mir unbekannter Virus(?) beendet Windows Firewall

#1 Hallo

ich habe mir (so nehme ich zumindestens an) einen Virus eingefangen.
Folgendes sind die Symptome: Der Systemstart ist leicht verzögert und erst nach kurzer Warte und Rechnzeit ist ein Arbeiten möglich. Weiterhin bekomme ich nachdem er fertig ist zu rechnen die Windows Sicherheitswarnung, dass die Windows-Firewall deaktiviert sei (obwohl ich sie aktiviert habe). Will ich sie manuell wieder in Betrieb nehmen kommt folgende Fehlermeldung :
" Auf Grund eines unbekannten Problems konnten die Windows Firewall-Einstellungen nicht angezeigt werden".
Ich bin einigermaßen ratlos zu diesem Problem und bitte deshalb um Hilfe und das folgende sind meine HJT und ComboFix Logs:

Logfile of HijackThis v1.99.1
Scan saved at 23:05, on 06-12-19
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\svchost.exe
D:\Downloads\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sportal.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1163607402921
O17 - HKLM\System\CCS\Services\Tcpip\..\{DC602B37-7F88-446E-A5B0-5FCD7434B25A}: NameServer = 205.188.146.145
O20 - AppInit_DLLs: C:\WINDOWS\system32\syst8xl.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe





__________________________________________________________________________________________________________________________________




Snake - 06-12-19 23:07:20.07 Service Pack 2
ComboFix 06.11.27W - Running from: "D:\Downloads"

((((((((((((((((((((((((((((((( Files Created from 2006-11-18 to 2006-12-18 ))))))))))))))))))))))))))))))))))


2006-12-19 16:31 42,920 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2006-12-19 16:31 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2006-12-19 16:31 <DIR> d-------- C:\WINDOWS\Internet Logs
2006-12-19 16:31 <DIR> d-------- C:\Programme\Zone Labs


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-19 19:08 -------- d-------- C:\Programme\Mozilla Firefox
2006-12-19 17:00 -------- d-------- C:\Programme\Steam
2006-12-19 16:54 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-12-16 19:57 98304 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2006-12-13 18:00 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-12-13 17:03 -------- d-------- C:\Programme\Windows Media Connect 2
2006-12-11 16:28 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-12-11 16:13 -------- d-------- C:\Dokumente und Einstellungen\Snake\Anwendungsdaten\Adobe
2006-12-10 21:35 -------- d-------- C:\Programme\ArtMoney
2006-12-10 21:29 -------- d-------- C:\Programme\AOL 9.0
2006-12-08 17:00 -------- d-------- C:\Programme\Adobe
2006-12-08 16:59 -------- d-------- C:\Programme\Gemeinsame Dateien\Adobe
2006-11-26 19:40 -------- d---s---- C:\Dokumente und Einstellungen\Snake\Anwendungsdaten\Microsoft
2006-11-18 14:01 -------- d-------- C:\Programme\Internet Explorer
2006-11-15 16:06 -------- d-------- C:\Programme\Windows Media Player
2006-11-14 13:40 286720 --a------ C:\WINDOWS\iun506.exe
2006-11-13 18:20 -------- d-------- C:\Programme\Gemeinsame Dateien\aol
2006-11-11 20:35 -------- d-------- C:\Dokumente und Einstellungen\Snake\Anwendungsdaten\AOL
2006-11-11 20:34 -------- d-------- C:\Programme\Gemeinsame Dateien\aolshare
2006-11-09 19:35 163644 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2006-11-09 19:22 -------- d-------- C:\Dokumente und Einstellungen\Snake\Anwendungsdaten\InstallShield
2006-11-03 10:02 8282112 --a------ C:\WINDOWS\system32\wmploc.dll
2006-11-03 09:56 99840 --a------ C:\WINDOWS\system32\wmpshell.dll
2006-11-03 09:55 275968 --a------ C:\WINDOWS\system32\wmerror.dll
2006-11-03 09:54 8192 --a------ C:\WINDOWS\system32\asferror.dll
2006-11-02 11:51 43008 --------- C:\WINDOWS\system32\wpdshextres.dll
2006-10-22 21:15 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-10-21 13:26 271360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2006-10-21 13:26 18048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2006-10-21 13:26 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-10-20 19:15 -------- d-------- C:\Programme\ICQLite
2006-10-18 21:58 8704 --a------ C:\WINDOWS\system32\wdfmgr.exe
2006-10-18 21:58 8704 --a------ C:\WINDOWS\system32\uwdf.exe
2006-10-18 21:47 991744 --a------ C:\WINDOWS\system32\drmv2clt.dll
2006-10-18 21:47 937984 --a------ C:\WINDOWS\system32\WMNetMgr.dll
2006-10-18 21:47 767488 --------- C:\WINDOWS\system32\WMVSENCD.dll
2006-10-18 21:47 757248 --a------ C:\WINDOWS\system32\WMADMOD.dll
2006-10-18 21:47 656896 --------- C:\WINDOWS\system32\WMVXENCD.dll
2006-10-18 21:47 63488 --a------ C:\WINDOWS\system32\wpdmtpus.dll
2006-10-18 21:47 629760 --a------ C:\WINDOWS\system32\wpd_ci.dll
2006-10-18 21:47 613376 --------- C:\WINDOWS\system32\wmpmde.dll
2006-10-18 21:47 603648 --a------ C:\WINDOWS\system32\WMSPDMOD.dll
2006-10-18 21:47 542720 --a------ C:\WINDOWS\system32\blackbox.dll
2006-10-18 21:47 535040 --------- C:\WINDOWS\system32\wmdrmsdk.dll
2006-10-18 21:47 429056 --a------ C:\WINDOWS\system32\wmdrmdev.dll
2006-10-18 21:47 414208 --a------ C:\WINDOWS\system32\msscp.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wmvdmoe2.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wmvdmod.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\WMVADVE.DLL
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\WMVADVD.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wmsdmoe2.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wmsdmod.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\wdfapi.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\MPG4DMOD.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\MP4SDMOD.dll
2006-10-18 21:47 4096 --a------ C:\WINDOWS\system32\MP43DMOD.dll
2006-10-18 21:47 37376 --a------ C:\WINDOWS\system32\wmdmps.dll
2006-10-18 21:47 35840 --a------ C:\WINDOWS\system32\wpdconns.dll
2006-10-18 21:47 356352 --a------ C:\WINDOWS\system32\wpdsp.dll
2006-10-18 21:47 348672 --a------ C:\WINDOWS\system32\wmdrmnet.dll
2006-10-18 21:47 33792 --a------ C:\WINDOWS\system32\wmdmlog.dll
2006-10-18 21:47 321536 --a------ C:\WINDOWS\system32\mswmdm.dll
2006-10-18 21:47 317440 --------- C:\WINDOWS\system32\MP4SDECD.dll
2006-10-18 21:47 314880 --a------ C:\WINDOWS\system32\wmpdxm.dll
2006-10-18 21:47 295936 --------- C:\WINDOWS\system32\wmpeffects.dll
2006-10-18 21:47 284160 --a------ C:\WINDOWS\system32\PortableDeviceApi.dll
2006-10-18 21:47 276992 --a------ C:\WINDOWS\system32\audiodev.dll
2006-10-18 21:47 27136 --a------ C:\WINDOWS\system32\mspmsnsv.dll
2006-10-18 21:47 2603008 --a------ C:\WINDOWS\system32\WpdShext.dll
2006-10-18 21:47 259072 --------- C:\WINDOWS\system32\MPG4DECD.dll
2006-10-18 21:47 259072 --------- C:\WINDOWS\system32\MP43DECD.dll
2006-10-18 21:47 2450944 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-10-18 21:47 242688 --a------ C:\WINDOWS\system32\wmpasf.dll
2006-10-18 21:47 229376 --a------ C:\WINDOWS\system32\cewmdm.dll
2006-10-18 21:47 222208 --a------ C:\WINDOWS\system32\WMASF.dll
2006-10-18 21:47 212992 --------- C:\WINDOWS\system32\MFPLAT.dll
2006-10-18 21:47 211456 --a------ C:\WINDOWS\system32\qasf.dll
2006-10-18 21:47 204288 --a------ C:\WINDOWS\system32\wmpsrcwp.dll
2006-10-18 21:47 199168 --------- C:\WINDOWS\system32\PortableDeviceWMDRM.dll
2006-10-18 21:47 179712 --a------ C:\WINDOWS\system32\msnetobj.dll
2006-10-18 21:47 175616 --a------ C:\WINDOWS\system32\mspmsp.dll
2006-10-18 21:47 166912 --a------ C:\WINDOWS\system32\PortableDeviceTypes.dll
2006-10-18 21:47 1661440 --a------ C:\WINDOWS\system32\wmpencen.dll
2006-10-18 21:47 1574912 --------- C:\WINDOWS\system32\WMVENCOD.dll
2006-10-18 21:47 157184 --a------ C:\WINDOWS\system32\wmidx.dll
2006-10-18 21:47 154624 --a------ C:\WINDOWS\system32\wpdmtp.dll
2006-10-18 21:47 1543680 --------- C:\WINDOWS\system32\WMVDECOD.dll
2006-10-18 21:47 1382912 --------- C:\WINDOWS\system32\WMVSDECD.dll
2006-10-18 21:47 133632 --a------ C:\WINDOWS\system32\WPDShServiceObj.dll
2006-10-18 21:47 1329152 --a------ C:\WINDOWS\system32\WMSPDMOE.dll
2006-10-18 21:47 132096 --------- C:\WINDOWS\system32\PortableDeviceWiaCompat.dll
2006-10-18 21:47 130048 --------- C:\WINDOWS\system32\wmpps.dll
2006-10-18 21:47 11264 --a------ C:\WINDOWS\system32\LAPRXY.dll
2006-10-18 21:47 1117696 --a------ C:\WINDOWS\system32\WMADMOE.dll
2006-10-18 21:47 101888 --------- C:\WINDOWS\system32\PortableDeviceClassExtension.dll
2006-10-18 20:03 100864 --a------ C:\WINDOWS\system32\logagent.exe
2006-10-18 20:00 38528 --a------ C:\WINDOWS\system32\drivers\wpdusb.sys
2006-10-18 20:00 249856 --------- C:\WINDOWS\system32\drmupgds.exe
2006-10-18 20:00 17408 --------- C:\WINDOWS\system32\wpdshextautoplay.exe
2006-10-13 13:35 65536 --a------ C:\WINDOWS\system32\nwwks.dll
2006-10-13 13:35 64000 --a------ C:\WINDOWS\system32\nwapi32.dll
2006-10-13 13:35 146432 --a------ C:\WINDOWS\system32\nwprovau.dll
2006-10-02 15:28 312128 --------- C:\WINDOWS\system32\msdelta.dll
2006-09-28 20:13 95344 --------- C:\WINDOWS\system32\WUDFCoinstaller.dll
2006-09-28 18:56 55808 --------- C:\WINDOWS\system32\WudfSvc.dll
2006-09-28 18:56 316416 --------- C:\WINDOWS\system32\WUDFx.dll
2006-09-28 18:56 165376 --------- C:\WINDOWS\system32\WudfPlatform.dll
2006-09-28 18:56 146432 --------- C:\WINDOWS\system32\WudfHost.exe
2006-09-25 17:58 23856 --a------ C:\WINDOWS\system32\spupdsvc.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Steam"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"="C:\\Programme\\ICQLite\\ICQLite.exe -trayboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,e8,00,00,00,00,00,00,00,08,05,00,00,92,04,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,40,01,00,00,00,00,00,00,00,05,00,00,92,04,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,40,01,00,00,00,00,00,00,00,05,00,00,92,04,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^AOL 9.0 Tray-Symbol.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\AOL 9.0 Tray-Symbol.lnk"
"backup"="C:\\WINDOWS\\pss\\AOL 9.0 Tray-Symbol.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\AOL9~1.0\\aoltray.exe -check"
"item"="AOL 9.0 Tray-Symbol"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Snake^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
"path"="C:\\Dokumente und Einstellungen\\Snake\\Startmenü\\Programme\\Autostart\\Adobe Gamma.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma.lnkStartup"
"location"="Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AOLDial"
"hkey"="HKLM"
"command"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EA Core]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="Core"
"hkey"="HKCU"
"command"="C:\\Programme\\Electronic Arts\\EA Downloader\\Core.exe -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="ICQLite"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ICQLite\\ICQLite.exe\" -minimize"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="isuspm"
"hkey"="HKLM"
"command"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\isuspm.exe -startup"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="issch"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVRaidService]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="nvraidservice"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\nvraidservice.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Omnipage]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="opware32"
"hkey"="HKLM"
"command"="C:\\Programme\\ScanSoft\\OmniPageSE\\opware32.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKCU"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VC8Player]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="VC8Play"
"hkey"="HKLM"
"command"="C:\\Programme\\Virtual CD v8\\System\\VC8Play.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ose"=dword:00000003
"AOL ACS"=dword:00000002
"Adobe LM Service"=dword:00000003
"VC8SecS"=dword:00000002
"IDriverT"=dword:00000003

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-12-19 23:08:23.07
C:\ComboFix.txt ... 06-12-19 23:08
C:\ComboFix2.txt ... 06-12-18 21:11

#2 das ist ein Haxdoor-Trojaner


http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei - poste das log
__________
MfG Sabina

rund um die PC-Sicherheit

#3 gemacht

12/20/06 14:58:44 [Info]: BlackLight Engine 1.0.47 initialized
12/20/06 14:58:44 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/20/06 14:58:45 [Note]: 7019 4
12/20/06 14:58:45 [Note]: 7005 0
12/20/06 14:58:47 [Note]: 7006 0
12/20/06 14:58:47 [Note]: 7011 1716
12/20/06 14:58:47 [Note]: 7026 0
12/20/06 14:58:47 [Note]: 7026 0
12/20/06 14:58:53 [Note]: FSRAW library version 1.7.1020
12/20/06 15:04:27 [Note]: 2000 1012
12/20/06 15:05:53 [Note]: 7007 0

#4 Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

syst8xl

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 REGEDIT4

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 21.12.2006 14:02:36 for strings:
; 'syst8xl'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\\WINDOWS\\system32\\syst8xl.dll"

; End Of The Log...


2. gemacht

3.

system32.txt

Datentr„ger in Laufwerk C: ist Win XP
Volumeseriennummer: 6C3C-F0EE

Verzeichnis von C:\WINDOWS\system32

21.12.2006 13:46 54.112 vsconfig.xml
21.12.2006 13:46 13.646 wpa.dbl
19.12.2006 16:32 4.212 zllictbl.dat
18.12.2006 21:00 4.096 syst8xl.dll
18.12.2006 21:00 10.929 systo.exe
16.12.2006 19:57 98.304 CmdLineExt.dll
13.12.2006 19:16 1.446 tmp.reg
13.12.2006 19:16 0 tmp.txt
12.12.2006 14:26 160.344 FNTCACHE.DAT
06.12.2006 15:30 34.064 lhacm.acm
01.12.2006 05:20 79.360 swxcacls.exe
16.11.2006 06:20 10.474.920 MRT.exe
15.11.2006 16:06 16.832 amcompat.tlb

systemtemp.txt

Datentr„ger in Laufwerk C: ist Win XP
Volumeseriennummer: 6C3C-F0EE

Verzeichnis von C:\DOKUME~1\Snake\LOKALE~1\Temp

21.12.2006 13:59 16.384 ~DF4A5C.tmp
21.12.2006 13:59 512 ~DF407B.tmp
21.12.2006 13:59 16.384 ~DF405B.tmp
3 Datei(en) 33.280 Bytes
0 Verzeichnis(se), 1.517.043.712 Bytes frei

system.txt

Datentr„ger in Laufwerk C: ist Win XP
Volumeseriennummer: 6C3C-F0EE

Verzeichnis von C:\WINDOWS

21.12.2006 13:59 619 win.ini
21.12.2006 13:46 159 wiadebug.log
21.12.2006 13:46 1.422.297 WindowsUpdate.log
21.12.2006 13:46 50 wiaservc.log
21.12.2006 13:46 0 0.log
21.12.2006 13:46 2.048 bootstat.dat
20.12.2006 19:58 32.564 SchedLgU.Txt
13.12.2006 18:04 227 system.ini
13.12.2006 17:53 721.215 setupapi.log
13.12.2006 17:52 23.743 hhdrvi.log


tmp.txt

Datentr„ger in Laufwerk C: ist Win XP
Volumeseriennummer: 6C3C-F0EE

Verzeichnis von C:\WINDOWS\Temp

21.12.2006 13:46 256 ZLT00091.TMP
21.12.2006 13:46 256 ZLT0008e.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 1.517.043.712 Bytes frei

down.txt

Datentr„ger in Laufwerk C: ist Win XP
Volumeseriennummer: 6C3C-F0EE

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.07.2006 20:19 65 desktop.ini
26.05.2005 04:19 293 muweb.inf
16.06.2004 05:02 323.584 isusweb.dll
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
5 Datei(en) 545.126 Bytes
0 Verzeichnis(se), 1.515.786.240 Bytes frei

sys.txt

Datentr„ger in Laufwerk C: ist Win XP
Volumeseriennummer: 6C3C-F0EE

Verzeichnis von C:\

21.12.2006 14:17 0 sys.txt
21.12.2006 14:16 485 down.txt
21.12.2006 14:16 320 tmp.txt
21.12.2006 14:16 9.306 system.txt
21.12.2006 14:16 383 systemtemp.txt
21.12.2006 14:15 103.798 system32.txt
21.12.2006 13:46 1.073.008.640 hiberfil.sys
20.12.2006 15:51 160 crashAddress.txt
19.12.2006 23:08 16.776 ComboFix.txt
18.12.2006 21:11 18.135 ComboFix2.txt
13.12.2006 18:04 211 boot.ini


«

#6 NobodySnake

1.
ueberpruefe, damit ich weiss, wie der Virus heisst und welche Scanner ihn erkennen

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\syst8xl.dll
C:\WINDOWS\system32\systo.exe

poste hier die reporte

_________________________________________________________

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\syst8xl.dll
C:\WINDOWS\system32\systo.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#7 1.

STATUS: FINISHEDComplete scanning result of "syst8xl.dll", received in VirusTotal at 12.21.2006, 14:49:09 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.19 12.21.2006 no virus found
Authentium 4.93.8 12.21.2006 could be infected with an unknown virus
Avast 4.7.892.0 12.21.2006 no virus found
AVG 386 12.20.2006 Downloader.Small
BitDefender 7.2 12.21.2006 Trojan.Downloader.Small.BXW
CAT-QuickHeal 8.00 12.20.2006 no virus found
ClamAV devel-20060426 12.21.2006 Trojan.Downloader.Small-3016
DrWeb 4.33 12.21.2006 Trojan.DownLoader.14310
eSafe 7.0.14.0 12.19.2006 no virus found
eTrust-InoculateIT 23.73.93 12.21.2006 no virus found
eTrust-Vet 30.3.3268 12.21.2006 Win32/Logho
Ewido 4.0 12.21.2006 Downloader.Small.cyn
Fortinet 2.82.0.0 12.21.2006 W32/Small.BXW!tr.dldr
F-Prot 3.16f 12.21.2006 could be infected with an unknown virus
F-Prot4 4.2.1.29 12.21.2006 no virus found
Ikarus T3.1.0.27 12.21.2006 no virus found
Kaspersky 4.0.2.24 12.21.2006 Trojan-Downloader.Win32.Small.cyn
McAfee 4923 12.20.2006 no virus found
Microsoft 1.1904 12.21.2006 no virus found
NOD32v2 1932 12.20.2006 Win32/TrojanDownloader.Small.CYN
Norman 5.80.02 12.20.2006 W32/DLoader.gen5
Panda 9.0.0.4 12.21.2006 Trj/Downloader.LFO
Prevx1 V2 12.21.2006 no virus found
Sophos 4.12.0 12.21.2006 Troj/Foghor-Gen
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.135 12.20.2006 no virus found
UNA 1.83 12.20.2006 no virus found
VBA32 3.11.1 12.20.2006 no virus found
VirusBuster 4.3.19:9 12.21.2006 Trojan.DL.Small.Gen.22


Aditional Information
File size: 4096 bytes
MD5: 0f3fa150d368ef257220223c27e62e1f
SHA1: 8b73c11d5f67b5665f3bcad681047ba9ebc921ac


STATUS: FINISHEDComplete scanning result of "systo.exe", received in VirusTotal at 12.21.2006, 14:52:52 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.19 12.21.2006 TR/Dldr.Small.crd.294
Authentium 4.93.8 12.21.2006 Possibly a new variant of W32/new-malware!Maximus
Avast 4.7.892.0 12.21.2006 no virus found
AVG 386 12.20.2006 Downloader.Generic3.CAX
BitDefender 7.2 12.21.2006 no virus found
CAT-QuickHeal 8.00 12.20.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 12.21.2006 no virus found
DrWeb 4.33 12.21.2006 Trojan.DownLoader.14391
eSafe 7.0.14.0 12.19.2006 Suspicious Trojan/Worm
eTrust-InoculateIT 23.73.93 12.21.2006 no virus found
eTrust-Vet 30.3.3268 12.21.2006 no virus found
Ewido 4.0 12.21.2006 Downloader.Small.crd
Fortinet 2.82.0.0 12.21.2006 W32/Agent.AEF!tr.dldr
F-Prot 3.16f 12.21.2006 Possibly a new variant of W32/new-malware!Maximus
F-Prot4 4.2.1.29 12.21.2006 W32/new-malware!Maximus
Ikarus T3.1.0.27 12.21.2006 Trojan-Downloader.Win32.Agent.uj
Kaspersky 4.0.2.24 12.21.2006 Trojan-Downloader.Win32.Small.crd
McAfee 4923 12.20.2006 no virus found
Microsoft 1.1904 12.21.2006 no virus found
NOD32v2 1932 12.20.2006 a variant of Win32/TrojanDownloader.Agent.AEF
Norman 5.80.02 12.20.2006 W32/DLoader.BKNE
Panda 9.0.0.4 12.21.2006 Suspicious file
Prevx1 V2 12.21.2006 Covert.Sys.Exec
Sophos 4.12.0 12.21.2006 Mal/Packer
Sunbelt 2.2.907.0 12.18.2006 VIPRE.Suspicious
TheHacker 6.0.3.135 12.20.2006 no virus found
UNA 1.83 12.20.2006 TrojanDownloader.Win32.Small.2F49
VBA32 3.11.1 12.20.2006 Trojan.DownLoader.14391
VirusBuster 4.3.19:9 12.21.2006 novirusacked/FSG


Aditional Information
File size: 10929 bytes
MD5: d3ed27eb6202e1e0dc1940597d846dcd
SHA1: bae62df004c627420d6ac103cb5a3e1bfdf1e3e6
packers: FSG
packers: FSG
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=c22661664409
Sunbelt info: VIPRE.Suspicious is a generic detection for potential Thread that are deemed suspicious through heuristics.






2.


Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\tldypler

*******************

Script file located at: \??\C:\yuynedda.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\syst8xl.dll deleted successfully.
File C:\WINDOWS\system32\systo.exe deleted successfully.
Registry value HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

#8 im Grunde muesste wieder alles i.o. sein
loesche das backup vom Avenger unter c:\Avenger\backup.zip
ud mache im abgesicherten Modus einen Scan mit deinem Antivirus . dann berichte, wie es laueft

wenn du Zeit hast, mache dann noch einen Onlinescan mit kaspersky - und poste den scanreport
http://virus-protect.org/onlinescan.html

_________

wenn das erledigt ist, kuemmern wir uns um die Firewall.
__________
MfG Sabina

rund um die PC-Sicherheit

#9 vielen Dank erstmal für die schnelle und kompetente Hilfe

Backup hab ich gelöscht

Antivir Scan brachte folgendes zu Tage:

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Donnerstag, 21. Dezember 2006 17:54:17
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 21/12/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 239130
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 113606
Viren gefunden: 5
Infizierte Objekte gefunden: 14 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:52:05

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\ACS\1.0\ph Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\ACS\1.0\variable Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\Apps.Lst Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\main.idx Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\sap.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\spool.lst Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\STYLE.LST Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\sysnews.lst Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\idb\Toolbar.lst Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\organize\CACHE\juliangwestph03 Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\organize\juliangwestphal Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\organize\juliangwestphal.abi Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\organize\juliangwestphal.aby Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\ShopAssist\DataStore\global\clientcache.adb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\C_AOL 9.0\ShopAssist\DataStore\users\JulianGWestphal.adb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\storage\cache.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\storage\server.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\storage\stderr.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AOL\storage\stdout.txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Snake\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Anwendungsdaten\Microsoft\Media Player\CurrentDatabase_360.wmdb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\11.0\WMSDKNSD.XML Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Temp\~DFA4FD.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Temp\~DFA532.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Temp\~DFB9C1.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2NU12V8D\AppID_3390[1].txt Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Snake\Lokale Einstellungen\Verlauf\History.IE5\MSHist012006122120061222\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Snake\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Snake\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\avenger\backup.zip/avenger/qrzsyr.dll Infizierte Objekte: Trojan-Downloader.Win32.Agent.bdj übersprungen
C:\Programme\avenger\backup.zip ZIP: infiziert - 1 übersprungen
C:\Programme\Gemeinsame Dateien\aol\ACS\DE\static Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP128\A0046984.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bej übersprungen
C:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP129\A0047729.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.bej übersprungen
C:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP131\A0047978.dll Infizierte Objekte: Trojan-Downloader.Win32.Agent.bdj übersprungen
C:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP134\A0050342.exe Infizierte Objekte: Trojan-Downloader.Win32.Small.crd übersprungen
C:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP136\A0054855.dll Infizierte Objekte: Trojan-Downloader.Win32.Small.cyn übersprungen
C:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP136\A0054856.exe Infizierte Objekte: Trojan-Downloader.Win32.Small.crd übersprungen
C:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP136\A0054879.dll Infizierte Objekte: Trojan-Downloader.Win32.Small.cyn übersprungen
C:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP136\A0054880.exe Infizierte Objekte: Trojan-Downloader.Win32.Small.crd übersprungen
C:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP136\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwdbglog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\fwpktlog.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\IAMDB.RDB Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\PC.ldb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Internet Logs\tvDebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT02d7b.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\ZLT02d8c.TMP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\Neuer Ordner\Anno 1701\Crack und Key\VirtualCD8.0.0.4\vcd8004i.exe/run.exe/stream/data0006 Infizierte Objekte: Trojan-Downloader.Win32.Zlob.atu übersprungen
D:\Neuer Ordner\Anno 1701\Crack und Key\VirtualCD8.0.0.4\vcd8004i.exe/run.exe/stream Infizierte Objekte: Trojan-Downloader.Win32.Zlob.atu übersprungen
D:\Neuer Ordner\Anno 1701\Crack und Key\VirtualCD8.0.0.4\vcd8004i.exe/run.exe Infizierte Objekte: Trojan-Downloader.Win32.Zlob.atu übersprungen
D:\Neuer Ordner\Anno 1701\Crack und Key\VirtualCD8.0.0.4\vcd8004i.exe ZIP: infiziert - 3 übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
D:\System Volume Information\_restore{58E89424-3FDB-485F-A3CC-9C5FA700C55E}\RP136\change.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

#10 1.
C:\Programme\avenger\backup.zip - loeschen

2.
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

3.
D:\Neuer Ordner\Anno 1701\Crack und Key\VirtualCD8.0.0.4 - loeschen
in den Cracks verbergen sich auch immer Trojaner
__________
MfG Sabina

rund um die PC-Sicherheit

#11 1.

gelöscht

2.

gemacht

3.

gelöscht

jetzt bliebe nur noch die Sache mit der Firewall (obwohl ich sie nicht zwingend brauche, da ich auch ZoneAlarm laufen habe)

#12 poste dieses log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 http://virus-protect.org/zip/find_Stuff.zip
find_Stuff.bat --> look1.txt --> kopiere den Text ab
__________
MfG Sabina

rund um die PC-Sicherheit

#14 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

#15 gehe in die registry
Start - Ausführen - regedit

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001 - in 0 aendern
"AntiVirusOverride"=dword:00000001 - in 0 aendern

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
"EnableFirewall"=dword:00000001 - muss auf 1 stehen

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001 - muss auf 1 stehen

HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\WindowsFirewall\StandardProfile\EnableFirewall
= '1' - muss auf 1 stehen
__________

Firewall zeigt immer noch inaktiv an und lässt sich über Sicherheitscenter nicht einschalten.
Konnte das Problem nicht beseitigt werden, gibt man unter Start - Ausführen Folgendes ein:

Zitat

rundll32 setupapi,InstallHinfSection Ndi-Steelhead 132 %windir%\inf\netrass.inf

OK.

Windows neu starten und in der Eingabeaufforderung folgenden Befehl eingeben:

Zitat

netsh firewall reset

Nun sollte die Firewall wieder funktionieren.!!
__________
MfG Sabina

rund um die PC-Sicherheit