Diverse Trojaner/zlob + Virus Verdacht

#1 update 18.8.06 @ 12:07 uhr:

Hallo,

habe gerade noch ein Problem:

hab gestern einen online antivirus programm gestartet (von der angegebenen liste im anderen thread) und nach dem löschen der infected files geht bei mir gar nichts mehr ...

systemwiderherstellung war kurz davor deaktiviert worden und kann sich jetzt im abgesicherten modus nicht mehr zurückaktivieren ..

kann ich das problem irgendwie ohne eine neu installation von windows beheben ?? oder ist es ein hoffnungsloser fall ?

bitte um eine schnelle antwort, da auf meinen pc sehr wichtige daten sind und ich nur an we's nach hause fahren kann, um evtl. windows cd etc. zu holen

danke im voraus

mahmoud morsy





----------------------------------------------------------------------
Hallo,

da ich selber nicht mehr weiter weiß, wende ich mich hiermit an euch Profis und hoffe, ihr könnt mir weiterhelfen Es geht wie in der übersicht um mehrere Prozesse, die ich so nicht zuordnen kann (zBsp: ishost.exe, ismon.exe, uvm).

es besteht ebenfalls ein verdacht auf ein virus, was mir einige tools, die ich runtergezogen habe, um diese prozesse zu entfernen, beschädigt sodass ich diese tools nciht starten kann.

Vielen Dank im voraus.

Gruß

Mahmoud


------------------------------------------------------------------------


Hijackthis log

Logfile of HijackThis v1.99.1
Scan saved at 03:02:44, on 18.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\ishost.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\ismon.exe
C:\Programme\TOSHIBA\Tvs\TvsTray.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\0b65ab5e.exe
C:\Programme\Gemeinsame Dateien\{ECF60B7E-063B-1031-0223-050114050031}\Update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
C:\Programme\Metacafe\MetacafeAgent.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Messenger\msmsgs.exe
E:\Downloads\neu\hijackthis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [Tvs] C:\Programme\TOSHIBA\Tvs\TvsTray.exe
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [TOSHIBA Accessibility] C:\Programme\TOSHIBA\Accessibility\FnKeyHook.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [CMESys] "C:\Programme\Gemeinsame Dateien\CMEII\CMESys.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [0b65ab5e.exe] C:\WINDOWS\system32\0b65ab5e.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [0b65ab5e.exe] C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\0b65ab5e.exe
O4 - Startup: MetaCafe.lnk = C:\Programme\Metacafe\MetacafeAgent.exe
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: MetaCafe.lnk = C:\Programme\Metacafe\MetacafeAgent.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Games\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Games\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - E:\Games\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - E:\Games\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {D0CB6AA3-217E-443F-A78C-C476651BA388} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O15 - Trusted Zone: http://www.amaena.com
O15 - Trusted Zone: http://locator.cdn.imageservr.com
O15 - Trusted Zone: http://scanner.sysprotect.com
O15 - Trusted Zone: http://*.systemdoctor.com
O15 - Trusted Zone: http://www.winantivirus.com
O15 - Trusted Zone: http://www.winantiviruspro.com
O15 - Trusted Zone: http://download.cdn.winsoftware.com
O15 - Trusted IP range: http://202.67.220.225
O15 - Trusted IP range: http://59.148.220.121
O15 - Trusted IP range: http://62.4.84.53
O15 - Trusted IP range: http://82.98.235.58
O15 - Trusted IP range: http://85.12.25.90
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe



Combofix log:

Start Time= 18.08.2006 3:20:44,28

QuickScan did not find any signs of infected files

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-08-18 03:15:24 5120 ( A.... ) "C:\WINDOWS\system32\ismon.exe"
2006-08-18 03:05:08 ( .D... ) "C:\Programme\CleanUp!"
2006-08-18 02:28:28 13844 ( A.... ) "C:\WINDOWS\system32\fnacwiry.exe"
2006-08-18 02:08:40 573492 ( ..SH. ) "C:\WINDOWS\system32\gebyv.dll"
2006-08-18 01:58:04 35344 ( A.... ) "C:\WINDOWS\system32\ishost.exe"
2006-08-18 01:58:00 ( .D... ) "C:\Programme\ToolBar888"
2006-08-18 01:57:58 13312 ( A.... ) "C:\WINDOWS\system32\0b65ab5e.exe"
2006-08-18 01:57:58 ( .D... ) "C:\Programme\Gemeinsame Dateien\{ECF60B7E-063B-1031-0223-050114050031}"
2006-08-18 01:57:54 40973 ( ..SH. ) "C:\WINDOWS\system32\xxywwwu.dll"
2006-08-18 01:57:48 18944 ( A.... ) "C:\WINDOWS\system32\winpsa32.dll"
2006-08-13 03:52:24 ( .D... ) "C:\Programme\Gemeinsame Dateien\xing shared"
2006-08-13 03:52:14 176167 ( A.... ) "C:\WINDOWS\system32\rmoc3260.dll"
2006-08-13 03:52:02 6656 ( A.... ) "C:\WINDOWS\system32\pndx5016.dll"
2006-08-13 03:52:02 5632 ( A.... ) "C:\WINDOWS\system32\pndx5032.dll"
2006-08-13 03:52:00 278528 ( A.... ) "C:\WINDOWS\system32\pncrt.dll"
2006-08-11 23:44:18 ( .D... ) "C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Skype"
2006-08-11 23:44:12 ( .D... ) "C:\Programme\Skype"
2006-08-09 20:16:24 ( .D... ) "C:\Programme\Hide IP Platinum"
2006-08-04 09:12:42 37027 ( A.... ) "C:\WINDOWS\atmoUn.exe"
2006-08-04 09:12:40 ( .D... ) "C:\Programme\Viewpoint"
2006-07-27 15:25:20 679424 ( A.... ) "C:\WINDOWS\system32\inetcomm.dll"
2006-07-21 10:29:00 72704 ( A.... ) "C:\WINDOWS\system32\hlink.dll"
2006-07-14 17:38:52 332288 ( A.... ) "C:\WINDOWS\system32\netapi32.dll"
2006-07-13 15:34:28 8494592 ( A.... ) "C:\WINDOWS\system32\shell32.dll"
2006-07-07 16:23:34 ( .D... ) "C:\Programme\MSN Messenger"
2006-07-05 12:55:22 1057792 ( A.... ) "C:\WINDOWS\system32\kernel32.dll"
2006-06-28 00:20:40 23688 ( A.... ) "C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GDIPFONTCACHEV1.DAT"
2006-06-26 19:40:34 148480 ( A.... ) "C:\WINDOWS\system32\dnsapi.dll"
2006-06-26 19:40:34 8192 ( A.... ) "C:\WINDOWS\system32\rasadhlp.dll"
2006-06-20 16:23:44 ( .D... ) "C:\Programme\PPStream"
2006-06-16 14:34:44 48936 ( A.... ) "C:\WINDOWS\system32\sirenacm.dll"
2006-05-19 15:09:50 112128 ( A.... ) "C:\WINDOWS\system32\dhcpcsvc.dll"
2006-05-19 15:09:50 95744 ( A.... ) "C:\WINDOWS\system32\iphlpapi.dll"


(((((((((((((((((((((((((((((((((((((( Files Created - Last 30days )))))))))))))))))))))))))))))))))))))))))))


2006-08-18 02:28 13.844 C:\WINDOWS\system32\fnacwiry.exe
2006-08-18 02:08 573.492 C:\WINDOWS\system32\gebyv.dll
2006-08-18 01:58 5.120 C:\WINDOWS\system32\ismon.exe
2006-08-18 01:58 35.344 C:\WINDOWS\system32\ishost.exe
2006-08-18 01:57 40.973 C:\WINDOWS\system32\xxywwwu.dll
2006-08-18 01:57 18.944 C:\WINDOWS\system32\winpsa32.dll
2006-08-18 01:57 13.312 C:\WINDOWS\system32\0b65ab5e.exe
2006-08-04 09:12 37.027 C:\WINDOWS\atmoUn.exe
2006-07-18 21:32 44.544 C:\WINDOWS\system32\OVUI2.dll
2006-07-18 21:32 43.520 C:\WINDOWS\system32\OVUI2RC.dll
2006-07-18 21:32 39.424 C:\WINDOWS\system32\OVComS.exe
2006-07-18 21:32 20.480 C:\WINDOWS\system32\OVComC.dll
2006-07-18 21:32 116.736 C:\WINDOWS\system32\OVCodec2.dll
2006-07-18 21:31 54.272 C:\WINDOWS\system32\vfwwdm32.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"PadTouch"="C:\\Programme\\TOSHIBA\\Touch and Launch\\PadExe.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"CeEKEY"="C:\\Programme\\TOSHIBA\\E-KEY\\CeEKey.exe"
@=""
"TPNF"="C:\\Programme\\TOSHIBA\\TouchPad\\TPTray.exe"
"TPSMain"="TPSMain.exe"
"TCtryIOHook"="TCtrlIOHook.exe"
"TFncKy"="TFncKy.exe"
"Tvs"="C:\\Programme\\TOSHIBA\\Tvs\\TvsTray.exe"
"Zooming"="ZoomingHook.exe"
"SmoothView"="C:\\Programme\\TOSHIBA\\TOSHIBA Zoom-Dienstprogramm\\SmoothView.exe"
"HWSetup"="C:\\Programme\\TOSHIBA\\TOSHIBA Applet\\HWSetup.exe hwSetUP"
"TOSHIBA Accessibility"="C:\\Programme\\TOSHIBA\\Accessibility\\FnKeyHook.exe"
"SVPWUTIL"="C:\\Programme\\Toshiba\\Windows Utilities\\SVPWUTIL.exe SVPwUTIL"
"NDSTray.exe"="NDSTray.exe"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"CFSServ.exe"="CFSServ.exe -NoClient"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"CMESys"="\"C:\\Programme\\Gemeinsame Dateien\\CMEII\\CMESys.exe\""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"0b65ab5e.exe"="C:\\WINDOWS\\system32\\0b65ab5e.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"TOSCDSPD"="C:\\Programme\\TOSHIBA\\TOSCDSPD\\toscdspd.exe"
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"
"0b65ab5e.exe"="C:\\Dokumente und Einstellungen\\Admin\\Lokale Einstellungen\\Anwendungsdaten\\0b65ab5e.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"ishost.exe"="ishost.exe"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]
"{ECF60B7E-063B-1031-0223-050114050031}"="\"C:\\Programme\\Gemeinsame Dateien\\{ECF60B7E-063B-1031-0223-050114050031}\\Update.exe\" mc-110-12-0000272"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,18,01,00,00,00,00,00,00,60,04,00,00,fc,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,18,01,00,00,00,00,00,00,60,04,00,00,fc,03,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Admin^Startmenü^Programme^Autostart^Microsoft Office OneNote 2003 Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\Admin\\Startmenü\\Programme\\Autostart\\Microsoft Office OneNote 2003 Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office OneNote 2003 Schnellstart.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\OFFICE11\\ONENOTEM.EXE /tsr"
"item"="Microsoft Office OneNote 2003 Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Acrobat Assistant.lnk"
"backup"="C:\\WINDOWS\\pss\\Acrobat Assistant.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Distillr\\acrotray.exe "
"item"="Acrobat Assistant"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~2.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\BTTray.lnk"
"backup"="C:\\WINDOWS\\pss\\BTTray.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\BT500\\BTTray.exe "
"item"="BTTray"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Cisco Systems VPN Client.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Cisco Systems VPN Client.lnk"
"backup"="C:\\WINDOWS\\pss\\Cisco Systems VPN Client.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\CISCOS~1\\VPNCLI~1\\vpngui.exe \"-user_logon\""
"item"="Cisco Systems VPN Client"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\HP Digital Imaging Monitor.lnk"
"backup"="C:\\WINDOWS\\pss\\HP Digital Imaging Monitor.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\HP\\DIGITA~1\\bin\\hpqtra08.exe "
"item"="HP Digital Imaging Monitor"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Microsoft Office.lnk"
"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\MICROS~2\\Office10\\OSA.EXE -b -l"
"item"="Microsoft Office"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="apdproxy"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Adobe\\Photoshop Album Starter Edition\\3.0\\Apps\\apdproxy.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Apoint"
"hkey"="HKLM"
"command"="C:\\Programme\\Apoint2K\\Apoint.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hpcmpmgr"
"hkey"="HKLM"
"command"="\"C:\\Programme\\HP\\hpcoretech\\hpcmpmgr.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="HPWuSchd2"
"hkey"="HKLM"
"command"="\"C:\\Programme\\HP\\HP Software Update\\HPWuSchd2.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="InCD"
"hkey"="HKLM"
"command"="C:\\Programme\\Ahead\\InCD\\InCD.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SIDEBAR]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="dsidebar"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Desktop Sidebar\\dsidebar.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sonic RecordNow!]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Steam"
"hkey"="HKCU"
"command"="\"E:\\Games\\Steam\\Steam.exe\" -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VirtualCloneDrive]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="VCDDaemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Elaborate Bytes\\VirtualCloneDrive\\VCDDaemon.exe\" /s"
"inimapping"="0"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 18.08.2006 3:21:36,54
ComboFix ver 06.07.15/30 - This logfile is located at C:\ComboFix.txt

edit

#2 Morsy

das kann man reinigen, kein PROBLEM

1.
entpacke datfindbat auf C:\ und poste die 4 logs.
http://virus-protect.org/datfindbat.html

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien\GMT" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\CMEII" >>files.txt
dir "C:\Programme\ToolBar888" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\{ECF60B7E-063B-1031-0223-050114050031}" >>files.txt
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\WINDOWS\system32\components" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi,
auch mein PC spinnt mal wieder und ich habe keine ahnung woran es liegen könnt.

Hier mal den Hijackthis log


Logfile of HijackThis v1.99.1
Scan saved at 21:03:24, on 18.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido anti-malware\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ConquerCam\ConquerCam.exe
C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
C:\WINDOWS\system32\sistray.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Stefan.USER\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00019.exe"
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7FF742B4-8547-45B8-88B5-D66A681FCFD6} - C:\WINDOWS\system32\msvfw32d.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ConquerCam] C:\Programme\ConquerCam\ConquerCam.exe /tray
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00019.exe"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Bo-Shot.lnk = C:\Programme\Bo-Shot\Bo-Shot.exe
O4 - Global Startup: Ulead Photo Express SE Calendar Checker.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 3.0 SE\CalCheck.exe
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: WeatherBug - {AF6CABAB-61F9-4f12-A198-B7D41EF1CB52} - C:\Programme\AWS\WeatherBug\Weather.exe (file missing) (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4820/mcfscan.cab
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe


Dat find.

Datentr„ger in Laufwerk C: ist Festplatte C
Voumeseriennummer: 28CB-CBF6

Verzeichnis von C:\WINDOWS\system32

18.08.2006 12:01 0 asfiles.txt
18.08.2006 11:57 2.550 Uninstall.ico
18.08.2006 11:57 1.406 Help.ico
18.08.2006 11:57 30.590 pavas.ico
17.08.2006 19:49 114.004 VGAunistlog.ini
17.08.2006 19:44 477 schecklog.txt
17.08.2006 19:44 0 sunistlog.ini
17.08.2006 19:44 117.915 1_ssetup.ini
17.08.2006 19:44 0 2_ssetup.ini
17.08.2006 19:40 2.228 wpa.dbl
05.08.2006 10:51 664 d3d9caps.dat
27.06.2006 18:17 98.304 CmdLineExt.dll
25.05.2006 10:18 313.968 FNTCACHE.DAT
24.05.2006 21:51 440 ROXECDC6Inst.log
24.05.2006 20:50 53.608 perfc009.dat
24.05.2006 20:50 383.254 perfh009.dat
24.05.2006 20:50 394.500 perfh007.dat
24.05.2006 20:50 64.598 perfc007.dat
24.05.2006 20:50 906.552 PerfStringBackup.INI
24.05.2006 20:41 28.373 $winnt$.inf
24.05.2006 20:34 16.832 amcompat.tlb
24.05.2006 20:34 23.392 nscompat.tlb
24.05.2006 20:33 488 logonui.exe.manifest
24.05.2006 20:33 488 WindowsLogon.manifest
24.05.2006 20:33 749 cdplayer.exe.manifest
24.05.2006 20:33 749 sapi.cpl.manifest
24.05.2006 20:33 749 wuaucpl.cpl.manifest


Verzeichnis von C:\DOKUME~1\STEFAN~1.USE\LOKALE~1\Temp

26.08.2006 01:31 793.172 tmp-1.xpi
18.08.2006 20:47 0 TMP3C.tmp
18.08.2006 20:40 0 TMP3A.tmp
18.08.2006 19:34 16.384 ~DFACB2.tmp
18.08.2006 19:34 16.384 Perflib_Perfdata_710.dat
18.08.2006 17:06 27.513 jusched.log
18.08.2006 16:56 0 vga1.tmp
18.08.2006 16:32 37.440 java_install_reg.log
18.08.2006 13:58 16.384 ~DFA16A.tmp
18.08.2006 13:56 0 vga4.tmp
18.08.2006 09:08 0 vga3.tmp
17.08.2006 20:59 16.384 cpi2A.tmp
17.08.2006 20:59 16.384 cpi29.tmp
17.08.2006 20:58 376 MSIc7ad9.LOG
17.08.2006 19:57 16.384 ~DF1F56.tmp
17.08.2006 19:53 0 vga2.tmp
17.08.2006 19:48 0 vga28.tmp
17.08.2006 19:48 0 vga14.tmp
17.08.2006 19:48 0 vga13.tmp
17.08.2006 19:43 0 vga12.tmp
17.08.2006 19:43 16.384 ~DFE82B.tmp
17.08.2006 14:35 16.384 ~DF163E.tmp
16.08.2006 09:05 16.384 ~DF5EEC.tmp
15.08.2006 19:59 16.384 ~DFE1B5.tmp
15.08.2006 08:21 16.384 ~DF2098.tmp
14.08.2006 00:53 717 control.xml
13.08.2006 20:07 0 fp9B4.tmp
13.08.2006 18:30 16.384 ~DFD753.tmp
12.08.2006 18:26 0 7mm38.tmp
12.08.2006 16:39 16.384 ~DF9DB4.tmp
11.08.2006 08:15 939 jupdate1.5.0.xml
10.08.2006 09:52 16.384 ~DF245F.tmp
09.08.2006 21:10 0 fla170.tmp
09.08.2006 17:45 0 j8pBE.tmp
09.08.2006 17:43 0 6q0BA.tmp
09.08.2006 17:25 1.884.164 movie03.mpg
09.08.2006 17:20 2.525.188 2.mpeg
09.08.2006 17:19 1.589.252 brandi_girls_2.mpg
09.08.2006 17:17 1.613.828 brandi_girls_3.mpg
09.08.2006 17:15 659.660 3-1.mpg
09.08.2006 17:14 56.070 02-1.mpg
09.08.2006 17:13 2.551.756 03.mpg
09.08.2006 17:02 1.089.238 01-1.mpg
09.08.2006 17:00 2.086.912 3.mpg
09.08.2006 17:00 2.097.152 2.mpg
09.08.2006 16:59 436.560 02.mpg
09.08.2006 16:59 563.140 01.mpg
09.08.2006 16:55 738.782 00.mpg
09.08.2006 16:53 1.269.764 realtits_0126_5.mpg
09.08.2006 09:54 16.384 ~DFF602.tmp
08.08.2006 16:57 0 vkh108.tmp
08.08.2006 16:56 0 tz7107.tmp
08.08.2006 16:55 0 75a106.tmp
08.08.2006 16:54 0 8h3105.tmp
08.08.2006 08:55 16.384 ~DF1682.tmp
07.08.2006 17:25 0 ypt10A.tmp
07.08.2006 11:58 376 MSIa5362.LOG
07.08.2006 09:13 16.384 ~DFF169.tmp
06.08.2006 19:45 16.384 ~DF8EAD.tmp
06.08.2006 17:20 305 GLFBD.VBS
05.08.2006 14:57 16.384 ~DF5EA7.tmp
04.08.2006 18:20 376 MSId5c9.LOG
04.08.2006 16:54 14.136 deswatch.bmp
04.08.2006 16:54 8.118 doodle.bmp
04.08.2006 16:54 8.118 peanuts.bmp
04.08.2006 07:03 16.384 ~DFBA09.tmp
03.08.2006 19:53 16.384 ~DF6800.tmp
03.08.2006 12:45 0 flaC7.tmp
02.08.2006 09:22 16.384 ~DF9F47.tmp
02.08.2006 02:01 16.384 ~Qil3027.tmp
02.08.2006 02:01 16.384 ~DF368.tmp
01.08.2006 09:22 16.384 ~DFB133.tmp
31.07.2006 17:50 8.126 CG8LC2RL.htm
31.07.2006 17:25 16.384 ~DF9722.tmp
31.07.2006 12:43 16.384 ~DFDE29.tmp
30.07.2006 18:57 16.384 ~DFC989.tmp
29.07.2006 18:52 16.384 ~DF96E2.tmp
29.07.2006 12:13 16.384 ~DFAA98.tmp
29.07.2006 10:37 792.184 tmp.xpi
16.06.2006 19:22 0 $b17a2e8.tmp

80 Datei(en) 21.344.882 Bytes
0 Verzeichnis(se), 10.568.871.936 Bytes frei


Datentr„ger in Laufwerk C: ist Festplatte C
Volumeseriennummer: 28CB-CBF6

Verzeichnis von C:\WINDOWS

18.08.2006 20:50 1.311 IE4 Error Log.txt
18.08.2006 19:02 453.689 WindowsUpdate.log
18.08.2006 17:03 495 wiadebug.log
18.08.2006 16:56 0 0.log
18.08.2006 16:55 50 wiaservc.log
18.08.2006 16:55 2.048 bootstat.dat
18.08.2006 16:34 32.548 SchedLgU.Txt
18.08.2006 11:58 454.565 setupapi.log
14.08.2006 00:53 147.190 wmsetup.log
04.08.2006 13:29 90.958 setupact.log
29.06.2006 19:22 0 WATCH.INI
26.06.2006 19:32 1.167 cdplayer.ini
05.06.2006 19:09 1.055 win.ini
30.05.2006 14:53 4.249 mozver.dat
24.05.2006 21:27 103.919 Directx.log
24.05.2006 20:52 1.454 COM+.log
24.05.2006 20:46 50.804 comsetup.log
24.05.2006 20:45 756.435 setuplog.txt
24.05.2006 20:41 153.211 iis6.log
24.05.2006 20:41 29.453 ntdtcsetup.log
24.05.2006 20:41 52.291 tsoc.log
24.05.2006 20:41 5.606 tabletoc.log
24.05.2006 20:41 5.800 ocmsn.log
24.05.2006 20:41 4.512 imsins.log
24.05.2006 20:35 316.640 WMSysPr9.prx
24.05.2006 20:34 406 OEWABLog.txt
24.05.2006 20:34 4.161 ODBCINST.INI
24.05.2006 20:33 206 setuperr.log
24.05.2006 20:33 749 WindowsShell.Manifest
24.05.2006 20:32 7.879 MedCtrOC.log
24.05.2006 20:32 5.423 msgsocm.log
24.05.2006 20:32 58.416 ocgen.log
24.05.2006 20:32 98.735 FaxSetup.log
24.05.2006 20:32 1.042 sessmgr.setup.log
24.05.2006 20:32 18.461 netfxocm.log
24.05.2006 20:31 120 DtcInstall.log
24.05.2006 20:30 36.978 msmqinst.log
24.05.2006 20:30 200 cmsetacl.log


150 Datei(en) 9.958.055 Bytes
0 Verzeichnis(se), 10.568.859.648 Bytes frei


Datentr„ger in Laufwerk C: ist Festplatte C
olumeseriennummer: 28CB-CBF6

Verzeichnis von C:\

18.08.2006 21:09 0 sys.txt
18.08.2006 21:07 7.744 system.txt
18.08.2006 21:07 4.123 systemtemp.txt
18.08.2006 21:05 105.023 system32.txt
18.08.2006 16:55 1.207.959.552 pagefile.sys
09.08.2006 21:53 170.008 hpfr3740.log
20.07.2006 22:59 146 YServer.txt
19.07.2006 21:01 2.764 TDSLCheck.txt
15.07.2006 13:32 960 TOnlProt.log
24.05.2006 20:29 211 boot.ini
14.04.2006 15:57 0 aperf.txt
14.04.2006 15:57 0 asize.txt
14.04.2006 15:57 0 afile.txt
26.03.2006 14:09 17 gputest.txt
17.01.2006 11:04 3.584 Thumbs.db
29.12.2005 17:29 26 ioSpecial.ini
12.12.2005 10:44 162 TO_InstallLog.txt
28.11.2005 18:00 998 smitfiles.txt
05.11.2005 15:25 591 eMule.de.lnk
04.11.2005 20:54 0 CONFIG.SYS
03.11.2005 19:10 30 Schedule.Dat
06.05.2005 20:20 35 autoexec.bat
24.08.2004 21:07 0 MSDOS.SYS
24.08.2004 21:07 0 IO.SYS
31.12.2002 14:00 4.952 bootfont.bin
31.12.2002 14:00 47.564 NTDETECT.COM
31.12.2002 14:00 251.184 ntldr
07.11.2002 01:28 108.020 setup.ini


28 Datei(en) 1.208.667.694 Bytes
0 Verzeichnis(se), 10.568.867.840 Bytes frei
__________
Danke für Eure super Unterstützung!
Lg Stefan

#4 Okto1967

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\AWS\WeatherBug" >>files.txt
dir "C:\Programme\AWS" >>files.txt
dir "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders" >>files.txt
dir "C:\Windows\System32\Com" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Eigene Dateien" >>files.txt
dir "C:\Program Files" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#5 Meinst du dieses?


Datentr„ger in Laufwerk C: ist Festplatte C
Volumeseriennummer: 28CB-CBF6

Verzeichnis von C:\Programme

Datentr„ger in Laufwerk C: ist Festplatte C
Volumeseriennummer: 28CB-CBF6

Verzeichnis von C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders

13.06.2006 14:22 <DIR> .
13.06.2006 14:22 <DIR> ..
04.11.2005 21:12 <DIR> 1031
25.08.2004 01:33 <DIR> 1033
11.07.2003 02:15 1.292.872 MSONSEXT.DLL
14.07.2003 22:52 35.896 MSOSV.DLL
19.03.1999 22:46 127.032 MSOWS407.DLL
04.06.1999 15:09 122.937 MSOWS409.DLL
11.07.2003 02:25 80.448 PKMWS.DLL
5 Datei(en) 1.659.185 Bytes
4 Verzeichnis(se), 10.554.220.544 Bytes frei
Datentr„ger in Laufwerk C: ist Festplatte C
Volumeseriennummer: 28CB-CBF6



Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.04.2006 17:10 135.168 asinst.dll
03.04.2006 11:00 537 asinst.inf
17.11.2005 15:03 198.304 avsniffdlgs.dll
17.11.2005 02:00 2.390 catalog.dat
14.10.1997 19:52 697 DirectAnimation Java Classes.osd
17.11.2005 02:00 6.899 ecbootil.vxd
17.11.2005 14:56 42.112 ecmldr32.dll
17.11.2005 02:00 288.376 ecmsvr32.dll
07.06.2006 11:09 1.249 erma.inf
10.11.2005 15:05 876 jinstall-1_5_0_06.inf
08.08.2006 11:45 576 kavwebscan.inf
15.03.2002 16:18 348.160 kdu_v32r.dll
03.11.2005 21:24 495 LegitCheckControl.inf
24.02.2006 12:49 882 mcfscan.inf
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
26.05.2005 05:19 293 muweb.inf
17.11.2005 14:57 6.850 navapi.vxd
17.11.2005 02:00 124.536 naveng32.dll
17.11.2005 02:00 788.088 navex32a.dll
17.11.2005 15:03 161.480 rufsi.dll
17.11.2005 02:00 96.992 scrauth.dat
27.03.2006 13:00 5.019 swflash.inf
17.11.2005 02:00 14 symaveng.cat
17.11.2005 02:00 901 symaveng.inf
17.11.2005 02:00 39.566 tcdefs.dat
17.11.2005 02:00 802.775 tcscan7.dat
17.11.2005 02:00 220.151 tcscan8.dat
17.11.2005 02:00 446.706 tcscan9.dat
17.11.2005 02:00 453 tinf.dat
17.11.2005 02:00 148 tinfidx.dat
17.11.2005 02:00 1.957 tinfl.dat
17.11.2005 02:00 44.587 tscan1.dat
17.11.2005 02:00 1.237 tscan1hd.dat
19.02.2006 09:48 227 UERSU_0001_N68M1402NetInstaller.inf
17.11.2005 02:00 5.516 v.grd
17.11.2005 02:00 2.242 v.sig
17.11.2005 02:00 106.244 virscan.inf
17.11.2005 02:00 937.052 virscan1.dat
17.11.2005 02:00 559.726 virscan2.dat
17.11.2005 02:00 145.280 virscan3.dat
17.11.2005 02:00 320.086 virscan4.dat
17.11.2005 02:00 1.665.448 virscan5.dat
17.11.2005 02:00 386.398 virscan6.dat
17.11.2005 02:00 2.743.538 virscan7.dat
17.11.2005 02:00 1.437.512 virscan8.dat
17.11.2005 02:00 2.860.141 virscan9.dat
17.11.2005 02:00 32 virscant.dat
25.11.2005 14:47 2.072 vscanmsx.dat
08.10.2002 14:37 204.800 yuplapp.dll
17.11.2005 02:00 224 zdone.dat
50 Datei(en) 15.146.174 Bytes
0 Verzeichnis(se), 10.554.216.448 Bytes frei
Datentr„ger in Laufwerk C: ist Festplatte C
Volumeseriennummer: 28CB-CBF6

Verzeichnis von C:\Programme\Common Files

06.10.2004 21:34 <DIR> .
06.10.2004 21:34 <DIR> ..
06.10.2004 21:34 <DIR> Microsoft Shared
24.08.2004 21:36 <DIR> System
0 Datei(en) 0 Bytes
4 Verzeichnis(se), 10.554.216.448 Bytes frei
Datentr„ger in Laufwerk C: ist Festplatte C
Volumeseriennummer: 28CB-CBF6


Verzeichnis von C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp

04.12.2005 18:18 <DIR> .
04.12.2005 18:18 <DIR> ..
21.08.2005 22:44 <DIR> .cleanup.tmp
21.08.2005 22:22 <DIR> .zylominstallertemp1124655736
21.08.2005 23:27 <DIR> .zylominstallertemp1124659653
21.08.2005 23:27 <DIR> .zylominstallertemp1124659671
17.04.2004 21:19 3.384.464 10902d5.msi
17.04.2004 21:17 74.752 10902d6.mst
27.10.2004 20:02 176.128 164d0c.mst
17.01.2005 19:10 143.872 19329f.mst
02.09.2004 14:06 212.992 24b3.rra
21.08.2005 23:19 11.538.432 8afff.msi
21.08.2005 23:19 1.470.464 8b000.mst
03.11.2000 06:08 2.656.256 9d4f7.msi
03.11.2000 06:08 934.912 9d4f8.mst
16.10.2004 20:18 40 ActMachine.log
14.01.2005 21:26 <DIR> ADMCache
15.09.2004 13:03 <DIR> Adobe
26.08.2004 17:33 1.081 ALBUM.GIF

edit

Verzeichnis von C:\WINDOWS\Temp

18.08.2006 16:56 <DIR> .
18.08.2006 16:56 <DIR> ..
10.07.2006 12:01 596 hpzcoi00.log
10.07.2006 12:01 596 hpzcoi01.log
10.07.2006 12:01 791 hpzcoi02.log
10.07.2006 12:01 732 hpzcoi03.log
16.07.2006 17:06 97 ~LHSAPI.DCT
5 Datei(en) 2.812 Bytes
2 Verzeichnis(se), 10.554.138.624 Bytes frei
Datentr„ger in Laufwerk C: ist Festplatte C
Volumeseriennummer: 28CB-CBF6


edit (Sabina)
__________
Danke für Eure super Unterstützung!
Lg Stefan

#6 Okto1967

1.
Pocket KillBox
http://virus-protect.org/killbox.html

Options: "Delete on Reboot" und "Single File"--> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "yes"
reinkopieren: .......

C:\WINDOWS\Downloaded Program Files\UERSU_0001_N68M1402NetInstaller.inf

2.
PC neustarten

3.
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00019.exe"

O2 - BHO: (no name) - {7FF742B4-8547-45B8-88B5-D66A681FCFD6} - C:\WINDOWS\system32\msvfw32d.dll (file missing)
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00019.exe"

O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://de.errorsafe.com/pages/scanner_de/ErrorSafeScannerInstallDE.cab

PC neustarten

4.
Start - Programme - Zubehör - Systemprogramme - Datenträgerbereinigung
- Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
- Click:Temporäre Dateien, o.k

5.
scanne mit panda und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hier der Pandascann:

Incident Status Location

Adware:adware/emediacodec Not disinfected c:\windows\system32\ncompat.tlb
Adware:adware/securityerror Not disinfected c:\windows\system32\ot.ico
Potentially unwanted tool:application/myway Not disinfected hkey_local_machine\software\MySearch
Potentially unwanted tool:application/spyaxe Not disinfected hkey_classes_root\clsid\{957BAB51-81FF-8195-F273-D7E286EA702F}
Adware:adware/exact.bargainbuddy Not disinfected Windows Registry
__________
Danke für Eure super Unterstützung!
Lg Stefan

#8 Okto1967

1.
loesche manuell oder mit der Killbox:

c:\windows\system32\ncompat.tlb
c:\windows\system32\amcompat.tlb
c:\windows\system32\ot.ico

2.
Gehe in die registry
Start - Ausfuehren - regedit
bearbeiten - suchen - (in das Suchfenster kopieren) :

MySearch
{957BAB51-81FF-8195-F273-D7E286EA702F}

hkey_local_machine\software\MySearch -> loeschen

hkey_classes_root\clsid\{957BAB51-81FF-8195-F273-D7E286EA702F} -> loeschen

**
PC neustarten

---------
3.
scanne mit bitdefender und ewido und poste die scanreporte
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hier die bitdefender und ewido scanreporte:


__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.2o7
Path: C:\Dokumente und Einstellungen\Stefan.USER\Cookies\stefan@2o7[2].txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: C:\Dokumente und Einstellungen\Stefan.USER\Cookies\stefan@as1.falkag[1].txt
Risk: Medium

Name: TrackingCookie.Com
Path: C:\Dokumente und Einstellungen\Stefan.USER\Cookies\stefan@com[1].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\Stefan.USER\Cookies\stefan@ivwbox[2].txt
Risk: Medium

Name: TrackingCookie.Weborama
Path: C:\Dokumente und Einstellungen\Stefan.USER\Cookies\stefan@weborama[2].txt
Risk: Medium

-------------------------------

BitDefender Online Scanner


C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISCDEBF9E7BCEB43A7986CE66377C28ABC_1_0_0.MSI
Infiziert: Trojan.Downloader.Agent.XQ

C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISCDEBF9E7BCEB43A7986CE66377C28ABC_1_0_0.MSI
Desinfektion fehlgeschlagen

C:\Programme\Gemeinsame Dateien\Wise Installation Wizard\WISCDEBF9E7BCEB43A7986CE66377C28ABC_1_0_0.MSI
Gelöscht

C:\RECYCLER\NPROTECT\00059281.jar=>(Quarantine-2)=>BlackBox.class
Infiziert: Java.Trojan.Exploit.Bytverify

C:\RECYCLER\NPROTECT\00059281.jar=>(Quarantine-2)=>BlackBox.class
Desinfektion fehlgeschlagen

C:\RECYCLER\NPROTECT\00059281.jar=>(Quarantine-2)=>BlackBox.class
Gelöscht

C:\System Volume Information\_restore{D67CAAF8-A20E-4B7C-8B9B-D553829E4586}\RP63\A0015996.MSI
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{D67CAAF8-A20E-4B7C-8B9B-D553829E4586}\RP63\A0015996.MSI
Gelöscht

edit (Sabina)
__________
Danke für Eure super Unterstützung!
Lg Stefan

#10 Okto1967

Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

dann sollte wieder alles o.k. sein
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo Sabina,

mein Rechner ist nun Sauber und dafür danke.
Nun mal zum Rechner meiner Freundin,kannst du mal schauen ob das soweit okay ist. Der Rechner macht Zicken ohne Ende und ich denke das hier auch was nicht stimmt.

Danke im vorraus.


Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:57:08, on 19.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Besucher\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

Datfinder.

Ich Kopiere system32 bis 2003

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0B2B-14FA

Verzeichnis von C:\WINDOWS\system32

19.08.2006 20:56 2.206 wpa.dbl
01.08.2006 09:56 314.508 perfh009.dat
01.08.2006 09:56 724.842 PerfStringBackup.INI
01.08.2006 09:56 40.836 perfc009.dat
01.08.2006 09:56 320.094 perfh007.dat
01.08.2006 09:56 49.174 perfc007.dat
31.07.2006 16:00 169.096 FNTCACHE.DAT
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
24.07.2006 11:15 261 $winnt$.inf
24.07.2006 11:09 2.951 CONFIG.NT
24.07.2006 11:09 23.392 nscompat.tlb
24.07.2006 11:09 16.832 amcompat.tlb
24.07.2006 11:08 488 logonui.exe.manifest
24.07.2006 11:08 488 WindowsLogon.manifest
24.07.2006 11:08 749 cdplayer.exe.manifest
24.07.2006 11:08 749 wuaucpl.cpl.manifest
24.07.2006 11:08 749 sapi.cpl.manifest
24.07.2006 11:08 749 nwc.cpl.manifest
24.07.2006 11:08 749 ncpa.cpl.manifest
24.07.2006 11:05 21.740 emptyregdb.dat
24.07.2006 11:01 0 h323log.txt


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0B2B-14FA

Verzeichnis von C:\DOKUME~1\Besucher\LOKALE~1\Temp


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0B2B-14FA

Verzeichnis von C:\WINDOWS

19.08.2006 21:49 10.188 SchedLgU.Txt
19.08.2006 21:49 1.068.443 WindowsUpdate.log
19.08.2006 21:26 0 0.log
19.08.2006 21:25 299.245 setupapi.log
19.08.2006 21:25 2.048 bootstat.dat
19.08.2006 21:15 529 wiadebug.log
19.08.2006 21:15 50 wiaservc.log
18.08.2006 20:35 1.519 OEWABLog.txt
18.08.2006 20:35 1.574 wmsetup.log
12.08.2006 19:10 1.374 imsins.log
12.08.2006 19:10 81.085 ntdtcsetup.log
12.08.2006 19:10 168.163 tsoc.log
12.08.2006 19:10 18.668 tabletoc.log
12.08.2006 19:10 20.037 ocmsn.log
12.08.2006 19:10 15.518 KB920214.log
12.08.2006 19:10 134.091 comsetup.log
12.08.2006 19:10 423.888 iis6.log
12.08.2006 19:10 178.028 ocgen.log
12.08.2006 19:10 18.175 msgsocm.log
12.08.2006 19:10 116.076 msmqinst.log
12.08.2006 19:10 357.779 FaxSetup.log
12.08.2006 19:10 25.287 MedCtrOC.log


133 Datei(en) 11.420.470 Bytes
0 Verzeichnis(se), 53.480.947.712 Bytes frei


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0B2B-14FA

Verzeichnis von C:\

19.08.2006 22:13 0 sys.txt
19.08.2006 22:13 6.832 system.txt
19.08.2006 22:13 136 systemtemp.txt
19.08.2006 22:06 89.987 system32.txt
19.08.2006 21:25 804.835.328 hiberfil.sys
19.08.2006 21:25 1.207.959.552 PAGEFILE.SYS
24.07.2006 11:09 0 CONFIG.SYS
24.07.2006 11:09 0 AUTOEXEC.BAT
24.07.2006 11:09 0 IO.SYS
24.07.2006 11:09 0 MSDOS.SYS
24.07.2006 11:01 211 boot.ini
23.07.2006 13:38 1.187 SETUPLOG.TXT
31.12.2002 12:00 4.952 bootfont.bin
31.12.2002 12:00 251.184 ntldr
31.12.2002 12:00 47.564 NTDETECT.COM

15 Datei(en) 2.013.196.933 Bytes
0 Verzeichnis(se), 53.480.914.944 Bytes frei
__________
Danke für Eure super Unterstützung!
Lg Stefan

#12 Ewido Repert

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\Besucher\Cookies\besucher@ivwbox[1].txt
Risk: Medium

Name: TrackingCookie.2o7
Path: C:\Dokumente und Einstellungen\Besucher\Cookies\besucher@msnportal.112.2o7[1].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: C:\Dokumente und Einstellungen\Besucher\Cookies\besucher@doubleclick[1].txt
Risk: Medium


edit (Sabina)
__________
Danke für Eure super Unterstützung!
Lg Stefan

#13 istalliere Antivirus-free, scanne , am besten im abgesicherten modus, dann poste den scanreport
driver.dat
__________
MfG Sabina

rund um die PC-Sicherheit

#14 AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 20. August 2006 11:16

Es wird nach 483267 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Besucher
Computername: KARIN

Versionsinformationen:
AVSCAN.EXE : 7.0.0.42 557096 19.08.2006 21:51:11
AVSCAN.DLL : 7.0.0.42 57384 19.08.2006 21:51:11
LUKE.DLL : 7.0.0.42 118824 19.08.2006 21:51:11
LUKERES.DLL : 7.0.0.42 32808 19.08.2006 21:51:11
ANTIVIR0.VDF : 6.35.0.1 7371264 19.08.2006 21:51:11
ANTIVIR1.VDF : 6.35.0.168 730112 19.08.2006 21:51:11
ANTIVIR2.VDF : 6.35.1.86 506880 19.08.2006 21:51:11
ANTIVIR3.VDF : 6.35.1.114 59392 19.08.2006 21:51:11
AVEWIN32.DLL : 7.1.1.2 1782272 19.08.2006 21:51:11
AVPREF.DLL : 7.0.0.1 53288 19.08.2006 21:51:11
AVREP.DLL : 6.35.1.100 757800 19.08.2006 21:51:11
AVRPBASE.DLL : 7.0.0.0 2162728 19.08.2006 21:51:11
AVPACK32.DLL : 7.1.0.1 335912 19.08.2006 21:51:11
AVREG.DLL : 6.31.0.90 27688 19.08.2006 21:51:11
NETNT.DLL : 6.32.0.0 6696 19.08.2006 21:51:11
NETNW.DLL : 6.32.0.0 9768 19.08.2006 21:51:11
RCIMAGE.DLL : 7.0.0.71 1642536 19.08.2006 21:51:13
RCTEXT.DLL : 7.0.0.75 77864 19.08.2006 21:51:13

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Laufwerke
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Bootsektoren..................: C,A,D
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 1
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 20
Smart Extensions..............: 1
Makrovirenheuristik...........: 1
Dateiheuristik................: -1
Primäre Aktion................: 1
Sekundäre Aktion..............: 0

Beginn des Suchlaufs: Sonntag, 20. August 2006 11:16


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 24 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 11 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\PAGEFILE.SYS
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SOFTWARE.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SYSTEM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\DEFAULT.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Besucher\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Besucher\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Besucher\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Besucher\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Sonntag, 20. August 2006 11:28
Benötigte Zeit: 11:39 min

Der Suchlauf wurde vollständig durchgeführt.

1887 Verzeichnisse wurden überprüft
139442 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1219 Archive wurden durchsucht
24 Warnungen
1 Hinweise
__________
Danke für Eure super Unterstützung!
Lg Stefan

#15 Okto1967

keine Viren also
Der Rechner macht Zicken ohne Ende - beschreibe mal naeher..............
__________
MfG Sabina

rund um die PC-Sicherheit