Im Windows\Temp-Ordner werden Dateien vom Typ idd***.tmp.exe erstelltThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
31.10.2006, 02:47
...neu hier
Beiträge: 3 |
||
|
||
31.10.2006, 11:09
Ehrenmitglied
Beiträge: 29434 |
#2
Jerzy
avenger http://virus-protect.org/artikel/tools/avenger.html kopiere rein Zitat registry keys to delete:Klicke die grüne Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten ** scanne und poste den scanreport http://virus-protect.org/artikel/tools/superantispyware.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
31.10.2006, 21:11
...neu hier
Themenstarter Beiträge: 3 |
#3
Sabina, vielen Dank für die schnelle Antwort. Es hat zwar ein bißchen gedauert, aber inzwischen habe ich avenger und den Scan mit Superantispyware ausgeführt.
Hier der dazugehörige Report: SUPERAntiSpyware Scan Log Generated 10/31/2006 at 09:03 PM Application Version : 3.3.1020 Core Rules Database Version : 3117 Trace Rules Database Version: 1140 Scan type : Complete Scan Total Scan Time : 00:23:34 Memory items scanned : 333 Memory Thread detected : 0 Registry items scanned : 5579 Registry Thread detected : 6 File items scanned : 31988 File Thread detected : 2 Trojan.Unknown Origin HKLM\SOFTWARE\Microsoft\MSSMGR HKLM\SOFTWARE\Microsoft\MSSMGR#Data HKLM\SOFTWARE\Microsoft\MSSMGR#LSTV HKLM\SOFTWARE\Microsoft\MSSMGR#Brnd HKLM\SOFTWARE\Microsoft\MSSMGR#Rid HKLM\SOFTWARE\Microsoft\MSSMGR#LID BearShare File Sharing Client C:\PROGRAMME\BEARSHARE\BEARSHARE.EXE C:\DOKUMENTE UND EINSTELLUNGEN\DANIEL\STARTMENü\PROGRAMME\TOOLS\INTERNET\BEARSHARE\BEARSHARE.LNK Muss ich noch weitere Schritte ausführen? Gruß Jerzy |
|
|
||
01.11.2006, 00:26
Ehrenmitglied
Beiträge: 29434 |
#4
poste noch mal die 6 logs von datfindbat - zur Ueberpruefung
__________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
01.11.2006, 02:19
...neu hier
Themenstarter Beiträge: 3 |
#5
Hier also noch einmal die Logs von datfindbat. In der Zwischenzeit schlug der Virenscanner übrigens nicht wieder Alarm.
system32.txt Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\WINDOWS\system32 31.10.2006 23:11 41.103 vsconfig.xml 29.10.2006 14:38 381.828 perfh009.dat 29.10.2006 14:38 53.572 perfc009.dat 29.10.2006 14:38 392.842 perfh007.dat 29.10.2006 14:38 64.650 perfc007.dat 29.10.2006 14:38 902.476 PerfStringBackup.INI 29.10.2006 14:31 153.976 FNTCACHE.DAT 22.10.2006 17:18 2.278 wpa.dbl 15.09.2006 21:52 91.904 S32EVNT1.DLL 13.09.2006 06:02 1.084.416 msxml3.dll 04.09.2006 07:12 1.494.016 shdocvw.dll 04.09.2006 01:04 4.212 zllictbl.dat 25.08.2006 16:46 617.472 comctl32.dll 21.08.2006 13:26 16.896 fltlib.dll 21.08.2006 10:14 23.040 fltmc.exe 18.08.2006 02:25 41 AuxDrv32b_k.oxc 18.08.2006 02:25 41 SndDrv32a_k.oxc 16.08.2006 12:58 100.352 6to4svc.dll 09.08.2006 11:03 8.325.544 MRT.exe 03.08.2006 16:34 466.944 capicom.dll 02.08.2006 19:23 43.520 CmdLineExt03.dll ... systemtemp.txt Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\DOKUME~1\Daniel\LOKALE~1\Temp 31.10.2006 23:11 16.384 ~DFD18A.tmp 31.10.2006 21:17 16.384 ~DF906F.tmp 31.10.2006 21:05 16.384 ~DF223C.tmp 29.10.2006 05:56 244 1F1205F7.TMP 17.02.2006 16:55 143.360 SSUPDATE.EXE 5 Datei(en) 192.756 Bytes 0 Verzeichnis(se), 96.236.777.472 Bytes frei windows.txt Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\WINDOWS 01.11.2006 02:03 0 0.log 01.11.2006 02:02 4.428 ModemLog_Acer Modem 56 Surf PCI.txt 01.11.2006 02:02 1.339.262 WindowsUpdate.log 01.11.2006 02:02 2.048 bootstat.dat 01.11.2006 02:01 32.156 SchedLgU.Txt 01.11.2006 02:01 28.511 setupapi.log 31.10.2006 23:02 9.961 iis6.log 31.10.2006 23:02 20.537 comsetup.log 31.10.2006 23:02 12.452 ntdtcsetup.log 31.10.2006 23:02 23.590 tsoc.log 31.10.2006 23:02 1.393 imsins.log 31.10.2006 23:02 3.420 ocmsn.log 31.10.2006 23:02 16.329 KB924191.log 31.10.2006 23:02 29.160 ocgen.log 31.10.2006 23:02 3.030 msgsocm.log 31.10.2006 23:02 61.584 FaxSetup.log 31.10.2006 23:02 3.391 updspapi.log 31.10.2006 23:01 1.393 imsins.BAK 31.10.2006 23:01 16.033 KB922819.log 31.10.2006 23:01 14.347 KB923414.log 31.10.2006 23:01 14.376 KB920685.log 31.10.2006 23:01 14.537 KB924496.log 31.10.2006 23:01 15.766 KB920872.log 31.10.2006 23:01 14.237 KB919007.log 31.10.2006 23:01 11.870 KB923191.log 31.10.2006 23:01 9.660 KB922582.log 31.10.2006 23:00 11.274 KB925486.log 31.10.2006 23:00 0 setupact.log 31.10.2006 23:00 0 setuperr.log 31.10.2006 15:28 50 wiaservc.log 31.10.2006 15:28 411 wiadebug.log 30.10.2006 20:41 0 Sti_Trace.log 30.10.2006 19:51 1.571 win.ini 30.10.2006 19:51 227 system.ini 28.10.2006 03:19 803 Wininit.ini 17.10.2006 18:25 229 NeroDigital.ini 01.10.2006 17:45 3.243 cdplayer.ini ... temp.txt Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\WINDOWS\Temp 31.10.2006 21:14 0 T30DebugLogFile.txt 1 Datei(en) 0 Bytes 0 Verzeichnis(se), 96.235.380.736 Bytes frei down.txt Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\WINDOWS\Downloaded Program Files 08.08.2006 11:45 576 kavwebscan.inf 29.06.2005 16:17 227 opuc.inf 17.11.2004 01:35 65 desktop.ini 03.08.2004 14:51 293 wuweb.inf 13.04.2004 06:04 307.200 isusweb.dll 25.07.2002 18:13 24.576 dwusplay.dll 25.07.2002 18:13 196.608 dwusplay.exe 7 Datei(en) 529.545 Bytes 0 Verzeichnis(se), 96.234.057.728 Bytes frei c.txt Datentr„ger in Laufwerk C: ist BOOT Volumeseriennummer: 78EA-2C08 Verzeichnis von C:\ 01.11.2006 02:07 0 sys.txt 01.11.2006 02:07 581 down.txt 01.11.2006 02:07 275 temp.txt 01.11.2006 02:07 275 tmp.txt 01.11.2006 02:07 7.070 windows.txt 01.11.2006 02:06 7.070 system.txt 01.11.2006 02:06 482 systemtemp.txt 01.11.2006 02:06 100.031 system32.txt 01.11.2006 02:02 535.351.296 hiberfil.sys 01.11.2006 02:02 805.306.368 pagefile.sys 31.10.2006 20:35 2.444 avenger.txt 30.10.2006 23:52 0 Dokumente 30.10.2006 19:51 211 boot.ini ... Ich hoffe, ich habe alles richtig gemacht und mein System ist wieder sauber. Nochmal Vielen Dank für die Unterstützung. Gruß Jerzy |
|
|
||
Norten Antivirus meldet regelmäßig den Fund einer Bedrohung vom Typ "Dialer.Trojan". Darüber hinaus hatte ich am Vortag ein Problem mit der Datei winlogon.exe, die aber inzwischen gelöscht ist.
Ich habe versucht mich an die Regeln zu halten und (hoffentlich) alle notwendigen Informationen zusammenzutragen. Vielen Dank schon mal in Voraus.
Hier die Logfiles:
Hijackthis-Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 01:49:03, on 31.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton AntiVirus 2005\navapsvc.exe
C:\Programme\Norton AntiVirus 2005\IWP\NPFMntor.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wdfmgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Video\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\WINDOWS\zHotkey.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\TEMP\winF6.tmp.exe
C:\Dokumente und Einstellungen\Daniel\Desktop\Hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q105&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus 2005\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus 2005\NavShExt.dll
O3 - Toolbar: (no name) - {E915E62E-41DA-40D0-8106-3438B4D24394} - (no file)
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\Video\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1101228590656
O20 - Winlogon Notify: winuqw32 - C:\WINDOWS\SYSTEM32\winuqw32.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus 2005\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus 2005\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus 2005\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
----------------------------------------------------------------------------
Combofix:
Daniel - 06-10-31 2:15:28,59 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\Daniel\Desktop"
((((((((((((((((((((((((((((((( Files Created from 2006-09-31 to 2006-10-31 ))))))))))))))))))))))))))))))))))
2006-10-30 16:38 18,432 --a------ C:\WINDOWS\system32\winuqw32.dll
2006-10-28 19:42 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
2006-10-31 02:13 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-10-31 02:07 -------- d-------- C:\Programme\Mozilla Firefox
2006-10-31 02:06 -------- d-------- C:\Programme\CleanUp!
2006-10-30 19:29 -------- d-------- C:\Programme\CCleaner
2006-10-30 00:44 32424 --a------ C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-10-28 21:26 -------- d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\Adobe
2006-10-28 21:21 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-10-28 21:21 -------- d-------- C:\Programme\Adobe
2006-10-28 14:55 -------- d-------- C:\Programme\ICQLite
2006-10-27 22:27 -------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-10-01 01:59 -------- d-------- C:\Programme\Symantec
2006-09-25 14:23 -------- d-------- C:\Programme\eMule
2006-09-25 13:12 -------- d-------- C:\Programme\Ashampoo UnInstaller Platinum Suite
2006-09-24 20:49 -------- d-------- C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\phonostar-Player
2006-09-24 13:40 -------- d-------- C:\Programme\BearShare
2006-09-15 21:52 91904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-09-15 21:52 124016 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-09-07 02:19 -------- d-------- C:\Programme\WinSweep
2006-09-04 02:21 -------- d-------- C:\Programme\Shareaza
2006-09-01 22:28 -------- d-------- C:\Programme\phonostar
2006-09-01 13:14 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-09-01 01:50 -------- d-------- C:\Programme\F-Secure Blacklight
2006-08-02 19:23 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries are not shown
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"RemoteControl"="C:\\Programme\\Video\\PowerDVD\\PDVDServ.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"FinePrint Dispatcher v4"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\fpdisp4.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"CloneCDTray"="\"C:\\Programme\\CloneCD\\CloneCDTray.exe\" /s"
"CHotkey"="zHotkey.exe"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Acrobat Assistant 7.0"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,a2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,\
00,00,01,00,00,00
[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00
[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=hex:91,00,00,00
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"PhonostarTimer"="C:\\Programme\\phonostar\\ps_timer.exe"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ISUSPM Startup"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\ISUSPM.exe -startup"
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"Easy-PrintToolBox"="C:\\Programme\\Canon\\Easy-PrintToolBox\\BJPSMAIN.EXE /logon"
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winuqw32
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"
Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer prfen - Daniel.job
C:\WINDOWS\tasks\Symantec NetDetect.job
Completion time: 06-10-31 2:16:27.96
C:\ComboFix.txt ... 06-10-31 02:16
----------------------------------------------------------------------------
datfind.bat-Logfiles:
system32.txt
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08
Verzeichnis von C:\WINDOWS\system32
31.10.2006 02:14 41.103 vsconfig.xml
30.10.2006 16:38 18.432 winuqw32.dll
29.10.2006 14:38 381.828 perfh009.dat
29.10.2006 14:38 53.572 perfc009.dat
29.10.2006 14:38 392.842 perfh007.dat
29.10.2006 14:38 64.650 perfc007.dat
29.10.2006 14:38 902.476 PerfStringBackup.INI
29.10.2006 14:31 153.976 FNTCACHE.DAT
22.10.2006 17:18 2.278 wpa.dbl
15.09.2006 21:52 91.904 S32EVNT1.DLL
04.09.2006 01:04 4.212 zllictbl.dat
18.08.2006 02:25 41 AuxDrv32b_k.oxc
18.08.2006 02:25 41 SndDrv32a_k.oxc
09.08.2006 11:03 8.325.544 MRT.exe
03.08.2006 16:34 466.944 capicom.dll
02.08.2006 19:23 43.520 CmdLineExt03.dll
...
stystemtemp.txt
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08
Verzeichnis von C:\DOKUME~1\Daniel\LOKALE~1\Temp
31.10.2006 02:19 59.964 Adobelm_Cleanup.0001
31.10.2006 02:14 16.384 ~DFEA84.tmp
2 Datei(en) 76.348 Bytes
0 Verzeichnis(se), 96.773.279.744 Bytes frei
windows.txt
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08
Verzeichnis von C:\WINDOWS
31.10.2006 02:13 0 0.log
31.10.2006 02:13 4.428 ModemLog_Acer Modem 56 Surf PCI.txt
31.10.2006 02:13 1.236.145 WindowsUpdate.log
31.10.2006 02:13 2.048 bootstat.dat
31.10.2006 02:12 32.156 SchedLgU.Txt
30.10.2006 23:59 4.265 setupapi.log
30.10.2006 20:57 411 wiadebug.log
30.10.2006 20:51 50 wiaservc.log
30.10.2006 20:41 0 Sti_Trace.log
30.10.2006 19:51 1.571 win.ini
30.10.2006 19:51 227 system.ini
28.10.2006 03:19 803 Wininit.ini
17.10.2006 18:25 229 NeroDigital.ini
01.10.2006 17:45 3.243 cdplayer.ini
29.08.2006 14:35 6.897 mozver.dat
09.08.2006 01:01 754 WORDPAD.INI
...
temp.txt
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08
Verzeichnis von C:\WINDOWS\Temp
31.10.2006 02:27 33.280 win1E.tmp.exe
31.10.2006 02:14 256 ZLT05e0f.TMP
2 Datei(en) 33.536 Bytes
0 Verzeichnis(se), 96.773.263.360 Bytes frei
down.txt
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08
Verzeichnis von C:\WINDOWS\Downloaded Program Files
08.08.2006 11:45 576 kavwebscan.inf
...
c.txt
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08
Verzeichnis von C:\
31.10.2006 02:34 0 sys.txt
31.10.2006 02:34 581 down.txt
31.10.2006 02:33 319 tmp.txt
31.10.2006 02:32 5.937 system.txt
31.10.2006 02:32 342 systemtemp.txt
31.10.2006 02:31 100.081 system32.txt
31.10.2006 02:13 535.351.296 hiberfil.sys
31.10.2006 02:13 805.306.368 pagefile.sys
30.10.2006 23:52 0 Dokumente
30.10.2006 19:51 211 boot.ini
...
So, wie gesagt ich hoffe, ich hab' alles Notwendige zusammengetragen, damit mir jemand fachkundiges weiterhelfen kann. Ich habe zusätzlich mein System mit dem Kaspersky-Onlinescanner und dem Rootkitrevealer geprüft. Die zugehörigen Logfiles habe ich an die Nachricht angehangen (d.h. das RootkitRevealer-Log übermittle ich noch bei Bedarf).
Gruß Jerzy
Vielen Dank nochmal an alle Helfenden im Voraus.