoft\VisualStudio\Analyzer\Events\{6C736D71-BCBF-11D0-8A23-00AA00B58E10}

HKU\S-1-5-21-861567501-1383384898-839522115-1003\
Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{052B12F7-86FA-4921-8482-26C42316B522}

3.
loeschen:
C:\avenger\backup.zip

4.
PC neustarten

5.
scanne und poste den kompletten scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.08.2006, 16:59
...neu hier

Beiträge: 4
#158 Hallo Sabina,
vielen, vielen Dank! Möglich, dass noch andere Sachen auf meinem PC drauf sind, aber die Produktion dieser win**.tmp-Files ist schonmal gestoppt.

Vundofix ist fündig geworden, danach waren dann auch die O2 bzw. O20 Einträge in HJT zu sehen... clever! Allerdings hat der Virus weiterhin HJT (Protokollerzeugung nur über Umwege) und Avenger (Fehlermeldungen in der DOS-Box, leeres Protokoll, Files waren weiterhin da) behindert, sodass ich auf Killbox zurückgreifen musste, um ihn wegzubekommen. Erst danach ist Avenger durchgelaufen und hat auch ein Logfile erzeugt. Er hat aber natürlich nicht mehr viel gefunden.

Hier die Logs:

------------------------------------------

VundoFix V6.1.2

Checking Java version...

Sun Java not detected
Scan started at 14:36:40 31.08.2006

Listing files found while scanning....

C:\WINDOWS\system32\gebcd.dll
C:\WINDOWS\system32\dcbeg.ini
C:\WINDOWS\system32\dcbeg.ini2
C:\WINDOWS\system32\dcbeg.tmp

Beginning removal...

Attempting to delete C:\WINDOWS\system32\gebcd.dll
C:\WINDOWS\system32\gebcd.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\dcbeg.ini
C:\WINDOWS\system32\dcbeg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\dcbeg.ini2
C:\WINDOWS\system32\dcbeg.ini2 Has been deleted!

Attempting to delete C:\WINDOWS\system32\dcbeg.tmp
C:\WINDOWS\system32\dcbeg.tmp Has been deleted!

Performing Repairs to the registry.
Done!

VundoFix V6.1.2

Checking Java version...

Sun Java not detected
Scan started at 14:49:03 31.08.2006

Listing files found while scanning....

C:\WINDOWS\system32\gebcd.dll

Beginning removal...

Attempting to delete C:\WINDOWS\system32\gebcd.dll
C:\WINDOWS\system32\gebcd.dll Has been deleted!

Performing Repairs to the registry.
Done!

----------------------------------------------------
HijackThis nach Vundofix:
----------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 15:11:20, on 31.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
c:\Programme\Norton AntiVirus\navapsvc.exe
c:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\totalcmd\TOTALCMD.EXE
C:\Programme\IDM Computer Solutions\UltraEdit-32\uedit32.exe
C:\Programme\Messenger\msmsgs.exe
c:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - c:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {D37C2371-1EC7-48BC-92EC-52830A43CB44} - C:\WINDOWS\system32\gebcd.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - c:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab
O20 - Winlogon Notify: winhoo32 - C:\WINDOWS\SYSTEM32\winhoo32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - c:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPBBCSvc - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

-----------------------------------------------------------
HijackThis nach Ausführung von Killbox und HJT-Fix-Button:
-----------------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 15:54:07, on 31.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
c:\Programme\Norton AntiVirus\navapsvc.exe
c:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\totalcmd\TOTALCMD.EXE
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
c:\HJT\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage/
O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - c:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - c:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmanager.akamaitools.com.edgesuite.net/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect Service (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - c:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Samsung Update Plus - Unknown owner - C:\Programme\Samsung\Samsung Update Plus\SLUBackgroundService.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SPBBCSvc - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

-----------------------------------------------------------
Avenger (nachdem Killbox und HJT bereits durch waren):
-----------------------------------------------------------
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\kfvtitjd

*******************

Script file located at: \??\C:\WINDOWS\akvjjhwy.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\dcbeg.ini2 not found!
Deletion of file C:\WINDOWS\system32\dcbeg.ini2 failed!

Could not process line:
C:\WINDOWS\system32\dcbeg.ini2
Status: 0xc0000034



File C:\WINDOWS\system32\dcbeg.ini not found!
Deletion of file C:\WINDOWS\system32\dcbeg.ini failed!

Could not process line:
C:\WINDOWS\system32\dcbeg.ini
Status: 0xc0000034



File C:\WINDOWS\system32\dcbeg.tmp not found!
Deletion of file C:\WINDOWS\system32\dcbeg.tmp failed!

Could not process line:
C:\WINDOWS\system32\dcbeg.tmp
Status: 0xc0000034



File C:\WINDOWS\system32\rrgbhlwi.exe not found!
Deletion of file C:\WINDOWS\system32\rrgbhlwi.exe failed!

Could not process line:
C:\WINDOWS\system32\rrgbhlwi.exe
Status: 0xc0000034



File C:\WINDOWS\system32\gebcd.dll not found!
Deletion of file C:\WINDOWS\system32\gebcd.dll failed!

Could not process line:
C:\WINDOWS\system32\gebcd.dll
Status: 0xc0000034



File C:\WINDOWS\system32\urqpqqp.dll not found!
Deletion of file C:\WINDOWS\system32\urqpqqp.dll failed!

Could not process line:
C:\WINDOWS\system32\urqpqqp.dll
Status: 0xc0000034



File C:\WINDOWS\system32\winhoo32.dll not found!
Deletion of file C:\WINDOWS\system32\winhoo32.dll failed!

Could not process line:
C:\WINDOWS\system32\winhoo32.dll
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSSMGR deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebcd not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebcd failed!
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winhoo32 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winhoo32 failed!
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

------------------------------------------------
Files.txt:
------------------------------------------------
edit
--------------------------------------------------------
ComboFix:
--------------------------------------------------------
*** - 06-08-31 16:20:50,64
ComboFix 06.08.30BT - Running from: c:\HJT

((((((((((((((((((((((((((((((( Files Created from 2006-07-31 to 2006-08-31 ))))))))))))))))))))))))))))))))))


2006-08-04 11:47 17,920 --a------ C:\WINDOWS\system32\mdimon.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-31 16:17 -------- d-------- C:\Programme\CleanUp!
2006-08-31 16:06 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-08-30 13:32 -------- d-------- C:\Programme\Mozilla Thunderbird
2006-08-30 13:24 -------- d-------- C:\Programme\Mozilla Firefox
2006-08-30 12:10 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-08-30 12:04 -------- d---s---- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft
2006-08-30 11:35 -------- d-------- C:\Programme\Microsoft Virtual PC
2006-08-30 01:40 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-30 01:19 97248 --a------ C:\WINDOWS\system32\drivers\snapman.sys
2006-08-30 01:16 -------- d-------- C:\Programme\Azureus
2006-08-30 01:16 -------- d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Azureus
2006-08-30 01:09 -------- d-------- C:\Programme\eMule.de
2006-08-30 00:08 -------- d-------- C:\Programme\Microsoft
2006-08-29 22:46 -------- d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Download Manager
2006-08-26 18:35 -------- d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Apple Computer
2006-08-20 22:33 -------- d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Vidalia
2006-08-20 22:20 -------- d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Tor
2006-08-20 21:18 -------- d-------- C:\Programme\Vidalia
2006-08-20 21:18 -------- d-------- C:\Programme\Tor
2006-08-20 21:18 -------- d-------- C:\Programme\Privoxy
2006-08-14 19:13 -------- d-------- C:\Programme\TechSmith
2006-08-14 19:12 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-08-14 01:11 -------- d-------- C:\Programme\Internet Explorer
2006-08-14 00:15 -------- d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Teleca
2006-08-14 00:11 -------- d-------- C:\Programme\Sony Ericsson
2006-08-14 00:11 -------- d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2006-08-14 00:07 6176 --a------ C:\WINDOWS\system32\drivers\w810cm.sys
2006-08-14 00:07 5808 --a------ C:\WINDOWS\system32\drivers\w810wh.sys
2006-08-10 21:41 -------- d-------- C:\Programme\eclipse
2006-08-10 10:39 -------- d-------- C:\Programme\Poseidon For UML CE 4.2
2006-08-10 10:38 -------- d--h----- C:\Programme\Zero G Registry
2006-08-04 11:46 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-08-04 11:44 -------- d-------- C:\Programme\Microsoft Office
2006-08-04 11:43 -------- d-------- C:\Programme\Microsoft.NET
2006-08-04 11:43 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-13 16:07 -------- d-------- C:\Programme\Zzaph
2006-07-11 12:30 -------- d-------- C:\Programme\Microsoft Games
2006-07-11 11:25 -------- d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Skype
2006-06-08 13:08 534208 --a------ C:\WINDOWS\system32\SymNeti.dll
2006-06-08 13:08 161472 --a------ C:\WINDOWS\system32\SymRedir.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"SoundMAXPnP"="C:\\Programme\\Analog Devices\\SoundMAX\\SMax4PNP.exe"
"SoundMAX"="C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe /tray"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"MagicKeyboard"="C:\\Programme\\SAMSUNG\\MagicKBD\\PreMKBD.exe"
"SmcService"="C:\\PROGRA~1\\Sygate\\SPF\\smc.exe -startgui"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"FreePDF Assistant"="C:\\Programme\\FreePDF_XP\\fpassist.exe"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"DAEMON Tools"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"Acrobat Assistant 7.0"="\"C:\\Programme\\Adobe\\Adobe Acrobat 7.0\\Distillr\\Acrotray.exe\""
@=""
"ccApp"="\"c:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"Sony Ericsson PC Suite"="\"C:\\Programme\\Sony Ericsson\\Mobile2\\Application Launcher\\Application Launcher.exe\" /startoptions"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,18,01,00,00,00,00,00,00,60,04,00,00,fc,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,18,01,00,00,00,00,00,00,60,04,00,00,fc,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,18,01,00,00,00,00,00,00,60,04,00,00,fc,03,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Acrobat Assistant 7.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Acrotray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Adobe\\Adobe Acrobat 7.0\\Distillr\\Acrotray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Adobe Version Cue CS2]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="VersionCueCS2Tray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Adobe\\Adobe Version Cue CS2\\ControlPanel\\VersionCueCS2Tray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\AVStation premium]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AVStation agent"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Samsung\\AVStation premium\\bin\\AVStation agent.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\j2re1.4.2_03\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"




~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20060831-154944-985
O20 - Winlogon Notify: winhoo32 - winhoo32.dll (file missing)
backup-20060831-151918-334
O20 - Winlogon Notify: winhoo32 - C:\WINDOWS\SYSTEM32\winhoo32.dll
backup-20060831-151918-230
O2 - BHO: (no name) - {D37C2371-1EC7-48BC-92EC-52830A43CB44} - C:\WINDOWS\system32\gebcd.dll (file missing)
backup-20060831-054303-901
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Run Full System Scan - ***.job

Completion time: 31.08.2006 16:22:07.98
ComboFix.txt
Seitenanfang Seitenende
31.08.2006, 22:06
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#159 blueguy

ich loesche auf Wunsch natuerlich alle vertraulichen Daten ;)
entschuldige, dass ich so tief und ausfuehrlich graben muss, aber ich habe einen Purityscan gesucht - und nicht gefunden ;)

es muesste alles wieder o.k. sein... loesche die backups vom HijackThis, scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.09.2006, 00:39
...neu hier

Beiträge: 4
#160 DU musst Dich doch nicht entschuldigen, ICH bin ja derjenige, der Hilfe braucht. Und mir ist es umso lieber, wenn Du genau hinsiehst.

Der SUPERAntiSpyware-Scan läuft gerade und hat auch schon wieder etwas gefunden, noch einen Vundo und einen Smitfraud, so wie es aussieht... Würde mich aber wundern, wenn die aktiv wären, wohl eher Dateileichen, oder?

Ärgerlich genug, dass man viel Geld für Norton AntiVirus ausgibt, nur, um dann doch alles per Hand machen zu müssen. Ich habe ihn zum Test mal auf das Killbox-Backup-Dir angesetzt - alles sauber laut NAV. Na klasse! Aviras AntiVir hat zumindest in einer Datei etwas entdeckt... Ob das für die Zukunft reicht? :-(

Solange die AV-Software-Hersteller nicht in der Lage sind, vernünftige Programme zu bauen, wird die Menschheit jedenfalls weiter auf engagierte Leute wie Dich angewiesen sein. Deshalb noch einmal vielen Dank!

So, einmal den Computer wechseln, um das Log zu posten...

... und wieder da.

Zunächst mal SUPERAntiSpyware im normalen Modus, im abgesicherten lasse ich ihn gleich nochmal laufen, während ich schlafe...

Außerdem habe ich, verunsichert durch den Fund, nochmal SmitFraudFix laufen lassen, aber der hat, denke ich, nichts gefunden. Log hängt aber auch an!

Gute N8!

------------------------------------------
SUPERAntiSpyware Scan Log
Generated 09/01/2006 at 00:25 AM

Core Rules Database Version : 3068
Trace Rules Database Version: 1109

Memory threats detected : 0
Registry threats detected : 2
File threats detected : 5

Trojan.Malware
HKCR\MezziaCodec.Chl
HKCR\MezziaCodec.Chl\CLSID

Adware.Vundo Variant
C:\System Volume Information\_restore{27C96E55-153F-4304-A4D7-7964F9203383}\RP171\A0028294.dll
C:\System Volume Information\_restore{27C96E55-153F-4304-A4D7-7964F9203383}\RP171\A0028295.dll
C:\System Volume Information\_restore{27C96E55-153F-4304-A4D7-7964F9203383}\RP172\A0028438.dll

Trojan.Smitfraud Variant
C:\System Volume Information\_restore{27C96E55-153F-4304-A4D7-7964F9203383}\RP171\A0028349.exe
C:\System Volume Information\_restore{27C96E55-153F-4304-A4D7-7964F9203383}\RP172\A0028436.exe

------------------------------------------------------------

SmitFraudFix v2.82

Scan done at 0:57:16,95, 01.09.2006
Run from c:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\***\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End
Dieser Beitrag wurde am 01.09.2006 um 01:10 Uhr von blueguy editiert.
Seitenanfang Seitenende
01.09.2006, 01:48
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#161 blueguy

Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren
dann wieder aktivieren

dann ist alles wieder o.k. ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.09.2006, 10:57
Member

Beiträge: 11
#162 Hallo Sabina


ich hoffe, dass ich nun mein letztes log senden muß ;).
Nicht dass es mir Spaß macht hier zu schreiben, aber hoffentlich ist der Wurm oder was auch immer hier dann raus.

-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 0
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 0 Kb/s
Dauer:: 00:00:00
-----------------------------------------------------------------------------

[Prüfpfad] C:\WINDOWS\system32\smss.exe
[Prüfpfad] C:\WINDOWS\system32\csrss.exe
[Prüfpfad] C:\WINDOWS\system32\winlogon.exe
-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 5
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 184 Kb/s
Dauer:: 00:00:03
-----------------------------------------------------------------------------

Prüfung vom Benutzer abgebrochen! - keine Viren gefunden
[Prüfpfad] C:\
C:\hiberfil.sys - Lesefehler
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots\RegUBP2b-HFennert.reg infiziert mit Trojan.StartPage.1505 - gelöscht
C:\Dokumente und Einstellungen\HFennert\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\HFennert\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\HFennert\Desktop\SmitfraudFix\Process.exe ist ein Hacktool Tool.Prockill
C:\Dokumente und Einstellungen\HFennert\Desktop\SmitfraudFix\restart.exe ist ein Hacktool Tool.ShutDown.11
C:\Dokumente und Einstellungen\HFennert\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\HFennert\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\HFennert\Lokale Einstellungen\Temp\hsperfdata_HFennert\1216 - Lesefehler
C:\Dokumente und Einstellungen\HFennert\Lokale Einstellungen\Temp\hsperfdata_HFennert\464 - Lesefehler
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\LocalService\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\NTUSER~1.LOG - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Lesefehler
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\USRCLA~1.LOG - Lesefehler
C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008571.exe infiziert mit Trojan.Starter.79 - gelöscht
C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008575.exe infiziert mit Trojan.DownLoader.12309 - gelöscht
C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008582.dll infiziert mit Trojan.Popuper - gelöscht
C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008611.dll infiziert mit Trojan.Popuper - gelöscht
C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008623.exe infiziert mit Trojan.SPuper - gelöscht
>C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008624.exe infiziert mit Dialer.Riprova - gelöscht
C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008628.exe infiziert mit Trojan.SPuper - gelöscht
C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008629.exe infiziert mit Trojan.SPuper - gelöscht
C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008631.exe infiziert mit Trojan.Popuper - gelöscht
C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008675.dll infiziert mit Trojan.Mezzia - gelöscht
C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008720.exe ist ein Hacktool Tool.Prockill
>C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008736.exe ist ein Adware-Programm Adware.ClickSpring
C:\System Volume Information\_restore{873B6431-6F53-4B41-B7D6-9FC87E29E60B}\RP10\A0008772.reg infiziert mit Trojan.StartPage.1505 - gelöscht
C:\WINDOWS\system32\CatRoot2\edb.log - Lesefehler
C:\WINDOWS\system32\CatRoot2\tmp.edb - Lesefehler
C:\WINDOWS\system32\config\default - Lesefehler
C:\WINDOWS\system32\config\default.LOG - Lesefehler
C:\WINDOWS\system32\config\SAM - Lesefehler
C:\WINDOWS\system32\config\SAM.LOG - Lesefehler
C:\WINDOWS\system32\config\SECURITY - Lesefehler
C:\WINDOWS\system32\config\SECURITY.LOG - Lesefehler
C:\WINDOWS\system32\config\software - Lesefehler
C:\WINDOWS\system32\config\software.LOG - Lesefehler
C:\WINDOWS\system32\config\system - Lesefehler
C:\WINDOWS\system32\config\system.LOG - Lesefehler

[Prüfpfad] D:\
-----------------------------------------------------------------------------
Prüfstatistiken
-----------------------------------------------------------------------------
Geprüfte Objekte: 376038
Infizierte Objekte gefunden: 12
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 1
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 3
Desinfizierte Objekte: 0
Gelöschte Objekte: 12
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 50 Kb/s
Dauer:: 20:18:21
-----------------------------------------------------------------------------

hat ja auch ganz schön lange schon gedauert.

MfG
Henry
Seitenanfang Seitenende
01.09.2006, 11:55
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#163 age.ef

Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)
http://virus-protect.org/systemwiederherstellung.html

dann ist alles wieder in Ordnung ;)
oder erstellen sich wieder neue tmp ??? in:
Verzeichnis von C:\WINDOWS\TEMP
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.09.2006, 12:18
Member

Beiträge: 11
#164 HALLO SABINA

ich glaube es ist vollbracht.
es werden keine neuen Datein angelegt, aber ich werd es im Auge behalten.

Ich möchte dir für deine schnelle, einfache und kompetente Hilfe danken.

Schade das ich auf dieses Board nur durch Zufall gekommen bin.

Das Board gehört ... was weiß ich wo, bei chip oder pc-welt oder so gemeldet unter der rubrik, links die jeder braucht.

Ich habe es jedenfalls in meine Lesezeichen aufgenommen.

Also nochmal dickes Lob


Es grüßt aus dem Norden

Henry
Seitenanfang Seitenende
01.09.2006, 21:57
Member

Beiträge: 11
#165 so... ich melde mich mal wieder mit dem kaspersky log, hatte leider in den letzten tagen nicht soviel Zeit, deshalb kommt es erst jetzt.


PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Freitag, 1. September 2006 21:56:57
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 1/09/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 207149
Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja
Untersuchungsobjekt Kritische Objekte
C:\WINDOWS
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\
Untersuchungsergebnisse
Untersuchte Objekte insgesamt 17706
Viren gefunden 0
Infizierte Objekte gefunden 0 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 00:17:51

Name des infizierten Objekts Virusname Letzte Aktion
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\icssys.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\MI6-FJXZHGFIEWD.ldb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Antivirus.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd1885.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_698.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT029bc.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT029c6.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\hsperfdata_Felix Lehmann\1852 Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF703.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF716.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF72D.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF740.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF757.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF7599.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF766A.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF786.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF79D.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF7B0.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF95ED.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF9944.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF9957.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF996E.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF9981.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF9998.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF99AB.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF99C2.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF99D5.tmp Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\FELIXL~1.MI6\LOKALE~1\Temp\~DF9BE9.tmp Das Objekt ist gesperrt übersprungen
Die Untersuchung wurde abgeschlossen.
Seitenanfang Seitenende