iddXX.tmp.exe und winXX.tmp.exe

#1 Hallo, ich habe mir da wohl was eingefangen:
im Verzeichnis C:\Windows\Temp\ auchen massenhaft Dateien des Namens iddXX.tmp.exe und winXX.tmp.exe auf. (XX steht für eine hex-Zahl) Scheinbar will dieses Programm Daten zu dr.mcboo.com senden, das konnte ich aber in KEN!DSL verhindern.

Ich weiß, in diversen Foren, so auch hier gibt es massenhaft Postings, diesen schädling zu entfernen, aber keiner hat eine Patent-Lösung. Hier erstmal das Log von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 11:48:39, on 13.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\KEN!\KENSERV.EXE
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\LiveUpdate\LiveUpdateInstaller.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\REGISTRY.EXE
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\KEN!\KENCAPI.EXE
C:\Programme\KEN!\KENINET.EXE
C:\Programme\KEN!\KENPROXY.EXE
C:\Programme\KEN!\KENMAIL.EXE
C:\Programme\KEN!\KENDNS.EXE
C:\Programme\KEN!\KENSOCKS.EXE
C:\Programme\KEN!\KENMAP.EXE
C:\Programme\KEN!\KENFTPGW.EXE
C:\Programme\KEN!\KENWATCH.EXE
C:\Programme\KEN!\KENCRON.EXE
C:\WINDOWS\SCARDS32.EXE
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\KEN!\kentbsrv.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDoc.exe
C:\WINDOWS\Dit.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Gemeinsame Dateien\{78F8D00F-0960-1031-0611-030430200031}\Update.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\PROGRA~1\Grisoft\AVG7\avgw.exe
C:\PROGRA~1\Grisoft\AVG7\avgwb.dat
C:\Dokumente und Einstellungen\benutzer1.DOM\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://192.168.1.65:3128/ken2000.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.1.65:3128/ken2000.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.1.65:3128;gopher=192.168.1.65:3128;http=192.168.1.65:3128;https=192.168.1.65:3128;socks=192.168.1.65:1080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: ClockX - {1BA1F1FE-B5D8-4C20-BB20-95EE87D7C803} - C:\Programme\mediaBEAM\ClockX\mbieext.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {83188983-B993-4D2C-8059-0D4F12C31C6E} - C:\WINDOWS\System32\ssttq.dll (file missing)
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\System32\ixt0.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KEN Taskbar Service] "C:\Programme\KEN!\kentbsrv.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Tsl2] C:\PROGRA~1\COMMON~1\tsa\tsl2.exe
O4 - HKLM\..\Run: [Synchronization Manager] %SystemRoot%\system32\mobsync.exe /logon
O4 - HKLM\..\Run: [eDoc] C:\PROGRA~1\GEMEIN~1\MAYCOM~1\EDOCPR~1\eDoc.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SetIcon] C:\Program Files\SMSC\Seticon.exe
O4 - HKLM\..\Run: [AVG7_EMC] C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Startup: Kundenstamm für DPD exportieren.MAM
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office 2000 pro\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Telefonbieten - {5A5C15BE-B8AA-4104-B5A1-83882EFFFB91} - C:\Programme\mediaBEAM\ClockX\mbieext.dll
O9 - Extra 'Tools' menuitem: per Telefon bieten... - {5A5C15BE-B8AA-4104-B5A1-83882EFFFB91} - C:\Programme\mediaBEAM\ClockX\mbieext.dll
O9 - Extra button: eBay Deutschland - {AA52BF9B-A031-45a7-858E-574C4105629B} - C:\Programme\mediaBEAM\ClockX\mbieext.dll
O9 - Extra button: SMS Erinnerung - {B07C6052-5B94-4717-BEBF-CC157E416D18} - C:\Programme\mediaBEAM\ClockX\mbieext.dll
O9 - Extra 'Tools' menuitem: per SMS erinnern... - {B07C6052-5B94-4717-BEBF-CC157E416D18} - C:\Programme\mediaBEAM\ClockX\mbieext.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://192.168.1.65:3128/ken2000.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120463360734
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = dom.intern
O17 - HKLM\Software\..\Telephony: DomainName = dom.intern
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FB47763-217A-4775-A16B-1016B0DA061A}: Domain = DOM.INTERN
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FB47763-217A-4775-A16B-1016B0DA061A}: NameServer = 192.168.1.3
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = schirrmacher.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = dom.intern
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 192.168.1.3
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = dom.intern
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 192.168.1.3
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 192.168.1.3
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winmqx32 - C:\WINDOWS\SYSTEM32\winmqx32.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVM KEN (KEN Service) - AVM Berlin - C:\Programme\KEN!\KENSERV.EXE
O23 - Service: LiveUpdateInstaller - Sage Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\LiveUpdate\LiveUpdateInstaller.exe
O23 - Service: Sage Registrierungsdienst (Registry) - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\REGISTRY.EXE
O23 - Service: CHIPDRIVE SCARD Service (TWKSCARDSRV) - Towitoko AG - C:\WINDOWS\SCARDS32.EXE

ich wäre Dankbar für eine schnelle Hilfe. Plattmachen möchte ich den Rechner nicht.

#2 ««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

««
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Cleanup habe ich gemacht.

datfindbat Ergebnisse älter al 13.7.06:
Verzeichnis von C:\WINDOWS\system32

13.10.2006 13:03 1.158 wpa.dbl
13.10.2006 13:00 534 ikhcore.log
13.10.2006 09:01 2.368 SVKP.sys
12.10.2006 08:28 4.286 ot.ico
12.10.2006 08:23 37.916 ishost.exe_tobedeleted
12.10.2006 08:22 40.973 awtuurq.dll
10.10.2006 15:02 15.872 winmqx32.dll
04.09.2006 15:06 238.696 FNTCACHE.DAT
04.09.2006 14:59 65 BD8460N.DAT
04.09.2006 14:52 176.128 CLFIO34.DLL
09.08.2006 12:03 8.325.544 MRT.exe
04.08.2006 20:06 463.360 URLMON.DLL
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:57 307.200 netapi32.dll
14.07.2006 17:36 519.168 hhctrl.ocx
13.07.2006 15:50 8.394.240 shell32.dll
13.07.2006 01:51 612.864 xpsp2res.dll

Verzeichnis von C:\DOKUME~1\BENUTZ~1.DOM\LOKALE~1\Temp
Datfind zeigt nichts an

Verzeichnis von C:\WINDOWS

13.10.2006 13:08 1.142.145 WindowsUpdate.log
13.10.2006 13:02 0 0.log
13.10.2006 13:02 379 SCARDSRV.INI
13.10.2006 13:02 159 wiadebug.log
13.10.2006 13:02 0 SCARDSRV.TMP
13.10.2006 13:02 50 wiaservc.log
13.10.2006 13:01 2.048 bootstat.dat
12.10.2006 17:41 32.638 SchedLgU.Txt
12.10.2006 11:27 227 system.ini
12.10.2006 11:27 999 win.ini
11.10.2006 14:52 103 DFUWIN32.INI
10.10.2006 14:15 21.075 wmsetup.log
05.10.2006 10:41 3.305 tm.ini
05.10.2006 10:39 118 tdf.dii
13.09.2006 10:21 987 Brpfx04a.ini
12.09.2006 09:57 1.285.642 iis6.log
12.09.2006 09:57 53.636 comsetup.log
12.09.2006 09:57 186.354 ntdtcsetup.log
12.09.2006 09:57 417.865 tsoc.log
12.09.2006 09:57 1.374 imsins.log
12.09.2006 09:57 41.165 tabletoc.log
12.09.2006 09:57 21.945 KB917159.log
12.09.2006 09:56 42.660 msgsocm.log
12.09.2006 09:56 80.210 ocgen.log
12.09.2006 09:56 150.683 netfxocm.log
12.09.2006 09:56 33.125 ocmsn.log
12.09.2006 09:56 861.246 FaxSetup.log
12.09.2006 09:56 302.040 msmqinst.log
12.09.2006 09:55 1.374 imsins.BAK
12.09.2006 09:55 25.027 KB914388.log
12.09.2006 09:54 43.955 updspapi.log
12.09.2006 09:52 10.997 KB921398.log
12.09.2006 09:42 9.634 KB920683.log
12.09.2006 09:39 8.055 KB920670.log
12.09.2006 09:35 15.334 KB917422.log
12.09.2006 09:30 7.717 KB922616.log
12.09.2006 09:25 5.669 KB918899-IE6SP1-20060725.123917.log
12.09.2006 09:23 7.152 KB921883.log
11.09.2006 16:21 1.450 ie7beta3_main.log
06.09.2006 13:51 432 BRWMARK.INI
04.09.2006 16:58 259 KTEL.INI
04.09.2006 15:14 164 brpcfx.ini
04.09.2006 15:12 63 Brfaxrx.ini
04.09.2006 14:59 164.691 setupapi.log

Verzeichnis von C:\WINDOWS\Temp

13.10.2006 13:03 409 WGANotify.settings
13.10.2006 13:02 16.384 Perflib_Perfdata_444.dat

Verzeichnis von C:\WINDOWS\Downloaded Program Files
Datfind zeigt keine jungen Dateien

Verzeichnis von C:\

13.10.2006 13:08 0 sys.txt
13.10.2006 13:08 644 down.txt
13.10.2006 13:08 351 tmp.txt
13.10.2006 13:08 13.799 system.txt
13.10.2006 13:08 146 systemtemp.txt
13.10.2006 13:08 107.592 system32.txt
13.10.2006 13:05 8.968 ComboFix.txt
13.10.2006 13:01 234.459.136 hiberfil.sys
13.10.2006 13:01 352.321.536 pagefile.sys
12.10.2006 14:47 16.226 avenger.txt
12.10.2006 14:45 1.163 VundoFix.txt
12.10.2006 11:27 194 boot.ini

Combofix-Log:
Benutzer1 - 06-10-13 12:59:47,64 Service Pack 1
ComboFix 06.10.12 - Running from: "R:\Installation\combofix"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\ismini.exe
C:\Programme\Gemeinsame Dateien\Yazzle1122OinAdmin.exe
C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe
C:\Programme\Safety Bar
C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{38F8D00F-0960-1031-0611-030430200031}
C:\Programme\Gemeinsame Dateien\{78F8D00F-0960-1031-0611-030430200031}


((((((((((((((((((((((((((((((( Files Created from 2006-09-13 to 2006-10-13 ))))))))))))))))))))))))))))))))))


2006-10-13 09:01 2,368 --a------ C:\WINDOWS\system32\SVKP.sys
2006-10-13 08:03 3,968 --a------ C:\WINDOWS\system32\drivers\avgclean.sys
2006-10-12 08:22 40,973 ---hs---- C:\WINDOWS\system32\awtuurq.dll
2006-10-10 15:02 15,872 --a------ C:\WINDOWS\system32\winmqx32.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-13 13:02 -------- d-------- C:\Programme\KEN!
2006-10-13 13:01 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-13 12:50 17408 --a------ C:\WINDOWS\system32\drivers\USBCRFT.SYS
2006-10-13 12:33 -------- d-------- C:\Programme\CleanUp!
2006-10-13 12:20 -------- d-------- C:\Dokumente und Einstellungen\benutzer1.DOM\Anwendungsdaten\AVG7
2006-10-13 12:07 -------- d-------- C:\Programme\FRITZ!
2006-10-13 08:45 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-10-13 08:02 816288 --a------ C:\WINDOWS\system32\drivers\avg7core.sys
2006-10-12 13:36 -------- d-------- C:\Programme\Netscape7
2006-10-12 10:40 -------- d-------- C:\Dokumente und Einstellungen\benutzer1.DOM\Anwendungsdaten\FRITZ!
2006-10-11 15:08 -------- d-------- C:\Programme\StarMoney 4.0 S-Edition
2006-10-05 16:27 -------- d-------- C:\Programme\WinRAR
2006-10-05 10:40 -------- d-------- C:\Programme\ElsterFormular2005
2006-09-29 12:39 -------- d-------- C:\Programme\Microsoft Office 2000 pro
2006-09-29 12:39 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-09-13 09:08 -------- d-------- C:\Dokumente und Einstellungen\benutzer1.DOM\Anwendungsdaten\ScanSoft
2006-09-04 16:48 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-04 16:48 -------- d-------- C:\Programme\Brother
2006-09-04 14:56 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-09-04 14:56 -------- d-------- C:\Programme\Common Files
2006-09-04 14:52 176128 --a------ C:\WINDOWS\system32\CLFIO34.DLL
2006-09-04 14:03 -------- d-------- C:\Programme\ScanSoft
2006-09-04 14:03 -------- d-------- C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2006-09-04 09:02 -------- dr------- C:\Dokumente und Einstellungen\benutzer1.DOM\Anwendungsdaten\Brother
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll
2006-07-13 01:51 612864 --a------ C:\WINDOWS\system32\xpsp2res.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"KEN Taskbar Service"="\"C:\\Programme\\KEN!\\kentbsrv.exe\""
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVG7\\avgcc.exe /STARTUP"
"Tsl2"="C:\\PROGRA~1\\COMMON~1\\tsa\\tsl2.exe"
"Synchronization Manager"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,\
73,74,65,6d,33,32,5c,6d,6f,62,73,79,6e,63,2e,65,78,65,20,2f,6c,6f,67,6f,6e,\
00
"eDoc"="C:\\PROGRA~1\\GEMEIN~1\\MAYCOM~1\\EDOCPR~1\\eDoc.exe"
"Dit"="Dit.exe"
"SetIcon"="C:\\Program Files\\SMSC\\Seticon.exe"
"AVG7_EMC"="C:\\PROGRA~1\\Grisoft\\AVG7\\avgemc.exe"
"SSBkgdUpdate"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"PaperPort PTD"="C:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe"
"IndexSearch"="C:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe"
"ControlCenter2.0"="C:\\Programme\\Brother\\ControlCenter2\\brctrcen.exe /autorun"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVG7\\avgw.exe /RUNONCE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVG7\\avgw.exe /RUNONCE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Internet Optimizer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="optimize"
"hkey"="HKLM"
"command"="\"C:\\Program Files\\Internet Optimizer\\optimize.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KEN Taskbar Service]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="kentbsrv"
"hkey"="HKLM"
"command"="\"C:\\Programme\\KEN!\\kentbsrv.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mozilla Quick Launch]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Netscp"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Netscape7\\Netscp.exe\" -turbo -aim"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\REG_OPTIM]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Regop"
"hkey"="HKLM"
"command"="\"R:\\Installation\\regopt\\RegOpt\\Regop.exe\" /finish"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmqx32

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders
securityproviders REG_SZ msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll


Completion time: 06-10-13 13:02:22.37
ComboFix.txt

Mein AVG-Virenscanner schlägt zwar für die Dateien in C:\Windows\Temp an, aber sonst nirgends, was das Problem nicht behebt.
Spybot habe ich mehrfach laufen lassen, ohne nennenswerten Erfolg.

#4 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmqx32
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Internet Optimizer

Files to delete:
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ishost.exe_tobedeleted
C:\WINDOWS\system32\awtuurq.dll
C:\WINDOWS\system32\winmqx32.dll

Folders to delete:
C:\Programme\Safety Bar
C:\WINDOWS\system32\components
C:\Program Files\Internet Optimizer
C:\Programme\Gemeinsame Dateien\{78F8D00F-0960-1031-0611-030430200031}

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»»»
Klicke: Start -Ausfuehren- schreib rein: cmd
dann kopiere in das schwarze DOS-Fenster:

del %windir%\temp\*.* /f

klicke "enter"
schreibe Y

-------
öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {83188983-B993-4D2C-8059-0D4F12C31C6E} - C:\WINDOWS\System32\ssttq.dll (file missing)
O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\System32\ixt0.dll (file missing)

O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)

__________
MfG Sabina

rund um die PC-Sicherheit

#5 Fetten Dank, der PC scheint jetzt sauber zu sein.

Nur sei die Frage gestattet, was habe ich mir da eingefangen und wie kann ich mich davor in Zukunft schützen ?

#6 ich wuerde auch gern wissen, wie man sich das einfaengt...vielleicht ueber einen Codec ????
bis jetzt hat mir noch niemand die Seite gepostet und einen detaillierten Bericht, wie, wann, wo , unter welchen Umstaenden man sich den Virus auf den Rechner holt

eventueller Schutz:
http://virus-protect.org/artikel/tools/sandboxie.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo habe genau das gleiche Problem. Bitte ebenfalls um Hilfe.. "bettel"

Logfile of HijackThis v1.99.1
Scan saved at 13:33:46, on 16.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Norton Internet Security\ISSVC.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\TEMP\winD.tmp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\OPScan.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Nick\LOKALE~1\Temp\Rar$EX00.438\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Programme\Gemeinsame Dateien\{347E56EE-07D4-1031-0224-040412220031}\MyToolBar.dll (file missing)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Programme\Gemeinsame Dateien\{347E56EE-07D4-1031-0224-040412220031}\MyToolBar.dll (file missing)
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O5 "LPT1:" /M "Stylus C86"
O4 - HKLM\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /O5 "LPT1:" /M "Stylus D88"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus D88 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIABE.EXE /P23 "EPSON Stylus D88 Series" /M "Stylus D88" /EF "HKCU"
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Games\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Games\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/online2/bejeweled2/popcaploader_v6.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winbfi32 - C:\WINDOWS\SYSTEM32\winbfi32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

#8 n1ck

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

««
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 CleanUp ausgeführt.

Hier die 6 Textdateien:

system32.txt:
16.10.2006 19:52 13.646 wpa.dbl
15.10.2006 23:07 403.968 perfh009.dat
15.10.2006 23:07 418.970 perfh007.dat
15.10.2006 23:07 63.188 perfc009.dat
15.10.2006 23:07 76.014 perfc007.dat
15.10.2006 23:07 935.556 PerfStringBackup.INI
15.10.2006 00:00 552 d3d8caps.dat
13.10.2006 15:34 413.232 FNTCACHE.DAT
13.10.2006 15:09 18.432 winbfi32.dll
04.10.2006 22:03 9.639.336 MRT.exe
16.09.2006 18:29 98.304 CmdLineExt.dll
15.09.2006 22:52 91.904 S32EVNT1.DLL
13.09.2006 07:02 1.084.416 msxml3.dll
04.09.2006 08:12 1.494.016 shdocvw.dll
25.08.2006 17:46 617.472 comctl32.dll
23.08.2006 04:11 307.200 atiiiexx.dll
23.08.2006 03:53 260.096 ati2dvag.dll
23.08.2006 03:47 114.688 atipdlxx.dll
23.08.2006 03:46 77.824 Oemdspif.dll
23.08.2006 03:46 26.112 Ati2mdxx.exe
23.08.2006 03:46 41.984 ati2edxx.dll
23.08.2006 03:46 86.016 ati2evxx.dll
23.08.2006 03:45 413.696 ati2evxx.exe
23.08.2006 03:44 53.248 ATIDDC.DLL
23.08.2006 03:38 2.401.984 ati3duag.dll
23.08.2006 03:33 303.104 ATIDEMGR.dll
23.08.2006 03:33 2.510.752 ativvaxx.dll
23.08.2006 03:27 6.684.672 atioglx1.dll
23.08.2006 03:24 5.140.480 atioglxx.dll
23.08.2006 03:21 221.184 atikvmag.dll
23.08.2006 03:19 17.408 atitvo32.dll
23.08.2006 03:14 290.816 ati2cqag.dll
22.08.2006 21:05 520.192 ati2sgag.exe
21.08.2006 14:26 16.896 fltlib.dll
21.08.2006 11:14 23.040 fltmc.exe
16.08.2006 19:52 133.583 atiicdxx.dat
16.08.2006 13:58 100.352 6to4svc.dll
07.08.2006 15:58 253 spupdwxp.log
03.08.2006 17:34 466.944 capicom.dll
29.07.2006 19:32 48.936 sirenacm.dll
28.07.2006 13:28 3.075.072 mshtml.dll
27.07.2006 15:25 679.424 inetcomm.dll
25.07.2006 22:33 615.936 urlmon.dll
21.07.2006 10:29 72.704 hlink.dll
14.07.2006 17:38 332.288 netapi32.dll
14.07.2006 17:25 546.304 hhctrl.ocx
13.07.2006 15:34 8.494.592 shell32.dll
05.07.2006 12:55 1.057.792 kernel32.dll
01.07.2006 00:56 245.408 unicows.dll
27.06.2006 03:32 778.240 divx_xx07.dll
27.06.2006 03:32 778.240 divx_xx0c.dll
27.06.2006 03:32 761.856 divx_xx11.dll
27.06.2006 03:32 620.180 DivX.dll
27.06.2006 03:28 704.512 divxdec.ax
26.06.2006 19:40 8.192 rasadhlp.dll
26.06.2006 19:40 148.480 dnsapi.dll
23.06.2006 13:10 664.576 wininet.dll
23.06.2006 13:10 474.624 shlwapi.dll
23.06.2006 13:10 448.512 mshtmled.dll
23.06.2006 13:10 146.432 msrating.dll
23.06.2006 13:10 39.424 pngfilt.dll
23.06.2006 13:10 532.480 mstime.dll
23.06.2006 13:10 1.022.976 browseui.dll
23.06.2006 13:10 16.384 jsproxy.dll
23.06.2006 13:10 55.808 extmgr.dll
23.06.2006 13:10 251.392 iepeers.dll
23.06.2006 13:10 357.888 dxtmsft.dll
23.06.2006 13:10 205.312 dxtrans.dll
23.06.2006 13:10 152.064 cdfview.dll
23.06.2006 13:10 96.768 inseng.dll
23.06.2006 13:10 1.056.256 danim.dll
23.06.2006 10:53 27.136 xpsp3res.dll
22.06.2006 15:02 6.126 atifglpf.xml
22.06.2006 07:06 1.441.792 query.dll
22.06.2006 07:06 69.120 ciodm.dll
21.06.2006 21:44 108.544 pxcpyi64.exe
21.06.2006 21:44 109.568 pxinsi64.exe
21.06.2006 12:49 53.248 dpuGUI10.dll
21.06.2006 12:43 4.276 divxsm.tlb
21.06.2006 12:43 520.192 DivXsm.exe
21.06.2006 12:43 10.863 dsm_ja.qm
21.06.2006 12:43 15.507 dsm_de.qm
21.06.2006 12:43 15.299 dsm_fr.qm
21.06.2006 12:43 3.596.288 qt-dx331.dll
21.06.2006 12:42 1.044.480 libdivx.dll
21.06.2006 12:42 200.704 ssldivx.dll
21.06.2006 12:34 90.112 dpl100.dll
21.06.2006 12:34 593.920 dpuGUI11.dll
21.06.2006 12:34 200.704 dtu100.dll
21.06.2006 12:34 344.064 dpus11.dll
21.06.2006 12:34 57.344 dpv11.dll
21.06.2006 12:34 294.912 dpu10.dll
21.06.2006 12:34 294.912 dpu11.dll
21.06.2006 12:33 12.288 DivXWMPExtType.dll
21.06.2006 12:33 118.784 DivXCodecUpdateChecker.exe
21.06.2006 12:33 8.523 dpude.qm
21.06.2006 12:33 3.136 dtu_de.qm
19.06.2006 16:20 702.768 WgaLogon.dll
19.06.2006 16:19 571.184 LegitCheckControl.dll
19.06.2006 16:19 304.944 WgaTray.exe

systemtemp.txt:
16.10.2006 19:53 48 WcesView.log
16.10.2006 19:53 16.384 Perflib_Perfdata_1110.dat
16.10.2006 19:53 49.152 ~DFECE6.tmp
16.10.2006 19:53 16.384 Perflib_Perfdata_fa4.dat
16.10.2006 19:53 559 WCESCOMM.LOG
16.10.2006 19:53 691 WCESLog.log
16.10.2006 19:52 557 LVCOMSX.LOG
16.10.2006 13:20 49.152 ~DF9122.tmp

system.txt
16.10.2006 19:44 8.230 setupapi.log
16.10.2006 13:48 54.156 QTFont.qfn
16.10.2006 13:20 0 0.log
16.10.2006 13:20 1.215.824 WindowsUpdate.log
16.10.2006 13:20 159 wiadebug.log
16.10.2006 13:20 50 wiaservc.log
16.10.2006 13:19 2.048 bootstat.dat
16.10.2006 13:18 32.396 SchedLgU.Txt
15.10.2006 23:08 26.940 iis6.log
15.10.2006 23:08 8.228 comsetup.log
15.10.2006 23:08 1.244 tabletoc.log
15.10.2006 23:08 1.368 ocmsn.log
15.10.2006 23:08 4.988 ntdtcsetup.log
15.10.2006 23:08 1.393 imsins.log
15.10.2006 23:08 11.284 tsoc.log
15.10.2006 23:08 11.870 KB924191.log
15.10.2006 23:08 4.332 netfxocm.log
15.10.2006 23:08 1.700 MedCtrOC.log
15.10.2006 23:08 11.664 ocgen.log
15.10.2006 23:08 1.236 msgsocm.log
15.10.2006 23:08 24.730 FaxSetup.log
15.10.2006 23:08 7.624 msmqinst.log
15.10.2006 23:08 1.212 updspapi.log
15.10.2006 23:08 1.393 imsins.BAK
15.10.2006 23:08 11.832 KB922819.log
15.10.2006 23:08 11.063 KB923414.log
15.10.2006 23:06 11.590 KB924496.log
15.10.2006 23:06 0 setuperr.log
15.10.2006 23:06 0 setupact.log
15.10.2006 12:52 293.820 ntbtlog.txt
14.10.2006 01:12 1.409 QTFont.for
13.10.2006 15:20 600 Rtcw.INI
13.10.2006 11:58 1.017 ATICIM.INI
03.10.2006 15:56 116 NeroDigital.ini
02.10.2006 02:15 32 popcinfo.dat
09.09.2006 11:42 619 eReg.dat
08.08.2006 15:53 11 wanpatan.ini
08.08.2006 15:50 606.848 flashax.exe
08.08.2006 15:50 12.288 impborl.dll
07.08.2006 15:58 316.640 WMSysPr9.prx
07.08.2006 14:51 1.045.480 setupapi.log.0.old
07.08.2006 14:49 614 win.ini
02.08.2006 16:02 124 _delis43.ini
13.06.2006 12:17 754 WORDPAD.INI
11.06.2006 15:20 318 cncscore.ini
08.06.2006 16:40 12.862 EPISMG00.SWB
08.06.2006 16:21 31 EPSMTL32.TXT
02.06.2006 17:12 26 neosetup.INI

tmp.txt:
16.10.2006 19:52 409 WGANotify.settings
16.10.2006 19:52 255 WGAErrLog.txt
16.10.2006 14:30 33.280 win72.tmp.exe

down.txt
03.05.2006 14:09 65 desktop.ini
27.03.2006 13:00 5.019 swflash.inf
02.03.2006 15:40 1.271 erma.inf
19.12.2003 15:43 241 popcaploader.inf
30.06.2003 22:41 1.689 WMV9VCM.inf

sys.txt
16.10.2006 19:58 0 sys.txt
16.10.2006 19:57 487 down.txt
16.10.2006 19:57 378 tmp.txt
16.10.2006 19:56 5.462 system.txt
16.10.2006 19:56 656 systemtemp.txt
16.10.2006 19:54 104.885 system32.txt
16.10.2006 13:19 5.390 avenger.txt
16.10.2006 13:19 1.610.612.736 pagefile.sys
07.08.2006 14:49 211 boot.ini
07.08.2006 14:43 47.564 NTDETECT.COM
07.08.2006 14:43 251.184 ntldr

Und hier die ComboFix.txt:

Nick - 06-10-16 19:59:36,70 Service Pack 2
ComboFix 06.10.16 - Running from: "C:\Dokumente und Einstellungen\Nick\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\Yazzle1162OinAdmin.exe
C:\Programme\Gemeinsame Dateien\Yazzle1162OinUninstaller.exe
C:\Programme\Gemeinsame Dateien\{347E56EE-07D4-1031-0224-040412220031}
C:\Programme\Gemeinsame Dateien\{B47E56EE-07D4-1031-0224-040412220031}


((((((((((((((((((((((((((((((( Files Created from 2006-09-16 to 2006-10-16 ))))))))))))))))))))))))))))))))))


2006-10-14 23:46 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2006-10-13 15:29 40,960 --a------ C:\WINDOWS\system32\psfind.dll
2006-10-13 15:09 18,432 --a------ C:\WINDOWS\system32\winbfi32.dll
2006-10-09 11:54 54,272 --a------ C:\WINDOWS\system32\drivers\vfwwdm32.dll
2006-10-09 11:53 8,192 --a------ C:\WINDOWS\system32\wshirda.dll
2006-10-09 11:53 27,136 --a------ C:\WINDOWS\system32\irmon.dll
2006-10-09 11:53 154,112 --a------ C:\WINDOWS\system32\irftp.exe
2006-10-05 04:37 70,656 --a------ C:\WINDOWS\RSetupCE.exe
2006-09-16 18:29 98,304 --a------ C:\WINDOWS\system32\CmdLineExt.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-16 20:00 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-16 19:52 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-16 19:52 -------- d-------- C:\Dokumente und Einstellungen\Nick\Anwendungsdaten\FRITZ!
2006-10-16 14:03 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-10-16 13:08 -------- d-------- C:\Programme\CleanUp!
2006-10-16 09:49 -------- d-------- C:\Dokumente und Einstellungen\Nick\Anwendungsdaten\AdobeUM
2006-10-15 09:04 -------- d-------- C:\Programme\PantsOff
2006-10-14 23:46 -------- d-------- C:\Programme\Grisoft
2006-10-14 23:36 -------- d-------- C:\Programme\CCleaner
2006-10-14 23:27 -------- d-------- C:\Dokumente und Einstellungen\Nick\Anwendungsdaten\Xfire
2006-10-14 03:04 -------- d-------- C:\Programme\eMule
2006-10-13 15:34 -------- d---s---- C:\Programme\Xfire
2006-10-13 15:24 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-13 15:19 -------- d-------- C:\Programme\Microsoft ActiveSync
2006-10-13 15:17 -------- d-------- C:\Programme\America's Army
2006-10-13 15:16 -------- d-------- C:\Programme\Azureus
2006-10-13 12:45 -------- d-------- C:\Dokumente und Einstellungen\Nick\Anwendungsdaten\teamspeak2
2006-10-13 12:41 -------- d-------- C:\Programme\HLSW
2006-10-13 12:01 -------- d-------- C:\Programme\ATI Technologies
2006-10-12 16:11 -------- d-------- C:\Programme\Norton Internet Security
2006-10-09 18:05 -------- d-------- C:\Programme\Pocket Informant
2006-10-09 11:54 -------- d-------- C:\Programme\IVT Corporation
2006-10-08 02:48 -------- d-------- C:\Programme\Internet Explorer
2006-10-08 01:06 -------- d-------- C:\Programme\SKTools
2006-10-07 19:29 -------- d-------- C:\Programme\FlashFXP
2006-10-05 04:37 -------- d-------- C:\Programme\Resco
2006-10-05 04:34 -------- d-------- C:\Programme\Inesoft Cash Organizer '05 Premium
2006-10-02 09:43 -------- d-------- C:\Programme\Symantec
2006-10-02 09:36 -------- d-------- C:\Programme\myphotobook
2006-09-15 22:52 91904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-09-15 22:52 124016 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-09-13 07:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-09-09 11:43 12464 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-08-26 10:35 -------- d-------- C:\Programme\Valve Hammer Editor
2006-08-26 10:10 -------- d-------- C:\Programme\Winamp
2006-08-26 09:53 -------- d-------- C:\Programme\MSN Messenger
2006-08-25 22:05 -------- d-------- C:\Programme\Gemeinsame Dateien\DirectX
2006-08-25 17:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-25 16:03 -------- d-------- C:\Dokumente und Einstellungen\Nick\Anwendungsdaten\Apple Computer
2006-08-23 04:11 307200 --a------ C:\WINDOWS\system32\atiiiexx.dll
2006-08-23 03:53 260096 --a------ C:\WINDOWS\system32\ati2dvag.dll
2006-08-23 03:53 1723904 --a------ C:\WINDOWS\system32\drivers\ati2mtag.sys
2006-08-23 03:47 114688 --a------ C:\WINDOWS\system32\atipdlxx.dll
2006-08-23 03:46 86016 --a------ C:\WINDOWS\system32\ati2evxx.dll
2006-08-23 03:46 77824 --a------ C:\WINDOWS\system32\Oemdspif.dll
2006-08-23 03:46 41984 --a------ C:\WINDOWS\system32\ati2edxx.dll
2006-08-23 03:46 26112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
2006-08-23 03:45 413696 --a------ C:\WINDOWS\system32\ati2evxx.exe
2006-08-23 03:44 53248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
2006-08-23 03:38 2401984 --a------ C:\WINDOWS\system32\ati3duag.dll
2006-08-23 03:33 303104 --a------ C:\WINDOWS\system32\ATIDEMGR.dll
2006-08-23 03:33 2510752 --a------ C:\WINDOWS\system32\ativvaxx.dll
2006-08-23 03:27 6684672 --a------ C:\WINDOWS\system32\atioglx1.dll
2006-08-23 03:24 5140480 --a------ C:\WINDOWS\system32\atioglxx.dll
2006-08-23 03:21 221184 --a------ C:\WINDOWS\system32\atikvmag.dll
2006-08-23 03:19 17408 --a------ C:\WINDOWS\system32\atitvo32.dll
2006-08-23 03:14 290816 --a------ C:\WINDOWS\system32\ati2cqag.dll
2006-08-22 21:05 520192 --------- C:\WINDOWS\system32\ati2sgag.exe
2006-08-21 14:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 11:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-21 11:14 128896 --------- C:\WINDOWS\system32\drivers\fltmgr.sys
2006-08-16 21:13 223128 --a------ C:\WINDOWS\system32\drivers\vaxscsi.sys
2006-08-16 21:13 -------- d-------- C:\Programme\Alcohol Soft
2006-08-16 13:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll
2006-08-16 11:37 225664 --a------ C:\WINDOWS\system32\drivers\tcpip6.sys
2006-08-08 15:50 606848 --a------ C:\WINDOWS\flashax.exe
2006-08-08 15:50 12288 --a------ C:\WINDOWS\impborl.dll
2006-07-29 19:32 48936 --a------ C:\WINDOWS\system32\sirenacm.dll
2006-07-27 15:25 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-07-21 10:29 72704 --a------ C:\WINDOWS\system32\hlink.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"LogitechSoftwareUpdate"="C:\\Programme\\Logitech\\Video\\ManifestEngine.exe boot"
"H/PC Connection Agent"="\"C:\\Programme\\Microsoft ActiveSync\\wcescomm.exe\""
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"Steam"=""
"EPSON Stylus D88 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIABE.EXE /P23 \"EPSON Stylus D88 Series\" /M \"Stylus D88\" /EF \"HKCU\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"LVCOMSX"="C:\\WINDOWS\\System32\\LVCOMSX.EXE"
"LogitechVideoRepair"="C:\\Programme\\Logitech\\Video\\ISStart.exe "
"LogitechVideoTray"="C:\\Programme\\Logitech\\Video\\LogiTray.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"SoundMan"="SOUNDMAN.EXE"
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"Logitech Utility"="Logi_MwX.Exe"
"Logitech Hardware Abstraction Layer"="\"C:\\Programme\\Gemeinsame Dateien\\Logitech\\KhalShared\\KHALMNPR.EXE\""
@=""
"MessengerPlus3"="\"C:\\Programme\\MessengerPlus! 3\\MsgPlus.exe\""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"EPSON Stylus C86 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_S4I0R2.EXE /P23 \"EPSON Stylus C86 Series\" /O5 \"LPT1:\" /M \"Stylus C86\""
"EPSON Stylus D88 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIABE.EXE /P23 \"EPSON Stylus D88 Series\" /O5 \"LPT1:\" /M \"Stylus D88\""
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\CLIStart.exe\""
"!AVG Anti-Spyware"="\"C:\\Programme\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,cb,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoLowDiskSpaceChecks"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\DisallowRun]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winbfi32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer pr�fen - Nick.job

Completion time: 06-10-16 20:00:37.87
C:\ComboFix.txt ... 06-10-16 20:00

#10 n1ck

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopier rein

Zitat

registry keys to delete
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ToolBar888
HKEY_CURRENT_USER\Software\MyToolBar
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ToolBar888
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C004DEC2-2623-438e-9CA2-C9043AB28508}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C004DEC2-2623-438e-9CA2-C9043AB28508}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winbfi32
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C004DEC2-2623-438e-9CA2-C9043AB28508}

Files to delete:
C:\WINDOWS\TEMP\win72.tmp.exe
C:\WINDOWS\TEMP\winD.tmp.exe
C:\WINDOWS\system32\winbfi32.dll

Folders to delete:
C:\Programme\Toolbar888
C:\Programme\Gemeinsame Dateien\{B47E56EE-07D4-1031-0224-040412220031}

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste hier das log vom avenger, was nach neustart erscheint

_____________________

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Programme\Gemeinsame Dateien\{347E56EE-07D4-1031-0224-040412220031}\MyToolBar.dll (file missing)

O3 - Toolbar: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Programme\Gemeinsame Dateien\{347E56EE-07D4-1031-0224-040412220031}\MyToolBar.dll (file missing)

PC neustarten

**
scanne mit panda oder Trend Micro Anti-Spyware for the Web
http://virus-protect.org/onlinescan.html
und poste die scanreporte
__________
MfG Sabina

rund um die PC-Sicherheit

#11 hi,
bin hier absoluter neuling und habe ein problem mit nem pc.da tauchen dauernd im verzeichnis C:\Windows\Temp\ winxx.tmp und iddxx.tmp dateien auf und kommen nach mehrmaligen löschen einfach zurück.ich kann seit auftauchen dieser dateien nur eine halbe stunde ins internet.da schaltet sich irgendein dialer ein.
please help me!!!


Hier mein hijack:

Logfile of HijackThis v1.99.1
Scan saved at 17:03:28, on 17.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ishost.exe
C:\WINDOWS\System32\ismini.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\DOKUME~1\BIGB~1\EIGENE~1\ICROSO~1\ntvdm.exe
C:\Dokumente und Einstellungen\Big B\Eigene Dateien\??pPatch\m?config.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\BIGB~1\LOKALE~1\Temp\Rar$EX01.259\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {6319B1CB-0C2C-2CA9-2BB1-0795BAFEDD99} - C:\WINDOWS\System32\glhk.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ToolBar888 - {C004DEC2-2623-438e-9CA2-C9043AB28508} - C:\Programme\Gemeinsame Dateien\{3C6255CE-0514-1031-0422-031213200031}\MyToolBar.dll (file missing)
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\System32\khooker.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Odnl] "C:\DOKUME~1\BIGB~1\EIGENE~1\ICROSO~1\ntvdm.exe" -vt yazb
O4 - HKCU\..\Run: [Hvzxr] C:\Dokumente und Einstellungen\Big B\Eigene Dateien\??pPatch\m?config.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/242975118c6c2fe5a518/netzip/RdxIE601_de.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{C5F6EECE-EFE5-4EB7-AD92-CC36B5CA3FCD}: NameServer = 213.191.92.87 213.191.74.19
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe



Danke im voraus für eure mühen

#12 bishop

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 dafindbat-daeien



Verzeichnis von C:\WINDOWS\system32

06-10-18 01:04 433,842 lkjlm.ini
06-10-18 00:58 5,632 ismini.exe
06-10-17 17:18 407,717 lkjlm.bak2
06-10-17 16:23 15,086 PartyPoker_New.ico
06-10-17 16:23 2,238 ClickToFindandFixErrors.ico
06-10-17 14:54 0 TFTP2316
06-10-17 01:13 684,084 mljkl.dll
06-10-17 00:35 2 wnsapisv.exe
06-10-16 01:18 0 mcrh.tmp
06-10-15 21:55 143,380 fsotoywm.exe
06-10-14 23:04 37,916 ishost.exe
06-10-13 23:11 15,872 windnx32.dll
06-10-12 15:34 126,976 glhk.dll
06-09-28 21:44 32 {A7F942CC-0E5B-4F8D-8AD9-42DF31C11CD7}.dat
06-09-28 21:43 14 SR2.dat
06-09-28 21:18 534 ikhcore.log
06-09-23 19:56 13,646 wpa.dbl
06-09-18 20:11 778,240 divx_xx07.dll
06-09-18 20:11 778,240 divx_xx0c.dll
06-09-18 20:11 761,856 divx_xx11.dll
06-09-18 20:11 620,180 DivX.dll
06-09-15 22:52 91,904 S32EVNT1.DLL
06-08-11 20:42 125,320 FNTCACHE.DAT
06-08-11 19:54 383,254 perfh009.dat
06-08-11 19:54 53,608 perfc009.dat
06-08-11 19:54 394,500 perfh007.dat
06-08-11 19:54 64,598 perfc007.dat
06-08-11 19:54 899,052 PerfStringBackup.INI
06-08-11 19:35 4,276 divxsm.tlb
06-08-11 19:35 520,192 DivXsm.exe
06-08-11 19:35 10,863 dsm_ja.qm
06-08-11 19:35 15,507 dsm_de.qm
06-08-11 19:35 15,299 dsm_fr.qm
06-08-11 19:35 3,596,288 qt-dx331.dll
06-08-11 19:35 1,044,480 libdivx.dll
06-08-11 19:35 200,704 ssldivx.dll
06-08-11 19:31 73,728 dpl100.dll
06-08-11 19:31 196,608 dtu100.dll
06-08-11 19:31 53,248 dpuGUI10.dll
06-08-11 19:31 593,920 dpuGUI11.dll
06-08-11 19:31 344,064 dpus11.dll
06-08-11 19:31 57,344 dpv11.dll
06-08-11 19:31 294,912 dpu11.dll
06-08-11 19:31 294,912 dpu10.dll
06-08-11 19:31 704,512 divxdec.ax
06-08-11 19:31 12,288 DivXWMPExtType.dll
06-08-11 19:31 118,784 DivXCodecUpdateChecker.exe
06-08-11 19:31 8,523 dpude.qm
06-08-11 19:31 3,136 dtu_de.qm
06-08-08 10:17 2 stera.log
06-08-07 16:17 2,550 Uninstall.ico
06-08-07 16:17 1,406 Help.ico




Verzeichnis von C:\DOKUME~1\BIGB~1\LOKALE~1\Temp

06-10-18 00:58 206 jusched.log
1 Datei(en) 206 Bytes
0 Verzeichnis(se), 6,716,403,712 Bytes frei



Verzeichnis von C:\WINDOWS

06-10-18 00:59 0 0.log
06-10-18 00:57 2,048 bootstat.dat
06-10-18 00:56 1,469,056 ntbtlog.txt
06-10-18 00:54 174,028 setupact.log
06-10-18 00:43 32,352 SchedLgU.Txt
06-10-17 23:56 852,141 setupapi.log
06-10-16 11:07 400 ODBC.INI
06-10-15 21:17 116 NeroDigital.ini
06-10-15 12:46 50 wiaservc.log
06-10-15 12:46 216 wiadebug.log
06-10-14 21:13 2,560 _MSRSTRT.EXE
06-10-11 16:17 139,157 wmsetup.log
06-10-03 23:28 4,616 iis6.log
06-10-03 23:28 25,126 comsetup.log
06-10-03 23:28 14,247 ntdtcsetup.log
06-10-03 23:28 1,917 imsins.log
06-10-03 23:28 24,037 tsoc.log
06-10-03 23:28 2,421 ocmsn.log
06-10-03 23:28 39,582 ocgen.log
06-10-03 23:28 2,778 msgsocm.log
06-10-03 23:28 38,698 FaxSetup.log
06-10-02 16:53 624 KB842252.log
06-09-28 21:44 32 {0BCCBF0E-0F16-49A6-A1BD-518F0B358782}.dat
06-09-26 15:36 10,392 EventSystem.log
06-09-24 22:13 316,640 WMSysPr9.prx
06-08-11 19:41 642 win.ini
06-08-11 15:57 36,864 uinst001.exe
06-08-09 00:00 0 1.dat
06-08-08 23:01 0 keyboard1.dat
06-08-07 16:22 3,509 mozver.dat
06-08-07 16:17 32 pavsig.txt
06-08-07 00:09 1,891 imsins.BAK
06-08-06 14:05 40 teller2.chk
06-08-06 14:05 184 mm06y.ini
06-08-06 14:05 2 tempf.txt
06-08-03 15:05 2,894 Windows Update.log
06-08-02 19:11 83,198 Directx.log
06-08-02 19:09 1,440 COM+.log
06-08-02 16:33 1,864 OEWABLog.txt

Verzeichnis von C:\WINDOWS\temp

06-10-18 01:03 33,280 win2.tmp.exe
1 Datei(en) 33,280 Bytes
0 Verzeichnis(se), 6,716,387,328 Bytes frei

Verzeichnis von C:\WINDOWS\Downloaded Program Files

06-09-29 18:10 148 startbf2.inf
06-07-31 09:04 1,235,007 vet.da1
06-07-27 04:28 4,313,912 vet.dat
06-07-23 23:43 65 desktop.ini
06-07-21 18:50 180,282 webscan.dll
06-07-21 13:55 476 webscan.inf



Verzeichnis von C:\

06-10-18 01:12 0 sys.txt
06-10-18 01:12 842 down.txt
06-10-18 01:12 275 tmp.txt
06-10-18 01:11 5,151 system.txt
06-10-18 01:11 291 systemtemp.txt
06-10-18 01:11 85,609 system32.txt
06-10-18 00:57 352,321,536 pagefile.sys
06-10-16 13:03 2,387 VundoFix.txt
06-10-16 12:52 1,492 WINDOWSvundofix.reg
06-10-16 11:06 4,107 smitfiles.txt
06-08-08 19:04 12,082,981 AVG7QT.DAT



Sorry,bei mir hat combofix nicht funktioniert.es hat keine log datei erstellt und hat immer nur einen blanken hintergrunf auf dem desktop bewirkt ohne das weiteres passierte.

#14 bishop

poste noch dieses log, dann beginnt die reinigung
http://virus-protect.org/artikel/tools/combofix.html

Zitat

C:\WINDOWS\system32\stera.log
C:\WINDOWS\system32\lkjlm.ini
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\lkjlm.bak2
C:\WINDOWS\system32\PartyPoker_New.ico
C:\WINDOWS\system32\ClickToFindandFixErrors.ico
C:\WINDOWS\system32\TFTP2316
C:\WINDOWS\system32\mljkl.dll
C:\WINDOWS\system32\wnsapisv.exe
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\fsotoywm.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\windnx32.dll
C:\WINDOWS\system32\glhk.dll
C:\WINDOWS\Downloaded Program Files\startbf2.inf
C:\WINDOWS\Downloaded Program Files\vet.da1
C:\WINDOWS\Downloaded Program Files\vet.dat
C:\WINDOWS\temp\win2.tmp.exe
C:\WINDOWS\1.dat
C:\WINDOWS\keyboard1.dat
C:\WINDOWS\teller2.chk
C:\WINDOWS\mm06y.ini

__________
MfG Sabina

rund um die PC-Sicherheit

#15 Big B - 06-10-18 14:42:22.78 Service Pack 1
ComboFix 06.10.16 - Running from: "C:\Dokumente und Einstellungen\Big B\Desktop"



mehr kommt bei combofix einfach nicht raus.das ist die einzige logfile dieimm dabei herauskommt und ich hab combofix ein paar mal durchlaufen lassen.