Trojaner TR/RKIT.Nuclear.0.A und leider auch .0.B - es nimmt kein Ende...

#1 Hallo!

Ihr seid meine letzte Hoffnung - auch ich habe mir Version A und B eingefangen - was soll ich tun? Habe mich versucht, an Euren Empfehlungen "langzuhangeln", aber war wohl nicht von Erfolg gekrönt (bin halt im Windows-Eingemachten ein Newbie)

Irgendwelche Ideen, bevor ich den Rechner mit einer Axt umprogrammiere (frei nach 2001)?

Logfile of HijackThis v1.99.1
Scan saved at 00:19:10, on 20.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Generic\7-in-1 USB Card Reader Driver v1.8d\Disk_Monitor.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\Alt+Q Hotkey.exe
C:\Programme\WinRoll\winroll.exe
C:\Programme\YzShadow\YzShadow.exe
C:\Programme\RK Launcher\RKLauncher.exe
C:\Programme\UberIcon\UberIcon Manager.exe
C:\Programme\PeerGuardian2\pg2.exe
C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\MSI\Core Center\CoreCenter.exe
C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\ConnMngMntBox.exe
c:\PROGRA~1\INTUWA~1\Shared\MROUTE~1\mRouterRuntime.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\CapMan.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\ElogErr.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\BroadcastProxy.exe
C:\PROGRA~1\SONYER~1\Mobile\CONNEC~1\SCRFS.exe
C:\PROGRA~1\SONYER~1\Mobile\MOBILE~1\epmworker.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\AOLCOM~1\AC_MAIL.EXE
C:\PROGRA~1\AOLCOM~1\ac_secdbm.exe
C:\PROGRA~1\AOLCOM~1\ac_abook.exe
C:\Programme\Canon\MultiPASS4\MPDBMgr.exe
C:\Zip\hijackthis(2)\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: Shell=
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Save Flash - {4064EA35-578D-4073-A834-C96D82CBCF40} - C:\Programme\Save Flash\SaveFlash.dll
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\7-in-1 USB Card Reader Driver v1.8d\Disk_Monitor.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Alt+Q Hotkey Tool] C:\WINDOWS\Alt+Q Hotkey.exe
O4 - HKCU\..\Run: [WinRoll] C:\Programme\WinRoll\winroll.exe
O4 - HKCU\..\Run: [Yz Shadow] C:\Programme\YzShadow\YzShadow.exe
O4 - HKCU\..\Run: [RK Launcher] C:\Programme\RK Launcher\RKLauncher.exe
O4 - HKCU\..\Run: [UberIcon] "C:\Programme\UberIcon\UberIcon Manager.exe"
O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe
O4 - Global Startup: Telefonverbindungsmonitor.lnk = C:\Programme\Sony Ericsson\Mobile\audevicemgr.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\PROGRA~1\Flash Decompiler\iebt.dll (HKCU)
O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\PROGRA~1\Flash Decompiler\iebt.dll (HKCU)
O12 - Plugin for .htm: C:\Programme\Netscape\Netscape Browser\PLUGINS\npTrident.dll
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1110214736100
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://creative.com/su/ocx/15016/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{76FE09B5-CA6C-4971-820C-7CB2518AE5CB}: NameServer = 10.1.13.1 217.237.151.161
O20 - AppInit_DLLs: PAVWAIT.DLL,
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe




Micha - 06-12-20 0:22:59.37 Service Pack 2
ComboFix 06.11.27 - Running from: "C:\Zip"

((((((((((((((((((((((((((((((( Files Created from 2006-11-20 to 2006-12-20 ))))))))))))))))))))))))))))))))))


2006-12-19 23:34 98 --a------ C:\rem.reg
2006-12-19 23:34 <DIR> d-------- C:\avenger
2006-12-19 23:31 60,416 --a------ C:\WINDOWS\system32\drivers\ibpxcufj.sys
2006-12-19 23:31 1,080 --a------ C:\vbquexus.bat
2006-12-19 23:14 <DIR> d-------- C:\Programme\CleanUp!
2006-12-19 19:12 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2006-12-19 19:12 <DIR> d-------- C:\Programme\ZoneAlarm
2006-12-19 19:11 <DIR> d-------- C:\WINDOWS\Internet Logs
2006-12-19 17:56 18 --a------ C:\WINDOWS\system32\swcheck2.dll
2006-12-19 17:34 <DIR> d-------- C:\Programme\MZL & Novatech TrafficStatistic
2006-12-19 17:09 <DIR> d-------- C:\Programme\NetSpeedMonitor
2006-12-19 13:31 <DIR> d-------- C:\Programme\GameSpy Arcade
2006-12-18 22:05 <DIR> d-------- C:\Programme\Generic
2006-12-18 13:21 55,040 --a------ C:\WINDOWS\system32\drivers\ousb2hub.sys
2006-12-18 13:21 40,704 --a------ C:\WINDOWS\system32\drivers\ousbehci.sys
2006-12-18 13:21 <DIR> d-------- C:\WINDOWS\Drivers
2006-12-18 10:59 <DIR> d-------- C:\Programme\DFš-Speed
2006-12-16 19:14 <DIR> d-------- C:\Programme\Subtitle Workshop
2006-12-16 18:16 <DIR> d-------- C:\Programme\Google
2006-12-01 11:51 174,163 --a------ C:\utorrent16.exe
2006-11-29 19:33 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2006-11-29 09:37 <DIR> d-------- C:\Programme\PowerISO
2006-11-27 10:35 <DIR> dr--s---- C:\WINDOWS\assembly
2006-11-27 10:35 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2006-11-27 10:35 <DIR> d-------- C:\WINDOWS\Microsoft.NET
2006-11-27 02:44 <DIR> d-------- C:\WINDOWS\Sun
2006-11-27 02:44 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Sun
2006-11-27 02:28 <DIR> d-------- C:\Programme\BitTornado
2006-11-27 02:28 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\.BitTornado
2006-11-27 02:09 <DIR> d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\uTorrent
2006-11-26 02:32 271,360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2006-11-26 02:32 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2006-11-22 15:41 <DIR> d-------- C:\Programme\BitLord
2006-11-20 21:25 57,384 --a------ C:\WINDOWS\system32\avsda.dll
2006-11-20 21:25 32,768 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-11-20 21:25 14,848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-11-20 21:25 <DIR> d-------- C:\Programme\AntiVir PersonalEdition Classic
2006-11-20 21:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2006-11-20 19:44 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Agnitum Shared


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-20 00:23 -------- d-------- C:\Programme\PeerGuardian2
2006-12-20 00:13 -------- d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\AOL Communicator
2006-12-20 00:11 -------- d-------- C:\Programme\Mozilla Firefox
2006-12-19 22:09 -------- d-------- C:\Programme\TuneUp Utilities 2006
2006-12-19 22:09 -------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2006-12-19 21:20 -------- d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\wsInspector
2006-12-19 20:18 -------- d-------- C:\Programme\Microsoft Bootvis
2006-12-19 19:30 -------- d-------- C:\Programme\eMule
2006-12-19 18:58 -------- d-------- C:\Programme\Zoom Player
2006-12-19 18:12 360576 --a------ C:\WINDOWS\system32\drivers\TCPIP.SYS
2006-12-19 07:28 1079808 --a------ C:\WINDOWS\system32\AutoPartNt.exe
2006-12-19 00:14 -------- d-------- C:\Programme\Opera
2006-12-18 22:05 724992 --a------ C:\WINDOWS\iun6002.exe
2006-12-18 14:19 -------- d-------- C:\Programme\Outlook Express
2006-12-18 14:19 -------- d-------- C:\Programme\Gemeinsame Dateien\System
2006-12-18 14:17 2139264 --a------ C:\WINDOWS\system32\ntoskrnl.exe
2006-12-18 14:17 2016768 --a------ C:\WINDOWS\system32\ntkrnlpa.exe
2006-12-18 10:31 -------- d-------- C:\Programme\FRITZ!
2006-12-18 10:31 -------- d-------- C:\Programme\avmclient
2006-12-18 10:31 -------- d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\FRITZ!
2006-12-16 18:16 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-12-15 23:29 -------- d-------- C:\Programme\Internet Explorer
2006-12-15 21:02 -------- d-------- C:\Programme\MSI
2006-12-15 19:09 -------- d-------- C:\Programme\Sandra Professional 2004
2006-12-14 09:13 -------- d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\AdobeUM
2006-12-08 17:10 -------- d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\dvdcss
2006-12-07 06:29 2374472 --a------ C:\WINDOWS\system32\wmvcore.dll
2006-11-29 09:38 34308 --a------ C:\WINDOWS\system32\BASSMOD.dll
2006-11-27 02:28 -------- d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\.BitTornado
2006-11-22 13:11 40 ---hs---- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\.zreglib
2006-11-20 19:44 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-17 15:14 -------- d-------- C:\Programme\TomTom HOME
2006-11-08 06:06 679424 --a------ C:\WINDOWS\system32\inetcomm.dll
2006-11-04 14:14 1245696 --a------ C:\WINDOWS\system32\msxml4.dll
2006-11-01 12:08 -------- d-------- C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\vlc
2006-11-01 11:59 -------- d-------- C:\Programme\VideoLAN
2006-10-22 12:22 98304 --a------ C:\WINDOWS\system32\nvmctray.dll
2006-10-22 12:22 888832 --a------ C:\WINDOWS\system32\nvmobls.dll
2006-10-22 12:22 81920 --a------ C:\WINDOWS\system32\nvwddi.dll
2006-10-22 12:22 794624 --a------ C:\WINDOWS\system32\nvcplui.exe
2006-10-22 12:22 7700480 --a------ C:\WINDOWS\system32\nvcpl.dll
2006-10-22 12:22 581632 --a------ C:\WINDOWS\system32\nvhwvid.dll
2006-10-22 12:22 5644288 --a------ C:\WINDOWS\system32\nvoglnt.dll
2006-10-22 12:22 5619712 --a------ C:\WINDOWS\system32\nvdisps.dll
2006-10-22 12:22 5255168 --a------ C:\WINDOWS\system32\nvdispsr.dll
2006-10-22 12:22 466944 --a------ C:\WINDOWS\system32\nvshell.dll
2006-10-22 12:22 458752 --a------ C:\WINDOWS\system32\nvmccssr.dll
2006-10-22 12:22 4527488 --a------ C:\WINDOWS\system32\nv4_disp.dll
2006-10-22 12:22 45056 --a------ C:\WINDOWS\system32\nvmccsrs.dll
2006-10-22 12:22 442368 --a------ C:\WINDOWS\system32\nvappbar.exe
2006-10-22 12:22 425984 --a------ C:\WINDOWS\system32\keystone.exe
2006-10-22 12:22 3994624 --a------ C:\WINDOWS\system32\drivers\nv4_mini.sys
2006-10-22 12:22 35840 --a------ C:\WINDOWS\system32\nvcodins.dll
2006-10-22 12:22 35840 --a------ C:\WINDOWS\system32\nvcod.dll



Datentr„ger in Laufwerk C: ist XP System (c)
Volumeseriennummer: 54CB-A7C2

Verzeichnis von C:\WINDOWS\system32

20.12.2006 00:36 2.262 wpa.dbl
20.12.2006 00:35 48.877 vsconfig.xml
20.12.2006 00:33 450.831 OODBS.lor
20.12.2006 00:11 40.492 perfc009.dat
20.12.2006 00:11 314.188 perfh009.dat
20.12.2006 00:11 48.656 perfc007.dat
20.12.2006 00:11 319.178 perfh007.dat
20.12.2006 00:11 730.294 PerfStringBackup.INI
19.12.2006 19:13 4.212 zllictbl.dat
19.12.2006 17:56 18 swcheck2.dll
19.12.2006 09:49 118.152 FNTCACHE.DAT
19.12.2006 07:30 1.024 AutoPartNt.let
19.12.2006 07:28 1.079.808 AutoPartNt.exe
18.12.2006 14:17 2.139.264 ntoskrnl.exe
18.12.2006 14:17 2.016.768 ntkrnlpa.exe
07.12.2006 15:13 10.716.584 MRT.exe
07.12.2006 06:29 2.374.472 wmvcore.dll
30.11.2006 15:28 101.339 AdobeFnt.lst
29.11.2006 09:38 34.308 BASSMOD.dll
22.11.2006 15:05 1.796 ModemLog_AVM ISDN BTX.txt



Datentr„ger in Laufwerk C: ist XP System (c)
Volumeseriennummer: 54CB-A7C2

Verzeichnis von C:\DOKUME~1\Micha\LOKALE~1\Temp

20.12.2006 00:34 16.384 Perflib_Perfdata_7c0.dat
20.12.2006 00:34 16.384 ~DFDDF7.tmp
20.12.2006 00:30 16.384 ~DF135D.tmp
3 Datei(en) 49.152 Bytes
0 Verzeichnis(se), 11.072.749.568 Bytes frei


Datentr„ger in Laufwerk C: ist XP System (c)
Volumeseriennummer: 54CB-A7C2

Verzeichnis von C:\WINDOWS

20.12.2006 00:59 558 tmp.txt
20.12.2006 00:35 0 0.log
20.12.2006 00:35 1.600.520 WindowsUpdate.log
20.12.2006 00:35 159 wiadebug.log
20.12.2006 00:35 50 wiaservc.log
20.12.2006 00:33 2.048 bootstat.dat
20.12.2006 00:31 5.254 setupapi.log
20.12.2006 00:31 0 setuperr.log
20.12.2006 00:31 41 setupact.log
19.12.2006 23:22 1.023 offlog.txt
19.12.2006 21:32 108.336 mswinsck.ocx
19.12.2006 18:51 116 NeroDigital.ini
19.12.2006 18:16 624 ODBC.INI
19.12.2006 18:16 49 transp.gif
19.12.2006 09:32 461 system.ini
19.12.2006 08:32 761 m3jp2k.ini
19.12.2006 08:32 714 m3jpeg.ini
18.12.2006 22:05 37.676 %INIVenderName% %INIProductName% Setup Log.txt
18.12.2006 22:05 724.992 iun6002.exe
18.12.2006 13:57 1.030.273 setupapi.log.4.old
15.12.2006 23:29 1.393 imsins.BAK
22.10.2006 12:04 4.161 ODBCINST.INI
10.10.2006 21:36 37.376 Thumbs.db
05.10.2006 12:25 59 RUNAWAY.INI
14.09.2006 12:34 23 BlendSettings.ini

0 Verzeichnis(se), 11.072.647.168 Bytes frei


Datentr„ger in Laufwerk C: ist XP System (c)
Volumeseriennummer: 54CB-A7C2

Verzeichnis von C:\WINDOWS\Temp

20.12.2006 00:41 409 WGANotify.settings
20.12.2006 00:35 16.384 Perflib_Perfdata_fec.dat
20.12.2006 00:34 255 WGAErrLog.txt
20.12.2006 00:33 256 ZLT053ca.TMP
20.12.2006 00:33 256 ZLT053c7.TMP
20.12.2006 00:31 16.384 Perflib_Perfdata_fe8.dat
6 Datei(en) 33.944 Bytes
0 Verzeichnis(se), 11.066.052.608 Bytes frei


Datentr„ger in Laufwerk C: ist XP System (c)
Volumeseriennummer: 54CB-A7C2

Verzeichnis von C:\WINDOWS\Downloaded Program Files

27.08.2005 13:30 5.065 swflash.inf
19.08.2005 15:53 516 CTPID.inf
19.08.2005 15:52 32.768 CTPID.ocx
23.06.2005 15:53 523 CTSUEng.inf
22.06.2005 18:37 225.280 CTSUEng.ocx
07.03.2005 16:09 65 desktop.ini
17.01.2005 17:09 227 opuc.inf
03.08.2004 14:51 293 wuweb.inf
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
9 Datei(en) 265.899 Bytes
0 Verzeichnis(se), 11.069.218.816 Bytes frei


Datentr„ger in Laufwerk C: ist XP System (c)
Volumeseriennummer: 54CB-A7C2

Verzeichnis von C:\

20.12.2006 01:03 0 sys.txt
20.12.2006 01:03 701 down.txt
20.12.2006 01:03 558 tmp.txt
20.12.2006 01:02 8.392 system.txt
20.12.2006 01:02 403 systemtemp.txt
20.12.2006 01:01 131.701 system32.txt
20.12.2006 00:35 53 biosinfo
20.12.2006 00:34 1.027 msicpl-getdispinfo.log
20.12.2006 00:34 152 msicpl-getdataint.log
20.12.2006 00:24 17.977 ComboFix.txt
19.12.2006 23:34 98 rem.reg
19.12.2006 23:32 2.494 avenger.txt
19.12.2006 23:31 1.080 vbquexus.bat
19.12.2006 23:24 19.157 ComboFix2.txt
01.12.2006 11:51 174.163 utorrent16.exe
24.11.2006 15:06 2.541 Enlish.lng
21.10.2006 09:40 3 TCPCheckResult.txt
08.09.2006 13:52 32 ConfigFile.ini


Vielen, vielen Dank schoneimal !!!! :-)

Micha
__________
Brauchen wir wirklich Windows Vista? Die haben doch XP noch nicht mal unter Kontrolle... ;-)

#2 virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\swcheck2.dll

poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo,

danke für die Antwort. Ihr seid die Besten!

Habe da mal versucht; hier das Ergebnis (scheint leider nicht die Quelle zu sein):

File "swcheck2.dll" received on 12.20.2006 at 10:00:08 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result
AntiVir 7.3.0.19 12.20.2006 no virus found
Authentium 4.93.8 12.20.2006 no virus found
Avast 4.7.892.0 12.19.2006 no virus found
AVG 386 12.19.2006 no virus found
BitDefender 7.2 12.20.2006 no virus found
CAT-QuickHeal 8.00 12.19.2006 no virus found
ClamAV devel-20060426 12.20.2006 no virus found
DrWeb 4.33 12.20.2006 no virus found
eSafe 7.0.14.0 12.19.2006 no virus found
eTrust-InoculateIT 23.73.91 12.20.2006 no virus found
eTrust-Vet 30.3.3264 12.20.2006 no virus found
Ewido 4.0 12.19.2006 no virus found
Fortinet 2.82.0.0 12.20.2006 no virus found
F-Prot 3.16f 12.20.2006 no virus found
F-Prot4 4.2.1.29 12.20.2006 no virus found
Ikarus T3.1.0.27 12.20.2006 no virus found
Kaspersky 4.0.2.24 12.20.2006 no virus found
McAfee 4922 12.19.2006 no virus found
Microsoft 1.1904 12.20.2006 no virus found
NOD32v2 1930 12.20.2006 no virus found

Aditional Information
File size: 18 bytes
MD5: 46136b2a9f695787b861ce6c6eb8b43f
SHA1: f70e1650144707e717b459072aa088b1e925d9d7

Micha :-)

P.S.: AntiVir will nicht mehr updaten - kann keine Verbindung mehr herstellen. Hat das as damit zu tun ?
__________
Brauchen wir wirklich Windows Vista? Die haben doch XP noch nicht mal unter Kontrolle... ;-)

#4 ««
Hattest du mal den Panda installiert ?

1.
scanne und poste den scanreport
http://virus-protect.org/cureit.html

2.
deinstalliere Antivirus und lade ihn neu
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo,

1. Ja, hatte ich mal.

2. Hier die DR.Web Ergebnisse:

SetupDVDDecrypter.exe D:\Software\Video Tools Trojan.IEDriverAd Gelöscht.

A0176779.exe D:\System Volume Information\_restore{60A9CAEC-927E-4220-8BD3-F6D0485A0895}\RP836 Trojan.IEDriverAd Gelöscht.

sd4hide.exe C:\ Tool.DiskHide

RegUBP2b-Micha.reg C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Snapshots Trojan.StartPage.1505 Gelöscht.

A0172960.exe C:\System Volume Information\_restore{60A9CAEC-927E-4220-8BD3-F6D0485A0895}\RP829 möglicherweise BACKDOOR.Trojan

A0174277.exe C:\System Volume Information\_restore{60A9CAEC-927E-4220-8BD3-F6D0485A0895}\RP830 möglicherweise BACKDOOR.Trojan

A0176781.reg C:\System Volume Information\_restore{60A9CAEC-927E-4220-8BD3-F6D0485A0895}\RP836 Trojan.StartPage.1505 Gelöscht.

KILLAPPS.EXE C:\WINDOWS\system32 Tool.Prockill

Anno1701.exe E:\Anno1701 Win32.Polipos Nicht desinfizierbar.Verschoben.

A0093308.exe E:\System Volume Information\_restore{BC371F0F-5003-4F26-A455-D90502EA824C}\RP235 Trojan.IEDriverAd Gelöscht.

A0095216.exe E:\System Volume Information\_restore{BC371F0F-5003-4F26-A455-D90502EA824C}\RP235 Tool.ASEye.2

3.Hier habe ich mal die Infos aus meinem AntiVir herausgeholt - hilft vielleicht auch noch (?!?):

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <XP System (c)>
C:\WINDOWS\nkit.dll
[FUND] Ist das Trojanische Pferd TR/RKit.Nuclear.0.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f1620b.qua' verschoben!
C:\WINDOWS\rootkit.dll
[FUND] Ist das Trojanische Pferd TR/RKit.Nuclear.0.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f76225.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys


Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
C:\WINDOWS\shdef.exe
[FUND] Ist das Trojanische Pferd TR/RKit.Nuclear.0.B
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45ec54d3.qua' verschoben!
C:\WINDOWS\shdef.exe
[FUND] Ist das Trojanische Pferd TR/RKit.Nuclear.0.B

In der Datei 'C:\System Volume Information\_restore{60A9CAEC-927E-4220-8BD3-F6D0485A0895}\RP834\A0175167.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/RKit.Nuclear.0.A' [TR/RKit.Nuclear.0.A] gefunden.

In der Datei 'C:\System Volume Information\_restore{60A9CAEC-927E-4220-8BD3-F6D0485A0895}\RP836\A0175350.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/RKit.Nuclear.0.B' [TR/RKit.Nuclear.0.B] gefunden.

In der Datei 'C:\System Volume Information\_restore{60A9CAEC-927E-4220-8BD3-F6D0485A0895}\RP836\A0175349.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/RKit.Nuclear.0.A' [TR/RKit.Nuclear.0.A] gefunden.

In der Datei 'C:\System Volume Information\_restore{60A9CAEC-927E-4220-8BD3-F6D0485A0895}\RP835\A0175175.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/RKit.Nuclear.0.A' [TR/RKit.Nuclear.0.A] gefunden.

In der Datei 'C:\System Volume Information\_restore{60A9CAEC-927E-4220-8BD3-F6D0485A0895}\RP834\A0175170.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/RKit.Nuclear.0.B' [TR/RKit.Nuclear.0.B] gefunden.

In der Datei 'C:\System Volume Information\_restore{60A9CAEC-927E-4220-8BD3-F6D0485A0895}\RP834\A0175167.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/RKit.Nuclear.0.A' [TR/RKit.Nuclear.0.A] gefunden.

In der Datei 'C:\System Volume Information\_restore{60A9CAEC-927E-4220-8BD3-F6D0485A0895}\RP832\A0175024.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/RKit.Nuclear.0.A' [TR/RKit.Nuclear.0.A] gefunden.


Beginne mit der Suche in 'C:\' <XP System (c)>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Pegasys Inc\TMPGEnc 3.0 XPress\TMPGEnc3XPBatch.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45d3ae9e.qua' verschoben!

In der Datei 'C:\System Volume Information\_restore{60A9CAEC-927E-4220-8BD3-F6D0485A0895}\RP761\A0168006.exe'
wurde ein Virus oder unerwünschtes Programm 'HEUR/Crypted' [HEUR/Crypted] gefunden.

Werde später den Report von Dr.Web posten!

Danke & viele Grüße

Micha :-)
__________
Brauchen wir wirklich Windows Vista? Die haben doch XP noch nicht mal unter Kontrolle... ;-)

#6 Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)

scanne noch mal mit Antivirus, aber im abgesicherten Modus, dann berichte
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina!

Hier die Ergebnisse von 3 Scans - 1&2 normal und der 3. im abgesicherten Modus:

Um 17.04 Uhr (normal):

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <XP System (c)>
C:\avenger\backup.zip
[0] Archivtyp: ZIP
--> avenger/scvhost.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45ec5bbc.qua' verschoben!
C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Mozilla\Firefox\Profiles\y20wx58d.default\sessionstore-1.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45fc5c20.qua' verschoben!
C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Mozilla\Firefox\Profiles\y20wx58d.default\sessionstore.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '447ab595.qua' verschoben!
C:\Programme\Flash Decompiler\FDec.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45ee5d5f.qua' verschoben!
C:\Programme\MSI\Live Update 3\msi.files\Support.htm
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f95e76.qua' verschoben!
C:\Programme\RivaTuner v2.0 RC 15.7\Tools\RivaTunerStatisticsServer\RTSSHooks.dll
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45dc5ed8.qua' verschoben!


Um 18.30 Uhr (normal):

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <XP System (c)>
C:\WINDOWS\FlyakiteOSX\Tools\wfpdisable.exe
[FUND] Enthält Signatur des SPR/WFPDis.A-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f966b7.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd9677.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\vaxscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\' <Daten (d)>
D:\Hardware\Windows XP\Windows Xp Genuine Validator.exe
[0] Archivtyp: ZIP SFX (self extracting)
--> Windows XP Genuine Validator/WinXP keyChanger.exe
[FUND] Enthält Signatur des SPR/RAS.A-Programmes
[1] Archivtyp: RAR SFX (self extracting)
--> findkey.exe
[FUND] Enthält Signatur des SPR/XP.Keyfinder-Programmes
--> xpkey.exe
[FUND] Enthält Signatur des SPR/PSW.RAS.A.2-Programmes
--> officekey.exe
[FUND] Enthält Signatur des SPR/PSW.RAS.A.3-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f76a74.qua' verschoben!
D:\Hardware\Windows XP\WinXP keyChanger.exe
[FUND] Enthält Signatur des SPR/RAS.A-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4488c109.qua' verschoben!
D:\Software\DAP v7.3.0.0 + Crack.rar
[0] Archivtyp: RAR
--> DAP v7.3.0.0 + Crack\Crack\DAP.exe
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Repacked). Bitte verifizieren Sie den Ursprung dieser Datei
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45d96abd.qua' verschoben!
D:\Software\Flash.Decompiler.v2.0.0.231.WinALL.CRACKED-LUCiD.rar
[0] Archivtyp: RAR
--> Flash.Decompiler.v2.0.0.231.WinALL.CRACKED-LUCiD\Crack\FDec.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45ea6ae9.qua' verschoben!
D:\Software\Save.Flash.v3.0.Incl.Keygen-UnderPl.rar
[0] Archivtyp: RAR
--> keygen.exe
[FUND] Enthält Signatur des SPR/Tool.Agent.BP-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45ff6ae5.qua' verschoben!
D:\Software\CD Brenner\DVDFab Platinum v2.70 + DVDIdle Pro v5.70 + Multi-keygen\Multi - keygen.exe
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/MEW). Bitte verifizieren Sie den Ursprung dieser Datei
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f56b02.qua' verschoben!
D:\Software\Winamp\Winamp.Pro.v5.092.PRO.WinALL.Inclu.Keygen-NGEN.rar
[0] Archivtyp: RAR
--> NFO-WarezFaw.exe
[FUND] Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/MEW). Bitte verifizieren Sie den Ursprung dieser Datei
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f76b51.qua' verschoben!
Beginne mit der Suche in 'E:\' <Games One & Office (e)>
E:\Macromedia\Dreamweaver MX 2004\Configuration\Behaviors\Actions\Show Pop-Up Menu.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f86f9b.qua' verschoben!
E:\Macromedia\Dreamweaver MX 2004\Configuration\Commands\Fireworks HTML.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45fb6fa2.qua' verschoben!
E:\Macromedia\Dreamweaver MX 2004\Configuration\Commands\Keyboard Shortcuts.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46026f9f.qua' verschoben!
E:\Macromedia\Dreamweaver MX 2004\Configuration\Commands\wddxDes.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45ed6f9e.qua' verschoben!
E:\Macromedia\Dreamweaver MX 2004\Configuration\Shared\MM\Scripts\insertFireworksHTML.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45fc6fb5.qua' verschoben!
E:\Macromedia\Dreamweaver MX 2004\Configuration\Shared\UltraDev\Scripts\ReservedWords.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45fc6fac.qua' verschoben!
E:\Macromedia\Dreamweaver MX 2004\Configuration\TagLibraries\TagImporters\DTDSchema\DTDSchemaImport.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45cd6f9e.qua' verschoben!
E:\RECYCLER\S-1-5-21-746137067-1004336348-725345543-500\De2\Dreamweaver MX 2004\Configuration\Behaviors\Actions\Show Pop-Up Menu.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45f8707c.qua' verschoben!
E:\RECYCLER\S-1-5-21-746137067-1004336348-725345543-500\De2\Dreamweaver MX 2004\Configuration\Commands\Fireworks HTML.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45fb7083.qua' verschoben!
E:\RECYCLER\S-1-5-21-746137067-1004336348-725345543-500\De2\Dreamweaver MX 2004\Configuration\Commands\Keyboard Shortcuts.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4602707f.qua' verschoben!
E:\RECYCLER\S-1-5-21-746137067-1004336348-725345543-500\De2\Dreamweaver MX 2004\Configuration\Commands\wddxDes.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45ed707f.qua' verschoben!
E:\RECYCLER\S-1-5-21-746137067-1004336348-725345543-500\De2\Dreamweaver MX 2004\Configuration\Shared\MM\Scripts\insertFireworksHTML.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45fc709a.qua' verschoben!
E:\RECYCLER\S-1-5-21-746137067-1004336348-725345543-500\De2\Dreamweaver MX 2004\Configuration\Shared\UltraDev\Scripts\ReservedWords.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45fc7091.qua' verschoben!
E:\RECYCLER\S-1-5-21-746137067-1004336348-725345543-500\De2\Dreamweaver MX 2004\Configuration\TagLibraries\TagImporters\DTDSchema\DTDSchemaImport.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45cd7083.qua' verschoben!

Und um 19.25 im abgesicheten Modus:

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <XP System (c)>
C:\Dokumente und Einstellungen\Micha\Anwendungsdaten\Mozilla\Firefox\Profiles\y20wx58d.default\sessionstore.js
[FUND] Enthält verdächtigen Code: HEUR/Exploit.HTML
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '45fc75c5.qua' verschoben!

Danke & Grüße

Micha :-)

P.S.: Habe AntiVir neu installiert- kann aber immer noch updaten...
Im Report steht folgendes (liegt das eventuell auch an den Viren?):

[20.12.2006 19:43:56] [INFO] [PLG] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_4589846c\
[20.12.2006 19:43:56] Kommandozeile für Updater: "C:\Programme\AntiVir PersonalEdition Classic\update.exe" --config-file="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\update.conf" --install-path="C:\Programme\AntiVir PersonalEdition Classic"
[20.12.2006 19:43:56] Der Logdatei Name wurde zu C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\LOGFILES\Upd-2006-12-20-19-43-56.log geändert
[20.12.2006 19:43:56] Installationsverzeichnis: C:\Programme\AntiVir PersonalEdition Classic\ Sicherungsverzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\BACKUP\ Temporäres Verzeichnis: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\TEMP\AVUPDATE_4589846c\
[20.12.2006 19:43:57] [INFO] [GUI] Update GUI wird gestartet... Displaymode: 0
[20.12.2006 19:43:58] [INFO] [PLG] Lizenzdatei: OK [Kompletter Modus]
[20.12.2006 19:43:58] [INFO] [PLG] Avira AntiVir PersonalEdition Classic
[20.12.2006 19:43:59] Verbindungaufbau schlug fehl beim Herunterladen der Datei http://dl2.avgate.net/upd/idx/master.idx.
[20.12.2006 19:43:59] Verwende nächsten Update Server
[20.12.2006 19:44:01] Verbindungaufbau schlug fehl beim Herunterladen der Datei http://dl3.avgate.net/upd/idx/master.idx.
[20.12.2006 19:44:01] Verwende nächsten Update Server
[20.12.2006 19:44:02] Verbindungaufbau schlug fehl beim Herunterladen der Datei http://dl5.avgate.net/upd/idx/master.idx.
[20.12.2006 19:44:02] Verwende nächsten Update Server
[20.12.2006 19:44:04] Verbindungaufbau schlug fehl beim Herunterladen der Datei http://dl6.avgate.net/upd/idx/master.idx.
[20.12.2006 19:44:04] Verwende nächsten Update Server
[20.12.2006 19:44:06] Kritischer Fehler: Verbindungaufbau schlug fehl beim Herunterladen der Datei http://dl1.
__________
Brauchen wir wirklich Windows Vista? Die haben doch XP noch nicht mal unter Kontrolle... ;-)

#8 poste dieses log
http://virus-protect.org/registry_stuff.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
doesn't exist HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System
doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
doesn't exist HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
doesn't exist HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Bietet allen Computern in Privat- und Kleinunternehmensnetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:000061a9

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"139:TCP"="139:TCP:*:Enabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:*:Enabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:*:Enabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:*:Enabled:@xpsp2res.dll,-22002"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000000
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"F:\\FEAR\\FEAR.exe"="F:\\FEAR\\FEAR.exe:*:Enabled:FEAR"
"C:\\Programme\\Intuwave Ltd\\Shared\\mRouterRunTime\\mRouterRuntime.exe"="C:\\Programme\\Intuwave Ltd\\Shared\\mRouterRunTime\\mRouterRuntime.exe:*:Enabled:mRouterRuntime"
"E:\\Valve\\Steam\\SteamApps\\mikestyles\\half-life 2 lostcoast\\hl2.exe"="E:\\Valve\\Steam\\SteamApps\\mikestyles\\half-life 2 lostcoast\\hl2.exe:*:Enabled:hl2"
"C:\\Programme\\Opera\\Opera.exe"="C:\\Programme\\Opera\\Opera.exe:*:Enabled:Opera Internet Browser"
"F:\\FEAR\\fpupdate.exe"="F:\\FEAR\\fpupdate.exe:*:Enabled:fpupdate"
"C:\\Programme\\Sony Ericsson\\Update Service\\ma3platform.exe"="C:\\Programme\\Sony Ericsson\\Update Service\\ma3platform.exe:*:Enabled:ma3platform"
"C:\\Programme\\TomTom HOME\\TomTomHOME.exe"="C:\\Programme\\TomTom HOME\\TomTomHOME.exe:*:Enabled:TomTomHOME"
"F:\\Company of Heroes\\BugReport\\BugReport.exe"="F:\\Company of Heroes\\BugReport\\BugReport.exe:*:Enabled:BugReport"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\BitLord\\BitLord.exe"="C:\\Programme\\BitLord\\BitLord.exe:*:Enabled:BitLord"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Programme\\BitTornado\\btdownloadgui.exe"="C:\\Programme\\BitTornado\\btdownloadgui.exe:*:Enabled:btdownloadgui"
"E:\\Anno1701\\Anno1701.exe"="E:\\Anno1701\\Anno1701.exe:*isabled:Anno 1701"
"C:\\utorrent16.exe"="C:\\utorrent16.exe:*:Enabled:µTorrent"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]
"DisableMonitoring"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]
"DisableMonitoring"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001
__________
Brauchen wir wirklich Windows Vista? Die haben doch XP noch nicht mal unter Kontrolle... ;-)

#10 ich finde nichts mehr
das sicherste ist, du formatierst - wuerde ich an deiner Stelle machen - das system ist kompromitiert
uebrigens - wie kommst du dazu so einen Muell zu laden ?????
ich weiss nicht mal, wie man an dieses Kit kommt, es sei denn, ich wuerde gezielt danach suchen.... - es ist mir unverstaendlich, ehrlich gesagt.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hallo,

welches Kit - meinst Du AntiVir?

Micha
__________
Brauchen wir wirklich Windows Vista? Die haben doch XP noch nicht mal unter Kontrolle... ;-)

#12 dein System ist kompromitiert - und nicht etwa, weil sich jemand zuerst eingehackt hat, sondern weil du selbst den Denkapparat nicht einschaltest und Software auf dein System laedst, die man nicht laden sollte.....

- Nuclear.0.A und leider auch .0.B
- D:\Software\Winamp\Winamp.Pro.v5.092.PRO.WinALL.Inclu.Keygen-NGEN.rar
- D:\Software\Save.Flash.v3.0.Incl.Keygen-UnderPl.rar
- scvhost.exe
- D:\Hardware\Windows XP\WinXP keyChanger.exe
- Windows XP Genuine Validator/WinXP keyChanger.exe

das dies nicht koscher ist, muesstest du eigentlich wissen, denn wer imstande ist einen Key zu erstellen, packt normalerweise noch andere kleine Dinge mit dazu - sprich: Trojaner, oeffnet Ports, manipuliert die Registry,deaktiviert die Antivirensoftware.... und kennt sich besser auf deinem Rechner aus, als du
Natuerlich kann man einiges loeschen - aber das System im jetzigen Zustand kann man vergessen.
__________
MfG Sabina

rund um die PC-Sicherheit

#13 schade das du jetzt alles raus genommen hast naja muss ichs halt doch alleine machen dachte mir ja eignetlich nur ich nehme meinen müll raus wens schon falsch ist