Erst VirusBusters, jetzt Systemcrash

#1 Hallo,

mein System wurde mit VirusBusters infiziert, was ich versucht habe mit verschiedenen Tools, unter anderm auch Spybot, im abgesicherten Modus zu beheben. Nachdem Spybot beim Systemstart mithochlief, muß wohl irgendeine Systemdatei beschädigt worden sein, da seitdem Windows XP beim erreichen des Anmeldebildschirms abstürzt. Nur im abgesicherten Modus läßt sich XP noch betreiben. Smitfraudfix hab ich auch versucht, hat aber auch nichts mehr geändert.

So wie ich die Lage einschätze, werde ich das System wohl neu installieren müssen. Vorher wollte ich jedoch nochmal nachfragen, ob in diesem Forum jemand einen guten Tip hat um die Neuinstallation zu verhindern.

Vielen Dank schon im voraus,

Steev

#2 Hallo Steev,

Du kommst ja in den abgesicherten Modus. Versuche statt dessen den Rechner mit der Option "Letzte funktionierende Konfiguration" hochzufahren.

Du hast dann u.U. die Malware wieder auf dem Rechner. Arbeite dann einfach alles ab, was hier angegeben ist: http://board.protecus.de/t23188.htm

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#3 poste dann hier die logs, vor allem das von combofix und hijackThis - dann sehen wir weiter
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Hallo,

vielen Dank für die schnelle Hilfe. Ich konnte das System mit der zuletzt funktionierenden Konfiguration wieder starten, zumindest bis zur Anwendung von Combofix (schon während der Ausführung des Programms kam es zum Reboot, Combofix lief aber nach erneutem Anmelden noch). Ich hab dann Combofix nochmal ausgeführt und das 2. Logfile befindet sich auch unten im Thread. Weitere Versuche mit der letzt funktionierenden Konfiguration wieder zu starten blieben erfolglos und so konnte ich die Log-Files von datfind.bat nur im abgesicherten Modus erstellen (sollte aber nicht stören, hoffe ich). Also nun hier die Log-files.

Hijackthis:************************************************
Logfile of HijackThis v1.99.1
Scan saved at 07:32:53, on 13.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\BrmfBAgS.exe
C:\WINDOWS\system32\eTSrv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
c:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\Explorer.EXE
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymSCUI.exe
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\{78EA2C08-07C5-1031-1125-040410290031}\Update.exe
C:\PROGRA~1\COMMON~1\SMANTE~1\dvdplay.exe
C:\WINDOWS\system32\??pPatch\?hkntfs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\SEC\MagicTune 2.5\GammaTray.exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
c:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
c:\Programme\Norton AntiVirus\OPScan.exe
D:\Eigene Dateien Stephan\Sonstiges\Tools\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {8EAD9606-21BA-5219-CA68-78E5561D4093} - C:\WINDOWS\system32\acqeth.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web Sign On - {46832FF5-95B5-4654-88F4-7F5F37AD1FC2} - C:\Programme\Aladdin\eToken\WSO\eTWSO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{38EA2~1\Bar888.dll
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Earc] "C:\PROGRA~1\COMMON~1\SMANTE~1\dvdplay.exe" -vt yazb
O4 - HKCU\..\Run: [Ucuv] C:\WINDOWS\system32\??pPatch\?hkntfs.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web Sign On - {1A69BF73-60DD-49b7-9251-F7A7D7070940} - C:\Programme\Aladdin\eToken\WSO\eTWSO.dll
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130605000171
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144265827890
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Brother BidiAgent Service for Resource manager (brmfbags) - Brother Industries, Ltd. - C:\WINDOWS\system32\BrmfBAgS.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINDOWS\system32\eTSrv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Combofix #1:************************************************
Stephan - 06-12-13 7:47:59,57 Service Pack 2
ComboFix 06.11.27W - Running from: "D:\Eigene Dateien Stephan\Sonstiges\Tools\Virustools"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\Gemeinsame Dateien\Yazzle1162OinAdmin.exe
C:\Programme\Gemeinsame Dateien\Yazzle1162OinUninstaller.exe
C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{38EA2C08-07C5-1031-1125-040410290031}
C:\Programme\Gemeinsame Dateien\{78EA2C08-07C5-1031-1125-040410290031}

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\WINDOWS\system32\PPATCH~1
C:\QooBox\Purity\WINDOWS\system32\PPATCH~1\?hkntfs.exe


((((((((((((((((((((((((((((((( Files Created from 2006-11-13 to 2006-12-13 ))))))))))))))))))))))))))))))))))


2006-12-13 07:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Stephan\Recent
2006-12-13 07:34 <DIR> d-------- C:\Programme\CleanUp!
2006-12-12 20:29 126,996 --a------ C:\WINDOWS\system32\rubhcngc.dll
2006-12-11 22:08 3,716 --a------ C:\WINDOWS\system32\tmp.reg
2006-12-11 20:32 5,708 --a------ C:\WINDOWS\system32\k9371937.DLL
2006-12-11 20:31 10,000 --a------ C:\WINDOWS\system32\rundll32.exe
2006-12-11 19:49 <DIR> d-------- C:\Programme\RegCure
2006-12-11 19:42 58,880 --a------ C:\WINDOWS\system32\acqeth.dll
2006-12-11 19:42 2 --a------ C:\WINDOWS\system32\wnscpsv.exe
2006-12-11 19:38 72,704 --a------ C:\WINDOWS\system32\drvzog.dll
2006-12-11 19:18 625,768 ---hs---- C:\WINDOWS\system32\kjjlm.bak2
2006-12-10 14:16 594,678 ---hs---- C:\WINDOWS\system32\kjjlm.bak1
2006-12-10 14:16 276,532 ---hs---- C:\WINDOWS\system32\mljjk.dll
2006-12-10 14:16 <DIR> d-------- C:\Programme\VSAdd-in
2006-12-10 14:10 72,704 --a------ C:\WINDOWS\system32\drvwah.dll
2006-12-10 14:10 19,456 --a------ C:\WINDOWS\system32\winzdn32.dll
2006-11-30 22:53 <DIR> d-------- C:\Programme\iTunes
2006-11-30 22:51 <DIR> d-------- C:\Programme\Apple Software Update


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

[color=red]Rootkit driver pe386 is present. A rootkit scan is required[/color]

2006-12-13 07:53 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-12 19:56 -------- d-------- C:\Programme\Easy Internet signup
2006-12-11 22:14 -------- d-------- C:\Programme\Mozilla Firefox
2006-12-10 14:11 -------- d-------- C:\Programme\Common Files
2006-11-30 22:53 -------- d-------- C:\Programme\iPod
2006-11-30 22:52 -------- d-------- C:\Programme\QuickTime
2006-10-31 18:51 -------- d-------- C:\Programme\Google
2006-10-14 12:08 -------- d-------- C:\Programme\Java
2006-09-19 15:43 109360 --a------ C:\WINDOWS\system32\GEARAspi.dll
2006-09-15 21:52 91904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"Earc"="\"C:\\PROGRA~1\\COMMON~1\\SMANTE~1\\dvdplay.exe\" -vt yazb"
"Ucuv"="C:\\WINDOWS\\system32\\??pPatch\\?hkntfs.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"UpdateManager"="\"C:\\Programme\\Gemeinsame Dateien\\Sonic\\Update Manager\\sgtray.exe\" /r"
"T-DSL SpeedMgr"="\"C:\\PROGRA~1\\T-DSLS~1\\SpeedMgr.exe\""
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"ccApp"="\"c:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"SSBkgdUpdate"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"PaperPort PTD"="C:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe"
"IndexSearch"="C:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe"
"SetDefPrt"="C:\\Programme\\Brother\\Brmfl04g\\BrStDvPt.exe"
"ControlCenter2.0"="C:\\Programme\\Brother\\ControlCenter2\\brctrcen.exe /autorun"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"
"{C671A733-A4AA-4B5F-8CEE-006242C457B5}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RunDLL]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="bridge"
"hkey"="HKLM"
"command"="rundll32.exe \"C:\\WINDOWS\\system32\\bridge.dll\",Load"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljgdca
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjk
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzdn32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer pr�fen - Stephan.job
C:\WINDOWS\tasks\RegCure.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 06-12-13 7:53:49.42
C:\ComboFix.txt ... 06-12-13 07:53

Combofix #2:************************************************
Stephan - 06-12-13 7:55:04,40 Service Pack 2
ComboFix 06.11.27W - Running from: "D:\Eigene Dateien Stephan\Sonstiges\Tools\Virustools"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))



~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\WINDOWS\system32\PPATCH~1
C:\QooBox\Purity\WINDOWS\system32\PPATCH~1\?hkntfs.exe


((((((((((((((((((((((((((((((( Files Created from 2006-11-13 to 2006-12-13 ))))))))))))))))))))))))))))))))))


2006-12-13 07:41 <DIR> dr-h----- C:\Dokumente und Einstellungen\Stephan\Recent
2006-12-13 07:34 <DIR> d-------- C:\Programme\CleanUp!
2006-12-12 20:29 126,996 --a------ C:\WINDOWS\system32\rubhcngc.dll
2006-12-11 22:08 3,716 --a------ C:\WINDOWS\system32\tmp.reg
2006-12-11 20:32 5,708 --a------ C:\WINDOWS\system32\k9371937.DLL
2006-12-11 20:31 10,000 --a------ C:\WINDOWS\system32\rundll32.exe
2006-12-11 19:49 <DIR> d-------- C:\Programme\RegCure
2006-12-11 19:42 58,880 --a------ C:\WINDOWS\system32\acqeth.dll
2006-12-11 19:42 2 --a------ C:\WINDOWS\system32\wnscpsv.exe
2006-12-11 19:38 72,704 --a------ C:\WINDOWS\system32\drvzog.dll
2006-12-11 19:18 625,768 ---hs---- C:\WINDOWS\system32\kjjlm.bak2
2006-12-10 14:16 594,678 ---hs---- C:\WINDOWS\system32\kjjlm.bak1
2006-12-10 14:16 276,532 ---hs---- C:\WINDOWS\system32\mljjk.dll
2006-12-10 14:16 <DIR> d-------- C:\Programme\VSAdd-in
2006-12-10 14:10 72,704 --a------ C:\WINDOWS\system32\drvwah.dll
2006-12-10 14:10 19,456 --a------ C:\WINDOWS\system32\winzdn32.dll
2006-11-30 22:53 <DIR> d-------- C:\Programme\iTunes
2006-11-30 22:51 <DIR> d-------- C:\Programme\Apple Software Update


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

[color=red]Rootkit driver pe386 is present. A rootkit scan is required[/color]

2006-12-13 07:53 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-12 19:56 -------- d-------- C:\Programme\Easy Internet signup
2006-12-11 22:14 -------- d-------- C:\Programme\Mozilla Firefox
2006-12-10 14:11 -------- d-------- C:\Programme\Common Files
2006-11-30 22:53 -------- d-------- C:\Programme\iPod
2006-11-30 22:52 -------- d-------- C:\Programme\QuickTime
2006-10-31 18:51 -------- d-------- C:\Programme\Google
2006-10-14 12:08 -------- d-------- C:\Programme\Java
2006-09-19 15:43 109360 --a------ C:\WINDOWS\system32\GEARAspi.dll
2006-09-15 21:52 91904 --a------ C:\WINDOWS\system32\S32EVNT1.DLL


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.0.720.3640\\GoogleToolbarNotifier.exe"
"Earc"="\"C:\\PROGRA~1\\COMMON~1\\SMANTE~1\\dvdplay.exe\" -vt yazb"
"Ucuv"="C:\\WINDOWS\\system32\\??pPatch\\?hkntfs.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"UpdateManager"="\"C:\\Programme\\Gemeinsame Dateien\\Sonic\\Update Manager\\sgtray.exe\" /r"
"T-DSL SpeedMgr"="\"C:\\PROGRA~1\\T-DSLS~1\\SpeedMgr.exe\""
"SunJavaUpdateSched"="C:\\Programme\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"ccApp"="\"c:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"ATIPTA"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"Symantec NetDriver Monitor"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe /Consumer"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00
"SSBkgdUpdate"="\"C:\\Programme\\Gemeinsame Dateien\\Scansoft Shared\\SSBkgdUpdate\\SSBkgdupdate.exe\" -Embedding -boot"
"PaperPort PTD"="C:\\Programme\\ScanSoft\\PaperPort\\pptd40nt.exe"
"IndexSearch"="C:\\Programme\\ScanSoft\\PaperPort\\IndexSearch.exe"
"SetDefPrt"="C:\\Programme\\Brother\\Brmfl04g\\BrStDvPt.exe"
"ControlCenter2.0"="C:\\Programme\\Brother\\ControlCenter2\\brctrcen.exe /autorun"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"
"{C671A733-A4AA-4B5F-8CEE-006242C457B5}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RunDLL]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="bridge"
"hkey"="HKLM"
"command"="rundll32.exe \"C:\\WINDOWS\\system32\\bridge.dll\",Load"
"inimapping"="0"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljgdca
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjk
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzdn32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer pr�fen - Stephan.job
C:\WINDOWS\tasks\RegCure.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 06-12-13 7:55:58.93
C:\ComboFix.txt ... 06-12-13 07:55
C:\ComboFix2.txt ... 06-12-13 07:53

System32:************************************************
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\WINDOWS\system32

13.12.2006 08:36 628.747 kjjlm.ini
13.12.2006 07:11 381.828 perfh009.dat
13.12.2006 07:11 53.572 perfc009.dat
13.12.2006 07:11 392.842 perfh007.dat
13.12.2006 07:11 64.650 perfc007.dat
13.12.2006 07:11 902.476 PerfStringBackup.INI
12.12.2006 20:30 2.278 wpa.dbl
12.12.2006 20:30 126.996 rubhcngc.dll
12.12.2006 20:28 625.768 kjjlm.bak2
11.12.2006 22:09 0 tmp.txt
11.12.2006 22:09 3.716 tmp.reg
11.12.2006 19:42 2 wnscpsv.exe
11.12.2006 19:38 72.704 drvzog.dll
11.12.2006 14:46 58.880 acqeth.dll
10.12.2006 14:27 143 mcrh.tmp
10.12.2006 14:16 594.678 kjjlm.bak1
10.12.2006 14:16 276.532 mljjk.dll
10.12.2006 14:10 72.704 drvwah.dll
10.12.2006 14:10 19.456 winzdn32.dll
25.10.2006 19:15 65.536 QuickTimeVR.qtx
25.10.2006 19:15 49.152 QuickTime.qts
14.10.2006 12:08 7.006 jupdate-1.5.0_06-b05.log
19.09.2006 15:43 109.360 GEARAspi.dll
16.09.2006 14:58 5.618 jupdate-1.5.0_05-b05.log
15.09.2006 21:52 91.904 S32EVNT1.DLL
17.06.2006 19:17 65 BD7420.dat
15.06.2006 15:27 156.360 FNTCACHE.DAT
14.02.2006 08:20 550.120 LegitCheckControl.dll
13.02.2006 18:03 8.632 spmsg.dll
10.11.2005 12:03 127.078 javaws.exe
10.11.2005 12:03 49.265 jpicpl32.cpl
10.11.2005 10:27 49.250 javaw.exe
10.11.2005 10:27 49.248 java.exe
16.10.2005 16:43 34.308 BASSMOD.dll
01.10.2005 13:23 29.236 Acrobat Distiller
01.10.2005 11:15 952 KGyGaAvL.sys
10.09.2005 17:56 0 np3vdghs.html
10.09.2005 17:55 3.115 th647si4.ini
10.09.2005 17:37 35.184 9khegdn3.dat
10.09.2005 17:37 188.144 rubi58sl.dat
10.09.2005 15:33 4.240 mam9riji.dat
10.09.2005 15:33 0 gm10isae.dat
10.09.2005 15:33 0 30r47nf0.dat
10.09.2005 15:33 35 2isu38ip.ini
10.09.2005 15:33 35 ee6v2ucg.ini

System:************************************************
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\WINDOWS

13.12.2006 08:29 777.126 ntbtlog.txt
13.12.2006 08:18 9.492 setupapi.log
13.12.2006 08:16 2.048 bootstat.dat
13.12.2006 08:14 159 wiadebug.log
13.12.2006 08:14 50 wiaservc.log
13.12.2006 07:58 2.448 SchedLgU.Txt
13.12.2006 07:58 10.206 WindowsUpdate.log
13.12.2006 07:53 0 0.log
12.12.2006 20:08 680 MKDEMSG.LOG
12.12.2006 20:08 3.072 MKDEWE.TRN
11.12.2006 22:05 60 setupact.log
11.12.2006 22:05 0 setuperr.log
11.12.2006 19:17 0 Sti_Trace.log
10.12.2006 13:48 386 BrmfBidi.ini
09.12.2006 19:55 48 wpd99.drv
28.11.2006 22:01 69 NeroDigital.ini
15.10.2006 21:36 4.012.815 pfirewall.log.old
14.10.2006 16:12 469 BRWMARK.INI
14.10.2006 11:27 2.904 mozver.dat
24.09.2006 19:23 143 mandant.ini
16.09.2006 14:52 0 batch.INI
16.09.2006 14:09 0 nsreg.dat

Sys:************************************************
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\

13.12.2006 08:36 0 sys.txt
13.12.2006 08:36 674 down.txt
13.12.2006 08:36 919 tmp.txt
13.12.2006 08:36 6.502 system.txt
13.12.2006 08:36 282 systemtemp.txt
13.12.2006 08:36 102.383 system32.txt
13.12.2006 08:28 668 datFind.bat
13.12.2006 08:15 805.306.368 pagefile.sys
10.12.2006 14:25 0 2028612616
16.09.2006 15:01 15 mandant.ini
15.03.2006 15:28 40 Auth.prof
12.09.2005 12:56 211 boot.ini
01.06.2005 21:03 130 INSTALL.LOG
06.05.2005 15:03 2.208 myvbs.vbs
25.03.2005 16:58 5.510 data
17.11.2004 01:36 0 CONFIG.SYS
17.11.2004 01:36 0 AUTOEXEC.BAT
17.11.2004 01:36 0 MSDOS.SYS
17.11.2004 01:36 0 IO.SYS

Systemtemp:************************************************
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\DOKUME~1\Stephan\LOKALE~1\Temp

13.12.2006 08:14 533 pcfA.tmp
1 Datei(en) 533 Bytes
0 Verzeichnis(se), 8.078.471.168 Bytes frei

Tmp:************************************************
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\WINDOWS\Temp

13.12.2006 08:24 0 winE.tmp
13.12.2006 08:22 0 winD.tmp
13.12.2006 08:20 0 winC.tmp
13.12.2006 08:18 0 winB.tmp
13.12.2006 08:16 0 winA.tmp
13.12.2006 08:13 0 win9.tmp
13.12.2006 08:11 0 win8.tmp
13.12.2006 08:09 0 win6.tmp
13.12.2006 08:05 0 win5.tmp
13.12.2006 08:03 0 win3.tmp
13.12.2006 08:02 0 win2.tmp
13.12.2006 08:01 0 win1.tmp
13.12.2006 07:58 0 T30DebugLogFile.txt
13.12.2006 07:58 0 win7.tmp
13.12.2006 07:56 0 win4.tmp
15 Datei(en) 0 Bytes
0 Verzeichnis(se), 8.078.458.880 Bytes frei

Gruß,

Steev

#5 1.
scanne mit vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{74DD705D-6834-439C-A735-A6DBE2677452}
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{C1B4DEC2-2623-438e-9CA2-C9043AB28508}

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljgdca
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjk
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzdn32
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RunDLL
HKLM\SOFTWARE\Classes\CLSID\{C1B4DEC2-2623-438e-9CA2-C9043AB28508}
HKLM\SOFTWARE\Classes\CLSID\{74DD705D-6834-439C-A735-A6DBE2677452}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1122Oin
HKLM\SOFTWARE\Microsoft\MSSMGR
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{74DD705D-6834-439C-A735-A6DBE2677452}

Files to delete:
C:\WINDOWS\tasks\RegCure.job
C:\WINDOWS\system32\bridge.dll
C:\WINDOWS\system32\kjjlm.ini
C:\WINDOWS\system32\rubhcngc.dll
C:\WINDOWS\system32\kjjlm.bak2
C:\WINDOWS\system32\tmp.txt
C:\WINDOWS\system32\tmp.reg
C:\WINDOWS\system32\wnscpsv.exe
C:\WINDOWS\system32\drvzog.dll
C:\WINDOWS\system32\acqeth.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\kjjlm.bak1
C:\WINDOWS\system32\mljjk.dll
C:\WINDOWS\system32\drvwah.dll
C:\WINDOWS\system32\winzdn32.dll
C:\WINDOWS\system32\np3vdghs.html
C:\WINDOWS\system32\th647si4.ini
C:\WINDOWS\system32\9khegdn3.dat
C:\WINDOWS\system32\rubi58sl.dat
C:\WINDOWS\system32\mam9riji.dat
C:\WINDOWS\system32\gm10isae.dat
C:\WINDOWS\system32\30r47nf0.dat
C:\WINDOWS\system32\2isu38ip.ini
C:\WINDOWS\system32\ee6v2ucg.ini
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\k9371937.DLL
C:\2028612616
C:\data

Folders to delete:
C:\Programme\VSAdd-in
C:\Programme\RegCure

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

««
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - {8EAD9606-21BA-5219-CA68-78E5561D4093} - C:\WINDOWS\system32\acqeth.dll

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O3 - Toolbar: Web Sign On - {46832FF5-95B5-4654-88F4-7F5F37AD1FC2} - C:\Programme\Aladdin\eToken\WSO\eTWSO.dll

O3 - Toolbar: Bar888 - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - C:\PROGRA~1\GEMEIN~1\{38EA2~1\Bar888.dll

O4 - HKCU\..\Run: [Earc] "C:\PROGRA~1\COMMON~1\SMANTE~1\dvdplay.exe" -vt yazb

O4 - HKCU\..\Run: [Ucuv] C:\WINDOWS\system32\??pPatch\?hkntfs.exe

O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

PC neustarten

»»
scanne und poste hier den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Hallo,

Vundofix hatte beim ersten Run Probleme ein paar Dateien zu löschen. Beim wiederholten ausführen waren diese Dateien aber nichtmehr auffindbar. Mit HijackThis wollte ich folgenden Eintrag nicht entfernen, da er zu einem von mir installierten Securitytool gehört:

O3 - Toolbar: Web Sign On - {46832FF5-95B5-4654-88F4-7F5F37AD1FC2} - C:\Programme\Aladdin\eToken\WSO\eTWSO.dll

Leider kann ich auch seit längerer Zeit die beiden Einträge

O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

nicht loswerden. Hat dazu jemand noch einen guten Tip?

Anbei noch der Report der AVG Anti-Spyware.



---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 07:17:04 14.12.2006

+ Scan-Ergebnis:



C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert.
:mozilla.6:C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Mozilla\Firefox\Profiles\qwtvbld2.default\cookies.txt -> TrackingCookie.Ivwbox : Gesäubert.
C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert.
:mozilla.13:C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Mozilla\Firefox\Profiles\qwtvbld2.default\cookies.txt -> TrackingCookie.Reliablestats : Gesäubert.
:mozilla.14:C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Mozilla\Firefox\Profiles\qwtvbld2.default\cookies.txt -> TrackingCookie.Reliablestats : Gesäubert.
:mozilla.15:C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Mozilla\Firefox\Profiles\qwtvbld2.default\cookies.txt -> TrackingCookie.Reliablestats : Gesäubert.
:mozilla.16:C:\Dokumente und Einstellungen\Stephan\Anwendungsdaten\Mozilla\Firefox\Profiles\qwtvbld2.default\cookies.txt -> TrackingCookie.Reliablestats : Gesäubert.
C:\Dokumente und Einstellungen\Stephan\Cookies\stephan@serving-sys[2].txt -> TrackingCookie.Serving-sys : Gesäubert.


::Berichtende

Steev

#7 Du solltest noch einen neuen Ordner auf Laufwerk c: haben(Avenger) dort befindet sich ein Zip Archiv. Es waere nett, wenn du das an virus@protecus.de schicken koenntest.
__________
MfG Ralf
SEO-Spam Hunter

#8 Steev

1.
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)

http://virus-protect.org/artikel/tools/smitfrautfix.html
* Optional:
Wenn du die Zones und Restricted Zones wiederherstellen willst, gib die 3 ein und drücke auf Enter.
Du wirst gefragt: Restore Trusted Zone ? antworte Y (ja) und drücke auf Enter um die Trusted Zones zu löschen.

2.
poste noch mal die 6 logs von datfindbat - bis Juli 2006 , vom Datum her
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo Ralf,

ich hätte Dir das Zip-Archiv gerne geschickt, allerdings hab ich das nach dem Ausführen von Avenger nachhaltig gelöscht :-(. Sorry.

Weiterhin gibt's schlechte Nachrichten. Der abgesicherte Modus läuft nicht mehr und das System stürzt während des Anmeldens ab (wie schon vorher im normalen Modus). Einmal konnte ich noch im normalen Betriebsmodus hochfahren, kam aber dann schnell zum Systemstillstand (keine Maus, keine Tastatur, keine Reaktion). In den meisten Fällen bootet das System jetzt gar nicht mehr, der Lüfter läuft auf vollen Touren und der Lautsprecher piept :-(. Ist ja jetzt eh Wochenende und ich hab Zeit das System mit der Recovery-CD wieder flott zu kriegen.

Leider hab ich keine reinrassige Windows-XP CD, sondern eben nur die Recovery-CD, die mein System wieder auf den Auslieferungszustand zurückbringt. In Eurer Empfehlung "Den Rechner neu aufsetzen..." empfehlt Ihr natürlich erstmal zu formatieren. Ich hoffe das macht die Recovery-CD ähnlich sauber?


Danke nochmals für Eure Hilfe,

Steev

#10 wende Recovery-CD an und poste das neue log vom HijackTHis
(allerdings kann auch ein hardware-Fehler vorliegen, es sieht danach aus... wenn also die Rec... nicht funktioniert, musst du den rechner in die Reparatur bringen)
__________
MfG Sabina

rund um die PC-Sicherheit

#11 WindowsXP Cds sind zwar nicht ideal, aber dadurch ist auch keine Malware auf dem Rechner. Man sollte nur sehen, das man dann den unnoetigen "Kram" erst wieder deinstalliert und vor allem alle Updates und Servicepacks installiert.
__________
MfG Ralf
SEO-Spam Hunter

#12 Hallo,

hab die Recovery-CD angewendet (Startdateien und Treiber wiederherstellen) aber das System nicht komplett platt gemacht. Danach alle obigen Schritte nochmals genauso durchgeführt. Das System scheint jetzt stabiler zu laufen, nur Anwendungen melden noch das Fehlen der rundll32.exe.

Hier noch das aktuelle Logfile von Hijackthis und die 6 Dateien von datfind:

Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 12:18:29, on 16.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\BrmfBAgS.exe
C:\WINDOWS\system32\eTSrv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\iTunes\iTunesHelper.exe
c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymSCUI.exe
C:\Programme\SEC\MagicTune 2.5\GammaTray.exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Eigene Dateien Stephan\Sonstiges\Tools\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {35F7813A-AF74-4474-B1DC-7EE6FB6C43C6} - C:\WINDOWS\system32\awuxbxbb.dll (file missing)
O2 - BHO: WSOBHOObj Class - {4D0B671C-7F9A-4516-B4DB-D30F3A12EE26} - C:\Programme\Aladdin\eToken\WSO\eTWSOBHO.dll
O2 - BHO: (no name) - {526B6364-8F0D-4F27-B257-C7C31FC0AC8F} - C:\WINDOWS\system32\mljjk.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {8EAD9606-21BA-5219-CA68-78E5561D4093} - C:\WINDOWS\system32\acqeth.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - c:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - (no file)
O2 - BHO: (no name) - {f4d74aaa-a178-4463-846b-b4bc87a024e0} - C:\WINDOWS\system32\ixt0.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Web Sign On - {46832FF5-95B5-4654-88F4-7F5F37AD1FC2} - C:\Programme\Aladdin\eToken\WSO\eTWSO.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "c:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04g\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [kcvbuswh] C:\araegovw.bat
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Color Calibration.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NaturalColorLoad.lnk = ?
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web Sign On - {1A69BF73-60DD-49b7-9251-F7A7D7070940} - C:\Programme\Aladdin\eToken\WSO\eTWSO.dll
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130605000171
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1144265827890
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Brother BidiAgent Service for Resource manager (brmfbags) - Brother Industries, Ltd. - C:\WINDOWS\system32\BrmfBAgS.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: eToken Notification Service (ETOKSRV) - Aladdin Knowledge Systems, Ltd. - C:\WINDOWS\system32\eTSrv.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe (file missing)
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - c:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - c:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Down:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\WINDOWS\Downloaded Program Files

06.10.2005 18:19 168.448 IEAWSDC.DLL
06.10.2005 18:19 452 ieawsdc.inf
29.06.2005 16:17 227 opuc.inf
26.05.2005 03:19 293 muweb.inf
26.05.2005 03:19 291 wuweb.inf
17.11.2004 01:35 65 desktop.ini
16.09.2003 17:05 299.008 isusweb.dll
25.07.2002 16:13 24.576 dwusplay.dll
25.07.2002 16:13 196.608 dwusplay.exe
9 Datei(en) 689.968 Bytes
0 Verzeichnis(se), 8.075.321.344 Bytes frei

System:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\WINDOWS

16.12.2006 11:18 0 0.log
16.12.2006 11:18 157 wiadebug.log
16.12.2006 11:18 50 wiaservc.log
16.12.2006 11:17 2.048 bootstat.dat
16.12.2006 11:16 20.462 WindowsUpdate.log
16.12.2006 11:14 2.520.268 ntbtlog.txt
15.12.2006 23:34 6.062 SchedLgU.Txt
15.12.2006 23:11 19.524 setupapi.log
15.12.2006 22:35 386 BrmfBidi.ini
12.12.2006 20:08 680 MKDEMSG.LOG
12.12.2006 20:08 3.072 MKDEWE.TRN
11.12.2006 22:05 60 setupact.log
11.12.2006 22:05 0 setuperr.log
11.12.2006 19:17 0 Sti_Trace.log
09.12.2006 19:55 48 wpd99.drv
28.11.2006 22:01 69 NeroDigital.ini
15.10.2006 21:36 4.012.815 pfirewall.log.old
14.10.2006 16:12 469 BRWMARK.INI
14.10.2006 11:27 2.904 mozver.dat
24.09.2006 19:23 143 mandant.ini
16.09.2006 14:52 0 batch.INI
16.09.2006 14:09 0 nsreg.dat

System32:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\WINDOWS\system32

16.12.2006 11:22 381.828 perfh009.dat
16.12.2006 11:22 53.572 perfc009.dat
16.12.2006 11:22 64.650 perfc007.dat
16.12.2006 11:22 392.842 perfh007.dat
16.12.2006 11:22 902.476 PerfStringBackup.INI
12.12.2006 20:30 2.278 wpa.dbl
25.10.2006 19:15 65.536 QuickTimeVR.qtx
25.10.2006 19:15 49.152 QuickTime.qts
14.10.2006 12:08 7.006 jupdate-1.5.0_06-b05.log
19.09.2006 15:43 109.360 GEARAspi.dll
16.09.2006 14:58 5.618 jupdate-1.5.0_05-b05.log
15.09.2006 21:52 91.904 S32EVNT1.DLL
17.06.2006 19:17 65 BD7420.dat
15.06.2006 15:27 156.360 FNTCACHE.DAT
14.02.2006 08:20 550.120 LegitCheckControl.dll
13.02.2006 18:03 8.632 spmsg.dll
10.11.2005 12:03 127.078 javaws.exe
10.11.2005 12:03 49.265 jpicpl32.cpl
10.11.2005 10:27 49.250 javaw.exe
10.11.2005 10:27 49.248 java.exe
16.10.2005 16:43 34.308 BASSMOD.dll
01.10.2005 13:23 29.236 Acrobat Distiller
01.10.2005 11:15 952 KGyGaAvL.sys
31.08.2005 13:55 1.089.536 WsoDB4.exe
31.08.2005 13:54 86.016 WsoDBPs4.dll

Sys:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\

16.12.2006 12:19 0 sys.txt
16.12.2006 12:19 674 down.txt
16.12.2006 12:19 337 tmp.txt
16.12.2006 12:19 6.502 system.txt
16.12.2006 12:19 607 systemtemp.txt
16.12.2006 12:18 101.213 system32.txt
16.12.2006 11:17 805.306.368 pagefile.sys
15.12.2006 23:38 18.852 avenger.txt
13.12.2006 08:28 668 datFind.bat
16.09.2006 15:01 15 mandant.ini
15.03.2006 15:28 40 Auth.prof
01.06.2005 21:03 130 INSTALL.LOG
06.05.2005 15:03 2.208 myvbs.vbs
23.11.2004 19:14 210 boot.ini
17.11.2004 01:36 0 AUTOEXEC.BAT
17.11.2004 01:36 0 MSDOS.SYS
17.11.2004 01:36 0 CONFIG.SYS
17.11.2004 01:36 0 IO.SYS
04.08.2004 12:59 47.564 NTDETECT.COM
04.08.2004 12:59 251.184 ntldr
04.08.2004 12:59 4.952 bootfont.bin
21 Datei(en) 805.741.524 Bytes
0 Verzeichnis(se), 8.075.317.248 Bytes frei

Tmp:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\WINDOWS\Temp

16.12.2006 11:19 16.384 Perflib_Perfdata_fd8.dat
15.12.2006 23:34 0 T30DebugLogFile.txt
2 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 8.075.321.344 Bytes frei

systemtemp:
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 78EA-2C08

Verzeichnis von C:\DOKUME~1\Stephan\LOKALE~1\Temp

16.12.2006 11:28 412 jusched.log
16.12.2006 00:04 533 pcf7.tmp
16.12.2006 00:02 533 pcf6.tmp
16.12.2006 00:00 533 pcf5.tmp
15.12.2006 23:59 533 pcf4.tmp
15.12.2006 23:41 533 pcf3.tmp
15.12.2006 23:40 533 pcf2.tmp
15.12.2006 23:39 533 pcf1.tmp
8 Datei(en) 4.143 Bytes
0 Verzeichnis(se), 8.075.333.632 Bytes frei

Sollte das System so weiter stabil bleiben lass ich es erst mal. Nach erneuter gründlicher Sicherung aller Daten wird es wohl besser sein mal komplett neu zu installieren um dann ein sauberes Image zu ziehen.

Steev

#13 Ja, Komplett plattmachen ist besser! Mache ein neues Combofix log! Nur um zu sehen, ob noch Rootkits gemeldet werden!
__________
MfG Ralf
SEO-Spam Hunter

#14 Hallo,

hier das aktuelle Combofix log:

"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"kcvbuswh"="C:\\araegovw.bat"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{54D9498B-CF93-414F-8984-8CE7FDE0D391}"="ewido shell guard"
"{C671A733-A4AA-4B5F-8CEE-006242C457B5}"=""
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Norton AntiVirus - Meinen Computer pr�fen - Stephan.job
C:\WINDOWS\tasks\Symantec NetDetect.job

Completion time: 06-12-16 12:56:37.56
C:\ComboFix.txt ... 06-12-16 12:56

Ich hab von der letzten Avenger Anwendung jetzt dieses zip-file noch. Willst Du es noch haben?

Steev

#15 Immer her damit, mal schauen, was es ist!

Ist das combofix log komplett
__________
MfG Ralf
SEO-Spam Hunter