TR/Proxy.Horst.Gen "58exmodul32e.q.exe"

#1 Habe mir dieses Teil, was auch immer es ist, irgendwo eingefangen...

Im Grunde bekomme ich auch nichts davon mit, außer, dass mein AntiVir ca. einmal täglich aufpoppt und mir eine dieser (xx)exmodul32(x.x).exe ausspuckt und dieser Trojaner (?) dauernd 2 Dateien in jeweils einem meiner freigegebenen lokalen Netzwerkordner erstellt: "setup.exe" und dazu passend eine "autorun.ini", die lediglich die .exe startet.

Im Taskmanager und in MsConfig konnte ich allerdings keine unbekannten Dienste/Autostarts oder Tasks feststellen.

Bin gerade deshalb, weil ich überhaupt nicht weiß, was dieses Teil anrichtet, etwas ängstlich und hoffe daher, dass mir hier geholfen werden kann.


MfG Michael


/edit es befinden sich weitere dieser Dateien unter Lokale Einstellungen/Temp ...AntiVir meldet mir in diesem Ordner TR/Medbod.B, die entsprechenden Dateien nennen sich "41exssd32.o.exe" und "74exhdd.l.exe" und auch hier befinden sich die Dateien "setup.exe" und "autorun.ini"
Außerdem ist zu jeder dieser komischen Dateien jeweils noch eine weitere Datei aufgetaucht: "dateiname.exe".conf


Letzendlich sieht es also folgendermaßen aus

Freigegebener loaker Netzwerkordner: setup.exe und autorun.ini (==> TR/Proxy.Horst.Gen)

Lokale Einstellungen / Temp:
58exmodul32e.q.exe und 58exmodul32e.q.exe.conf (==> TR/Proxy.Horst.Gen)

41exssd32.o.exe und 41exssd32.o.exe.conf (==> TR/Medbod.B)

74exhdd.l.exe und 74exhdd.l.exe.conf (==> TR/Dldr.Horst.EG.2)

setup.exe und autorun.ini (==> TR/Proxy.Horst.Gen)

Es sind keine "offensichtlichen" merkwürdigen Tasks oder Anwendungen geöffnet.


Langsam bekomme ich echt Angst...


/edit WICHTIG

direkt nach dem Neustarten meines Rechners taucht plötzlich eine weitere Meldung auf:

Befallene Datei
smss.exe
TR/Proxy.Horst.PJ.1

#2 Leioste bitte etwas vorarbeit. Stelle Antivir wie hier beschrieben ein:
http://board.protecus.de/t23979.htm

Dann starte den Rechner im abgesicherten Modus und lasse Antivir alles in quarantäne schieben, was es findet. Poste bitte diesen Antrivir Report/Bericht.


Dann bitte noch diese Dinge nachreichen:
http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 vielen dank schonmal für die schnelle antwort ...ich bin gerade dabei, die aufgeführten schritte auszuführen.

habe nebenbei bemerkt, dass plötzlich "smss.exe" in msconfig unter autostart angeschaltet wurde kurz nachdem ich besagte "virus found" meldung von antivir bekam...

/edit


HighJackThis

Logfile of HijackThis v1.99.1
Scan saved at 13:13, on 06-11-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS2\System32\smss.exe
C:\WINDOWS2\system32\winlogon.exe
C:\WINDOWS2\system32\services.exe
C:\WINDOWS2\system32\lsass.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\WINDOWS2\system32\spoolsv.exe
C:\WINDOWS2\Explorer.EXE
C:\Treiber\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Popup Ad Filter\PopFilter.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS2\system32\nvsvc32.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\system32\ZoneLabs\vsmon.exe
C:\WINDOWS2\System32\svchost.exe
C:\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inwow.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\programme\acrobatreader\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS2\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS2\system\smss.exe /w
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Popup Ad Filter\PopFilter.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS2\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS2\system32\shdocvw.dll
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136640545343
O17 - HKLM\System\CCS\Services\Tcpip\..\{31B555D8-CCF7-48F7-83A9-F4763A6D855B}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS2\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS2\system32\ZoneLabs\vsmon.exe



ComboFix

Michael - 06-11-28 13:15:28.17 Service Pack 2
ComboFix 06.11.27W - Running from: "C:\Downloads"

((((((((((((((((((((((((((((((( Files Created from 2006-10-28 to 2006-11-28 ))))))))))))))))))))))))))))))))))


2006-11-28 13:11 <DIR> dr-h----- C:\Dokumente und Einstellungen\Michael.STRICHEL.000\Recent
2006-11-28 13:09 <DIR> d-------- C:\Programme\CleanUp!
2006-11-25 17:49 <DIR> d-------- C:\Programme\EuroPoker
2006-11-23 13:33 <DIR> d-------- C:\Programme\Everest Poker
2006-11-14 10:36 <DIR> d-------- C:\Programme\QuickTime
2006-11-13 15:29 <DIR> d-------- C:\Programme\Sony
2006-11-13 15:14 <DIR> d--hs---- C:\Config.Msi
2006-11-13 10:08 48,824 --a------ C:\WINDOWS2\system32\S32EVNT1.DLL
2006-11-13 10:08 109,744 --a------ C:\WINDOWS2\system32\drivers\SYMEVENT.SYS
2006-11-13 10:07 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2006-11-13 10:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS2\Anwendungsdaten\Symantec
2006-11-12 20:34 <DIR> d-------- C:\Programme\eMule
2006-11-12 14:52 1,060,864 --a------ C:\WINDOWS2\system32\MFC71.dll
2006-11-12 14:52 <DIR> d-------- C:\Programme\Avast
2006-11-08 01:26 <DIR> dr-h----- C:\MSOCache
2006-11-04 10:59 <DIR> d-------- C:\Programme\DynDNS Updater
2006-11-04 10:59 <DIR> d-------- C:\Dokumente und Einstellungen\Michael.STRICHEL.000\Anwendungsdaten\Kana Solution
2006-11-03 00:42 6,016 --a------ C:\WINDOWS2\system32\drivers\vnccom.SYS
2006-11-03 00:42 5,760 --a------ C:\WINDOWS2\system32\vnchelp.dll
2006-11-03 00:42 4,736 --a------ C:\WINDOWS2\system32\drivers\vncdrv.sys
2006-11-03 00:42 12,800 --a------ C:\WINDOWS2\system32\vncdrv.dll
2006-11-03 00:42 <DIR> d-------- C:\Programme\UltraVNC
2006-11-02 18:09 <DIR> d-------- C:\Programme\DAEMON Tools
2006-11-02 17:22 51,552 --a------ C:\WINDOWS2\system32\drivers\ntgrip.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-27 01:21 -------- d-------- C:\Programme\RegCleaner2
2006-11-27 01:21 -------- d-------- C:\Programme\FrostWire
2006-11-27 01:21 -------- d-------- C:\Dokumente und Einstellungen\Michael.STRICHEL.000\Anwendungsdaten\FrostWire
2006-11-23 23:48 -------- d-------- C:\Dokumente und Einstellungen\Michael.STRICHEL.000\Anwendungsdaten\Skype
2006-11-19 15:38 -------- d-------- C:\Programme\ICQ
2006-11-18 18:20 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-18 18:20 -------- d-------- C:\Programme\Winamp
2006-11-18 10:13 -------- d-------- C:\Dokumente und Einstellungen\Michael.STRICHEL.000\Anwendungsdaten\SmartFTP
2006-11-18 08:07 -------- d-------- C:\Programme\Internet Explorer
2006-11-13 15:18 -------- d--h----- C:\Programme\Gemeinsame Dateien
2006-11-13 02:11 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-11-12 20:14 -------- d-------- C:\Programme\TuneUp Utilities
2006-11-02 18:04 611064 --a------ C:\WINDOWS2\system32\drivers\sptd.sys
2006-11-02 18:03 -------- d-------- C:\Programme\IsoBuster
2006-10-21 12:33 -------- d-------- C:\Programme\Fraps
2006-10-13 18:54 -------- d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2006-10-10 13:14 -------- d-------- C:\Dokumente und Einstellungen\Michael.STRICHEL.000\Anwendungsdaten\Publish Providers
2006-10-10 13:13 -------- d-------- C:\Dokumente und Einstellungen\Michael.STRICHEL.000\Anwendungsdaten\Sony
2006-10-10 13:07 -------- d--h----- C:\Programme\Uninstall Information
2006-10-10 13:07 -------- d--h----- C:\Programme\Microsoft SQL Server
2006-10-10 13:00 -------- d-------- C:\Dokumente und Einstellungen\Michael.STRICHEL.000\Anwendungsdaten\Sony Setup
2006-10-05 09:06 -------- d-------- C:\Programme\ZoneAlarm
2006-10-05 08:40 -------- d-------- C:\Programme\Windows Media Player
2006-10-05 08:40 -------- d-------- C:\Programme\Outlook Express
2006-10-05 08:40 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-09-15 15:39 208896 --a------ C:\WINDOWS2\system32\nvusmb.exe
2006-09-15 15:39 208896 --a------ C:\WINDOWS2\system32\NVUNINST.EXE
2006-09-15 15:39 208896 --a------ C:\WINDOWS2\system32\nvumctl.exe
2006-09-15 15:39 208896 --a------ C:\WINDOWS2\system32\nvuide.exe
2006-09-15 15:39 208896 --a------ C:\WINDOWS2\system32\nvugart.exe
2006-09-15 15:39 208896 --a------ C:\WINDOWS2\system32\nvuenet.exe
2006-09-15 15:39 208896 --a------ C:\WINDOWS2\system32\nvudisp.exe
2006-09-13 06:02 1084416 --a------ C:\WINDOWS2\system32\msxml3.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Popup Ad Filter"="C:\\Programme\\Popup Ad Filter\\PopFilter.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Logitech Utility"="Logi_MwX.Exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS2\\system32\\NvCpl.dll,NvStartup"
"Zone Labs Client"="\"C:\\Programme\\ZoneAlarm\\zlclient.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"MSConfig"="C:\\WINDOWS2\\PCHealth\\HelpCtr\\Binaries\\MSConfig.exe /auto"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,79,00,00,00,00,00,00,00,51,03,00,00,e4,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,74,00,00,00,00,00,00,00,b9,02,00,00,e4,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,74,00,00,00,00,00,00,00,b9,02,00,00,e4,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS2\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS2\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoDrives"=hex:00,00,00,00
"NoSharedDocuments"=hex:01,00,00,00
"NoRecentDocsHistory"=dword:00000001
"NoLowDiskSpaceChecks"=dword:00000000
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\.nvsvc]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="smss"
"hkey"="HKLM"
"command"="C:\\WINDOWS2\\system\\smss.exe /w"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ashDisp"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTHelper]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="CTHELPER"
"hkey"="HKLM"
"command"="CTHELPER.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DynDNS Updater]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="DynDNS"
"hkey"="HKCU"
"command"="\"C:\\Programme\\DynDNS Updater\\DynDNS.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Jet Detection]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ADGJDet"
"hkey"="HKLM"
"command"="C:\\Programme\\Creative\\SBLive\\PROGRAM\\ADGJDet.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mirabilis ICQ]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NDetect"
"hkey"="HKLM"
"command"="C:\\Programme\\ICQ\\NDetect.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS2\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NvMcTray"
"hkey"="HKLM"
"command"="RUNDLL32.EXE C:\\WINDOWS2\\system32\\NvMcTray.dll,NvTaskbarInit"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nwiz"
"hkey"="HKLM"
"command"="nwiz.exe /install"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Steam"
"hkey"="HKCU"
"command"="C:\\Spiele\\Steam\\\\Steam.exe -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunServer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="sunserver"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdReg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="UpdReg"
"hkey"="HKLM"
"command"="C:\\WINDOWS2\\UpdReg.EXE"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"W32Time"=dword:00000002
"VSS"=dword:00000003
"UPS"=dword:00000003
"srservice"=dword:00000002
"SCardSvr"=dword:00000003
"wscsvc"=dword:00000002
"RSVP"=dword:00000003
"mnmsrvc"=dword:00000003
"SwPrv"=dword:00000003
"CiSvc"=dword:00000003
"ImapiService"=dword:00000003
"helpsvc"=dword:00000002
"ALG"=dword:00000003
"WmdmPmSN"=dword:00000003
"Creative Service for CDROM Access"=dword:00000002
"AVWUpSrv"=dword:00000002
"WZCSVC"=dword:00000002
"ose"=dword:00000003
"WinVNC4"=dword:00000002
"avast! Web Scanner"=dword:00000003
"avast! Mail Scanner"=dword:00000003
"aswUpdSv"=dword:00000002
"avast! Antivirus"=dword:00000002
"CLTNetCnService"=dword:00000002

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-28 13:16:08.78
C:\ComboFix.txt ... 06-11-28 13:16



DatFind

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E851-CCE3

Verzeichnis von C:\WINDOWS2\system32

06-11-28 13:13 54,112 vsconfig.xml
06-11-28 13:13 80,799 nvapps.xml
06-11-28 13:11 288 DVCStateBkp-{00000001-00000000-00000007-00001102-00000002-80661102}.dat
06-11-28 13:11 1,080 settings.sfm
06-11-28 13:11 1,080 settingsbkup.sfm
06-11-28 13:11 288 DVCState-{00000001-00000000-00000007-00001102-00000002-80661102}.dat
06-11-28 13:11 24,144 BMXCtrlState-{00000001-00000000-00000007-00001102-00000002-80661102}.rfx
06-11-28 13:11 24,144 BMXBkpCtrlState-{00000001-00000000-00000007-00001102-00000002-80661102}.rfx
06-11-28 13:11 16,376 BMXStateBkp-{00000001-00000000-00000007-00001102-00000002-80661102}.rfx
06-11-28 13:11 16,376 BMXState-{00000001-00000000-00000007-00001102-00000002-80661102}.rfx
06-11-24 17:42 13,646 wpa.dbl
06-11-21 20:20 1,640,610 Unbenannt.bmp
06-11-13 15:31 403,840 perfh009.dat
06-11-13 15:31 64,048 perfc009.dat
06-11-13 15:31 416,164 perfh007.dat
06-11-13 15:31 75,780 perfc007.dat
06-11-13 15:31 921,046 PerfStringBackup.INI
06-11-13 10:49 142 EraserAHS.log
06-11-13 10:49 6,032 coh.cache
06-11-13 10:49 1,279 EraserAHS.tlg
06-11-13 10:19 48,824 S32EVNT1.DLL
06-11-13 10:05 2,953 CONFIG.NT
06-11-08 02:38 10,342,824 MRT.exe
06-11-03 00:42 17 '
06-10-16 11:40 123,392 xpsp3res.dll
06-10-05 08:44 4,212 zllictbl.dat
06-09-19 00:12 181,736 rmoc3260.dll
06-09-19 00:12 5,632 pndx5032.dll
06-09-19 00:12 6,656 pndx5016.dll
06-09-19 00:12 278,528 pncrt.dll
06-09-15 15:39 208,896 nvusmb.exe
06-09-15 15:39 208,896 NVUNINST.EXE
06-09-15 15:39 208,896 nvudisp.exe
06-09-15 15:39 208,896 nvuide.exe
06-09-15 15:39 208,896 nvumctl.exe
06-09-15 15:39 208,896 nvuenet.exe
06-09-15 15:39 208,896 nvugart.exe
06-09-14 09:39 615,936 urlmon.dll
06-09-14 09:39 664,576 wininet.dll
06-09-14 09:39 474,624 shlwapi.dll
06-09-14 09:39 39,424 pngfilt.dll
06-09-14 09:39 532,480 mstime.dll
06-09-14 09:39 3,075,584 mshtml.dll
06-09-14 09:39 146,432 msrating.dll
06-09-14 09:39 448,512 mshtmled.dll
06-09-14 09:39 251,392 iepeers.dll
06-09-14 09:39 55,808 extmgr.dll
06-09-14 09:39 357,888 dxtmsft.dll
06-09-14 09:39 96,768 inseng.dll
06-09-14 09:39 16,384 jsproxy.dll
06-09-14 09:39 205,312 dxtrans.dll
06-09-14 09:39 1,022,976 browseui.dll
06-09-14 09:39 152,064 cdfview.dll
06-09-14 09:39 1,056,256 danim.dll
06-09-13 06:02 1,084,416 msxml3.dll
06-09-08 14:47 466,944 capicom.dll
06-09-04 07:12 1,494,016 shdocvw.dll


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E851-CCE3

Verzeichnis von C:\DOKUME~1\MICHAE~1.000\LOKALE~1\Temp


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E851-CCE3

Verzeichnis von C:\WINDOWS2

06-11-28 13:14 227 system.ini
06-11-28 13:14 453 win.ini
06-11-28 13:13 0 0.log
06-11-28 13:13 50 wiaservc.log
06-11-28 13:13 159 wiadebug.log
06-11-28 13:12 2,048 bootstat.dat
06-11-28 13:11 32,642 SchedLgU.Txt
06-11-28 13:11 1,333,982 WindowsUpdate.log
06-11-28 13:11 140 winamp.ini
06-11-27 10:50 63,252 setupapi.log
06-11-20 17:14 1,553 wmsetup.log
06-11-19 16:14 202 NeroDigital.ini
06-11-19 10:43 8,771 KB924270.log
06-11-19 10:43 3,426 KB923980.log
06-11-18 08:07 4,047 comsetup.log
06-11-18 08:07 1,393 imsins.log
06-11-18 08:07 2,458 ntdtcsetup.log
06-11-18 08:07 684 ocmsn.log
06-11-18 08:07 15,670 KB920213.log
06-11-18 08:07 1,968 iis6.log
06-11-18 08:07 4,718 tsoc.log
06-11-18 08:07 5,832 ocgen.log
06-11-18 08:07 606 msgsocm.log
06-11-18 08:07 12,370 FaxSetup.log
06-11-18 08:07 3,185 updspapi.log
06-11-18 08:07 20,624 KB922760.log
06-11-18 08:07 0 setuperr.log
06-11-18 08:07 0 setupact.log
06-11-14 17:19 1,074 DirectX.log
06-11-13 15:52 822 WINCMD.INI
06-11-13 15:31 3,728 dahotfix.log
06-11-13 15:31 19,396 dasetup.log
06-11-08 11:52 2,359,350 ACD Wallpaper.cmp
06-09-03 17:55 34 cdplayer.ini


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E851-CCE3

Verzeichnis von C:\WINDOWS2\Temp

06-11-28 13:13 256 ZLT06230.TMP
06-11-28 13:13 256 ZLT06229.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 2,579,447,808 Bytes frei


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E851-CCE3

Verzeichnis von C:\WINDOWS2\Downloaded Program Files

06-06-23 09:46 1,648,416 Rawflow.ocx
06-03-27 12:00 5,019 swflash.inf
06-01-25 12:43 367 LegitCheckControl.inf
06-01-07 10:06 65 desktop.ini
05-11-10 13:05 876 jinstall-1_5_0_06.inf
05-05-26 04:19 291 wuweb.inf
02-06-03 17:53 144 QTPlugin.inf
7 Datei(en) 1,655,178 Bytes
0 Verzeichnis(se), 2,579,447,808 Bytes frei


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E851-CCE3

Verzeichnis von C:\

06-11-28 13:20 0 sys.txt
06-11-28 13:20 589 down.txt
06-11-28 13:20 317 tmp.txt
06-11-28 13:19 5,192 system.txt
06-11-28 13:19 133 systemtemp.txt
06-11-28 13:19 99,457 system32.txt
06-11-28 13:17 13,502 ComboFix.txt
06-11-28 13:16 13,465 ComboFix2.txt
06-11-28 13:14 223 boot.ini
06-11-28 13:12 2,145,386,496 pagefile.sys
06-11-10 16:03 344 Kopie von boot.ini
05-10-13 00:42 0 CONFIG.SYS
05-10-13 00:42 0 IO.SYS
05-10-13 00:42 0 MSDOS.SYS
05-10-13 00:42 0 AUTOEXEC.BAT
04-08-04 13:00 4,952 bootfont.bin
04-08-04 13:00 47,564 NTDETECT.COM
04-08-04 13:00 251,184 ntldr
18 Datei(en) 2,145,823,418 Bytes
0 Verzeichnis(se), 2,579,447,808 Bytes frei



AntiVir



AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: 06-11-28 13:29

Es wird nach 567820 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Michael
Computername: STRICHEL

Versionsinformationen:
AVSCAN.EXE : 7.0.0.47 200744 05.10.2006 07:59:21
AVSCAN.DLL : 7.0.0.45 41000 05.10.2006 07:59:21
LUKE.DLL : 7.0.0.47 118824 05.10.2006 07:59:21
LUKERES.DLL : 7.0.0.47 9256 05.10.2006 07:59:21
ANTIVIR0.VDF : 6.35.0.1 7371264 31.05.2006 10:51:20
ANTIVIR1.VDF : 6.36.1.24 2212864 14.11.2006 14:56:40
ANTIVIR2.VDF : 6.36.1.80 161280 23.11.2006 14:56:40
ANTIVIR3.VDF : 6.36.1.93 38400 27.11.2006 14:56:40
AVEWIN32.DLL : 7.2.0.46 1925632 27.11.2006 14:56:40
AVPREF.DLL : 7.0.0.2 23080 05.10.2006 07:59:21
AVREP.DLL : 6.36.1.1 925736 09.11.2006 09:18:33
AVRPBASE.DLL : 7.0.0.0 2162728 30.03.2006 08:43:10
AVPACK32.DLL : 7.2.0.5 368680 09.11.2006 09:18:33
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:47
NETNW.DLL : 7.0.0.0 9768 05.10.2006 07:59:21
RCIMAGE.DLL : 7.0.0.74 1642536 05.10.2006 07:59:19
RCTEXT.DLL : 7.0.1.4 77864 05.10.2006 07:59:19

Konfiguration für den aktuellen Suchlauf:
Job Name......................: Lokale Festplatten
Konfigurationsdatei...........: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Bootsektoren..................: C
Durchsuche Speicher...........: 1
Laufende Programme............: 1
Prüfe alle Dateien............: 1
Durchsuche Archive............: 1
Maximale Rekursionstiefe......: 0
Smart Extensions..............: 1
Auszulassende Archivtypen.....: 1000,1001,1002,1003,1004,1005,
Makrovirenheuristik...........: 1
Dateiheuristik................: 3
Primäre Aktion................: 4098
Sekundäre Aktion..............: 4

Beginn des Suchlaufs: 06-11-28 13:29


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 4 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 10 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\ZZZZZZ\ZZZ\ZZZZZZZZZZZ\5cb91c6a47a067d7bd5f2017e01c6368_a55ad124-9e96-4a94-a22e-7a10db187441
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\ZZZZZZ\ZZZ\ZZZZZZZZZZZ\8cff0f6e945636029d9062b9eacb0e85_a55ad124-9e96-4a94-a22e-7a10db187441
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\ZZZZZZ\ZZZ\ZZZZZZZZZZZ\9794612a8c9e718dcaed57c2630655d3_a55ad124-9e96-4a94-a22e-7a10db187441
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\ZZZZZZ\ZZZ\ZZZZZZZZZZZ\9e431c03ed319c793fe883879161a0ce_a55ad124-9e96-4a94-a22e-7a10db187441
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\ZZZZZZ\ZZZ\ZZZZZZZZZZZ\a9afb958dcd4001959a2e06ac0cdb3b5_a55ad124-9e96-4a94-a22e-7a10db187441
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\ZZZZZZ\ZZZ\ZZZZZZZZZZZ\befb65bb9f9d306823a35710762610a7_a55ad124-9e96-4a94-a22e-7a10db187441
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\ZZZZZZ\ZZZ\ZZZZZZZZZZZ\d8f56f642d92ec62e7917a8aca2fd617_a55ad124-9e96-4a94-a22e-7a10db187441
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\ZZZZZZ\ZZZ\ZZZZZZZZZZZ\e99679c26ae2daec3677f70149005b74_a55ad124-9e96-4a94-a22e-7a10db187441
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Michael.STRICHEL.000\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Michael.STRICHEL.000\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Michael.STRICHEL.000\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Michael.STRICHEL.000\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT.000\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS2\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS2\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS2\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS2\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS2\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS2\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS2\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS2\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS2\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS2\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS2\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: 06-11-28 14:18
Benötigte Zeit: 49:41 min

Der Suchlauf wurde vollständig durchgeführt.

5755 Verzeichnisse wurden überprüft
268056 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1889 Archive wurden durchsucht
29 Warnungen
22 Hinweise

------------------------------------------
Mein AntiVir Quarantäne-Verzeichnis

#4 Das sieht doch gaz rund aus. Diesen Eintrag solltest du noch fixen:

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS2\system\smss.exe /w

und den Ordner Avast kannst du wohl auch loeschen, bzw Avast deinstallieren!?
Was ist noch in den Ordnern Zugriff und Video?

Ein Update von SUn Java waere ratsam, genauso wie ein Besuch von www.windowsupdate.com

Ein Kontrollscan mit Drweb Cureit koenntest du auch machen....
__________
MfG Ralf
SEO-Spam Hunter

#5 auf dem Rechner ist das:
http://virus-protect.org/artikel/dienste/nvsvcd.html

poste dieses log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Noe, ist nicht mehr da, ist in Quarantaene und der rest geloescht.
__________
MfG Ralf
SEO-Spam Hunter

#7
wetten, dass der stuff noch was anzeigt
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Natuerlich wird es das......
__________
MfG Ralf
SEO-Spam Hunter

#9 wie ihr vielleicht in dem quarantäne-verzeichnis sehen könnt, liegen die einträge 2-3 wochen auseinander ... 12.11. 18.11 => 27.11.

in diesem zwischenraum wurde ich auch nicht weiter von diesem komischen virus belästigt, nachdem ich mehrere verschiedene virenscanner hab laufen lassen. allerdings tauchte das teil dennoch am 27.11. aus dem nichts wieder auf. ein ableger, der sich noch auf der platte befand? oder schlicht und ergreifend neu eingefangen?


in zugriff befinden sich dateien, die mein bruder auf meinem rechner zwischenlagert, da er nur eine sehr kleine festplatte hat ...dabei handelt es sich eigentlich ausschließlich um fotos, die er selbst mit seiner digicam gemacht hat, kein runtergeladener kram oder so...



und hier die logdatei:


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\SmartFTP\\SmartFTP.exe"="C:\\Programme\\SmartFTP\\SmartFTP.exe:*:Enabled:SmartFTP Client"
"C:\\Programme\\Internet Explorer\\IEXPLORE.EXE"="C:\\Programme\\Internet Explorer\\IEXPLORE.EXE:*:Enabled:Internet Explorer"
"C:\\WINDOWS2\\system32\\svchost.exe"="C:\\WINDOWS2\\system32\\svchost.exe:*:Enabled:Microsoft Update"
"C:\\Programme\\Skype\\Skype.exe"="C:\\Programme\\Skype\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001


in videos befindet sich halt alles, was ich so an videodateien auf dem rechner liegen habe

edit (Sabina)

#10 ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#11 The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Home Edition
Version: 5.1.2600 Service Pack 2
Dec 1, 2006 08:02:24


---> Begin Service Listing <---

Unknown Service # 1
Service Name: AntiVirScheduler
Display Name: AntiVir PersonalEdition Classic Planer
Start Mode: Auto
Start Name: LocalSystem
Description: Dienst zur Steuerung von AntiVir Prüfaufträgen und ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\sched.exe
State: Stopped
Process ID: 0
Started: False
Exit Code: 1067
Accept Pause: False
Accept Stop: False

Unknown Service # 2
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Guard
Start Mode: Auto
Start Name: LocalSystem
Description: Bietet permanente Schutz vor Viren und Malware mit der AntiVir ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\avguard.exe
State: Running
Process ID: 1512
Started: True
Exit Code: 0
Accept Pause: False
Accept Stop: True

Unknown Service #3
Service Name: aspnet_state
Display Name: ASP.NET State Service
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Provides support for out-of-process session states for ASP.NET. If this service is stopped, ...
Service Type: Own Process
Path: c:\windows2\microsoft.net\framework\v2.0.50727\aspnet_state.exe
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

Unknown Service # 4
Service Name: clr_optimization_v2.0.50727_32
Display Name: .NET Runtime Optimization Service v2.0.50727_X86
Start Mode: Manual
Start Name: LocalSystem
Description: Microsoft .NET Framework ...
Service Type: Own Process
Path: c:\windows2\microsoft.net\framework\v2.0.50727\mscorsvw.exe
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

Unknown Service # 5
Service Name: CLTNetCnService
Display Name: Symantec Lic NetConnect service
Start Mode: Disabled
Start Name: LocalSystem
Description: Symantec Lic NetConnect ...
Service Type: Share Process
Path:
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

Unknown Service # 6
Service Name: MSSQL$SONY_MEDIAMGR
Display Name: MSSQL$SONY_MEDIAMGR
Start Mode: Disabled
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path:
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

Unknown Service # 7
Service Name: MSSQLServerADHelper
Display Name: MSSQLServerADHelper
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\microsoft sql server\80\tools\binn\sqladhlp.exe
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

Unknown Service #8
Service Name: ose
Display Name: Office Source Engine
Start Mode: Disabled
Start Name: LocalSystem
Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe"
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

Unknown Service #9
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Disabled
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows2\system32\dllhost.exe /processid:{ff5efdfd-f6ae-4c15-9dfd-e4f3f2079933}
State: Stopped
Process ID: 0
Started: False
Exit Code: 1077
Accept Pause: False
Accept Stop: False

---> End Service Listing <---

There are 89 Win32 services on this machine.
9 were unrecognized.

Script Execution Time: 0.21875 seconds.

#12 Gehe in die registry
Start - Ausfuehren - regedit

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000 - in 1 aendern

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS2\\system32\\svchost.exe - loeschen

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001 - in 0 aendern
"FirewallOverride"=dword:00000001 - in 0 aendern

PC neustarten

---------------------------------------------------------------------

raman hatte recht es ist nichts mehr zu finden.
befolge also seinen rat und scanne mit dr.web und poste den report, falls etwas gefunden wurde
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Du koenntest unter Umstaenden ein Problem bekommen, wenn du die Windowsfirewall aktivierst, denn die Malware hat sie nicht ausgeschaltet. Zonealarm hat diese ausgeschaltet, damit es keine Probleme gibt mit 2 aktiven Firewalls.

Im Zweifelsfalle diesen Eintrag so belassen: "EnableFirewall"=dword:00000000

Du kannst unter https://www.grc.com/x/ne.dll?bh0bkyd2 testen, ob Zonealarm noch aktiv ist, oder nicht.
__________
MfG Ralf
SEO-Spam Hunter

#14 ja , wieder recht, er hat sogar zwei Firewall aktiv

Zitat

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

__________
MfG Sabina

rund um die PC-Sicherheit

#15 die windows firewall hab ich eigentlich manuell ausgeschaltet

Greetings!

Without your knowledge or explicit permission, the Windows networking technology which connects your computer to the Internet may be offering some or all of your computer's data to the entire world at this very moment!

?



/edit ...hab die firewall in der registry jetzt auf 0 gelassen und den rest befolgt...