Trojaner mit Antivir gefunden

#0
04.02.2007, 14:40
...neu hier

Beiträge: 6
#1 Hallo, ich habe auf meinem System heute per Antivir Warnungen über einige Trojaner bekommen. Die Dateien stecken nun alle(glaube ich) in der Quarantäne und ich habe nochmal eine Prüfung mit Antivir durchgeführt, in der keine Viren gefunden wurden(siehe log unten).

Einige (viele) dieser Trojaner befinden sich bereits in der Quarantäne von Antivir.
Jedoch ploppen immer wieder neue Warnungen auf und ich hätte gerne mein System wieder Trojaner frei. Kann mir da jemand vielleicht helfen?

Mit freundlichem Gruß

Flo


Log-File:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Sonntag, 4. Februar 2007 13:52

Es wird nach 662599 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: Michael
Computername: FADDER

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.5 208936 Bytes 16.01.2007 14:18:35
AVSCAN.DLL : 7.0.3.0 35880 Bytes 15.12.2006 06:15:19
LUKE.DLL : 7.0.3.2 143400 Bytes 15.12.2006 06:15:21
LUKERES.DLL : 7.0.2.0 9256 Bytes 15.12.2006 06:15:21
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 12:54:58
ANTIVIR1.VDF : 6.37.0.153 3131392 Bytes 12.01.2007 20:18:17
ANTIVIR2.VDF : 6.37.0.235 374784 Bytes 29.01.2007 10:06:50
ANTIVIR3.VDF : 6.37.1.27 108544 Bytes 02.02.2007 12:03:27
AVEWIN32.DLL : 7.3.1.34 2290176 Bytes 04.02.2007 12:03:27
AVPREF.DLL : 7.0.2.0 23592 Bytes 15.12.2006 06:15:17
AVREP.DLL : 6.37.1.1 1105960 Bytes 01.02.2007 10:06:51
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 26.05.2006 18:16:06
AVPACK32.DLL : 7.2.0.5 368680 Bytes 27.10.2006 11:15:33
AVREG.DLL : 7.0.1.2 30760 Bytes 16.01.2007 14:18:35
NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 06:56:48
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 15.12.2006 06:15:10
RCTEXT.DLL : 7.0.12.0 77864 Bytes 15.12.2006 06:15:10

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: D:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: aus
Erweiterte Sucheinstellungen.....: 0x00007000

Beginn des Suchlaufs: Sonntag, 4. Februar 2007 13:52

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Module wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'TeaTimer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'E_FATIAEE.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Module wurden durchsucht
Durchsuche Prozess 'bdswitch.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'bdnagent.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lxbkbmon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lxbkbmgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'PDVDServ.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'PCMService.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ADeck.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'atiptaxx.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'bdss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'CLSched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'xcommsvr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'MDM.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'CLMLService.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'CLMLServer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'CLCapSvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '48' Prozesse mit '48' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 23 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <440977>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Sonntag, 4. Februar 2007 14:26
Benötigte Zeit: 34:41 min

Der Suchlauf wurde vollständig durchgeführt.

5638 Verzeichnisse wurden überprüft
541171 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
541171 Dateien ohne Befall
7588 Archive wurden durchsucht
2 Warnungen
51 Hinweise
Seitenanfang Seitenende
04.02.2007, 14:43
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Flo_k_88

arbeite das durch und poste alle logs
http://board.protecus.de/t23188.htm
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.02.2007, 15:52
...neu hier

Themenstarter

Beiträge: 6
#3 Hallo, danke für den Verweis auf die Anleitung, das hab ich leider vorher verpeilt...

Also, hoffe ich hab alles richtig gemacht...




Hier ist das Hijackthis-Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:19:57, on 04.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\programme\softwin\bitdefender8\bdnagent.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\DOKUME~1\Michael\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bundesliga.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BDNewsAgent] "c:\programme\softwin\bitdefender8\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\bdswitch.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB002" /M "Stylus DX4200"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "c:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{66F16E34-C6FF-4BC9-894F-AF4013E6DC33}: NameServer = 85.255.113.107,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{B68440B1-92F8-48D5-A01F-CDD5537DB737}: NameServer = 85.255.113.107,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7809544-DD46-477F-9F43-6958B1284863}: NameServer = 85.255.113.107,85.255.112.182
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)





Hier das Cleanup!-Log:

CleanUp! started on 02/04/07 15:23:32.
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MRO7IX0R\_nn[1].htm - deleted
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
http://nn.bitdefender.com/_nn.plg?t=2&r=40,80,4,20,2000 - deleted
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Verlauf\History.IE5\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007020420070205\index.dat currently in use. Will be deleted when Windows is restarted.
'Typed URLs' (Internet Explorer) - removed from the registry.
Visited: Michael@file:///C:/Dokumente%20und%20Einstellungen/Michael/Desktop/Neu%20Textdokument%20(2).txt - deleted
Visited: Michael@file:///C:/Dokumente%20und%20Einstellungen/Michael/Desktop/AVSCAN-20070204-135208-9BB82690.LOG - deleted
C:\Dokumente und Einstellungen\Michael\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\dhnp1uxj.default\history.dat - deleted
C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\dhnp1uxj.default\cookies.txt.old - deleted
C:\Dokumente und Einstellungen\Michael\Recent\AVSCAN-20070204-135208-9BB82690.lnk - deleted
C:\Dokumente und Einstellungen\Michael\Recent\Neu Textdokument (2).lnk - deleted
C:\DOKUME~1\Michael\LOKALE~1\Temp\ginstall.dll - deleted
C:\DOKUME~1\Michael\LOKALE~1\Temp\Gua4.tmp - deleted
C:\DOKUME~1\Michael\LOKALE~1\Temp\rtdrvmon.exe - deleted
C:\DOKUME~1\Michael\LOKALE~1\Temp\Temporäres Verzeichnis 1 für avenger.zip\avenger.exe - deleted
C:\DOKUME~1\Michael\LOKALE~1\Temp\Temporäres Verzeichnis 1 für avenger.zip\ - deleted
C:\DOKUME~1\Michael\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\hijackthis.log - deleted
C:\DOKUME~1\Michael\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\ - deleted
C:\WINDOWS\temp\T30DebugLogFile.txt - deleted
C:\WINDOWS\temp\WGAErrLog.txt - deleted
C:\WINDOWS\temp\WGANotify.settings - deleted
C:\WINDOWS\temp\ZLT038fe.TMP currently in use. Will be deleted when Windows is restarted.
C:\WINDOWS\temp\ZLT03915.TMP currently in use. Will be deleted when Windows is restarted.
C:\WINDOWS\temp\tmp00002d1b\ - deleted
C:\WINDOWS\temp\tmp00003896\tmp00000000 currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Michael\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\Michael\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat currently in use. Will be deleted when Windows is restarted.
C:\WINDOWS\Prefetch\AVCENTER.EXE-37584419.pf - deleted
C:\WINDOWS\Prefetch\AVENGER.EXE-0FA8237D.pf - deleted
C:\WINDOWS\Prefetch\AVSCAN.EXE-05AECC0E.pf - deleted
C:\WINDOWS\Prefetch\BDNEWS.EXE-0E71E1C2.pf - deleted
C:\WINDOWS\Prefetch\CLEANUP.EXE-21B56F2B.pf - deleted
C:\WINDOWS\Prefetch\CLEANUP452.EXE-045206D6.pf - deleted
C:\WINDOWS\Prefetch\FIREFOX.EXE-1D57670A.pf - deleted
C:\WINDOWS\Prefetch\HIJACKTHIS.EXE-08662D02.pf - deleted
C:\WINDOWS\Prefetch\IMAPI.EXE-0BF740A4.pf - deleted
C:\WINDOWS\Prefetch\IPODSERVICE.EXE-233792DA.pf - deleted
C:\WINDOWS\Prefetch\LOGONUI.EXE-0AF22957.pf - deleted
C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf - deleted
C:\WINDOWS\Prefetch\NTOSBOOT-B00DFAAD.pf - deleted
C:\WINDOWS\Prefetch\UPDCLIENT.EXE-215FC96B.pf - deleted
C:\WINDOWS\Prefetch\VERCLSID.EXE-3667BD89.pf - deleted
C:\WINDOWS\Prefetch\VSMON.EXE-1609C098.pf - deleted
C:\WINDOWS\Prefetch\WGATRAY.EXE-0ED38BED.pf - deleted
C:\WINDOWS\Prefetch\WMIADAP.EXE-2DF425B2.pf - deleted
C:\WINDOWS\Prefetch\WMIPRVSE.EXE-28F301A9.pf - deleted
C:\WINDOWS\Prefetch\WUAUCLT.EXE-399A8E72.pf - deleted
Search Assistant MRU list - removed from the registry.
Explorer Open/Save MRU list - removed from the registry.
Explorer Last Visited MRU list - removed from the registry.
Paint Recent File List - removed from the registry.
WordPad Recent File List - removed from the registry.
Telnet's MRU list - removed from the registry.
CleanUp! 4.5.2 recovered 1.5 MB of disk space from 36 files.
CleanUp! finished on 02/04/07 15:23:33.





Hier ist das Combofix-Log:

"Michael" - 07-02-04 15:33:42 Service Pack 2
ComboFix 07.02.04 - Running from: "C:\Dokumente und Einstellungen\Michael\Desktop"

((((((((((((((((((((((((((((((( Files Created from 2007-01-04 to 2007-02-04 ))))))))))))))))))))))))))))))))))


No new files created in this timespan


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-04 15:29 -------- d-------- C:\Programme\mozilla firefox
2007-02-04 13:03 -------- d-------- C:\Programme\antivir personaledition classic
2007-02-03 14:47 -------- d-------- C:\Programme\bearshare
2007-01-22 16:35 -------- d-------- C:\DOKUME~1\Michael\Anwendungsdaten\adobeum
2007-01-21 19:16 -------- d-------- C:\Programme\tuneup utilities 2004
2007-01-20 00:48 -------- d-a------ C:\Programme\msn messenger
2007-01-06 15:48 -------- d-------- C:\Programme\mein fotobuch
2007-01-01 16:45 -------- d-------- C:\DOKUME~1\Michael\Anwendungsdaten\identities
2006-12-26 22:37 -------- d-------- C:\Programme\microsoft works
2006-12-26 22:36 -------- d-------- C:\Programme\microsoft.net
2006-12-26 22:25 -------- d-------- C:\Programme\Gemeinsame Dateien\teleca shared
2006-12-25 22:39 -------- d-------- C:\Programme\itunes
2006-12-25 22:38 -------- d-------- C:\Programme\ipod
2006-12-25 22:37 -------- d-------- C:\Programme\quicktime
2006-12-25 22:36 -------- d-------- C:\Programme\apple software update
2006-12-15 07:15 34304 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2006-12-15 07:15 14848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys
2006-12-11 23:10 -------- d-------- C:\DOKUME~1\Michael\Anwendungsdaten\adobe
2006-12-03 17:59 1710 --a------ C:\DOKUME~1\Michael\Anwendungsdaten\wklnhst.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"MSMSGS"="\"c:\\PROGRA~1\\MESSEN~1\\Msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"AudioDeck"="C:\\Programme\\VIAudioi\\SBADeck\\ADeck.exe 1 "
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"PCMService"="\"C:\\Program Files\\CyberLink\\PowerCinema\\PCMService.exe\""
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"Lexmark X1100 Series"="\"C:\\Programme\\Lexmark X1100 Series\\lxbkbmgr.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"BDNewsAgent"="\"c:\\programme\\softwin\\bitdefender8\\bdnagent.exe\""
"BDSwitchAgent"="C:\\Programme\\Softwin\\BitDefender8\\bdswitch.exe"
"Zone Labs Client"="C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe"
"EPSON Stylus DX4200 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIAEE.EXE /P26 \"EPSON Stylus DX4200 Series\" /O6 \"USB002\" /M \"Stylus DX4200\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoBandCustomize"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job


********************************************************************

catchme 0.1 W2K/XP - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-02-04 15:35:37





Hier ist der System32-Teil von Datfindbat:

Datentr„ger in Laufwerk C: ist 440977
Volumeseriennummer: 14B0-2777

Verzeichnis von C:\WINDOWS\system32

04.02.2007 15:31 72.866 perfc007.dat
04.02.2007 15:31 60.446 perfc009.dat
04.02.2007 15:31 410.704 perfh007.dat
04.02.2007 15:31 396.876 perfh009.dat
04.02.2007 15:31 951.344 PerfStringBackup.INI
04.02.2007 15:29 54.112 vsconfig.xml
04.02.2007 15:28 1.158 wpa.dbl
27.12.2006 06:58 274.168 FNTCACHE.DAT
25.10.2006 19:15 65.536 QuickTimeVR.qtx
25.10.2006 19:15 49.152 QuickTime.qts
04.10.2006 21:03 9.639.336 MRT.exe
01.10.2006 16:48 4.212 zllictbl.dat





Hier ist der systemtemp-Teil von Datfindbat:

Datentr„ger in Laufwerk C: ist 440977
Volumeseriennummer: 14B0-2777

Verzeichnis von C:\DOKUME~1\Michael\LOKALE~1\Temp

04.02.2007 15:41 289 datFind-1.zip
04.02.2007 15:41 40.960 rtdrvmon.exe
04.02.2007 15:40 289 datFind.zip
3 Datei(en) 41.538 Bytes
0 Verzeichnis(se), 77.362.470.912 Bytes frei







Hier ist der system-Teil von Datfindbat:

Datentr„ger in Laufwerk C: ist 440977
Volumeseriennummer: 14B0-2777

Verzeichnis von C:\WINDOWS

04.02.2007 15:28 0 0.log
04.02.2007 15:27 4.034 ModemLog_Motorola SM56 Data Fax Modem.txt
04.02.2007 15:27 1.684.044 WindowsUpdate.log
04.02.2007 15:26 159 wiadebug.log
04.02.2007 15:26 50 wiaservc.log
04.02.2007 15:26 2.048 bootstat.dat
04.02.2007 15:25 32.556 SchedLgU.Txt
04.02.2007 13:23 703 win.ini
29.01.2007 20:56 54.156 QTFont.qfn
22.01.2007 00:21 1.409 QTFont.for
20.01.2007 22:14 116 NeroDigital.ini
14.01.2007 12:36 353.805 setupapi.log
31.12.2006 15:46 686 setupact.log
30.12.2006 22:02 121 GEARInstall.log
26.12.2006 23:18 13.714 wmsetup.log
26.12.2006 22:40 400 ODBC.INI
20.11.2006 11:38 465 lexstat.ini
07.11.2006 14:03 30 Iedit.INI
06.11.2006 00:00 12.862 EPISMG00.SWB
30.10.2006 16:05 31 EPSMTL32.TXT
27.10.2006 10:38 379 wmsetup10.log
22.10.2006 00:09 88.179 comsetup.log
22.10.2006 00:09 42.690 iis6.log
22.10.2006 00:09 1.393 imsins.log
22.10.2006 00:09 14.706 ocmsn.log
22.10.2006 00:09 101.437 tsoc.log
22.10.2006 00:09 53.495 ntdtcsetup.log
22.10.2006 00:09 15.574 KB924191.log
22.10.2006 00:09 13.287 msgsocm.log
22.10.2006 00:09 125.388 ocgen.log
22.10.2006 00:09 264.815 FaxSetup.log
22.10.2006 00:09 15.460 updspapi.log
22.10.2006 00:09 1.393 imsins.BAK
22.10.2006 00:09 15.295 KB922819.log
22.10.2006 00:09 13.476 KB923414.log
22.10.2006 00:09 16.048 KB924496.log
22.10.2006 00:06 10.781 KB923191.log
11.10.2006 14:52 358.058 DPINST.LOG
08.10.2006 19:07 32 wininit.ini




Hier ist der tmp-Teil von Datfindbat:

Datentr„ger in Laufwerk C: ist 440977
Volumeseriennummer: 14B0-2777

Verzeichnis von C:\WINDOWS\Temp

04.02.2007 15:28 256 ZLT00a88.TMP
04.02.2007 15:28 256 ZLT00a50.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 77.362.458.624 Bytes frei





Hier ist der Down-Teil von Datfindbat:

Datentr„ger in Laufwerk C: ist 440977
Volumeseriennummer: 14B0-2777

Verzeichnis von C:\WINDOWS\Downloaded Program Files

30.11.2005 07:59 65 desktop.ini
10.11.2005 14:05 876 jinstall-1_5_0_06.inf
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
25.07.2002 17:05 172.032 isusweb.dll
5 Datei(en) 394.157 Bytes
0 Verzeichnis(se), 77.362.294.784 Bytes frei


Hier ist der Sys-Teil von Datfindbat :

Datentr„ger in Laufwerk C: ist 440977
Volumeseriennummer: 14B0-2777

Verzeichnis von C:\

04.02.2007 15:46 0 sys.txt
04.02.2007 15:45 497 down.txt
04.02.2007 15:44 320 tmp.txt
04.02.2007 15:43 7.915 system.txt
04.02.2007 15:43 388 systemtemp.txt
04.02.2007 15:41 99.558 system32.txt
04.02.2007 15:35 5.415 ComboFix.txt
04.02.2007 15:26 1.073.139.712 hiberfil.sys
04.02.2007 15:26 1.610.612.736 pagefile.sys
04.04.2006 20:12 16 mxfilerelatedcache.mxc2
04.04.2006 15:25 1.630 haxfix.txt
04.04.2006 15:23 26 haxdel.txt
04.04.2006 15:23 14 notsub32.txt
04.04.2006 15:20 16 safeserv.txt
04.04.2006 15:20 16 serv.txt
23.03.2006 22:45 12.621 clean.bat
09.01.2006 16:01 27 expand.txt
09.01.2006 16:00 211 boot.ini
30.11.2005 09:40 1.418 868000440977.dat
30.11.2005 08:48 217 via.log
30.11.2005 08:45 185 ati.log
30.11.2005 08:23 251.712 ntldr
30.11.2005 08:01 0 AUTOEXEC.BAT
30.11.2005 08:01 0 MSDOS.SYS
30.11.2005 08:01 0 CONFIG.SYS
30.11.2005 08:01 0 IO.SYS
11.10.2004 06:18 19 LANG.TXT
04.08.2004 13:00 4.952 bootfont.bin
04.08.2004 13:00 2 oem.tag
04.08.2004 13:00 47.564 NTDETECT.COM
11.04.2002 23:00 53.248 gendel32.exe
13.03.2002 13:16 11 Language.txt
32 Datei(en) 2.684.240.446 Bytes
0 Verzeichnis(se), 77.362.290.688 Bytes frei


Hoffe die logs sind alle die richtigen und wäre suiper, wenn mir damit geholfen werden könnte.

Mfg Flo
Seitenanfang Seitenende
04.02.2007, 16:29
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 Flo_k_88

oeffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked"

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{66F16E34-C6FF-4BC9-894F-AF4013E6DC33}: NameServer = 85.255.113.107,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{B68440B1-92F8-48D5-A01F-CDD5537DB737}: NameServer = 85.255.113.107,85.255.112.182
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7809544-DD46-477F-9F43-6958B1284863}: NameServer = 85.255.113.107,85.255.112.182
««
scanne und poste den scanreport
http://virus-protect.org/artikel/tools/fixwareout.html

»»
poste das neue log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.02.2007, 19:09
...neu hier

Themenstarter

Beiträge: 6
#5 hier das fixwareout log


Fixwareout
Last edited 1/30/2007
Post this report in the forums please
...
Prerun check
»»»»» HKLM run and Winlogon System values

»»»»» System restarted
Reg Entries that were deleted
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "xedocne"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "gib_ogol"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "repiwoh"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "llun"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "23plhps"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "mgcppp"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "tesvaf"
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Urls "32refaselif"
...
Random Runs removed from HKLM
...
"C:\Dokumente und Einstellungen\All Users\Favoriten\Download Free Spyware Remover.url" Deleted
"C:\Dokumente und Einstellungen\All Users\Favoriten\NEW VIAGRA at Half Price!.url" Deleted
"C:\Dokumente und Einstellungen\All Users\Favoriten\Online Chat With Nude Girls.url" Deleted
"C:\Dokumente und Einstellungen\All Users\Favoriten\Order CIALIS online without leaving home..url" Deleted
"C:\Dokumente und Einstellungen\All Users\Favoriten\PC protection in under 2 minutes!.url" Deleted
"C:\Dokumente und Einstellungen\All Users\Favoriten\SEX Dating - Real Girls For Real SEX.url" Deleted
"C:\Dokumente und Einstellungen\All Users\Favoriten\Stop PopUps On Your Computer.url" Deleted
"C:\Dokumente und Einstellungen\All Users\Favoriten\VIAGRA at incredible low price. Bonus Pills!.url" Deleted
"C:\Dokumente und Einstellungen\All Users\Favoriten\View ADULT photos of REAL GIRLS!.url" Deleted
C:\WINDOWS\RDT.INI Deleted
C:\Dokumente und Einstellungen\All Users\Favoriten\Online Pharmacy Deleted
C:\Dokumente und Einstellungen\All Users\Favoriten\Sex and Dating Deleted
C:\Dokumente und Einstellungen\All Users\Favoriten\Spyware Uninstall Deleted
C:\Dokumente und Einstellungen\Michael\Favoriten\Spyware Uninstall Deleted

»»»»» Misc files.

»»»»» Checking for older varients.

»»»»» Postrun check
»»»»» HKLM run
»»»»» Winlogon System value
"System"=""
»»»»»

PLEASE NOTE, There CAN be LEGITIMATE FILES LISTED IN THIS SECTION.

This WILL/CAN also list Legit Files, Submit them at Virustotal
Search five digit cs, dm kd and jb files.
»»»»»
»»»»» Current runs

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"SynTPLpr"="C:\\Programme\\Synaptics\\SynTP\\SynTPLpr.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"AudioDeck"="C:\\Programme\\VIAudioi\\SBADeck\\ADeck.exe 1 "
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"PCMService"="\"C:\\Program Files\\CyberLink\\PowerCinema\\PCMService.exe\""
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"Lexmark X1100 Series"="\"C:\\Programme\\Lexmark X1100 Series\\lxbkbmgr.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"BDNewsAgent"="\"c:\\programme\\softwin\\bitdefender8\\bdnagent.exe\""
"BDSwitchAgent"="C:\\Programme\\Softwin\\BitDefender8\\bdswitch.exe"
"Zone Labs Client"="C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe"
"EPSON Stylus DX4200 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W32X86\\3\\E_FATIAEE.EXE /P26 \"EPSON Stylus DX4200 Series\" /O6 \"USB002\" /M \"Stylus DX4200\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72,6f,6f,74,25,5c,73,79,73,74,\
65,6d,33,32,5c,64,75,6d,70,72,65,70,20,30,20,2d,6b,00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"MSMSGS"="\"c:\\PROGRA~1\\MESSEN~1\\Msmsgs.exe\" /background"

Hosts file was reset, If you use a custom hosts file please replace it



hier hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 19:09:35, on 04.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\programme\softwin\bitdefender8\bdnagent.exe
C:\Programme\Softwin\BitDefender8\bdswitch.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [BDNewsAgent] "c:\programme\softwin\bitdefender8\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\bdswitch.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB002" /M "Stylus DX4200"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "c:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)



Hoffe es hilft weiter...
Seitenanfang Seitenende
05.02.2007, 10:17
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Flo_k_88

das problem muesste behoben sein - die Wareout-Verseuchung hat die Internetverbindung auf einen Server in die Ukraine umgeleitet. ;)

--------------

««
SDFix.zip entpacken
http://virus-protect.org/artikel/tools/sdfix.html
es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.02.2007, 15:30
...neu hier

Themenstarter

Beiträge: 6
#7 Hallo, Ukraine??? hat das irgendwelche schlimmen Auswirkungen auf mein surfen gehabt,oder kann man das nicht sagen? z.B. Online Banking oder so.

Hier ist das SDFIX-Log:


SDFix: Version 1.63

05.02.2007 - 15:22:09,82

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found..




ADS Check:

C:\WINDOWS\system32
No streams found.

Final Check:

Remaining Services:
------------------


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Program Files\\CyberLink\\PowerCinema\\PowerCinema.exe"="C:\\Program Files\\CyberLink\\PowerCinema\\PowerCinema.exe:*:Enabled:powerCinema"
"C:\\Programme\\Yahoo!\\Messenger\\YPager.exe"="C:\\Programme\\Yahoo!\\Messenger\\YPager.exe:*:Enabled:Yahoo! Messenger"
"C:\\Programme\\Yahoo!\\Messenger\\YServer.exe"="C:\\Programme\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"C:\\Programme\\Messenger\\Msmsgs.exe"="C:\\Programme\\Messenger\\Msmsgs.exe:*:Enabled:Windows Messenger"
"\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exe:*:Enabled:explorer"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\
AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\Programme\Microsoft Works Suite 2005\Setup\mnyinsta.dll
C:\Programme\Microsoft Works Suite 2005\Setup\setuplng.dll
C:\Programme\Microsoft Works Suite 2005\Setup\launcher.exe
C:\Programme\Microsoft Works Suite 2005\Setup\RmvSuite.exe
C:\Programme\Microsoft Works Suite 2005\Setup\unregwtr.exe
C:\hiberfil.sys

Finished



Danke schön schonmal für die Hilfe;)
Seitenanfang Seitenende
05.02.2007, 15:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 Flo_k_88

das Surfen wurde beeintraechtigt, denn die Popups, mit denen du belaestigt wurdest, sind gut in den favoriten sichtbar - siehe oben (schon geloescht)

Zitat

O17 - HKLM\System\CCS\Services\Tcpip\..\{66F16E34-C6FF-4BC9-894F-AF4013E6DC33}: NameServer = 85.255.113.107,85.255.112.182

Domain Name: INHOSTER.COM
Registrant:
Inhoster Inc.
Andrei Kislizin
Lenina str. 23/95
Odessa
Fuer Onlinebanking ist nichts zu befuerchten

------------------------------------------------------------------


Gehe in die Registry
Start - Ausfuehren - regedit
klicke durch zum Schluessel:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\
Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\
AuthorizedApplications\List|

\??\C:\WINDOWS\system32\winlogon.exe - loeschen

PC neustarten

--------------------------------------------------------------------

««
Start > Ausfuehren --> reinschreiben --> cmd
und ok. kopiere rein

dir /s /a "c:\winlogon*.*" > c:\find.txt & start notepad c:\find.txt

und poste alles, was im Texteditor erscheint

----------------------------------------------------------------

««
http://virus-protect.org/artikel/tools/sdfix.html
im Normalmodus

RunThis.bat doppelt klicken

reinschreiben: 3

3 : wird Sophos geladen - waehle 6 - scanne und poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.02.2007, 20:08
...neu hier

Themenstarter

Beiträge: 6
#9 Hi,

hier ist der erste Report:

Datentr„ger in Laufwerk C: ist 440977
Volumeseriennummer: 14B0-2777

Verzeichnis von c:\WINDOWS\$NtUninstallKB883529$

04.08.2004 13:00 507.392 winlogon.exe
1 Datei(en) 507.392 Bytes

Verzeichnis von c:\WINDOWS\I386

04.08.2004 13:00 261.469 WINLOGON.EX_
1 Datei(en) 261.469 Bytes

Verzeichnis von c:\WINDOWS\system32

25.08.2004 17:59 507.904 winlogon.exe
1 Datei(en) 507.904 Bytes

Verzeichnis von c:\WINDOWS\system32\dllcache

25.08.2004 17:59 507.904 winlogon.exe
1 Datei(en) 507.904 Bytes

Anzahl der angezeigten Dateien:
4 Datei(en) 1.784.669 Bytes
0 Verzeichnis(se), 77.314.441.216 Bytes frei



und hier der zweite:

Sophos Anti-Virus
Version 4.14.0 [Win32/Intel]
Virus data version 4.14, February 2007
Includes detection for 216095 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 19:40:32, System date 06 February 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan

IDE directory is: C:\SDFix\IDE

Password protected file C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Adobe\Acrobat\7.0\Messages\DEU\read0600win_DEUyhoo0010.pdf
Password protected file C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\Adobe\Acrobat\7.0\Messages\DEU\read0700win_DEUadbe0700.pdf
Could not open C:\hiberfil.sys
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMsgDEU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\read0600win_DEUyhoo0010.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\read0600win_ENUyhoo0010.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf
Could not open C:\System Volume Information\_restore{FFAC202D-9636-4BE4-AC2F-76EB9D7123E5}\RP73\A0031861.exe
Could not open C:\System Volume Information\_restore{FFAC202D-9636-4BE4-AC2F-76EB9D7123E5}\RP96\A0040448.exe

1 boot sector swept.
24005 files swept in 25 minutes and 14 seconds.
11 errors were encountered.
No viruses were discovered.
8 encrypted files were not checked.
Ending Sophos Anti-Virus.


danke für die ganzen tipps;)
Seitenanfang Seitenende
07.02.2007, 00:04
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 es muesste wieder alles i.o. sein
wenn es noch Probleme geben sollte, melde dich.
mittlerweile kannst du noch einen onlinscan mit ewido machen
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
07.02.2007, 15:21
...neu hier

Themenstarter

Beiträge: 6
#11 Hey,

super, vielen dank für deine Hilfe!!!
Wenn noch was sein sollte, melde ich mich, danke danke danke;)

Mfg

Flo
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: