mal wieder Virusburster ( critical system Error)

#1 Hi Sabrina,

den habe auch ich mir dummerweise gestern eingefangen.

Anbei die Logs:

Logfile of HijackThis v1.99.1
Scan saved at 11:10:12, on 01.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\VideoKeyCodec\isamonitor.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\VideoKeyCodec\pmsngr.exe
C:\windows\system\hpsysdrv.exe
c:\windows\system32\drivers\etc\Services.exe
c:\windows\system32\drivers\etc\spoolsv.exe
C:\Programme\VideoKeyCodec\pmmon.exe
C:\Programme\VideoKeyCodec\isamini.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\ALCMTR.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\BearShare\BearShare.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Quizbutler2.0.exe
C:\Programme\ARM Software\MacroMaker\MacroMaker.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymSCUI.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\HP_BES~1\LOKALE~1\Temp\Rar$EX00.891\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=desktop
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=DE_DE&c=Q305&bd=pavilion&pf=desktop
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d} - C:\Programme\VideoKeyCodec\isaddon.dll
O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - (no file)
O3 - Toolbar: HP-Ansicht - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Programme\HP\Digital Imaging\bin\HPDTLK02.dll
O3 - Toolbar: Protection Bar - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - C:\Programme\VideoKeyCodec\iesplugin.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Programme\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: MacroMaker.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Quizbutler2.0.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9BF607E0-4CC1-4099-9A07-362C9E4FB090} (WStarter Control) - http://live.pdbox.co.kr:8057/WStarter.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: ferrateen - {27321538-5739-4aa1-b84c-7d18e4383f1f} - C:\WINDOWS\system32\rrtcany.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: spoolsv.exe - Unknown owner - c:\windows\system32\drivers\etc\Services.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
--------------------------------------------
Combofix:

HP_Besitzer - 06-11-01 11:13:06,03 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\PROGRA~1\MOZILL~1"

((((((((((((((((((((((((((((((( Files Created from 2006-10-01 to 2006-11-01 ))))))))))))))))))))))))))))))))))


2006-11-01 10:34 482 --a------ C:\avexport.bat
2006-11-01 01:19 106,496 --a------ C:\WINDOWS\system32\rrtcany.dll
2006-10-18 10:36 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2006-10-17 18:27 5,152 --a------ C:\WINDOWS\ouwininit.exe
2006-10-07 13:46 2,560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2006-10-07 13:35 5,138,304 --a------ C:\Firefox Setup 1.5.0.7.exe
2006-10-03 00:18 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2006-10-03 00:18 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2006-10-03 00:18 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-01 11:13 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-01 11:02 -------- d-------- C:\Programme\CleanUp!
2006-11-01 10:56 -------- d-------- C:\Programme\XoftSpySE
2006-11-01 10:51 -------- d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\uTorrent
2006-11-01 10:39 -------- d-------- C:\Programme\Unlocker
2006-11-01 10:25 -------- d-------- C:\Programme\Lavasoft
2006-11-01 10:25 -------- d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Lavasoft
2006-11-01 10:05 -------- d-------- C:\Programme\BearShare
2006-11-01 09:28 -------- d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\SlimBrowser
2006-11-01 01:36 -------- d-------- C:\Programme\P2PTVRecorder
2006-11-01 01:19 -------- d-------- C:\Programme\VideoKeyCodec
2006-11-01 01:11 -------- d-------- C:\Programme\PPMate
2006-11-01 01:11 -------- d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\PPMate
2006-10-29 22:28 -------- d-------- C:\Programme\HLSW
2006-10-28 16:51 -------- d-------- C:\Programme\Call of Duty 2
2006-10-27 18:02 -------- d-------- C:\Programme\bwin
2006-10-21 12:32 -------- d-------- C:\Programme\IrfanView
2006-10-21 12:32 -------- d-------- C:\Programme\ImageDownsampler
2006-10-21 12:31 -------- d-------- C:\Programme\Tinypic
2006-10-19 19:05 -------- d-------- C:\Programme\KnuddelsKit
2006-10-18 23:48 -------- d-------- C:\Programme\MSN Messenger
2006-10-18 20:41 -------- d-------- C:\Programme\Picasa2
2006-10-18 10:41 -------- d-------- C:\Programme\MSBuild
2006-10-18 10:37 -------- d-------- C:\Programme\Reference Assemblies
2006-10-18 09:14 -------- d-------- C:\Programme\ARM Software
2006-10-17 22:02 -------- d-------- C:\Programme\CnuddelzBot
2006-10-17 18:27 -------- d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\MozillaControl
2006-10-17 17:04 -------- d-------- C:\Programme\Knuddelskonsole
2006-10-17 08:58 -------- d-------- C:\Programme\KnuddelsBot
2006-10-15 20:48 -------- d-------- C:\Programme\TVUPlayer
2006-10-11 21:42 -------- d---s---- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Microsoft
2006-10-10 23:08 -------- d-------- C:\Programme\WmrPro
2006-10-10 23:05 -------- d-------- C:\Programme\WMR11
2006-10-09 19:27 -------- d-------- C:\Programme\PPLive
2006-10-07 16:06 -------- d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\SopCast
2006-10-07 16:01 -------- d-------- C:\Programme\SopCast
2006-10-07 14:01 -------- d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Mozilla
2006-10-07 13:54 -------- d-------- C:\Programme\Yahoo!
2006-10-07 13:54 -------- d-------- C:\Programme\XDCC Catcher
2006-10-07 13:50 -------- d-------- C:\Programme\Easy Internet signup
2006-10-07 13:49 -------- d-------- C:\Programme\Die Gilde 2
2006-10-07 13:48 -------- d-------- C:\Programme\BitComet
2006-10-07 13:47 -------- d-------- C:\Programme\GetRight
2006-10-07 13:46 2560 --a------ C:\WINDOWS\_MSRSTRT.EXE
2006-10-07 13:22 -------- d-------- C:\Programme\MaxTV Online
2006-10-07 13:22 -------- d-------- C:\Programme\MaxSoftware
2006-10-07 13:14 -------- d-------- C:\Programme\TVAnts
2006-10-07 13:10 359808 --a------ C:\WINDOWS\system32\drivers\TCPIP.SYS
2006-10-07 13:10 -------- d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\PPLive
2006-10-05 20:26 -------- d-------- C:\Programme\Nowcom
2006-10-03 13:20 -------- d-------- C:\Programme\PartyGaming
2006-10-02 19:31 -------- d-------- C:\Programme\Activision Value
2006-09-28 07:22 778656 --a------ C:\WINDOWS\system32\drivers\avg7core.sys
2006-09-24 13:03 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-09-23 13:05 -------- d-------- C:\Programme\Smart Projects
2006-09-15 15:39 208896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2006-09-15 15:39 208896 --a------ C:\WINDOWS\system32\nvudisp.exe
2006-09-11 01:08 9480 --a------ C:\WINDOWS\system32\icardres.dll
2006-09-11 01:08 83968 --a------ C:\WINDOWS\system32\infocardapi.dll
2006-09-11 01:08 554248 --a------ C:\WINDOWS\system32\icardagt.exe
2006-09-09 00:29 715776 --------- C:\WINDOWS\system32\WindowsCodecs.dll
2006-09-09 00:29 411648 --------- C:\WINDOWS\system32\photometadatahandler.dll
2006-09-09 00:29 352256 --------- C:\WINDOWS\system32\WindowsCodecsExt.dll
2006-09-09 00:29 274432 --------- C:\WINDOWS\system32\WMPhoto.dll
2006-09-08 22:20 768800 --a------ C:\WINDOWS\system32\PresentationNative_v0300.dll
2006-09-08 22:20 473376 --a------ C:\WINDOWS\system32\evr.dll
2006-09-08 22:20 343328 --a------ C:\WINDOWS\system32\PresentationHost.exe
2006-09-08 22:20 1957152 --a------ C:\WINDOWS\system32\milcore.dll
2006-09-08 22:20 157984 --a------ C:\WINDOWS\system32\UIAutomationCore.dll
2006-09-08 22:19 68896 --a------ C:\WINDOWS\system32\dxva2.dll
2006-09-08 22:19 20768 --a------ C:\WINDOWS\system32\PresentationHostProxy.dll
2006-09-08 22:19 104224 --a------ C:\WINDOWS\system32\PresentationCFFRasterizerNative_v0300.dll
2006-09-04 22:48 -------- d-------- C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\FlashFXP
2006-08-29 01:09 124416 --------- C:\WINDOWS\system32\prntvpt.dll
2006-08-29 01:08 560640 --------- C:\WINDOWS\system32\XPSSHHDR.dll
2006-08-29 01:08 1584128 --------- C:\WINDOWS\system32\XpsSvcs.dll
2006-08-24 15:15 150808 --a------ C:\WINDOWS\system32\rgb9rast_2.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-11 20:45 888832 --a------ C:\WINDOWS\system32\nvmobls.dll
2006-08-11 20:45 581632 --a------ C:\WINDOWS\system32\nvhwvid.dll
2006-08-11 20:45 5611520 --a------ C:\WINDOWS\system32\nvdisps.dll
2006-08-11 20:45 5251072 --a------ C:\WINDOWS\system32\nvdispsr.dll
2006-08-11 20:45 458752 --a------ C:\WINDOWS\system32\nvmccssr.dll
2006-08-11 20:45 45056 --a------ C:\WINDOWS\system32\nvmccsrs.dll
2006-08-11 20:45 3039232 --a------ C:\WINDOWS\system32\nvgames.dll
2006-08-11 20:45 2953216 --a------ C:\WINDOWS\system32\nvvitvsr.dll
2006-08-11 20:45 2928640 --a------ C:\WINDOWS\system32\nvgamesr.dll
2006-08-11 20:45 2904064 --a------ C:\WINDOWS\system32\nvvitvs.dll
2006-08-11 20:45 2859008 --a------ C:\WINDOWS\system32\nvmoblsr.dll
2006-08-11 20:45 266240 --a------ C:\WINDOWS\system32\nvrsesm.dll
2006-08-11 20:45 258048 --a------ C:\WINDOWS\system32\nvrsko.dll
2006-08-11 20:45 249856 --a------ C:\WINDOWS\system32\nvrssl.dll
2006-08-11 20:45 249856 --a------ C:\WINDOWS\system32\nvrssk.dll
2006-08-11 20:45 249856 --a------ C:\WINDOWS\system32\nvrshu.dll
2006-08-11 20:45 229376 --a------ C:\WINDOWS\system32\nvmccs.dll
2006-08-11 20:45 188416 --a------ C:\WINDOWS\system32\nvmccss.dll
2006-08-11 20:45 1732608 --a------ C:\WINDOWS\system32\nvwssr.dll
2006-08-11 20:45 1236992 --a------ C:\WINDOWS\system32\nvwss.dll
2006-08-11 20:44 323584 --a------ C:\WINDOWS\system32\nvrshe.dll
2006-08-11 20:44 323584 --a------ C:\WINDOWS\system32\nvrsar.dll
2006-08-11 20:44 274432 --a------ C:\WINDOWS\system32\nvrses.dll
2006-08-11 20:44 274432 --a------ C:\WINDOWS\system32\nvrsel.dll
2006-08-11 20:44 266240 --a------ C:\WINDOWS\system32\nvrspt.dll
2006-08-11 20:44 262144 --a------ C:\WINDOWS\system32\nvrsja.dll
2006-08-11 20:44 249856 --a------ C:\WINDOWS\system32\nvrstr.dll
2006-08-11 20:44 249856 --a------ C:\WINDOWS\system32\nvrspl.dll
2006-08-11 20:44 249856 --a------ C:\WINDOWS\system32\nvrsno.dll
2006-08-11 20:44 241664 --a------ C:\WINDOWS\system32\nvrscs.dll
2006-08-11 20:44 147456 --a------ C:\WINDOWS\system32\nvcolor.exe
2006-08-11 20:43 86016 --a------ C:\WINDOWS\system32\nvmctray.dll
2006-08-11 20:43 81920 --a------ C:\WINDOWS\system32\nvwddi.dll
2006-08-11 20:43 794624 --a------ C:\WINDOWS\system32\nvcplui.exe
2006-08-11 20:43 7630848 --a------ C:\WINDOWS\system32\nvcpl.dll
2006-08-11 20:43 466944 --a------ C:\WINDOWS\system32\nvshell.dll
2006-08-11 20:43 442368 --a------ C:\WINDOWS\system32\nvappbar.exe
2006-08-11 20:43 425984 --a------ C:\WINDOWS\system32\keystone.exe
2006-08-11 20:43 335872 --a------ C:\WINDOWS\system32\nvwrses.dll
2006-08-11 20:43 335872 --a------ C:\WINDOWS\system32\nvwrsel.dll
2006-08-11 20:43 327680 --a------ C:\WINDOWS\system32\nvwrsfr.dll
2006-08-11 20:43 327680 --a------ C:\WINDOWS\system32\nvwrsesm.dll
2006-08-11 20:43 323584 --a------ C:\WINDOWS\system32\nvwrspt.dll
2006-08-11 20:43 323584 --a------ C:\WINDOWS\system32\nvwrsit.dll
2006-08-11 20:43 319488 --a------ C:\WINDOWS\system32\nvwrsptb.dll
2006-08-11 20:43 319488 --a------ C:\WINDOWS\system32\nvwrsnl.dll
2006-08-11 20:43 315392 --a------ C:\WINDOWS\system32\nvwrsru.dll
2006-08-11 20:43 315392 --a------ C:\WINDOWS\system32\nvwrshu.dll
2006-08-11 20:43 311296 --a------ C:\WINDOWS\system32\nvwrsde.dll
2006-08-11 20:43 311296 --a------ C:\WINDOWS\system32\nvexpbar.dll
2006-08-11 20:43 303104 --a------ C:\WINDOWS\system32\nvwrstr.dll
2006-08-11 20:43 303104 --a------ C:\WINDOWS\system32\nvwrssl.dll
2006-08-11 20:43 303104 --a------ C:\WINDOWS\system32\nvwrsfi.dll
2006-08-11 20:43 299008 --a------ C:\WINDOWS\system32\nvwrssk.dll
2006-08-11 20:43 299008 --a------ C:\WINDOWS\system32\nvwrsno.dll
2006-08-11 20:43 294912 --a------ C:\WINDOWS\system32\nvwrssv.dll
2006-08-11 20:43 294912 --a------ C:\WINDOWS\system32\nvwrspl.dll
2006-08-11 20:43 294912 --a------ C:\WINDOWS\system32\nvwrsda.dll
2006-08-11 20:43 286720 --a------ C:\WINDOWS\system32\nvwrseng.dll
2006-08-11 20:43 286720 --a------ C:\WINDOWS\system32\nvwrscs.dll
2006-08-11 20:43 286720 --a------ C:\WINDOWS\system32\nvnt4cpl.dll
2006-08-11 20:43 282624 --a------ C:\WINDOWS\system32\nvwrsar.dll
2006-08-11 20:43 278528 --a------ C:\WINDOWS\system32\nvwrshe.dll
2006-08-11 20:43 278528 --a------ C:\WINDOWS\system32\nvrsfr.dll
2006-08-11 20:43 274432 --a------ C:\WINDOWS\system32\nvrsit.dll
2006-08-11 20:43 270336 --a------ C:\WINDOWS\system32\nvrsde.dll
2006-08-11 20:43 266240 --a------ C:\WINDOWS\system32\nvrsnl.dll
2006-08-11 20:43 262144 --a------ C:\WINDOWS\system32\nvrsru.dll
2006-08-11 20:43 262144 --a------ C:\WINDOWS\system32\nvrsptb.dll
2006-08-11 20:43 245760 --a------ C:\WINDOWS\system32\nvrssv.dll
2006-08-11 20:43 245760 --a------ C:\WINDOWS\system32\nvrsda.dll
2006-08-11 20:43 241664 --a------ C:\WINDOWS\system32\nvrsfi.dll
2006-08-11 20:43 241664 --a------ C:\WINDOWS\system32\nvrseng.dll
2006-08-11 20:43 221184 --a------ C:\WINDOWS\system32\nvrszhc.dll
2006-08-11 20:43 212992 --a------ C:\WINDOWS\system32\nvwrsja.dll
2006-08-11 20:43 196608 --a------ C:\WINDOWS\system32\nvwrsko.dll
2006-08-11 20:43 196608 --a------ C:\WINDOWS\system32\nvapi.dll
2006-08-11 20:43 167936 --a------ C:\WINDOWS\system32\nvwrszht.dll
2006-08-11 20:43 1662976 --a------ C:\WINDOWS\system32\nvwdmcpl.dll
2006-08-11 20:43 163840 --a------ C:\WINDOWS\system32\nvwrszhc.dll
2006-08-11 20:43 1519616 --a------ C:\WINDOWS\system32\nwiz.exe
2006-08-11 20:43 1470464 --a------ C:\WINDOWS\system32\nview.dll
2006-08-11 20:43 1339392 --a------ C:\WINDOWS\system32\nvdspsch.exe
2006-08-11 20:43 122880 --a------ C:\WINDOWS\system32\nvrszht.dll
2006-08-11 20:43 1019904 --a------ C:\WINDOWS\system32\nvwimg.dll
2006-08-11 20:43 1011712 --a------ C:\WINDOWS\system32\nvcpluir.dll
2006-08-11 20:42 5636096 --a------ C:\WINDOWS\system32\nvoglnt.dll
2006-08-11 20:42 4496128 --a------ C:\WINDOWS\system32\nv4_disp.dll
2006-08-11 20:42 35840 --a------ C:\WINDOWS\system32\nvcodins.dll
2006-08-11 20:42 35840 --a------ C:\WINDOWS\system32\nvcod.dll
2006-08-11 20:42 155715 --a------ C:\WINDOWS\system32\nvsvc32.exe
2006-08-09 12:44 22752 --a------ C:\WINDOWS\system32\spupdsvc.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MsnMsgr"="\"C:\\Programme\\MSN Messenger\\MsnMsgr.Exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"hpsysdrv"="c:\\windows\\system\\hpsysdrv.exe"
"HPHUPD06"="c:\\Programme\\HP\\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\\hphupd06.exe"
"Recguard"="C:\\WINDOWS\\SMINST\\RECGUARD.EXE"
"PS2"="C:\\WINDOWS\\system32\\ps2.exe"
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"Picasa Media Detector"="C:\\Programme\\Picasa2\\PicasaMediaDetector.exe"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"BearShare"="\"C:\\Programme\\BearShare\\BearShare.exe\" /pause"
"UnlockerAssistant"="\"C:\\Programme\\Unlocker\\UnlockerAssistant.exe\""

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,c6,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,02,01,00,00,5a,00,00,00,2c,00,00,00,13,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"RoboForm"="\"C:\\Programme\\Siber Systems\\AI RoboForm\\RoboTaskBarIcon.exe\""
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"RoboForm"="\"C:\\Programme\\Siber Systems\\AI RoboForm\\RoboTaskBarIcon.exe\""
"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{27321538-5739-4aa1-b84c-7d18e4383f1f}"="ferrateen"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\VideoKeyCodec\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\VideoKeyCodec\\pmsngr.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"ferrateen"="{27321538-5739-4aa1-b84c-7d18e4383f1f}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HPHmon06]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="hphmon06"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\hphmon06.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="iTunesHelper"
"hkey"="HKLM"
"command"="C:\\Programme\\iTunes\\iTunesHelper.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SemanticInsight]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SemanticInsight"
"hkey"="HKLM"
"command"="C:\\Programme\\RXToolBar\\Semantic Insight\\SemanticInsight.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zone Labs Client]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="zlclient"
"hkey"="HKLM"
"command"="C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Symantec NetDetect.job
C:\WINDOWS\tasks\XoftSpySE.job

Completion time: 06-11-01 11:13:45.42
C:\ComboFix.txt ... 06-11-01 11:13

----------------------------------------------

Datentr„ger in Laufwerk C: ist HP_PAVILION
Volumeseriennummer: C829-6807

Verzeichnis von C:\WINDOWS\system32

01.11.2006 11:08 81.229 nvapps.xml
01.11.2006 01:19 106.496 rrtcany.dll
29.10.2006 07:28 437.702 perfh009.dat
29.10.2006 07:28 70.796 perfc009.dat
29.10.2006 07:28 454.634 perfh007.dat
29.10.2006 07:28 83.648 perfc007.dat
29.10.2006 07:28 1.061.540 PerfStringBackup.INI
18.10.2006 12:31 124.520 FNTCACHE.DAT
24.09.2006 13:03 98.304 CmdLineExt.dll
15.09.2006 15:39 208.896 NVUNINST.EXE
15.09.2006 15:39 208.896 nvudisp.exe
11.09.2006 18:37 8.960.936 MRT.exe
11.09.2006 01:08 26.112 infocardcpl.cpl
11.09.2006 01:08 83.968 infocardapi.dll
11.09.2006 01:08 544.528 icardres.dll.mui
11.09.2006 01:08 9.480 icardres.dll
11.09.2006 01:08 554.248 icardagt.exe
09.09.2006 00:29 715.776 WindowsCodecs.dll
09.09.2006 00:29 411.648 photometadatahandler.dll
09.09.2006 00:29 352.256 WindowsCodecsExt.dll
09.09.2006 00:29 274.432 WMPhoto.dll
08.09.2006 22:20 1.957.152 milcore.dll
08.09.2006 22:20 768.800 PresentationNative_v0300.dll
08.09.2006 22:20 473.376 evr.dll
08.09.2006 22:20 343.328 PresentationHost.exe
08.09.2006 22:20 157.984 UIAutomationCore.dll
08.09.2006 22:19 104.224 PresentationCFFRasterizerNative_v0300.dll
08.09.2006 22:19 68.896 dxva2.dll
08.09.2006 22:19 20.768 PresentationHostProxy.dll
01.09.2006 02:24 260.880 MSFLXGRD.OCX
29.08.2006 01:09 124.416 prntvpt.dll
29.08.2006 01:08 1.584.128 XpsSvcs.dll
29.08.2006 01:08 560.640 XPSSHHDR.dll
24.08.2006 15:15 150.808 rgb9rast_2.dll
21.08.2006 13:26 16.896 fltlib.dll

#2 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\ouwininit.exe

poste den report

_____________________________________________________

Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|VirusBurster
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{27321538-5739-4aa1-b84c-7d18e4383f1f}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|ferrateen

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{dfa61db1-388e-4c87-8d56-540fa229bcb4}
HKEY_LOCAL_MACHINE\SOFTWARE\VirusBurst
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{7b4d79df-9ef0-429d-a0e9-d9b138c6a53b}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VideoKeyCodec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VideoKeyCodec
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\VirusBurst
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\VirusBurst
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SemanticInsight

Files to delete:
C:\WINDOWS\ouwininit.exe
C:\WINDOWS\system32\rrtcany.dll

Folders to delete:
C:\Programme\VirusBurster
C:\Programme\VideoKeyCodec
C:\Programme\RXToolBar

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste hier das log vom avenger, was nach neustart erscheint

««
mit smitfraudfix http://virus-protect.org/artikel/tools/smitfrautfix.html scannen (Option 1 und 2) - lasse auch die Registry mitreinigen

»»
scanne mit counterspy und poste den scanreport
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabina,

erst mal danke für die schnelle Antwort:

anbei erst mal der virustotal-report

Complete scanning result of "ouwininit.exe", received in VirusTotal at 11.01.2006, 19:25:06 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.34 10.31.2006 no virus found
Authentium 4.93.8 10.31.2006 no virus found
Avast 4.7.892.0 10.31.2006 no virus found
AVG 386 11.01.2006 no virus found
BitDefender 7.2 11.01.2006 no virus found
CAT-QuickHeal 8.00 11.01.2006 no virus found
ClamAV devel-20060426 11.01.2006 no virus found
DrWeb 4.33 11.01.2006 no virus found
eTrust-InoculateIT 23.73.42 11.01.2006 no virus found
eTrust-Vet 30.3.3172 11.01.2006 no virus found
Ewido 4.0 11.01.2006 no virus found
Fortinet 2.82.0.0 11.01.2006 no virus found
F-Prot 3.16f 10.31.2006 no virus found
F-Prot4 4.2.1.29 10.31.2006 no virus found
Ikarus 0.2.65.0 11.01.2006 no virus found
Kaspersky 4.0.2.24 11.01.2006 no virus found
McAfee 4886 11.01.2006 no virus found
Microsoft 1.1609 11.01.2006 no virus found
NOD32v2 1.1847 11.01.2006 no virus found
Norman 5.80.02 11.01.2006 no virus found
Panda 9.0.0.4 11.01.2006 Suspicious file
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.109 10.30.2006 no virus found
UNA 1.83 11.01.2006 Worm.Win32.Agent.g
VBA32 3.11.1 11.01.2006 no virus found
VirusBuster 4.3.15:9 11.01.2006 no virus found

Aditional Information
File size: 5152 bytes
MD5: 92960ed80b94e8f2225b808682c96b2a
SHA1: 35a5817a80de85283155272c6cfcd9a2eb10a8dd
packers: UPX
packers: UPX
packers: UPX

#4 arbeite also den avenger ab und poste das log nach neustart, was erscheint
dann arbeite mit smitfraudfix und counterspy und poste alle logs hier
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hi Sabina,


vielen Dank für Deine Hilfe. Virusburst und Warnungen sind nicht mehr vorhanden,
auch nach mehrmaligem Neustart. Der andere Wurm ist auch entfernt.
Daher denke ich, erübrigt sich ein weiteres Posting mit Logs



Grüße,

Chris