Home » Viren, Trojaner & Malware Forum » DFÜ Einwahlversuche durch unbekanntes Programm, Absturz » Themenansicht

DFÜ Einwahlversuche durch unbekanntes Programm, Absturz
#0
29.11.2006, 20:41
thomasfelber
Member

Beiträge: 14
#1 Seit zwei Tagen versucht mein Rechner sich per DFÜ Verbindung einzuwählen. Da ich diese manuell bestätigen muß scheiten diese. Lasse ich die Einwahl zu blockiert Symantec IS die Verbindung mit einem radikalen Absturz von XP Prof.

Über die Log Datei des Firewall bin ich auf die IP 82.98.235.61 bis 63 und 89.188.16.11 bei Google auf den Virenverdacht und Eucher Forum gestossen.

Scan mit Symantec AV hat W32.IRCBOT in Quarantäne geschickt. Stinger hat dann auch noch in der Datei i W32.sdbot.worm gefunden. Datei gelöscht.

Die Einwahlversuche alle paar Minuten dauern jedoch an.

Mit meinen Hilfsmitteln SIW.exe, Norton Proccesviewer und Hijack 1.97.7 bin ich nicht weitergekommen. Stutzig macht mich auch der Konflickt beim Windocktor "Registrie verweis auf ungültigen Startbefehl der lsass.exe im Systemverzeichnis, obwohl die Datei im Taskmanager verhanden ist.

kann mir jemand helfen?
Seitenanfang Seitenende
29.11.2006, 23:14
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 arbeite das ab und poste die logs ;)
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
30.11.2006, 17:16
thomasfelber
Member

Themenstarter

Beiträge: 14
#3 Hallo Sabina,
ich bin Deinen Anweisungen Blind gefolgt ohne zu wissen was ich da überhaut mache. Ich hoffe sehr die Angabe sind aussagefähig. Gruß Thomas.

Logfile of HijackThis v1.99.1
Scan saved at 16:38:53, on 30.11.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
D:\Treiber und Tools\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3747773D-1D18-4957-B96F-C0CD6273CB4F} - C:\WINDOWS\System32\awtqnkh.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [QD FastAndSafe] C:\Programme\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe /scheduler
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\Isass.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O20 - Winlogon Notify: awtqnkh - C:\WINDOWS\SYSTEM32\awtqnkh.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: wfskrnl(wfskrnl) (wfskrnl) - Unknown owner - C:\WINDOWS\system32\wfskrnl.exe (file missing)

thomas - 06-11-30 16:52:18,92 Service Pack 1
ComboFix 06.11.27W - Running from: "H:\"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\country.exe
C:\kl1.exe
C:\ms1.exe
C:\toolbar.exe


((((((((((((((((((((((((((((((( Files Created from 2006-10-30 to 2006-11-30 ))))))))))))))))))))))))))))))))))


2006-11-30 16:39 <DIR> d-------- C:\Programme\CleanUp!
2006-11-29 16:58 704,564 ---hs---- C:\WINDOWS\system32\gebcy.dll
2006-11-29 16:47 704,564 ---hs---- C:\WINDOWS\system32\ddccy.dll
2006-11-29 16:29 704,564 ---hs---- C:\WINDOWS\system32\pmkhg.dll
2006-11-29 16:22 663 ---hs---- C:\WINDOWS\system32\bbeeg.bak1
2006-11-29 16:21 704,564 ---hs---- C:\WINDOWS\system32\geebb.dll
2006-11-28 18:42 704,564 ---hs---- C:\WINDOWS\system32\vtutt.dll
2006-11-28 18:32 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2006-11-28 16:32 704,564 ---hs---- C:\WINDOWS\system32\mljjj.dll
2006-11-28 16:27 126,027 --a------ C:\WINDOWS\system32\awtqn.dll
2006-11-28 15:58 704,564 ---hs---- C:\WINDOWS\system32\gebya.dll
2006-11-28 15:12 426,591 --a------ C:\WINDOWS\system32\mlljg.dll
2006-11-28 14:34 426,591 --a------ C:\WINDOWS\system32\jkklj.dll
2006-11-28 08:05 40,973 ---hs---- C:\WINDOWS\system32\awtqnkh.dll
2006-11-27 18:50 48,814 -ra------ C:\WINDOWS\system32\drivers\DVBNet.sys
2006-11-27 18:50 45,056 --------- C:\WINDOWS\system32\bda_capture_filter.dll
2006-11-27 18:50 384,512 --------- C:\WINDOWS\system32\mp4sdmod.dll
2006-11-27 18:50 316,040 --------- C:\WINDOWS\system32\mp43dmod.dll
2006-11-27 18:50 258,048 --------- C:\WINDOWS\system32\DWUSBAPI.dll
2006-11-27 18:50 24,576 --------- C:\WINDOWS\system32\AF15BDAEX.dll
2006-11-27 18:50 24,576 --------- C:\WINDOWS\system32\AF05BDAEX.dll
2006-11-27 18:50 19,617 -ra------ C:\WINDOWS\system32\drivers\DVBSDMC.sys
2006-11-27 18:50 135,254 --------- C:\WINDOWS\system32\bda_tuner_filter.dll
2006-11-27 18:50 <DIR> d-------- C:\Programme\Dexatek
2006-11-21 20:36 <DIR> d-------- C:\Programme\NDW


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-29 09:53 -------- d-------- C:\Programme\Norton Internet Security
2006-11-28 15:27 -------- d-------- C:\Programme\ORCA AVA
2006-11-28 08:09 -------- d-------- C:\Programme\Symantec
2006-11-28 08:03 48768 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-11-28 08:03 110952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-11-27 18:50 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-07 20:13 -------- d-------- C:\Programme\IrfanView
2006-10-13 12:43 -------- d-------- C:\Dokumente und Einstellungen\thomas\Anwendungsdaten\TrueCrypt
2006-10-13 12:30 -------- d-------- C:\Programme\TrueCrypt


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Norton SystemWorks"="\"C:\\Programme\\Norton SystemWorks\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"Logitech Utility"="Logi_MwX.Exe"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"CloneCDElbyCDFL"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"SSC_UserPrompt"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\Security Center\\UsrPrmpt.exe\""
"QD FastAndSafe"="C:\\Programme\\Norton SystemWorks\\Norton CleanSweep\\QDCSFS.exe /scheduler"
"SSBkgdUpdate"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"Local Security Authority Service"="C:\\WINDOWS\\System32\\Isass.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,50,01,00,00,00,00,00,00,40,05,00,00,fe,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000004
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Windows Messenger"="msnsmgs.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
"Windows Messenger"="msnsmgs.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Windows Messenger"="msnsmgs.exe"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\runservices]
"Windows Messenger"="msnsmgs.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{3747773D-1D18-4957-B96F-C0CD6273CB4F}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoDrives"=dword:00000000
"NoViewOnDrive"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\DisallowRun]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\RestrictRun]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Acrobat Assistant.lnk"
"backup"="C:\\WINDOWS\\pss\\Acrobat Assistant.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Distillr\\AcroTray.exe "
"item"="Acrobat Assistant"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^gwum.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\gwum.lnk"
"backup"="C:\\WINDOWS\\pss\\gwum.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Gigabyte\\GIGABY~1\\gwum.exe "
"item"="gwum"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Perstray.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Perstray.lnk"
"backup"="C:\\WINDOWS\\pss\\Perstray.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\PerSono\\perstray.exe "
"item"="Perstray"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIA RAID TOOL.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\VIA RAID TOOL.lnk"
"backup"="C:\\WINDOWS\\pss\\VIA RAID TOOL.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\VIA\\RAID\\RAID_T~1.EXE "
"item"="VIA RAID TOOL"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NBJ"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton Ghost 9.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GhostTray"
"hkey"="HKLM"
"command"="C:\\Programme\\Norton SystemWorks\\Norton Ghost\\Agent\\GhostTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpScheduler]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="OpScheduler"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ScanSoft\\OmniPagePro14.0\\OpScheduler.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Opware14]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Opware14"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ScanSoft\\OmniPagePro14.0\\Opware14.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SSBkgdupdate"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TheaterMgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TheaterMgr"
"hkey"="HKLM"
"command"="C:\\Programme\\Dexatek\\TheaterMgr.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WorkFlowTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WorkFlowTray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ScanSoft\\OmniPagePro14.0\\WorkFlowTray.exe\""
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqnkh

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-30 16:52:51.76
C:\ComboFix.txt ... 06-11-30 16:52

Volume in Laufwerk D: hat keine Bezeichnung.
Volumeseriennummer: 1065-F900

System 32.txt
Verzeichnis von D:\

30.11.2006 16:55 132.620 treeinfo.wc
30.11.2006 16:50 100.368.384 persordner.pst
30.11.2006 16:44 1.048.576.000 pagefile.sys
28.11.2006 14:00 1.328.088 Current_user.reg
28.11.2006 13:59 53.123.592 Machine.reg
13.10.2006 12:53 10.485.760 crypt.txt
10.10.2006 09:08 784 persordner.log
10.10.2006 08:47 104.989.696 persordner061010.bak
29.05.2006 14:00 508.409 Zeichnung2_1_1_7767.dwg
Seitenanfang Seitenende
01.12.2006, 14:03
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 thomasfelber

1.
entpacke die datfindbat bitte auf C:\

2.
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" reinkopieren)

Isass.exe

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" reinkopieren)

wfskrnl.exe

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" reinkopieren)

msnsmgs.exe

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" reinkopieren)

Local Security Authority Service

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2006, 08:39
thomasfelber
Member

Themenstarter

Beiträge: 14
#5 Hallo Sabina,

die VBS läst sich nicht ausführen. "Der Zugriff auf Windows Script Host wurde für diesen Computer dektiviert" Welchen Dienst muss ich aktivieren.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 88D4-606E

System32.txt

Verzeichnis von C:\WINDOWS\system32

04.12.2006 08:16 17.145 nvapps.xml
04.12.2006 08:15 2.206 wpa.dbl
29.11.2006 16:58 410 ycbeg.ini
29.11.2006 16:58 704.564 gebcy.dll
29.11.2006 16:47 434 yccdd.ini
29.11.2006 16:47 704.564 ddccy.dll
29.11.2006 16:29 434 ghkmp.ini
29.11.2006 16:29 704.564 pmkhg.dll
29.11.2006 16:22 663 bbeeg.ini
29.11.2006 16:22 663 bbeeg.bak1
29.11.2006 16:22 704.564 geebb.dll
28.11.2006 18:42 394 ttutv.ini
28.11.2006 18:42 704.564 vtutt.dll
28.11.2006 16:32 410 jjjlm.ini
28.11.2006 16:32 704.564 mljjj.dll
28.11.2006 16:27 126.027 awtqn.dll
28.11.2006 15:58 700 aybeg.tmp
28.11.2006 15:58 486 aybeg.ini
28.11.2006 15:58 704.564 gebya.dll
28.11.2006 15:12 426.591 mlljg.dll
28.11.2006 14:34 426.591 jkklj.dll
28.11.2006 08:05 40.973 awtqnkh.dll
28.11.2006 08:03 48.768 S32EVNT1.DLL
01.11.2006 07:31 381.692 perfh009.dat
01.11.2006 07:31 392.512 perfh007.dat
01.11.2006 07:31 53.436 perfc009.dat
01.11.2006 07:31 64.452 perfc007.dat
01.11.2006 07:31 902.652 PerfStringBackup.INI
27.09.2006 14:18 45.056 bda_capture_filter.dll
20.09.2006 20:01 16.832 amcompat.tlb
20.09.2006 20:01 23.392 nscompat.tlb
11.09.2006 10:37 8.960.936 MRT.exe
22.08.2006 11:24 258.048 DWUSBAPI.dll
07.08.2006 15:02 534.208 SymNeti.dll
07.08.2006 15:02 161.472 SymRedir.dll
03.08.2006 16:34 466.944 capicom.dll
28.07.2006 14:46 135.254 bda_tuner_filter.dll

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 88D4-606E

systemtemp.txt

Verzeichnis von C:\DOKUME~1\thomas\LOKALE~1\Temp


system.txt

Verzeichnis von C:\WINDOWS

04.12.2006 08:19 4.956 wincmd.ini
04.12.2006 08:18 0 0.log
04.12.2006 08:18 4.114 ModemLog_MicroLink 56k PCI.txt
04.12.2006 08:17 159 wiadebug.log
04.12.2006 08:17 50 wiaservc.log
04.12.2006 08:15 2.048 bootstat.dat
01.12.2006 22:10 32.544 SchedLgU.Txt
29.11.2006 20:41 862.760 ntbtlog.txt
29.11.2006 12:02 873 win.ini
29.11.2006 12:02 227 system.ini
28.11.2006 16:50 92.162 setupapi.log
28.11.2006 15:13 187.930 setupact.log
28.11.2006 14:51 1.659 PC_WS2000.INI
28.11.2006 10:46 255.737 F-Sdbot.log
27.11.2006 18:47 6.396 Windows Update.log
04.11.2006 07:42 34 cdplayer.ini
19.10.2006 15:23 367 wcx_ftp.ini
18.10.2006 11:51 453 LEXSTAT.INI
17.10.2006 15:03 202 NeroDigital.ini
08.10.2006 17:46 34.578 LUINSTALL.LOG
27.09.2006 10:31 625 DgnSetup.log
27.09.2006 10:31 182 dgnsetup.ini
25.09.2006 12:17 32 CD-Start.INI
25.09.2006 08:31 17 Missing.ini
23.09.2006 08:57 433 Sew_view.ini
23.09.2006 08:55 228 Sew_glob.ini
21.09.2006 20:07 41.406 wmsetup.log
20.09.2006 20:01 236 wmsetup10.log
20.09.2006 20:00 316.640 WMSysPr9.prx
30.08.2006 17:03 0 setuperr.log
10.07.2006 09:27 264 knauf1.ini



tmp.txt

Verzeichnis von C:\WINDOWS\Temp

30.11.2006 17:14 0 T30DebugLogFile.txt
1 Datei(en) 0 Bytes
0 Verzeichnis(se), 74.542.161.920 Bytes frei


down.txt

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 10:41 5.032 swflash.inf
05.03.2005 16:31 65 desktop.ini
16.10.2003 12:55 299.008 isusweb.dll
07.03.2003 10:25 114.600 IDropDEU.dll
14.02.2003 09:34 114.848 IDropENU.dll
25.07.2002 18:13 196.608 dwusplay.exe
25.07.2002 16:13 24.576 dwusplay.dll
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
9 Datei(en) 756.596 Bytes
0 Verzeichnis(se), 74.542.161.920 Bytes frei

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 88D4-606E

sys.txt

Verzeichnis von C:\

04.12.2006 08:38 1.383 RegSrch.zip
04.12.2006 08:26 0 sys.txt
04.12.2006 08:26 735 down.txt
04.12.2006 08:26 284 tmp.txt
04.12.2006 08:25 6.097 system.txt
04.12.2006 08:25 134 systemtemp.txt
04.12.2006 08:25 104.341 system32.txt
30.11.2006 16:56 289 datFind.zip
29.11.2006 12:02 204 boot.ini
28.11.2006 13:50 148.856 treeinfo.wc
04.10.2006 09:23 668 datFind.bat
24.04.2006 10:06 0 tool5.exe

««
Seitenanfang Seitenende
04.12.2006, 11:05
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Problem: Windows Script Host

Lösung:
Variante 1: falls xpantispy installiert ist, dort den Windows Script Host freischalten

Hosts freischalten - mit dem xp-antispy
Starten ==> unter "Diverse Einstellungen"
[ ] Windows Scripting Host deaktivieren
Davor den Haken wegnehmen und unten auf "Einstellungen Uebernehmen" klicken.

Variante 2: Schau mal, ob es in der Registry (Start -> Ausführen -> regedit) bei dir unter: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings einen Eintrag mit dem Namen Enabled gibt. Wenn ja, dann weise diesem den Wert 1 zu, dann ist der Scripting Host wieder aktiviert. (dann den PC neustarten)


__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.12.2006, 20:13
thomasfelber
Member

Themenstarter

Beiträge: 14
#7 Hallo Sabina,

mit xp antispy hat geklappt

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "isass.exe" 04.12.2006 20:02:39

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Local Security Authority Service"="C:\\WINDOWS\\System32\\Isass.exe"

zu wfskrnl.exe keine Einträge gefunden


REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "msnsmgs.exe" 04.12.2006 20:05:31

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"Windows Messenger"="msnsmgs.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa]
"Windows Messenger"="msnsmgs.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Lsa]
"Windows Messenger"="msnsmgs.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Windows Messenger"="msnsmgs.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\OLE]
"Windows Messenger"="msnsmgs.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Messenger"="msnsmgs.exe"

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Messenger"="msnsmgs.exe"

[HKEY_USERS\.DEFAULT\SYSTEM\CurrentControlSet\Control\Lsa]
"Windows Messenger"="msnsmgs.exe"

[HKEY_USERS\S-1-5-21-1214440339-1844237615-682003330-1003\Software\Microsoft\OLE]
"Windows Messenger"="msnsmgs.exe"

[HKEY_USERS\S-1-5-21-1214440339-1844237615-682003330-1003\SYSTEM\CurrentControlSet\Control\Lsa]
"Windows Messenger"="msnsmgs.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\OLE]
"Windows Messenger"="msnsmgs.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Messenger"="msnsmgs.exe"

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Messenger"="msnsmgs.exe"

[HKEY_USERS\S-1-5-18\SYSTEM\CurrentControlSet\Control\Lsa]
"Windows Messenger"="msnsmgs.exe"

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "Local Security Authority Service" 04.12.2006 20:06:47

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Local Security Authority Service"="C:\\WINDOWS\\System32\\Isass.exe"
Seitenanfang Seitenende
05.12.2006, 00:19
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als fixme.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "fixme.reg" auf dem Desktop doppelklicken und der Registry mit "ja" oder "yes" beifügen

Zitat

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Local Security Authority Service"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"Windows Messenger"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa]
"Windows Messenger"=-

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\Lsa]
"Windows Messenger"=-

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Windows Messenger"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\OLE]
"Windows Messenger"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Messenger"=-

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Messenger"=-

[HKEY_USERS\.DEFAULT\SYSTEM\CurrentControlSet\Control\Lsa]
"Windows Messenger"=-

[HKEY_USERS\S-1-5-21-1214440339-1844237615-682003330-1003\Software\Microsoft\OLE]
"Windows Messenger"=-

[HKEY_USERS\S-1-5-21-1214440339-1844237615-682003330-1003\SYSTEM\CurrentControlSet\Control\Lsa]
"Windows Messenger"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\OLE]
"Windows Messenger"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run]
"Windows Messenger"=-

[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\RunServices]
"Windows Messenger"=-

[HKEY_USERS\S-1-5-18\SYSTEM\CurrentControlSet\Control\Lsa]
"Windows Messenger"=-


-------------------------------------------------------------------

1.
scanne mit Vundofix
http://virus-protect.org/artikel/tools/avenger.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtqnkh
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3747773D-1D18-4957-B96F-C0CD6273CB4F}

Files to delete:
C:\WINDOWS\System32\Isass.exe
C:\WINDOWS\system32\ycbeg.ini
C:\WINDOWS\system32\gebcy.dll
C:\WINDOWS\system32\yccdd.ini
C:\WINDOWS\system32\ddccy.dll
C:\WINDOWS\system32\ghkmp.ini
C:\WINDOWS\system32\pmkhg.dll
C:\WINDOWS\system32\bbeeg.ini
C:\WINDOWS\system32\bbeeg.bak1
C:\WINDOWS\system32\geebb.dll
C:\WINDOWS\system32\ttutv.ini
C:\WINDOWS\system32\vtutt.dll
C:\WINDOWS\system32\jjjlm.ini
C:\WINDOWS\system32\mljjj.dll
C:\WINDOWS\system32\awtqn.dll
C:\WINDOWS\system32\aybeg.tmp
C:\WINDOWS\system32\aybeg.ini
C:\WINDOWS\system32\gebya.dll
C:\WINDOWS\system32\mlljg.dll
C:\WINDOWS\system32\jkklj.dll
C:\WINDOWS\system32\awtqnkh.dll
C:\tool5.exe

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

-----------------------------------------------------

ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

**
poste noch mal die 6 logs von datfindbat
+
noch mal das log von combofix
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.12.2006, 17:11
thomasfelber
Member

Themenstarter

Beiträge: 14
#9 Hallo Sabina,

habe mal Spyware Doktor ausgeführt. Das Egebnis schockt. Ich verliere mein Vertrauen zu Symantec und Co.

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################


Unknown Service # 21
Service Name: wfskrnl
Display Name: wfskrnl(wfskrnl)
Start Mode: Auto
Start Name: LocalSystem
Description: Microsoft Windows File System Kernal, used for migration to Windows ...
Service Type: Own Process
Path: "c:\windows\system32\wfskrnl.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 104 Win32 services on this machine.
21 were unrecognized.

Script Execution Time: 22,75 seconds.


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 88D4-606E

system32

Verzeichnis von C:\WINDOWS\system32

05.12.2006 16:56 17.145 nvapps.xml
05.12.2006 16:55 11.880 ikhcore.log
04.12.2006 08:15 2.206 wpa.dbl
28.11.2006 08:03 48.768 S32EVNT1.DLL
01.11.2006 07:31 381.692 perfh009.dat
01.11.2006 07:31 53.436 perfc009.dat
01.11.2006 07:31 392.512 perfh007.dat
01.11.2006 07:31 64.452 perfc007.dat
01.11.2006 07:31 902.652 PerfStringBackup.INI
27.09.2006 14:18 45.056 bda_capture_filter.dll
20.09.2006 20:01 16.832 amcompat.tlb
20.09.2006 20:01 23.392 nscompat.tlb
11.09.2006 10:37 8.960.936 MRT.exe
22.08.2006 11:24 258.048 DWUSBAPI.dll
07.08.2006 15:02 534.208 SymNeti.dll
07.08.2006 15:02 161.472 SymRedir.dll
03.08.2006 16:34 466.944 capicom.dll
28.07.2006 14:46 135.254 bda_tuner_filter.dll
26.06.2006 06:19 180.240 FNTCACHE.DAT
03.05.2006 13:14 24.576 AF15BDAEX.dll

systemtemp

Verzeichnis von C:\DOKUME~1\thomas\LOKALE~1\Temp

05.12.2006 16:13 1.409 FOR11.tmp
05.12.2006 16:13 40.652 ZTR10.tmp
05.12.2006 16:13 1.409 FOR10.tmp
05.12.2006 16:13 39.836 ZTRF.tmp
05.12.2006 16:13 1.409 FORF.tmp
05.12.2006 16:13 41.456 ZTRE.tmp
28.11.2006 05:49 107 DFC5A2B2.TMP


system

Verzeichnis von C:\WINDOWS

05.12.2006 16:58 4.114 ModemLog_MicroLink 56k PCI.txt
05.12.2006 16:58 0 0.log
05.12.2006 16:58 50 wiaservc.log
05.12.2006 16:58 159 wiadebug.log
05.12.2006 16:57 4.956 wincmd.ini
05.12.2006 16:55 2.048 bootstat.dat
05.12.2006 16:54 1.034.794 ntbtlog.txt
05.12.2006 16:34 32.544 SchedLgU.Txt
05.12.2006 16:19 873 win.ini
05.12.2006 15:54 1.659 PC_WS2000.INI
29.11.2006 12:02 227 system.ini
28.11.2006 16:50 92.162 setupapi.log
28.11.2006 15:13 187.930 setupact.log
28.11.2006 10:46 255.737 F-Sdbot.log
27.11.2006 18:47 6.396 Windows Update.log
04.11.2006 07:42 34 cdplayer.ini
19.10.2006 15:23 367 wcx_ftp.ini
18.10.2006 11:51 453 LEXSTAT.INI
17.10.2006 15:03 202 NeroDigital.ini
08.10.2006 17:46 34.578 LUINSTALL.LOG
27.09.2006 10:31 625 DgnSetup.log
27.09.2006 10:31 182 dgnsetup.ini
25.09.2006 12:17 32 CD-Start.INI
25.09.2006 08:31 17 Missing.ini
23.09.2006 08:57 433 Sew_view.ini
23.09.2006 08:55 228 Sew_glob.ini
21.09.2006 20:07 41.406 wmsetup.log
20.09.2006 20:01 236 wmsetup10.log
20.09.2006 20:00 316.640 WMSysPr9.prx
30.08.2006 17:03 0 setuperr.log
10.07.2006 09:27 264 knauf1.ini

tmp.txt

Verzeichnis von C:\WINDOWS\Temp

30.11.2006 17:14 0 T30DebugLogFile.txt


down.txt

Verzeichnis von C:\WINDOWS\Downloaded Program Files

22.06.2006 10:41 5.032 swflash.inf
05.03.2005 16:31 65 desktop.ini
16.10.2003 12:55 299.008 isusweb.dll
07.03.2003 10:25 114.600 IDropDEU.dll
14.02.2003 09:34 114.848 IDropENU.dll
25.07.2002 18:13 196.608 dwusplay.exe
25.07.2002 16:13 24.576 dwusplay.dll
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd

sys.txt
Verzeichnis von C:\

05.12.2006 17:03 0 sys.txt
05.12.2006 17:03 747 down.txt
05.12.2006 17:02 295 tmp.txt
05.12.2006 17:02 1.678 system.txt
05.12.2006 17:01 585 systemtemp.txt
05.12.2006 17:01 1.145 system32.txt
05.12.2006 16:58 8.761 POST_THIS.TXT
05.12.2006 16:57 4.234 avengerlogfile.txt
05.12.2006 16:55 4.232 avenger.txt
05.12.2006 16:53 148.864 treeinfo.wc
05.12.2006 16:52 13.518 ServiceFilter.zip
05.12.2006 16:51 211 VundoFix.txt
04.12.2006 08:38 1.383 RegSrch.zip
30.11.2006 16:56 289 datFind.zip
29.11.2006 12:02 204 boot.ini
04.10.2006 09:23 668 datFind.bat

thomas - 06-12-05 17:05:34,76 Service Pack 1
ComboFix 06.11.27W - Running from: "H:\"

((((((((((((((((((((((((((((((( Files Created from 2006-11-05 to 2006-12-05 ))))))))))))))))))))))))))))))))))


2006-12-05 16:58 <DIR> d-------- C:\OnlyOnRequest
2006-12-05 16:53 14,530 --a------ C:\ServiceFilter.vbs
2006-12-05 16:53 130,048 --a------ C:\avenger.exe
2006-12-05 16:53 <DIR> d-------- C:\Data
2006-12-05 16:45 <DIR> d-------- C:\VundoFix Backups
2006-12-04 20:29 51,072 --a------ C:\WINDOWS\system32\drivers\ikhlayer.sys
2006-12-04 20:29 30,592 --a------ C:\WINDOWS\system32\drivers\ikhfile.sys
2006-12-04 20:28 <DIR> d-------- C:\Programme\Spyware Doctor
2006-12-04 20:28 <DIR> d-------- C:\Dokumente und Einstellungen\thomas\Anwendungsdaten\PC Tools
2006-12-04 20:22 <DIR> d-------- C:\Programme\Trojancheck 6
2006-12-04 08:19 668 --a------ C:\datFind.bat
2006-12-04 08:19 3,254 --a------ C:\RegSrch.vbs
2006-11-30 16:39 <DIR> d-------- C:\Programme\CleanUp!
2006-11-28 18:32 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2006-11-27 18:50 48,814 -ra------ C:\WINDOWS\system32\drivers\DVBNet.sys
2006-11-27 18:50 45,056 --------- C:\WINDOWS\system32\bda_capture_filter.dll
2006-11-27 18:50 384,512 --------- C:\WINDOWS\system32\mp4sdmod.dll
2006-11-27 18:50 316,040 --------- C:\WINDOWS\system32\mp43dmod.dll
2006-11-27 18:50 258,048 --------- C:\WINDOWS\system32\DWUSBAPI.dll
2006-11-27 18:50 24,576 --------- C:\WINDOWS\system32\AF15BDAEX.dll
2006-11-27 18:50 24,576 --------- C:\WINDOWS\system32\AF05BDAEX.dll
2006-11-27 18:50 19,617 -ra------ C:\WINDOWS\system32\drivers\DVBSDMC.sys
2006-11-27 18:50 135,254 --------- C:\WINDOWS\system32\bda_tuner_filter.dll
2006-11-27 18:50 <DIR> d-------- C:\Programme\Dexatek
2006-11-21 20:36 <DIR> d-------- C:\Programme\NDW


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-29 09:53 -------- d-------- C:\Programme\Norton Internet Security
2006-11-28 15:27 -------- d-------- C:\Programme\ORCA AVA
2006-11-28 08:09 -------- d-------- C:\Programme\Symantec
2006-11-28 08:03 48768 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2006-11-28 08:03 110952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2006-11-27 18:50 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-11-07 20:13 -------- d-------- C:\Programme\IrfanView
2006-10-13 12:43 -------- d-------- C:\Dokumente und Einstellungen\thomas\Anwendungsdaten\TrueCrypt
2006-10-13 12:30 -------- d-------- C:\Programme\TrueCrypt


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Norton SystemWorks"="\"C:\\Programme\\Norton SystemWorks\\cfgwiz.exe\" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"Logitech Utility"="Logi_MwX.Exe"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"CloneCDElbyCDFL"="\"C:\\Programme\\Elaborate Bytes\\CloneCD\\ElbyCheck.exe\" /L ElbyCDFL"
"SSC_UserPrompt"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\Security Center\\UsrPrmpt.exe\""
"QD FastAndSafe"="C:\\Programme\\Norton SystemWorks\\Norton CleanSweep\\QDCSFS.exe /scheduler"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,50,01,00,00,00,00,00,00,40,05,00,00,fe,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=dword:40000004
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"=""

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\System32\\CTFMON.EXE"
"Spyware Doctor"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{3747773D-1D18-4957-B96F-C0CD6273CB4F}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoDrives"=dword:00000000
"NoViewOnDrive"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\DisallowRun]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\RestrictRun]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Acrobat Assistant.lnk"
"backup"="C:\\WINDOWS\\pss\\Acrobat Assistant.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Distillr\\AcroTray.exe "
"item"="Acrobat Assistant"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^gwum.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\gwum.lnk"
"backup"="C:\\WINDOWS\\pss\\gwum.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Gigabyte\\GIGABY~1\\gwum.exe "
"item"="gwum"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Perstray.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Perstray.lnk"
"backup"="C:\\WINDOWS\\pss\\Perstray.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\PerSono\\perstray.exe "
"item"="Perstray"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^VIA RAID TOOL.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\VIA RAID TOOL.lnk"
"backup"="C:\\WINDOWS\\pss\\VIA RAID TOOL.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\VIA\\RAID\\RAID_T~1.EXE "
"item"="VIA RAID TOOL"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NBJ"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norton Ghost 9.0]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="GhostTray"
"hkey"="HKLM"
"command"="C:\\Programme\\Norton SystemWorks\\Norton Ghost\\Agent\\GhostTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpScheduler]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="OpScheduler"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ScanSoft\\OmniPagePro14.0\\OpScheduler.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Opware14]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Opware14"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ScanSoft\\OmniPagePro14.0\\Opware14.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SSBkgdupdate"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TheaterMgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TheaterMgr"
"hkey"="HKLM"
"command"="C:\\Programme\\Dexatek\\TheaterMgr.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WorkFlowTray]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WorkFlowTray"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ScanSoft\\OmniPagePro14.0\\WorkFlowTray.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-05 17:06:14.50
C:\ComboFix.txt ... 06-12-05 17:06
Seitenanfang Seitenende
06.12.2006, 00:25
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 thomasfelber

wir muessen den vom Backdoor erstellten Eintrag in der Registry finden - also streng dich an ;)

Zitat

Service Name: wfskrnl
Display Name: wfskrnl(wfskrnl)
Start Mode: Auto
Start Name: LocalSystem
Description: Microsoft Windows File System Kernal, used for migration to Windows ...
Service Type: Own Process
Path: "c:\windows\system32\wfskrnl.exe"
Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" reinkopieren)

wfskrnl

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.12.2006, 09:25
thomasfelber
Member

Themenstarter

Beiträge: 14
#11 Hallo noch mal das Ergebnis von regserch, beachte auch mal den Anhang

REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "wfskrnl" 06.12.2006 09:17:45

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFSKRNL]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFSKRNL\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFSKRNL\0000]
"Service"="wfskrnl"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFSKRNL\0000]
"DeviceDesc"="wfskrnl(wfskrnl)"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wfskrnl]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wfskrnl]
"DisplayName"="wfskrnl(wfskrnl)"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wfskrnl\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wfskrnl\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wfskrnl\Enum]
"0"="Root\\LEGACY_WFSKRNL\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WFSKRNL]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WFSKRNL\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WFSKRNL\0000]
"Service"="wfskrnl"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WFSKRNL\0000]
"DeviceDesc"="wfskrnl(wfskrnl)"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wfskrnl]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wfskrnl]
"DisplayName"="wfskrnl(wfskrnl)"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wfskrnl\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFSKRNL]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFSKRNL\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFSKRNL\0000]
"Service"="wfskrnl"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFSKRNL\0000]
"DeviceDesc"="wfskrnl(wfskrnl)"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wfskrnl]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wfskrnl]
"DisplayName"="wfskrnl(wfskrnl)"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wfskrnl\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wfskrnl\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wfskrnl\Enum]
"0"="Root\\LEGACY_WFSKRNL\\0000"

Anhang: iviewcapture_date_05_12_2006_time_17_24_42.jpg
Seitenanfang Seitenende
06.12.2006, 11:40
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 thomasfelber

««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren

««
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFSKRNL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wfskrnl
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WFSKRNL
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wfskrnl
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFSKRNL
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wfskrnl

Files to delete:
C:\uniq

**
scanne und poste hier den scanreport
http://virus-protect.org/cureit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.12.2006, 16:53
thomasfelber
Member

Themenstarter

Beiträge: 14
#13 Hall Sabina, Dr. Web hat Nichts gefunden.

Geprüfte Objekte: 198544
Infizierte Objekte gefunden: 0
Objekte mit Modifikation gefunden: 0
Verdächtige Objekte gefunden: 0
Adware-Programm gefunden: 0
Dialer-Programm gefunden: 0
Scherz-Programm gefunden: 0
Riskware programm gefunden: 0
Hacktool-Programm gefunden: 0
Desinfizierte Objekte: 0
Gelöschte Objekte: 0
Umbenannte Objekte: 0
Verschobene Objekte: 0
Ignorierte Objekte: 0
Leistung:: 305 Kb/s
Dauer:: 01:05:26

edit
-----------------------------------------------------------------------------
Seitenanfang Seitenende
06.12.2006, 17:44
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 dann muesste wieder alles i.o. sein ;)

poste das neue Log von HijackThis, bitte
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.12.2006, 18:39
thomasfelber
Member

Themenstarter

Beiträge: 14
#15 Hallo Sabina,

Logfile of HijackThis v1.99.1
Scan saved at 18:32:41, on 06.12.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\Dexatek\TheaterMgr.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
D:\Treiber und Tools\Hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
F2 - REG:system.ini: Shell=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3747773D-1D18-4957-B96F-C0CD6273CB4F} - (no file)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SSC_UserPrompt] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe"
O4 - HKLM\..\Run: [QD FastAndSafe] C:\Programme\Norton SystemWorks\Norton CleanSweep\QDCSFS.exe /scheduler
O4 - HKLM\..\Run: [TheaterMgr] C:\Programme\Dexatek\TheaterMgr.exe
O4 - HKCU\..\Run: [Norton SystemWorks] "C:\Programme\Norton SystemWorks\cfgwiz.exe" /GUID {05858CFD-5CC4-4ceb-AAAF-CF00BF39736A} /MODE CfgWiz
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Norton Internet Security\comHost.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\NPROTECT.EXE
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\keoqppjv

*******************

Script file located at: \??\C:\WINDOWS\enoqcnic.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WFSKRNL deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wfskrnl deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WFSKRNL deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wfskrnl deleted successfully.


Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFSKRNL not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFSKRNL failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WFSKRNL
Status: 0xc0000034



Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wfskrnl not found!
Deletion of registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wfskrnl failed!

Could not process line:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wfskrnl
Status: 0xc0000034



File C:\uniq not found!
Deletion of file C:\uniq failed!

Could not process line:
C:\uniq
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12