Im Windows\Temp-Ordner werden Dateien vom Typ idd***.tmp.exe erstellt

#1 Hallo, ich habe ein ähnliches Problem wie es auch in anderen Threads zu lesen ist, allerdings weiß ich leider nicht welche Schritte ich weiterhin unternehmen muss.

Norten Antivirus meldet regelmäßig den Fund einer Bedrohung vom Typ "Dialer.Trojan". Darüber hinaus hatte ich am Vortag ein Problem mit der Datei winlogon.exe, die aber inzwischen gelöscht ist.

Ich habe versucht mich an die Regeln zu halten und (hoffentlich) alle notwendigen Informationen zusammenzutragen. Vielen Dank schon mal in Voraus.


Hier die Logfiles:

Hijackthis-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 01:49:03, on 31.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton AntiVirus 2005\navapsvc.exe
C:\Programme\Norton AntiVirus 2005\IWP\NPFMntor.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wdfmgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Video\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\WINDOWS\zHotkey.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\TEMP\winF6.tmp.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus 2005\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus 2005\NavShExt.dll
O3 - Toolbar: (no name) - {E915E62E-41DA-40D0-8106-3438B4D24394} - (no file)
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\Video\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101228590656
O20 - Winlogon Notify: winuqw32 - C:\WINDOWS\SYSTEM32\winuqw32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus 2005\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus 2005\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus 2005\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

----------------------------------------------------------------------------
Combofix:

Daniel - 06-10-31 2:15:28,59 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\Daniel\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2006-09-31 to 2006-10-31 ))))))))))))))))))))))))))))))))))


2006-10-30 16:38 18,432 --a------ C:\WINDOWS\system32\winuqw32.dll
2006-10-28 19:42 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-31 02:13 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-31 02:07 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-31 02:06 -------- d-------- C:\Programme\CleanUp!
2006-10-30 19:29 -------- d-------- C:\Programme\CCleaner
2006-10-30 00:44 32424 --a------ C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-10-28 21:26 -------- d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Adobe
2006-10-28 21:21 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-10-28 21:21 -------- d-------- C:\Programme\Adobe
2006-10-28 14:55 -------- d-------- C:\Programme\ICQLite
2006-10-27 22:27 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-10-01 01:59 -------- d-------- C:\Programme\Symantec
2006-09-25 14:23 -------- d-------- C:\Programme\eMule
2006-09-25 13:12 -------- d-------- C:\Programme\Ashampoo UnInstaller Platinum Suite
2006-09-24 20:49 -------- d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\phonostar-Player
2006-09-24 13:40 -------- d-------- C:\Programme\BearShare
2006-09-15 21:52 91904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-09-15 21:52 124016 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-09-07 02:19 -------- d-------- C:\Programme\WinSweep
2006-09-04 02:21 -------- d-------- C:\Programme\Shareaza
2006-09-01 22:28 -------- d-------- C:\Programme\phonostar
2006-09-01 13:14 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-01 01:50 -------- d-------- C:\Programme\F-Secure Blacklight
2006-08-02 19:23 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"RemoteControl"="C:\\Programme\\Video\\PowerDVD\\PDVDServ.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"FinePrint Dispatcher v4"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\fpdisp4.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"CloneCDTray"="\"C:\\Programme\\CloneCD\\CloneCDTray.exe\" /s"
"CHotkey"="zHotkey.exe"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Acrobat Assistant 7.0"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,a2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"PhonostarTimer"="C:\\Programme\\phonostar\\ps_timer.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ISUSPM Startup"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe -startup"
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"Easy-PrintToolBox"="C:\\Programme\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE /logon"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winuqw32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer pr�fen - Daniel.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 06-10-31 2:16:27.96
C:\ComboFix.txt ... 06-10-31 02:16

----------------------------------------------------------------------------
datfind.bat-Logfiles:

system32.txt

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\WINDOWS\system32

31.10.2006 02:14 41.103 vsconfig.xml
30.10.2006 16:38 18.432 winuqw32.dll
29.10.2006 14:38 381.828 perfh009.dat
29.10.2006 14:38 53.572 perfc009.dat
29.10.2006 14:38 392.842 perfh007.dat
29.10.2006 14:38 64.650 perfc007.dat
29.10.2006 14:38 902.476 PerfStringBackup.INI
29.10.2006 14:31 153.976 FNTCACHE.DAT
22.10.2006 17:18 2.278 wpa.dbl
15.09.2006 21:52 91.904 S32EVNT1.DLL
04.09.2006 01:04 4.212 zllictbl.dat
18.08.2006 02:25 41 AuxDrv32b_k.oxc
18.08.2006 02:25 41 SndDrv32a_k.oxc
09.08.2006 11:03 8.325.544 MRT.exe
03.08.2006 16:34 466.944 capicom.dll
02.08.2006 19:23 43.520 CmdLineExt03.dll
...


stystemtemp.txt

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\DOKUME~1\Daniel\LOKALE~1\Temp

31.10.2006 02:19 59.964 Adobelm_Cleanup.0001
31.10.2006 02:14 16.384 ~DFEA84.tmp
2 Datei(en) 76.348 Bytes
0 Verzeichnis(se), 96.773.279.744 Bytes frei


windows.txt

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\WINDOWS

31.10.2006 02:13 0 0.log
31.10.2006 02:13 4.428 ModemLog_Acer Modem 56 Surf PCI.txt
31.10.2006 02:13 1.236.145 WindowsUpdate.log
31.10.2006 02:13 2.048 bootstat.dat
31.10.2006 02:12 32.156 SchedLgU.Txt
30.10.2006 23:59 4.265 setupapi.log
30.10.2006 20:57 411 wiadebug.log
30.10.2006 20:51 50 wiaservc.log
30.10.2006 20:41 0 Sti_Trace.log
30.10.2006 19:51 1.571 win.ini
30.10.2006 19:51 227 system.ini
28.10.2006 03:19 803 Wininit.ini
17.10.2006 18:25 229 NeroDigital.ini
01.10.2006 17:45 3.243 cdplayer.ini
29.08.2006 14:35 6.897 mozver.dat
09.08.2006 01:01 754 WORDPAD.INI
...


temp.txt

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\WINDOWS\Temp

31.10.2006 02:27 33.280 win1E.tmp.exe
31.10.2006 02:14 256 ZLT05e0f.TMP
2 Datei(en) 33.536 Bytes
0 Verzeichnis(se), 96.773.263.360 Bytes frei


down.txt

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\WINDOWS\Downloaded Program Files

08.08.2006 11:45 576 kavwebscan.inf
...


c.txt

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\

31.10.2006 02:34 0 sys.txt
31.10.2006 02:34 581 down.txt
31.10.2006 02:33 319 tmp.txt
31.10.2006 02:32 5.937 system.txt
31.10.2006 02:32 342 systemtemp.txt
31.10.2006 02:31 100.081 system32.txt
31.10.2006 02:13 535.351.296 hiberfil.sys
31.10.2006 02:13 805.306.368 pagefile.sys
30.10.2006 23:52 0 Dokumente
30.10.2006 19:51 211 boot.ini
...


So, wie gesagt ich hoffe, ich hab' alles Notwendige zusammengetragen, damit mir jemand fachkundiges weiterhelfen kann. Ich habe zusätzlich mein System mit dem Kaspersky-Onlinescanner und dem Rootkitrevealer geprüft. Die zugehörigen Logfiles habe ich an die Nachricht angehangen (d.h. das RootkitRevealer-Log übermittle ich noch bei Bedarf).


Gruß Jerzy
Vielen Dank nochmal an alle Helfenden im Voraus.

#2 Jerzy

avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winuqw32

Files to delete:
C:\WINDOWS\system32\winuqw32.dll
C:\WINDOWS\TEMP\winF6.tmp.exe
C:\WINDOWS\Temp\win1E.tmp.exe
C:\WINDOWS\Temp\ZLT05e0f.TMP

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Sabina, vielen Dank für die schnelle Antwort. Es hat zwar ein bißchen gedauert, aber inzwischen habe ich avenger und den Scan mit Superantispyware ausgeführt.

Hier der dazugehörige Report:

SUPERAntiSpyware Scan Log
Generated 10/31/2006 at 09:03 PM

Application Version : 3.3.1020

Core Rules Database Version : 3117
Trace Rules Database Version: 1140

Scan type : Complete Scan
Total Scan Time : 00:23:34

Memory items scanned : 333
Memory Thread detected : 0
Registry items scanned : 5579
Registry Thread detected : 6
File items scanned : 31988
File Thread detected : 2

Trojan.Unknown Origin
HKLM\SOFTWARE\Microsoft\MSSMGR
HKLM\SOFTWARE\Microsoft\MSSMGR#Data
HKLM\SOFTWARE\Microsoft\MSSMGR#LSTV
HKLM\SOFTWARE\Microsoft\MSSMGR#Brnd
HKLM\SOFTWARE\Microsoft\MSSMGR#Rid
HKLM\SOFTWARE\Microsoft\MSSMGR#LID

BearShare File Sharing Client
C:\PROGRAMME\BEARSHARE\BEARSHARE.EXE
C:\DOKUMENTE UND EINSTELLUNGEN\DANIEL\STARTMENü\PROGRAMME\TOOLS\INTERNET\BEARSHARE\BEARSHARE.LNK

Muss ich noch weitere Schritte ausführen?

Gruß Jerzy

#4 poste noch mal die 6 logs von datfindbat - zur Ueberpruefung
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hier also noch einmal die Logs von datfindbat. In der Zwischenzeit schlug der Virenscanner übrigens nicht wieder Alarm.

system32.txt

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\WINDOWS\system32

31.10.2006 23:11 41.103 vsconfig.xml
29.10.2006 14:38 381.828 perfh009.dat
29.10.2006 14:38 53.572 perfc009.dat
29.10.2006 14:38 392.842 perfh007.dat
29.10.2006 14:38 64.650 perfc007.dat
29.10.2006 14:38 902.476 PerfStringBackup.INI
29.10.2006 14:31 153.976 FNTCACHE.DAT
22.10.2006 17:18 2.278 wpa.dbl
15.09.2006 21:52 91.904 S32EVNT1.DLL
13.09.2006 06:02 1.084.416 msxml3.dll
04.09.2006 07:12 1.494.016 shdocvw.dll
04.09.2006 01:04 4.212 zllictbl.dat
25.08.2006 16:46 617.472 comctl32.dll
21.08.2006 13:26 16.896 fltlib.dll
21.08.2006 10:14 23.040 fltmc.exe
18.08.2006 02:25 41 AuxDrv32b_k.oxc
18.08.2006 02:25 41 SndDrv32a_k.oxc
16.08.2006 12:58 100.352 6to4svc.dll
09.08.2006 11:03 8.325.544 MRT.exe
03.08.2006 16:34 466.944 capicom.dll
02.08.2006 19:23 43.520 CmdLineExt03.dll
...

systemtemp.txt

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\DOKUME~1\Daniel\LOKALE~1\Temp

31.10.2006 23:11 16.384 ~DFD18A.tmp
31.10.2006 21:17 16.384 ~DF906F.tmp
31.10.2006 21:05 16.384 ~DF223C.tmp
29.10.2006 05:56 244 1F1205F7.TMP
17.02.2006 16:55 143.360 SSUPDATE.EXE
5 Datei(en) 192.756 Bytes
0 Verzeichnis(se), 96.236.777.472 Bytes frei

windows.txt

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\WINDOWS

01.11.2006 02:03 0 0.log
01.11.2006 02:02 4.428 ModemLog_Acer Modem 56 Surf PCI.txt
01.11.2006 02:02 1.339.262 WindowsUpdate.log
01.11.2006 02:02 2.048 bootstat.dat
01.11.2006 02:01 32.156 SchedLgU.Txt
01.11.2006 02:01 28.511 setupapi.log
31.10.2006 23:02 9.961 iis6.log
31.10.2006 23:02 20.537 comsetup.log
31.10.2006 23:02 12.452 ntdtcsetup.log
31.10.2006 23:02 23.590 tsoc.log
31.10.2006 23:02 1.393 imsins.log
31.10.2006 23:02 3.420 ocmsn.log
31.10.2006 23:02 16.329 KB924191.log
31.10.2006 23:02 29.160 ocgen.log
31.10.2006 23:02 3.030 msgsocm.log
31.10.2006 23:02 61.584 FaxSetup.log
31.10.2006 23:02 3.391 updspapi.log
31.10.2006 23:01 1.393 imsins.BAK
31.10.2006 23:01 16.033 KB922819.log
31.10.2006 23:01 14.347 KB923414.log
31.10.2006 23:01 14.376 KB920685.log
31.10.2006 23:01 14.537 KB924496.log
31.10.2006 23:01 15.766 KB920872.log
31.10.2006 23:01 14.237 KB919007.log
31.10.2006 23:01 11.870 KB923191.log
31.10.2006 23:01 9.660 KB922582.log
31.10.2006 23:00 11.274 KB925486.log
31.10.2006 23:00 0 setupact.log
31.10.2006 23:00 0 setuperr.log
31.10.2006 15:28 50 wiaservc.log
31.10.2006 15:28 411 wiadebug.log
30.10.2006 20:41 0 Sti_Trace.log
30.10.2006 19:51 1.571 win.ini
30.10.2006 19:51 227 system.ini
28.10.2006 03:19 803 Wininit.ini
17.10.2006 18:25 229 NeroDigital.ini
01.10.2006 17:45 3.243 cdplayer.ini
...

temp.txt

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\WINDOWS\Temp

31.10.2006 21:14 0 T30DebugLogFile.txt
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 96.235.380.736 Bytes frei

down.txt

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\WINDOWS\Downloaded Program Files

08.08.2006 11:45 576 kavwebscan.inf
29.06.2005 16:17 227 opuc.inf
17.11.2004 01:35 65 desktop.ini
03.08.2004 14:51 293 wuweb.inf
13.04.2004 06:04 307.200 isusweb.dll
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
7 Datei(en) 529.545 Bytes
0 Verzeichnis(se), 96.234.057.728 Bytes frei

c.txt

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\

01.11.2006 02:07 0 sys.txt
01.11.2006 02:07 581 down.txt
01.11.2006 02:07 275 temp.txt
01.11.2006 02:07 275 tmp.txt
01.11.2006 02:07 7.070 windows.txt
01.11.2006 02:06 7.070 system.txt
01.11.2006 02:06 482 systemtemp.txt
01.11.2006 02:06 100.031 system32.txt
01.11.2006 02:02 535.351.296 hiberfil.sys
01.11.2006 02:02 805.306.368 pagefile.sys
31.10.2006 20:35 2.444 avenger.txt
30.10.2006 23:52 0 Dokumente
30.10.2006 19:51 211 boot.ini
...

Ich hoffe, ich habe alles richtig gemacht und mein System ist wieder sauber.

Nochmal Vielen Dank für die Unterstützung.

Gruß Jerzy