Viren/Trojanerbefall eraseme_... Datei mit Backdoor.Win32-Virus

#0
25.07.2006, 20:03
...neu hier

Beiträge: 4
#1 Hallo zusammen,

ich habe seit ein paar Tagen Probleme mit meinem Rechner. Mein Virusprogramm findet seit ein paar Tagen immer verschiedene Versionen des Backdoor.Win32-Virus/Trojaner auf meinem Rechner, allerdings nur wenn ich online bin. Die Datei in der der Virus liegen soll fängt immer mit eraseme_ an und soll im Verzeichnis C:\WINNT liegen. Wenn das Virenprogramm die Datei löschen möchte existiert sie schon nicht mehr.

Hier einige Beispiele: Datei eraseme_31562.exe Virus: Backdoor.Win32.SdBot.atg
Datei eraseme_04235.exe Virus: Backdoor.Win32.Aimbot.ae
Datei eraseme_61021.exe Virus: Backdoor.Win32.SdBot.aoz

Mein Betriebssystem ist Window2000 und ich installiere mir regelmäßig die neuen Patches. Als Virenprogramm benutze ich das AntiVirenKit von GDATA. Dort lade ich mir immer bevor ich meinen Browser aufrufe die aktuellen Virendefinitionen.

Nachdem die Probleme aufgetreten sind habe ich auf meinem Rechner Lavasoft Ad aware und Spybot in den aktuellen Versionen laufen lassen. Gefunden wurde nichts. Ich habe mir zusätzlich zu meinem Anti-Virenprogramm noch F-Secure installiert und laufen lassen. Ebenfalls ohne Ergebnis.

Heute kurz vor dem schreiben dieses Beitrags meldete mein Virenscanner den Virus Backdoor.Win32.SdBot.aoz in der Datei C:\WINNT\system32\sysdtc32.exe. Die Datei konnte nicht gelöscht oder desinfiziert werdden, da ein Prozess lief. Dieser lies sich auch nicht stoppen. Ich habe also meinen Rechner in den abgesicherten Modus gefahren und die Datei umbenannt und in ein anderes Verzeichnis verschoben. Kann dies der Grund für meine Probleme sein?

Hier das Log von Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 19:35:59, on 25.07.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
E:\Programme\AntiVirenKit 2004\AVKService.exe
E:\Programme\AntiVirenKit 2004\AVKWCtl.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\devldr32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE
C:\WINNT\system32\DeltTray.exe
C:\WINNT\system32\internat.exe
E:\Programme\AntiVirenKit 2004\avk.exe
E:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spiegel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.lycos.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Lycos Europe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE"
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://express.bilderservice.de/static/download/iedropupload.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/23e425b32041de030816/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123691896742
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123691881079
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp02.photoprintit.de/microsite/defaults/activex/ImageUploader3.cab
O23 - Service: AVK Service (AVKService) - Unknown owner - E:\Programme\AntiVirenKit 2004\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - E:\Programme\AntiVirenKit 2004\AVKWCtl.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\System32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: DLTC(dltc) (DLTC) - Unknown owner - C:\WINNT\system32\nlsys32.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TskScheduler - Unknown owner - C:\WINNT\taskshed.exe (file missing)
O23 - Service: WmDmPsp - Unknown owner - C:\WINNT\system32\sysdtc32.exe (file missing)


sys.txt:

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: DC44-762F

Verzeichnis von C:\

25.07.2006 19:38 0 sys.txt
25.07.2006 19:38 14.971 system.txt
25.07.2006 19:38 304 systemtemp.txt
25.07.2006 19:38 100.573 system32.txt
25.07.2006 19:29 201.326.592 pagefile.sys
23.07.2006 11:38 192 boot.ini

system.txt:

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: DC44-762F

Verzeichnis von C:\WINNT

25.07.2006 19:38 4.266 UEDIT32.INI
25.07.2006 19:37 2.524 UltraEdit
25.07.2006 19:30 1.560.559 WindowsUpdate.log
25.07.2006 19:25 63.720 ntbtlog.txt
25.07.2006 19:21 743.866 ShellIconCache
23.07.2006 12:05 561 daasunin.LOG
23.07.2006 12:05 1.301 fsdgunst.log
23.07.2006 12:05 2.981 fsmaunin.log
23.07.2006 12:05 458 FSGUIINS.LOG
23.07.2006 12:05 494 fstnbins.LOG
23.07.2006 12:05 46.938 fsavunin.log
23.07.2006 12:04 1.966 FSASWUNI.LOG
23.07.2006 12:04 26.902 FSASWSIN.log
23.07.2006 12:04 689 HELPINST.LOG
23.07.2006 12:04 22.360 fwesinst.log
23.07.2006 12:04 5.331 fsbwinst.log
23.07.2006 11:38 875 win.ini
23.07.2006 11:38 393 system.ini
20.07.2006 21:19 115.048 setupapi.log
20.07.2006 19:59 3.656 fsiuupd.log
20.07.2006 19:30 5.151.773 FSISU.log
20.07.2006 19:30 2.962.954 FSSFM.log
20.07.2006 19:30 304.728 RunSetup.log
20.07.2006 19:30 150.431 FSPROD.log
20.07.2006 19:30 950.209 FSSETUP.log
20.07.2006 19:30 5.114 FSSYSUPD.LOG
20.07.2006 19:30 16.989 fsmainst.log
20.07.2006 19:30 4.194 NEWSINST.LOG
20.07.2006 19:30 7.970 FSAVCSIN.LOG
20.07.2006 19:30 13.580 FSASWINS.LOG
20.07.2006 19:30 2.030 fsdginst.log
20.07.2006 19:30 7.680 fsrif.log
20.07.2006 19:30 35.363 FSAVINST.LOG
20.07.2006 19:29 2.183 DAASINST.LOG
20.07.2006 19:28 83.676 FSDEPH.log
20.07.2006 19:28 10.898 FSSGSUP.LOG
20.07.2006 19:28 386.545 fssgpex.LOG
20.07.2006 19:27 2.438 FSPRODRM.LOG
20.07.2006 19:16 1.992 Q-Klez.log
17.07.2006 11:06 724.429 iis5.log
17.07.2006 11:06 294.732 comsetup.log
17.07.2006 11:06 1.410 imsins.log
17.07.2006 11:06 14.356 KB917159.log
17.07.2006 11:06 273.963 ocgen.log
17.07.2006 11:06 21.381 ockodak.log
17.07.2006 11:06 1.410 imsins.BAK
17.07.2006 11:06 14.840 KB914388.log
17.07.2006 11:06 66.688 updspapi.log
15.06.2006 14:03 3.793 spupdsvc.log
15.06.2006 13:58 22.202 KB917953.log
15.06.2006 13:58 23.605 KB913580.log
15.06.2006 13:57 11.779 KB916281-IE6SP1-20060526.162249.log
15.06.2006 13:57 17.638 KB917736.log
15.06.2006 13:52 17.095 KB911280.log
15.06.2006 13:52 14.119 KB914389.log
15.06.2006 13:52 4.512 KB917734.log
15.06.2006 13:52 102.683 wmsetup.log
27.05.2006 20:31 10.288 Sti_Trace.log
08.05.2006 21:48 296 hpipcopy.INI
08.05.2006 21:48 1.080 AUTOLNCH.REG
13.04.2006 12:06 7.575 KB912812-IE6SP1-20060322.182418.log
13.04.2006 12:05 21.029 MDAC25SP3-KB911562-x86-DEU.log
13.04.2006 12:05 13.309 KB908531.log
13.04.2006 12:04 5.478 KB911567-OE6SP1-20060316.165634.log
02.04.2006 18:10 929 WISO.INI
02.04.2006 17:27 213 BUHL.INI
20.02.2006 22:12 2.868 mozver.dat
20.02.2006 21:42 107.134 UninstallFirefox.exe
17.02.2006 21:07 3.851 KB911564.log
17.02.2006 21:07 4.407 KB911565.log
28.01.2006 20:37 44.042 Logic 5.prf
24.01.2006 23:51 1.562 COM+.log
12.01.2006 21:42 4.915 KB908519.log
12.01.2006 20:28 32.632 SchedLgU.Txt
09.01.2006 21:08 19.462 KB912919.log
09.01.2006 21:06 10.111 KB905915-IE6SP1-20051122.175908.log
09.01.2006 21:05 16.396 KB908523.log

system32:

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: DC44-762F

Verzeichnis von C:\WINNT\system32

17.07.2006 19:36 303.282 perfh009.dat
17.07.2006 19:36 38.880 perfc009.dat
17.07.2006 19:36 292.656 perfh007.dat
17.07.2006 19:36 47.250 perfc007.dat
17.07.2006 19:36 681.766 PerfStringBackup.INI
07.07.2006 03:21 6.757.792 MRT.exe
16.06.2006 20:32 16.384 Perflib_Perfdata_2a8.dat
26.05.2006 15:49 1.339.904 SHDOCVW.DLL
19.05.2006 16:08 2.702.848 MSHTML.DLL
19.05.2006 11:18 68.880 IPHLPAPI.DLL
19.05.2006 11:18 90.384 DHCPCSVC.DLL
19.05.2006 11:18 136.976 dnsapi.dll
17.05.2006 11:43 465.864 jscript.dll
15.05.2006 11:14 161.040 rasmans.dll
08.05.2006 12:30 463.360 URLMON.DLL
03.05.2006 08:57 291.840 sp3res.dll
28.04.2006 15:08 582.144 WININET.DLL
28.04.2006 10:58 12.288 JSPROXY.DLL
28.04.2006 10:57 351.744 DXTMSFT.DLL
24.04.2006 15:40 4.730.880 wmp.dll
23.04.2006 10:00 153.872 msdtcui.dll
23.04.2006 10:00 1.202.448 msdtctm.dll
23.04.2006 10:00 52.496 mtxclu.dll
23.04.2006 10:00 740.112 msdtcprx.dll
23.04.2006 10:00 123.152 mtxoci.dll
23.04.2006 10:00 20.240 xolehlp.dll
23.04.2006 10:00 96.016 msdtclog.dll
21.04.2006 00:07 15.072 spmsg.dll
13.04.2006 07:16 437.008 rpcrt4.dll
30.03.2006 12:56 212.992 odbc32.dll
23.03.2006 08:53 2.386.192 SHELL32.DLL
18.03.2006 11:51 21.264 verclsid.exe
03.03.2006 15:46 498.176 MSTIME.DLL
27.02.2006 14:25 44.032 MSIDENT.DLL
27.02.2006 14:25 229.376 MSOEACCT.DLL
27.02.2006 14:25 50.688 INETRES.DLL
27.02.2006 13:31 596.480 INETCOMM.DLL
27.02.2006 13:31 91.136 MSOERT2.DLL
24.02.2006 15:20 236.032 IEPEERS.DLL
24.02.2006 14:24 192.512 DXTRANS.DLL
22.02.2006 11:12 1.838.576 dtcsetup.exe
21.02.2006 11:11 532.752 sqlsrv32.dll
21.02.2006 11:11 57.616 odbcji32.dll
21.02.2006 09:58 20.752 odfox32.dll
21.02.2006 09:58 20.752 odexl32.dll
21.02.2006 09:58 278.800 odbcjt32.dll
21.02.2006 09:58 20.752 odpdx32.dll
21.02.2006 09:58 20.752 odtext32.dll
21.02.2006 09:58 20.752 oddbse32.dll
21.02.2006 09:58 102.672 ODBCCP32.dll

systemp:

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: DC44-762F

Verzeichnis von C:\DOKUME~1\Gesche1\LOKALE~1\Temp

25.07.2006 19:38 100.573 system32.tx0
1 Datei(en) 100.573 Bytes
0 Verzeichnis(se), 942.100.480 Bytes frei


Ich wäre euch für REatschläge, Tipps und Hilfe sehr dankbar.

Viele Grüße,

Frank
Seitenanfang Seitenende
26.07.2006, 14:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 der virus hat dienste erstellt...die muessen geloescht werden:

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

TskScheduler

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

gleiches mit:

WmDmPsp
DLTC
nlsys32.exe
taskshed.exe
sysdtc32.exe
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.07.2006, 19:55
...neu hier

Themenstarter

Beiträge: 4
#3 Hi Sabina,

erst einmal vielen Dank für deine Antwort.

Hier sind die gewünschten Logs:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 26.07.2006 19:42:27 for strings:
; 'tskscheduler'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSKSCHEDULER]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSKSCHEDULER\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSKSCHEDULER\0000]
"Service"="TskScheduler"
"DeviceDesc"="TskScheduler"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TskScheduler]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TskScheduler]
"DisplayName"="TskScheduler"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TskScheduler\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TskScheduler\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TskScheduler\Enum]
"0"="Root\\LEGACY_TSKSCHEDULER\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSKSCHEDULER]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSKSCHEDULER\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSKSCHEDULER\0000]
"Service"="TskScheduler"
"DeviceDesc"="TskScheduler"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TskScheduler]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TskScheduler]
"DisplayName"="TskScheduler"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TskScheduler\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSKSCHEDULER]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSKSCHEDULER\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSKSCHEDULER\0000]
"Service"="TskScheduler"
"DeviceDesc"="TskScheduler"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler]
"DisplayName"="TskScheduler"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler\Enum]
"0"="Root\\LEGACY_TSKSCHEDULER\\0000"

; End Of The Log...


REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 26.07.2006 19:47:15 for strings:
; 'wmdmpsp'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMDMPSP]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMDMPSP\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMDMPSP\0000]
"Service"="WmDmPsp"
"DeviceDesc"="WmDmPsp"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmDmPsp]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmDmPsp]
"DisplayName"="WmDmPsp"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmDmPsp\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmDmPsp\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmDmPsp\Enum]
"0"="Root\\LEGACY_WMDMPSP\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WMDMPSP]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WMDMPSP\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WMDMPSP\0000]
"Service"="WmDmPsp"
"DeviceDesc"="WmDmPsp"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WmDmPsp]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WmDmPsp]
"DisplayName"="WmDmPsp"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WmDmPsp\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPSP]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPSP\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPSP\0000]
"Service"="WmDmPsp"
"DeviceDesc"="WmDmPsp"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp]
"DisplayName"="WmDmPsp"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp\Enum]
"0"="Root\\LEGACY_WMDMPSP\\0000"

; End Of The Log...

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 26.07.2006 19:49:56 for strings:
; 'dltc'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLTC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLTC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLTC\0000]
"Service"="DLTC"
"DeviceDesc"="DLTC(dltc)"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DLTC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DLTC]
"DisplayName"="DLTC(dltc)"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DLTC\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DLTC\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DLTC\Enum]
"0"="Root\\LEGACY_DLTC\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DLTC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DLTC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DLTC\0000]
"Service"="DLTC"
"DeviceDesc"="DLTC(dltc)"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DLTC]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DLTC]
"DisplayName"="DLTC(dltc)"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DLTC\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLTC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLTC\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLTC\0000]
"Service"="DLTC"
"DeviceDesc"="DLTC(dltc)"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC]
"DisplayName"="DLTC(dltc)"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC\Enum]
"0"="Root\\LEGACY_DLTC\\0000"

; End Of The Log...

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 26.07.2006 19:52:54 for strings:
; 'nlsys32.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DLTC]
; Contents of value:
; "c:\winnt\system32\nlsys32.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,73,79,73,74,65,6d,33,32,5c,6e,\
6c,73,79,73,33,32,2e,65,78,65,22,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DLTC]
; Contents of value:
; "c:\winnt\system32\nlsys32.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,73,79,73,74,65,6d,33,32,5c,6e,\
6c,73,79,73,33,32,2e,65,78,65,22,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC]
; Contents of value:
; "c:\winnt\system32\nlsys32.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,73,79,73,74,65,6d,33,32,5c,6e,\
6c,73,79,73,33,32,2e,65,78,65,22,00

; End Of The Log...

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 26.07.2006 19:55:29 for strings:
; 'taskshed.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TskScheduler]
; Contents of value:
; "c:\winnt\taskshed.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,74,61,73,6b,73,68,65,64,2e,65,\
78,65,22,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TskScheduler]
; Contents of value:
; "c:\winnt\taskshed.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,74,61,73,6b,73,68,65,64,2e,65,\
78,65,22,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler]
; Contents of value:
; "c:\winnt\taskshed.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,74,61,73,6b,73,68,65,64,2e,65,\
78,65,22,00

; End Of The Log...

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 26.07.2006 19:58:02 for strings:
; 'sysdtc32.exe'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmDmPsp]
; Contents of value:
; "c:\winnt\system32\sysdtc32.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,73,79,73,74,65,6d,33,32,5c,73,\
79,73,64,74,63,33,32,2e,65,78,65,22,00

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WmDmPsp]
; Contents of value:
; "c:\winnt\system32\sysdtc32.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,73,79,73,74,65,6d,33,32,5c,73,\
79,73,64,74,63,33,32,2e,65,78,65,22,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp]
; Contents of value:
; "c:\winnt\system32\sysdtc32.exe"
"ImagePath"=hex(2):22,43,3a,5c,57,49,4e,4e,54,5c,73,79,73,74,65,6d,33,32,5c,73,\
79,73,64,74,63,33,32,2e,65,78,65,22,00

; End Of The Log...

Viele Grüße,

Frank
Seitenanfang Seitenende
26.07.2006, 20:02
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4

Zitat

O23 - Service: DLTC(dltc) (DLTC) - Unknown owner - C:\WINNT\system32\nlsys32.exe (file missing)
O23 - Service: TskScheduler - Unknown owner - C:\WINNT\taskshed.exe (file missing)
O23 - Service: WmDmPsp - Unknown owner - C:\WINNT\system32\sysdtc32.exe (file missing)
wahrscheinlich sind die exe schon nicht mehr vorhanden - dennoch versuche es:

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINNT\system32\nlsys32.exe
C:\WINNT\taskshed.exe
C:\WINNT\system32\sysdtc32.exe

berichte................
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.07.2006, 20:19
...neu hier

Themenstarter

Beiträge: 4
#5 Die Dateien sind in der Tat nicht mehr da.

Soll ich noch irgendetwas unternehmen oder ist der Spuk jetzt ausgestanden?

Viele Grüße,

Frank
Seitenanfang Seitenende
27.07.2006, 15:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 wappi

Information
http://virus-protect.org/artikel/dienste/taskshed_nlsys32_sysdtc32.html

---------------------------------------------------------------------

1.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSKSCHEDULER
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TskScheduler
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSKSCHEDULER
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TskScheduler
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSKSCHEDULER
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMDMPSP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmDmPsp
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WMDMPSP
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WmDmPsp
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPSP
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLTC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DLTC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DLTC
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DLTC
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLTC\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint

2.
scanne mit kaspersky und poste hier den scanreport
http://virus-protect.org/onlinescan.html

----------------------------------------------------------------
3.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

remon

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
29.07.2006, 14:14
...neu hier

Themenstarter

Beiträge: 4
#7 Hallo sabina,

hier das Log vom Avenger:

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\hdpshrpe

*******************

Script file located at: \??\C:\WINNT\amsesyfi.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_TSKSCHEDULER deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TskScheduler deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_TSKSCHEDULER deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TskScheduler deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSKSCHEDULER not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSKSCHEDULER failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_TSKSCHEDULER
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TskScheduler
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMDMPSP deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmDmPsp deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WMDMPSP deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\WmDmPsp deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPSP not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPSP failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WMDMPSP
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WmDmPsp
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_DLTC deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\DLTC deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_DLTC deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\DLTC deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLTC\0000 not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLTC\0000 failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DLTC\0000
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DLTC
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.

Kaspersky:

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER REPORT
Saturday, July 29, 2006 2:13:46 PM
Operating System: Microsoft Windows 2000 Professional, Service Pack 4 (Build 2195)
Kaspersky Online Scanner version: 5.0.83.0
Kaspersky Anti-Virus database last update: 29/07/2006
Kaspersky Anti-Virus database records: 197244
-------------------------------------------------------------------------------

Scan Settings:
Scan using the following antivirus database: standard
Scan Archives: true
Scan Mail Bases: true

Scan Target - Critical Areas:
C:\WINNT
C:\DOKUME~1\Gesche1\LOKALE~1\Temp\

Scan Statistics:
Total number of scanned objects: 11652
Number of viruses found: 0
Number of infected objects: 0 / 0
Number of suspicious objects: 0
Duration of the scan process: 00:38:38

Infected Object Name / Virus Name / Last Action
C:\WINNT\Debug\ipsecpa.log Object is locked skipped
C:\WINNT\Debug\oakley.log Object is locked skipped
C:\WINNT\Debug\PASSWD.LOG Object is locked skipped
C:\WINNT\SoftwareDistribution\ReportingEvents.log Object is locked skipped
C:\WINNT\Sti_Trace.log Object is locked skipped
C:\WINNT\system32\config\AppEvent.Evt Object is locked skipped
C:\WINNT\system32\config\default Object is locked skipped
C:\WINNT\system32\config\default.LOG Object is locked skipped
C:\WINNT\system32\config\SAM Object is locked skipped
C:\WINNT\system32\config\SAM.LOG Object is locked skipped
C:\WINNT\system32\config\SecEvent.Evt Object is locked skipped
C:\WINNT\system32\config\SECURITY Object is locked skipped
C:\WINNT\system32\config\SECURITY.LOG Object is locked skipped
C:\WINNT\system32\config\software Object is locked skipped
C:\WINNT\system32\config\software.LOG Object is locked skipped
C:\WINNT\system32\config\SysEvent.Evt Object is locked skipped
C:\WINNT\system32\config\system Object is locked skipped
C:\WINNT\system32\config\SYSTEM.ALT Object is locked skipped
C:\WINNT\Temp\tmp000078ef\tmp00000000 Object is locked skipped
C:\WINNT\WindowsUpdate.log Object is locked skipped

Scan process completed.

log regsearch:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 29.07.2006 14:16:11 for strings:
; 'remon'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


; End Of The Log...
Seitenanfang Seitenende
29.07.2006, 16:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 F-Secure Online Scanner Next Generation Beta
http://support.f-secure.com/enu/home/ols3.shtml

1. Klicke den Link: "F-Secure Online Scanner Next Generation Beta".
2. Du wirst aufgefordert werden, ein ActiveX-Control zu installieren
3. Installiere diese ActiveX-Komponente
4. Lies die Anleitung und klicke: "Accept"
5. Klicke "Full System Scan"
6. klicke "Show report" - kopiere den Scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.08.2006, 12:43
...neu hier

Beiträge: 3
#9 hallo,
da mein problem ähnlich ist, versuche ich hier meine frage loszuwerden.
muss vorausschicken, dass ich wirklich keine ahnung von computern oder irgendwelchen registrierungen habe. ich mache regelmäßig die windows updates und die meiner firewall (zone alarm) und meines antivirusprogrammes (avira antivirpersonaledition).
zum problem: war drei wochen nicht an meinem rechner, komme gerade wieder, schalte ihn an, internet geht dann auch automatisch an und eine tabelle erscheint, wo ich backdoor.win lese und er sei in der quarantäne und ich solle ihn löschen, was ich gemacht habe. leider weiß ich nicht, ob zone alarm oder antivir anging, da ich so überstürzt auf löschen gedrückt habe. in keinem von beiden programme konnte ich den vorgang nachvollziehen, als hätte er nie stattgefunden. jetzt habe ich verschiedene programme mir runtergeladen und gescannt, aber keiner findet was (adaware und spybot). meine frage: war der trojaner auf meinem rechner oder wurde er gleich abgefangen? wie soll ich mich verhalten, kann ich unbeschadet weiter ins internet gehen, kann ich noch online banking machen. vermutlich sagt die bezeichnung backdoor. win nicht viel aus, habe schon gesehen, dass heir immer noch namensanhänge auftauchen, aber ich habe leider nur diese informationen.
wenn ihr mir netterweise antwortet, bedenkt bitt, ich bin absolut unwissen ;-)
danke und herzliche grüße.
ps: gerade scanne ich noch mit windowsdefender und stinger und spywarefigther, aber die finden wohl auch nichts...
Seitenanfang Seitenende
24.08.2006, 12:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 Leeloo

poste hier diese logs, dann sehe ich nach
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
24.08.2006, 22:49
...neu hier

Beiträge: 3
#11 hallo sabina,
vielen dank. habe der ersten punkt aus diesem post gemacht, hoffentlich richtig.

Logfile of HijackThis v1.99.1
Scan saved at 22:50:24, on 24.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
D:\Fotoprogramme\Casio\Plauto.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\SPYWAREfighter\spfprc.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Opera8\Opera.exe
C:\Eigene Programme\WinZip\WINZIP32.EXE
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [spywarefighterguard] C:\Programme\SPYWAREfighter\spfprc.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O4 - Global Startup: Photo Loader resident.lnk = D:\Fotoprogramme\Casio\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

grüße, leeloo

so, schritt zwei ausgeführt, allerdings weiß ich nicht, ob die temporären dateien gelöscht wurden, da kein fenster aufging, um das system neu zu starten, habe gescannt, dann kam wieder sowas wie eine logdatei und dann bin ich auf schließen und habe danach den rechner selber manuell neu gestartet.

zum punkt drei: hier ist das scan-ergebnis:

Anja K - 06-08-24 23:15:25,46
ComboFix 06.08.24 - Running from: C:\Programme\Opera8

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\winsys.exe


((((((((((((((((((((((((((((((( Files Created from 2006-07-24 to 2006-08-24 ))))))))))))))))))))))))))))))))))


No new files created in this timespan


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-24 23:14 -------- d-------- C:\Programme\Opera8
2006-08-24 23:04 -------- d-------- C:\Programme\CleanUp!
2006-08-24 12:22 -------- d-------- C:\Programme\Windows Defender
2006-08-24 12:22 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-08-24 12:14 -------- d-------- C:\Programme\SPYWAREfighter
2006-08-24 12:13 -------- d-------- C:\Programme\Gemeinsame Dateien\Application
2006-08-24 12:13 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-08-24 11:50 -------- d-------- C:\Programme\Kaspersky Lab
2006-08-20 20:02 -------- d-------- C:\Programme\Lavasoft
2006-08-20 20:02 -------- d-------- C:\Dokumente und Einstellungen\Anja K\Anwendungsdaten\Lavasoft
2006-08-20 09:58 -------- d-------- C:\Programme\Internet Explorer
2006-07-29 23:50 28256 --a------ C:\WINDOWS\system32\drivers\MxlW2k.sys
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-26 19:28 -------- d-------- C:\Programme\Yahoo!
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-21 10:18 -------- d-------- C:\Programme\CASIO
2006-07-02 16:43 -------- d-------- C:\Dokumente und Einstellungen\Anja K\Anwendungsdaten\AdobeUM
2006-06-26 20:20 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-06-26 20:20 -------- d-------- C:\Programme\Google
2006-06-24 09:40 57384 --a------ C:\WINDOWS\system32\avsda.dll
2006-06-20 23:33 42920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2006-06-12 13:03 17078 --a------ C:\Dokumente und Einstellungen\Anja K\Anwendungsdaten\ViewerTN2.tn
2006-06-12 13:02 836 --a------ C:\Dokumente und Einstellungen\Anja K\Anwendungsdaten\ViewerApp.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HPDJ Taskbar Utility"="C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\hpztsb04.exe"
"PRISMSVR.EXE"="\"C:\\Programme\\Siemens\\Gigaset USB Adapter 54\\PRISMSVR.EXE\" /APPLY"
"C-Media Mixer"="Mixer.exe /startup"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"
"spywarefighterguard"="C:\\Programme\\SPYWAREfighter\\spfprc.exe"
@=""
"Windows Defender"="\"C:\\Programme\\Windows Defender\\MSASCui.exe\" -hide"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,42,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,e6,00,00,00,00,00,00,00,9a,03,00,00,42,03,\
00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="Microsoft AntiMalware ShellExecuteHook"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma Loader"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~2.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 8.0 Tray-Symbol.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\AOL 8.0 Tray-Symbol.lnk"
"backup"="C:\\WINDOWS\\pss\\AOL 8.0 Tray-Symbol.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\AOL8~1.0\\aoltray.exe -check"
"item"="AOL 8.0 Tray-Symbol"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Logitech Desktop Messenger.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Logitech Desktop Messenger.lnk"
"backup"="C:\\WINDOWS\\pss\\Logitech Desktop Messenger.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Logitech\\DESKTO~1\\8876480\\Program\\LDMConf.exe /start"
"item"="Logitech Desktop Messenger"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~3\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Photo Loader resident.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Photo Loader resident.lnk"
"backup"="C:\\WINDOWS\\pss\\Photo Loader resident.lnkCommon Startup"
"location"="Common Startup"
"command"="D:\\FOTOPR~1\\Casio\\Plauto.exe "
"item"="Photo Loader resident"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Picture Package Menu.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Picture Package Menu.lnk"
"backup"="C:\\WINDOWS\\pss\\Picture Package Menu.lnkCommon Startup"
"location"="Common Startup"
"command"="D:\\FOTOPR~1\\Sony\\PICTUR~3\\SonyTray.exe "
"item"="Picture Package Menu"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Picture Package VCD Maker.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Picture Package VCD Maker.lnk"
"backup"="C:\\WINDOWS\\pss\\Picture Package VCD Maker.lnkCommon Startup"
"location"="Common Startup"
"command"="D:\\FOTOPR~1\\Sony\\PICTUR~1\\RESIDE~1.EXE -h"
"item"="Picture Package VCD Maker"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Dokumente und Einstellungen^Anja K^Startmenü^Programme^Autostart^SmartSurfer.lnk]
"path"="C:\\Dokumente und Einstellungen\\Anja K\\Startmenü\\Programme\\Autostart\\SmartSurfer.lnk"
"backup"="C:\\WINDOWS\\pss\\SmartSurfer.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\WEBDE\\SMARTS~1.1\\SMARTS~1.EXE -m"
"item"="SmartSurfer"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ASUS Probe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AsusProb"
"hkey"="HKLM"
"command"="C:\\Program Files\\ASUS\\Probe\\AsusProb.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ATIPTA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="atiptaxx"
"hkey"="HKLM"
"command"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\ccRegVfy]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ccRegVfy"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccRegVfy.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\System32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Device Detector]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DevDetect"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\ACD Systems\\DE\\DevDetect.exe\" -autorun"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\GhostStartTrayApp]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GhostStartTrayApp"
"hkey"="HKLM"
"command"="C:\\Eigene Programme\\Norton SystemWorks\\Norton Ghost\\GhostStartTrayApp.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IntelliType]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="type32"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Microsoft Hardware\\Keyboard\\type32.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\LDM]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="BackWeb-8876480"
"hkey"="HKCU"
"command"="C:\\Programme\\Logitech\\Desktop Messenger\\8876480\\Program\\BackWeb-8876480.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Logitech Hardware Abstraction Layer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="KHALMNPR"
"hkey"="HKLM"
"command"="KHALMNPR.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Message-Bob]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Message-Bob"
"hkey"="HKCU"
"command"="C:\\Programme\\Message-Bob\\Message-Bob.exe /a"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\mmtask]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mmtask"
"hkey"="HKLM"
"command"="C:\\Programme\\MUSICMATCH\\MUSICMATCH Jukebox\\mmtask.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\MMTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="mm_tray"
"hkey"="HKLM"
"command"="C:\\Programme\\MUSICMATCH\\MUSICMATCH Jukebox\\mm_tray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NVMixerTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NVMixerTray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\NVIDIA Corporation\\NvMixer\\NVMixerTray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\POINTER]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="point32"
"hkey"="HKLM"
"command"="point32.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Eigene Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\RealTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="RealPlay"
"hkey"="HKLM"
"command"="C:\\Programme\\Real\\RealPlayer\\RealPlay.exe SYSTEMBOOTHIDEPLAYER"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SW20]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="sw20"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\sw20.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SW24]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="sw24"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\sw24.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\Symantec NetDriver Monitor]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SNDMon"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\services]
"Speed Disk service"=dword:00000002
"SNDSrvc"=dword:00000003
"NProtectService"=dword:00000002
"IDriverT"=dword:00000003
"GhostStartService"=dword:00000002
"ATI Smart"=dword:00000002
"Ati HotKey Poller"=dword:00000002



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\MP Scheduled Scan.job
C:\WINDOWS\tasks\Norton SystemWorks One Button Checkup.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 24.08.2006 23:18:19.92
ComboFix.txt

gruß, leeloo


so, und zuletzt noch schritt vier: hier die ergebnisse:

1.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A03F-055A

Verzeichnis von C:\WINDOWS\system32

24.08.2006 23:06 311.604 perfh009.dat
24.08.2006 23:06 39.992 perfc009.dat
24.08.2006 23:06 48.156 perfc007.dat
24.08.2006 23:06 316.594 perfh007.dat
24.08.2006 23:06 723.744 PerfStringBackup.INI
24.08.2006 23:03 12.598 wpa.dbl
24.08.2006 23:02 54.107 vsconfig.xml
09.08.2006 21:03 8.325.544 MRT.exe
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
26.07.2006 10:34 4.212 zllictbl.dat
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
15.07.2006 16:29 173.966 x.bmp
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
11.07.2006 15:01 150.604 AdobeFnt.lst
11.07.2006 14:26 348.774 druck.bmp
05.07.2006 12:55 1.057.792 kernel32.dll
26.06.2006 19:40 148.480 dnsapi.dll
26.06.2006 19:40 8.192 rasadhlp.dll
24.06.2006 09:40 57.384 avsda.dll
23.06.2006 17:21 50.257 nvapps.xml
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 1.494.016 shdocvw.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 10:53 27.136 xpsp3res.dll
20.06.2006 23:33 42.920 vsutil_loc0407.dll
20.06.2006 23:33 394.872 vsdatant.sys
20.06.2006 23:32 71.672 zlcommdb.dll
20.06.2006 23:32 83.960 zlcomm.dll
20.06.2006 23:32 440.312 vsutil.dll
20.06.2006 23:32 59.384 vswmi.dll
20.06.2006 23:32 100.344 vsxml.dll
20.06.2006 23:32 268.280 vspubapi.dll
20.06.2006 23:32 71.672 vsregexp.dll
20.06.2006 23:32 157.688 vsinit.dll
20.06.2006 23:32 104.440 vsmonapi.dll
20.06.2006 23:32 83.960 vsdata.dll
20.06.2006 23:32 796.584 libeay32_0.9.6l.dll
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe
01.06.2006 20:47 27.648 jgpl400.dll
01.06.2006 20:47 163.840 jgdw400.dll
19.05.2006 15:09 112.128 dhcpcsvc.dll
19.05.2006 15:09 95.744 iphlpapi.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll

2.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A03F-055A

Verzeichnis von C:\DOKUME~1\ANJAK~1\LOKALE~1\Temp

24.08.2006 23:02 16.384 ~DF52A6.tmp
24.08.2006 23:02 49.152 ~DF9546.tmp
24.08.2006 23:02 196.608 ~DF98D2.tmp
3 Datei(en) 262.144 Bytes
0 Verzeichnis(se), 9.395.261.440 Bytes frei

3.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A03F-055A

Verzeichnis von C:\WINDOWS

24.08.2006 23:06 32.526 SchedLgU.Txt
24.08.2006 23:02 736 win.ini
24.08.2006 23:02 227 system.ini
24.08.2006 23:02 0 0.log
24.08.2006 23:02 1.983.256 WindowsUpdate.log
24.08.2006 23:02 159 wiadebug.log
24.08.2006 23:02 50 wiaservc.log
24.08.2006 23:02 2.048 bootstat.dat
23.08.2006 18:46 49 NeroDigital.ini
22.08.2006 19:57 33.934 ModemLog_MicroLink 56k PCI.txt
20.08.2006 10:01 99.653 iis6.log
20.08.2006 10:01 234.236 comsetup.log
20.08.2006 10:01 147.485 ntdtcsetup.log
20.08.2006 10:01 37.719 ocmsn.log
20.08.2006 10:01 280.507 tsoc.log
20.08.2006 10:01 1.374 imsins.log
20.08.2006 10:01 18.675 KB920214.log
20.08.2006 10:01 403.756 ocgen.log
20.08.2006 10:01 35.417 msgsocm.log
20.08.2006 10:01 666.911 FaxSetup.log
20.08.2006 10:01 887.746 setupapi.log
20.08.2006 10:01 1.374 imsins.BAK
20.08.2006 10:01 18.328 KB921883.log
20.08.2006 10:01 33.774 updspapi.log
20.08.2006 10:01 18.491 KB922616.log
20.08.2006 10:01 18.708 WgaNotify.log
20.08.2006 09:59 18.129 KB921398.log
20.08.2006 09:59 21.298 KB918899.log
20.08.2006 09:58 13.499 KB920670.log
20.08.2006 09:58 13.725 KB917422.log
20.08.2006 09:58 13.915 KB920683.log
26.07.2006 19:30 952 Active Setup Log.txt
26.07.2006 19:23 12.012 WGA.log
12.07.2006 21:59 11.796 KB917159.log
12.07.2006 21:59 12.309 KB914388.log
12.07.2006 21:59 10.301 KB916595.log
17.06.2006 06:48 31.067 spupdsvc.log
16.06.2006 15:53 16.180 KB917734.log
16.06.2006 15:53 31.741 wmsetup.log
16.06.2006 15:51 14.211 KB918439.log
16.06.2006 15:51 14.572 KB917344.log
16.06.2006 15:50 14.345 KB917953.log
16.06.2006 15:50 14.321 KB911280.log
16.06.2006 15:49 17.597 KB916281.log
16.06.2006 15:48 11.431 KB914389.log
14.05.2006 19:18 19.221 KB913580.log
04.05.2006 20:48 81.779 DirectX.log
04.05.2006 18:47 226.907 C18X1009.zip
04.05.2006 18:44 3.624.765 AsusUpdt70401.zip
04.05.2006 17:59 1.674 wininit.ini

4.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: A03F-055A

Verzeichnis von C:\

24.08.2006 23:32 0 sys.txt
24.08.2006 23:31 12.874 system.txt
24.08.2006 23:29 392 systemtemp.txt
24.08.2006 23:26 107.553 system32.txt
24.08.2006 23:18 16.759 ComboFix.txt
24.08.2006 23:02 211 boot.ini
24.08.2006 23:02 402.653.184 pagefile.sys
23.08.2006 18:49 40 biosinfo
23.08.2006 18:48 0 msicpl-getdataint.log
23.08.2006 18:48 0 msicpl-getdispinfo.log
16.07.2006 22:44 17.072 drwtsn32.log
15.02.2006 11:00 1.024 $@sdntvt_optimize.tmp
05.01.2006 18:39 50 AUTOEXEC.BAT

liebe sabina, ich hoffe, ich habe alles richtig gemacht und dass du nicht zuviel arbeit hast. ich danke dir sehr für dein engagement. leeloo
Dieser Beitrag wurde am 24.08.2006 um 23:26 Uhr von Leeloo editiert.
Seitenanfang Seitenende
25.08.2006, 15:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Leeloo

man sieht, dass dein Rechner schon abgestuerzt ist, aber das scheint ein Hard/Software-Konflikt zu sein..
Ansonsten, vom Backdoor ist nichts zu sehen, wahrscheinlich hat deine Batterie an Virenscannern das schon geloescht ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.08.2006, 16:30
...neu hier

Beiträge: 3
#13 hallo sabina, tausend dank für deine mühe. ja, ich habe mir sofort alles mögliche aus dem internet an virenscannern installiert. jetzt kann ich also wieder unbeschadet online-banking machen?
was meinst du mit "rechner abgestürzt ist"? und um welchen hard-software-konflikt handelt es sich?
nochmals danke. lfg leeloo


ps: und woran sieht man dass, das der rechner abgestürzt ist?
Seitenanfang Seitenende
25.08.2006, 21:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 daran sieht man es ;
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

warum nun der Rechner abgestuerzt ist, weiss ich nicht, eventuell ein treiber-Problem oder aehnliches
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende