PC streikt, Internet funktioniert nicht richtig

#1 hi!

Seit 3 Tagen streikt mein PC und ich kann ausser Google und Wikipedia und ein paar Internetseiten die ich in meiner Favoritenliste gespeichert habe, nichts mehr oeffnen. Bei den anderen Seiten dauert es ungefaehr 2 Minuten bis sich die Seite "...Seite kann nicht angezeigt werden" oeffnet. Seltsamerweise kann ich nur die Seiten aufrufen die ganz oben in meiner Favoritenliste gespeichert sind. Ich lasse die ganze Zeit diverse Anti Viren Programme laufen, meistens wird aber angezeigt, dass nichts gefunden werden konnte. Ich habe auch schon geschaut, welche Programme beim Systemstart geladen werden, aber nichts Auffaelliges gefunden. Ich habe alle "Problemchen" die vom Virenscanner angezeigt wurden schon beseitigt, bzw. alles geloescht hab, was als "gefaehrlich" angezeigt wurde. Ich hab jetzt nochmal 2 Durchgaenge gemacht und mir wurde angezeigt, dass nichts Auffaelliges gefunden wurde. Hab die ueblichen Programme wie Ad-Aware, AntiVir und Spybot. Wenn ich den PC hochfahre dauert es ueberdurchschnittlich lange. Seit ein paar Stunden ist der PC noch lahmer als sonst. Meine Internetverbindung wird aber als gut angezeigt, daran kann es also nicht liegen. Hat jemand vielleicht eine Idee was man machen koennte oder evtl. dasselbe Problem? Hab natuerlich auch schon ans Formatieren gedacht, aber vielleicht hat jemand ja eine andere Idee!
Ich poste einfach mal meinen HJT. Hoffe ich habs richtig gemacht!

Logfile of HijackThis v1.99.1
Scan saved at 18:06:10, on 14.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wbsecsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\winbond\w89c33\wwu.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908. 5008\GoogleToolbarNotifier.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Susan\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.ebay.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PestPatrol Control Center] C-\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720. 3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WWU.lnk = C:\Programme\winbond\w89c33\wwu.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143122975250
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: LightScribeService Direct Disc Labeling Service(LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe

Waer echt lieb wenn da mal jemand draufschauen koennte!

LG, Susi

#2 susiee85

die startseite ist in der tat eigenartig:
Start Page = http://w*w.ebay.de/ - das gibt es nicht , siehe w*w
---------------------------------------------------------------------

1.
deaktiviere: SpybotSD TeaTimer

2.
SDFix.zip entpacken
http://virus-protect.org/artikel/tools/sdfix.html
es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken
schreibe: Y

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag

-----------
3.
neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein - http://www.ebay.de/
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Also erstmal vielen vielen Dank fuer die Antwort! Habe alles gemacht und das Ergebnis ist Folgendes:

SDFix: Version 1.65

Run by: Susan - 15.02.2007 @ 16:00:53,37

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:

Path:


Restoring Windows Registry Entries
Restoring Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

No Trojan Files Found..




ADS Check:

C:\WINDOWS\system32
No streams found.

Final Check:


Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:enabled:Remoteunterstützung"
"C:\\Programme\\AOL 9.0\\AOL.exe"="C:\\Programme\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0"
"C:\\Programme\\AOL 9.0\\WAOL.exe"="C:\\Programme\\AOL 9.0\\WAOL.exe:*:enabled:AOL 9.0"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\\Programme\\CA\\eTrust Antivirus\\InocIT.exe"="C:\\Programme\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner"
"C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe"="C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor"
"C:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe"="C:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server"
"C:\\Programme\\NetMeeting\\Conf.exe"="C:\\Programme\\NetMeeting\\Conf.exe:*:enabled:NetMeeting"
"C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"="C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe:*:enabled:Nero MediaHome"
"C:\\Programme\\InterVideo\\DVD7\\WinDVD.exe"="C:\\Programme\\InterVideo\\DVD7\\WinDVD.exe:*:enabled:InterVideo WinDVD 7"
"C:\\Programme\\InterVideo\\MediaOne Gallery\\mediaone.exe"="C:\\Programme\\InterVideo\\MediaOne Gallery\\mediaone.exe:*:enabled:InterVideo MediaOne Gallery"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"="C:\\Programme\\Real\\RealPlayer\\realplay.exe:*isabled:RealPlayer"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:skype"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:enabled:Remoteunterstützung"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\AOL 9.0\\AOL.exe"="C:\\Programme\\AOL 9.0\\AOL.exe:*:enabled:AOL 9.0"
"C:\\Programme\\AOL 9.0\\WAOL.exe"="C:\\Programme\\AOL 9.0\\WAOL.exe:*:enabled:AOL 9.0"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe:*:enabled:AOL 9.0 (Connectivity Service)"
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe:*:enabled:AOL 9.0 (Connectivity Service Dialer)"
"C:\\WINDOWS\\system32\\fxsclnt.exe"="C:\\WINDOWS\\system32\\fxsclnt.exe:*:enabled:Microsoft Fax"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:enabled:skype"
"C:\\Programme\\CA\\eTrust Antivirus\\InocIT.exe"="C:\\Programme\\CA\\eTrust Antivirus\\InocIT.exe:*:enabled:eTrust Antivirus - Local Scanner"
"C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe"="C:\\Programme\\CA\\eTrust Antivirus\\Realmon.exe:*:enabled:eTrust Antivirus - Realtime monitor"
"C:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe"="C:\\Programme\\CA\\eTrust Antivirus\\InoRpc.exe:*:enabled:eTrust Antivirus - RPC Server"
"C:\\Programme\\NetMeeting\\Conf.exe"="C:\\Programme\\NetMeeting\\Conf.exe:*:enabled:NetMeeting"
"C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe"="C:\\Programme\\Ahead\\Nero MediaHome\\NeroMediaHome.exe:*:enabled:Nero MediaHome"
"C:\\Programme\\InterVideo\\DVD7\\WinDVD.exe"="C:\\Programme\\InterVideo\\DVD7\\WinDVD.exe:*:enabled:InterVideo WinDVD 7"
"C:\\Programme\\InterVideo\\MediaOne Gallery\\mediaone.exe"="C:\\Programme\\InterVideo\\MediaOne Gallery\\mediaone.exe:*:enabled:InterVideo MediaOne Gallery"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:MSN Messenger 7.5"


Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip


Checking For Files with Hidden Attributes :

C:\Programme\AOL 9.0\aolphx.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\AOL 9.0\RBM.exe
C:\Programme\AOL 9.0\StartSM.exe
C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe
C:\WINDOWS\system32\2246DFD473.sys
C:\WINDOWS\system32\4212FAB396.sys
C:\WINDOWS\system32\KGyGaAvL.sys

Finished


Hm, heisst das, dass nichts gefunden wurde?

#4 neue Startseite
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein - http://www.ebay.de/

dann poste das neue log vom HIjacktHis
+
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 hi nochmal!

sorry wegen der startseite, habs beim letzten mal verrafft!
das problem bei dem anderem log ist, dass wenn ich das programm herunterlade folgende meldung kommt: "the tool combofix has been temporarily withdrawn. the author discovered a rootkit infection that will interfere with combofix's running. this will cause combofix to be UNSAFE FOR USE on your machine. even if you manage to find a mirror for the tool, PLEASE DO NOT RUN THIS TOOL." ich hoffe es liegt nicht daran dass ich irgendwas falsch gemacht hab!

naja, den anderen HJT hab ich jedenfalls:

Logfile of HijackThis v1.99.1
Scan saved at 18:26:32, on 15.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\wbsecsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\winbond\w89c33\wwu.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Susan\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis[1].zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [PestPatrol Control Center] C-\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: WWU.lnk = C:\Programme\winbond\w89c33\wwu.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143122975250
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: wbsecsvc - Winbond - C:\WINDOWS\system32\wbsecsvc.exe

danke nochmal/schonmal!

#6 die startseite ist schon mal i.o.

keine Ahung, was mit der combofix los ist, klicke sie einfach an (dieses weisse kreuz auf rotem Grund) und berichte, was passiert.
falls es nicht klappt, ich habe eine aeltere Version als zip hochgeladen - versuche es damit
http://virus-protect.org/artikel/tools/combofix.html

««
scanne und poste den report
RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Ok, folgende Probleme sind aufgetreten:

Combofix geht immer noch nicht. Es kommt die gleiche Meldung, ich kann also nichts anklicken, weil ich das Programm nicht herunterladen kann. Die Seite der aelteren Version kann ich nicht laden.

Der RootkitRevealer hat mir am Ende angezeigt: "35 discrepancies found". Hab aber seltsamerweise keinen report bekommen. Er hat mir die 35 Probleme angezeigt, aber konnte nichts kopieren oder aehnliches. Kanns aber gerne morgen nochmal versuchen. Achja, ist das normal das der Scan anderthalb Stunden dauert?

Beim CleanUp kann ich das Programm nicht oeffnen, wegen "incorrect size...".

Das letzte Programm geht ebenfalls nicht, wenn ich es herunterladen will erscheint: "Seite kann nicht angezeigt werden...". Liegt hoechstwahrscheinlich an meinem PC!

Sorry, dass ich fuer heute nicht mit mehr dienen kann, aber ich werde morgen alles nochmal versuchen, wenn erwuenscht!

Danke & Gute Nacht!

#8 ««
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\2246DFD473.sys
C:\WINDOWS\system32\4212FAB396.sys
C:\WINDOWS\system32\wbsecsvc.exe


poste die reporte hier

------------------------------------------------------

1.
versuche es von hier
http://virus-protect.org/zip/combofix.zip

2.
Cleanup
http://www.stevengould.org/downloads/cleanup/CleanUp452.exe

3.
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html
datFind.zip --> entzippe datFind.zip --> datFind.bat
http://virus-protect.org/zip/datFind.zip

Kurzanleitung datfindbat

1. Doppel-klick DATFINDBAT

2. Es öffnet sich der Texteditor. Speichern als system32.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

3. auf das Command Fenster klicken und beliebige Taste drücken

4. Es öffnet sich der Texteditor. Speichern als systemtemp.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

5. Wiederhole Schritt 3 und speichere als windows.txt - oder (rechter Mausklick --> Text markieren --> kopieren --> in den Thread einfügen) - (3 Monate vom Datum her, mehr ist nicht notwendig)

6. Wiederhole Schritt 3 und speichere als temp.txt

7. Wiederhole Schritt 3 und speichere als down.txt

8. Wiederhole Schritt 3 und speichere als c.txt

9. Poste ALLE Logs (3 Monate vom Datum her, mehr ist nicht notwendig)
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Danke, Combofix hat jetzt funktioniert:

Susan - 07-02-16 10:30:21,32 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\Susan"

((((((((((((((((((((((((((((((( Files Created from 2007-01-16 to 2007-02-16 ))))))))))))))))))))))))))))))))))


2007-02-13 15:09 57,344 --a------ C:\WINDOWS\system32\avsda.dll
2007-02-13 15:09 32,768 --a------ C:\WINDOWS\system32\drivers\avgntdd.sys
2007-02-13 15:09 14,848 --a------ C:\WINDOWS\system32\drivers\avgntmgr.sys


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-02-15 18:22 -------- d-------- C:\Programme\PestPatrol
2007-02-15 03:43 -------- d-------- C:\Programme\Google
2007-02-14 15:01 -------- d-------- C:\Programme\ICQLite
2007-02-13 15:09 -------- d-------- C:\Programme\AntiVir PersonalEdition Classic
2007-02-13 15:02 -------- d---s---- C:\Dokumente und Einstellungen\Susan\Anwendungsdaten\Microsoft
2007-01-19 16:23 -------- d-------- C:\Dokumente und Einstellungen\Susan\Anwendungsdaten\Viewpoint
2006-12-17 09:27 -------- d-------- C:\Programme\Windows Media Player
2006-12-17 09:27 -------- d-------- C:\Programme\Internet Explorer
2006-12-17 09:26 -------- d-------- C:\Programme\Outlook Express
2006-12-14 15:13 1864 --a------ C:\Dokumente und Einstellungen\Susan\Anwendungsdaten\wklnhst.dat
2006-12-07 05:14 2330624 --a------ C:\WINDOWS\system32\wmvcore.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"updateMgr"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe\" AcRdB7_0_8 -reboot 1"
"swg"="C:\\Programme\\Google\\GoogleToolbarNotifier\\1.2.1128.5462\\GoogleToolbarNotifier.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ehTray"="C:\\WINDOWS\\ehome\\ehtray.exe"
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"AGRSMMSG"="AGRSMMSG.exe"
"AOLDialer"="C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"
"Realtime Monitor"="C:\\PROGRA~1\\CA\\ETRUST~1\\realmon.exe -s"
"PestPatrol Control Center"="C-\\PROGRA~1\\PESTPA~1\\PPControl.exe"
"PPMemCheck"="C:\\PROGRA~1\\PESTPA~1\\PPMemCheck.exe"
"CookiePatrol"="C:\\PROGRA~1\\PESTPA~1\\CookiePatrol.exe"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"SoundMan"="SOUNDMAN.EXE"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,02,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,a0,00,00,00,00,00,00,00,80,02,00,00,3a,02,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"InstallVisualStyle"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,\
63,65,73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,5c,52,6f,79,61,6c,65,2e,\
6d,73,73,74,79,6c,65,73,00
"InstallTheme"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,63,65,\
73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,2e,74,68,65,6d,65,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="TeaTimer"
"hkey"="HKCU"
"command"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 07-02-16 10:36:39.65
C:\ComboFix.txt ... 07-02-16 10:36


Virustotal scannt komischerweise den letzten Pfad nicht. Hier die ersten zwei:


STATUS: FINISHED
Complete scanning result of "2246DFD473.sys", received in VirusTotal at 02.16.2007, 11:06:23 (CET).
Antivirus Version Update Result
AntiVir 7.3.1.37 02.16.2007 no virus found
Authentium 4.93.8 02.15.2007 no virus found
Avast 4.7.936.0 02.16.2007 no virus found
AVG 386 02.15.2007 no virus found
BitDefender 7.2 02.16.2007 no virus found
CAT-QuickHeal 9.00 02.15.2007 no virus found
ClamAV devel-20060426 02.16.2007 no virus found
DrWeb 4.33 02.16.2007 no virus found
eSafe 7.0.14.0 02.15.2007 no virus found
eTrust-Vet 30.4.3405 02.16.2007 no virus found
Ewido 4.0 02.14.2007 no virus found
Fortinet 2.85.0.0 02.16.2007 no virus found
F-Prot 4.2.1.29 02.15.2007 no virus found
F-Secure 6.70.13030.0 02.16.2007 no virus found
Ikarus T3.1.0.31 02.16.2007 no virus found
Kaspersky 4.0.2.24 02.16.2007 no virus found
McAfee 4964 02.15.2007 no virus found
Microsoft 1.2204 02.16.2007 no virus found
NOD32v2 2064 02.15.2007 no virus found
Norman 5.80.02 02.15.2007 no virus found
Panda 9.0.0.4 02.15.2007 no virus found
Prevx1 V2 02.16.2007 no virus found
Sophos 4.14.0 02.16.2007 no virus found
Sunbelt 2.2.907.0 02.15.2007 no virus found
Symantec 10 02.16.2007 no virus found
TheHacker 6.1.6.059 02.16.2007 no virus found
UNA 1.83 02.14.2007 no virus found
VBA32 3.11.2 02.16.2007 no virus found
VirusBuster 4.3.19:9 02.15.2007 no virus found
Aditional Information
File size: 56 bytes
MD5: 51f3d1fcfbb398f1617bff042be61800
SHA1: f47e150aa4aafeb1fb4ba36b81b290451d5f238d


STATUS: FINISHED
Complete scanning result of "4212FAB396.sys", received in VirusTotal at 02.16.2007, 11:15:01 (CET).
Antivirus Version Update Result
AntiVir 7.3.1.37 02.16.2007 no virus found
Authentium 4.93.8 02.15.2007 no virus found
Avast 4.7.936.0 02.16.2007 no virus found
AVG 386 02.15.2007 no virus found
BitDefender 7.2 02.16.2007 no virus found
CAT-QuickHeal 9.00 02.15.2007 no virus found
ClamAV devel-20060426 02.16.2007 no virus found
DrWeb 4.33 02.16.2007 no virus found
eSafe 7.0.14.0 02.15.2007 no virus found
eTrust-Vet 30.4.3405 02.16.2007 no virus found
Ewido 4.0 02.16.2007 no virus found
Fortinet 2.85.0.0 02.16.2007 no virus found
F-Prot 4.2.1.29 02.15.2007 no virus found
F-Secure 6.70.13030.0 02.16.2007 no virus found
Ikarus T3.1.0.31 02.16.2007 no virus found
Kaspersky 4.0.2.24 02.16.2007 no virus found
McAfee 4964 02.15.2007 no virus found
Microsoft 1.2204 02.16.2007 no virus found
NOD32v2 2064 02.15.2007 no virus found
Norman 5.80.02 02.15.2007 no virus found
Panda 9.0.0.4 02.15.2007 no virus found
Prevx1 V2 02.16.2007 no virus found
Sophos 4.14.0 02.16.2007 no virus found
Sunbelt 2.2.907.0 02.15.2007 no virus found
Symantec 10 02.16.2007 no virus found
TheHacker 6.1.6.059 02.16.2007 no virus found
UNA 1.83 02.14.2007 no virus found
VBA32 3.11.2 02.16.2007 no virus found
VirusBuster 4.3.19:9 02.15.2007 no virus found
Aditional Information
File size: 8 bytes
MD5: ba898b29f0dbf9307f494475a8393f03
SHA1: 697fd89eba4c1d12a53190666508b9aa503bf7e9


Der Cleanup geht immer noch nicht. Wenn ich auf Datei ausführen klicke kommt folgende Meldung: „Incorrect size C:/dokumente und einstellungen/susan/lokale einstellungen/temporary internet files/content.ie5/583opkaj/cleanup4521[1].exe.Actual size is 101841 bytes, but should be 339257 bytes. Download the setup again.“


Datfindbat:

1.

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4C1E-5722

Verzeichnis von C:\WINDOWS\system32

16.02.2007 10:51 1.351 RootkitReveal.txt
15.02.2007 16:14 406.264 perfh009.dat
15.02.2007 16:14 64.814 perfc009.dat
15.02.2007 16:14 421.620 perfh007.dat
15.02.2007 16:14 77.856 perfc007.dat
15.02.2007 16:14 982.032 PerfStringBackup.INI
15.02.2007 16:10 1.158 wpa.dbl
03.01.2007 00:19 10.980.776 MRT.exe
07.12.2006 05:14 2.330.624 wmvcore.dll
08.11.2006 06:06 679.424 inetcomm.dll


2.

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4C1E-5722

Verzeichnis von C:\DOKUME~1\Susan\LOKALE~1\Temp

16.02.2007 12:12 512 ~DFC771.tmp
16.02.2007 12:11 512 ~DF7CDC.tmp
16.02.2007 11:39 54.272 ginstall.dll
3 Datei(en) 55.296 Bytes
0 Verzeichnis(se), 50.183.634.944 Bytes frei


3.

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4C1E-5722

Verzeichnis von C:\WINDOWS

16.02.2007 11:23 1.057.762 WindowsUpdate.log
15.02.2007 20:55 987.680 setupapi.log
15.02.2007 19:28 685 win.ini
15.02.2007 16:16 10.196 ModemLog_Creatix 2.0 AC'97 Modem.txt
15.02.2007 16:09 0 0.log
15.02.2007 16:07 2.048 bootstat.dat
15.02.2007 15:58 125.848 ntbtlog.txt
15.02.2007 15:53 32.626 SchedLgU.Txt
15.02.2007 15:36 227 system.ini
13.02.2007 18:03 42.933 wmsetup.log
13.02.2007 17:50 1.173 ie7_main.log
13.02.2007 17:03 603 wiadebug.log
13.02.2007 15:04 30 Iedit.INI
13.02.2007 15:04 50 wiaservc.log
07.02.2007 23:15 54.156 QTFont.qfn
31.01.2007 22:43 1.500 IE4 Error Log.txt
30.01.2007 00:06 116 NeroDigital.ini
13.01.2007 10:36 93.833 MedCtrOC.log
13.01.2007 10:36 38.969 ehOCGen.log
13.01.2007 10:36 786.256 iis6.log
13.01.2007 10:36 316.389 tsoc.log
13.01.2007 10:36 140.437 ntdtcsetup.log
13.01.2007 10:36 1.374 imsins.log
13.01.2007 10:36 33.949 tabletoc.log
13.01.2007 10:36 232.987 comsetup.log
13.01.2007 10:36 37.338 ocmsn.log
13.01.2007 10:36 12.350 KB929969.log
13.01.2007 10:36 332.334 ocgen.log
13.01.2007 10:36 79.659 plusoc.log
13.01.2007 10:36 131.831 netfxocm.log
13.01.2007 10:36 33.884 msgsocm.log
13.01.2007 10:36 684.427 FaxSetup.log
13.01.2007 10:36 215.814 msmqinst.log
03.01.2007 01:37 2.555 cdplayer.ini
17.12.2006 09:27 1.393 imsins.BAK
17.12.2006 09:27 36.651 KB925454.log
17.12.2006 09:27 45.294 updspapi.log
17.12.2006 09:27 5.766 KB925398.log
17.12.2006 09:27 4.699 KB926251.log
17.12.2006 09:27 7.248 KB923689.log
17.12.2006 09:26 12.783 KB926255.log
17.12.2006 09:26 12.626 KB923694.log
16.12.2006 01:58 1.409 QTFont.for
17.11.2006 03:02 17.639 KB923980.log
17.11.2006 03:02 17.289 KB924270.log
17.11.2006 03:01 18.871 KB920213.log
17.11.2006 03:01 33.273 KB922760.log

4.

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4C1E-5722

Verzeichnis von C:\WINDOWS\Temp

16.02.2007 11:44 255 WGAErrLog.txt
1 Datei(en) 255 Bytes
0 Verzeichnis(se), 50.185.678.848 Bytes frei

5.

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4C1E-5722

Verzeichnis von C:\WINDOWS\Downloaded Program Files

23.03.2006 14:10 65 desktop.ini


6.

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4C1E-5722

Verzeichnis von C:\

16.02.2007 12:18 0 sys.txt
16.02.2007 12:17 624 down.txt
16.02.2007 12:15 269 tmp.txt
16.02.2007 12:14 11.986 system.txt
16.02.2007 12:12 382 systemtemp.txt
16.02.2007 12:10 100.698 system32.txt
16.02.2007 10:36 6.683 ComboFix.txt
15.02.2007 16:07 939.048.960 hiberfil.sys
15.02.2007 16:06 1.409.286.144 pagefile.sys
15.02.2007 15:36 209 boot.ini



HKLM\SECURITY\Policy\Secrets\SAC* 23.03.2006 14:50 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 23.03.2006 14:50 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\webcal\URL Protocol 06.05.2006 09:37 13 bytes Data mismatch between Windows API and raw hive data.
C:\Dokumente und Einstellungen\Susan\Cookies\susan@virus-protect[1].txt 16.02.2007 09:54 386 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Susan\Cookies\susan@virus-protect[2].txt 16.02.2007 10:09 386 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Susan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y7Y50NS9\board.protecus[1] 16.02.2007 10:09 4.26 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Susan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y7Y50NS9\board.protecus[1].htm 16.02.2007 10:09 19.00 KB Hidden from Windows API.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 13.10.2006 22:26 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 13.10.2006 22:26 111.50 KB Visible in Windows API, but not in MFT or directory index.


Hab Rootkit (hat diesmal 9 Sachen gefunden) nochmal gemacht, falls du es gebrauchen kannst:

HKLM\SECURITY\Policy\Secrets\SAC* 23.03.2006 14:50 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 23.03.2006 14:50 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\webcal\URL Protocol 06.05.2006 09:37 13 bytes Data mismatch between Windows API and raw hive data.
C:\Dokumente und Einstellungen\Susan\Cookies\susan@virus-protect[1].txt 16.02.2007 09:54 386 bytes Visible in Windows API, but not in MFT or directory index.
C:\Dokumente und Einstellungen\Susan\Cookies\susan@virus-protect[2].txt 16.02.2007 10:09 386 bytes Hidden from Windows API.
C:\Dokumente und Einstellungen\Susan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y7Y50NS9\board.protecus[1] 16.02.2007 10:09 4.26 KB Hidden from Windows API.
C:\Dokumente und Einstellungen\Susan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\Y7Y50NS9\board.protecus[1].htm 16.02.2007 10:09 19.00 KB Hidden from Windows API.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 13.10.2006 22:26 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 13.10.2006 22:26 111.50 KB Visible in Windows API, but not in MFT or directory index.

#10 susiee85

»»
scanne mit option 1 und 2 - poste beide scanreporte
http://virus-protect.org/artikel/tools/smitfrautfix.html

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:\WINDOWS\Downloaded Program Files" >>files.txt
dir "C:\Programme\Common Files\system" >>files.txt
dir "C:\Programme\Common Files\Microsoft Shared" >>files.txt
dir "C:\Programme" >>files.txt
notepad files.txt

----------------------------------------------------

««
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip
poste dieses log

-----------------------------

Gromozon
http://www.prevx.com/gromozon.asp
http://virus-protect.org/artikel/spyware/gromozon.html

Gromozon Rootkit Removal Tool

* Downloade das Gromozon Rootkit Removal Tool von Prevx1.
* Speichere es auf dem Desktop.

boote in den abgesicherten Modus (F8 druecken, wenn der Rechner bootet)

* Beende die Anwendung des Antivirus Programms.
* Beende alle Anwendungen, schliesse alle Fenster.
* Starte das Programm mit Klick auf scan:

* Wenn das Programm zuende gescannt hat,
* wird man um OK gebeten , damit der Rechner neu aufstarten kann.
* Nach dem Neustart des Rechners , scannt das "Gromozon Rootkit Removal Tool" das System weiter.

* Es erstellt einen Bericht, das 'gromozon_removal.log'.

Suche das gromozon_removal.log mit der Windows Suche, kopiere seinen Inhalt und poste ihn.

-
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Scan-Report 1:



SmitFraudFix v2.142

Scan done at 17:29:23,45, 16.02.2007
Run from C:\Dokumente und Einstellungen\Susan\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QHY3ALQ9\SmitfraudFix[1]\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Susan


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Susan\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Susan\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


Scan-Report 2:


SmitFraudFix v2.142

Scan done at 17:43:44,18, 16.02.2007
Run from C:\Dokumente und Einstellungen\Susan\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End




Listen.bat:

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4C1E-5722

Verzeichnis von C:\Programme\Gemeinsame Dateien

05.04.2006 06:41 <DIR> .
05.04.2006 06:41 <DIR> ..
23.03.2006 16:44 <DIR> Adobe
03.04.2006 19:11 <DIR> Ahead
30.03.2006 08:52 <DIR> aol
06.05.2006 09:49 <DIR> aolshare
06.04.2006 14:05 <DIR> Buhl Data Service
05.04.2006 05:48 <DIR> DataDesign
05.04.2006 06:20 <DIR> DESIGNER
23.03.2006 14:09 <DIR> Dienste
05.04.2006 06:45 <DIR> InstallShield
05.04.2006 06:40 <DIR> InterVideo
23.03.2006 16:39 <DIR> Java
03.04.2006 19:14 <DIR> LightScribe
03.04.2006 19:18 <DIR> MAGIX Shared
06.05.2006 11:14 <DIR> Microsoft Shared
23.03.2006 14:09 <DIR> MSSoap
05.04.2006 05:40 <DIR> muvee Technologies
03.04.2006 19:13 <DIR> Nero
30.03.2006 08:36 <DIR> Nullsoft
23.03.2006 13:56 <DIR> ODBC
23.03.2006 16:34 <DIR> Real
23.03.2006 13:56 <DIR> SpeechEngines
17.12.2006 09:26 <DIR> System
05.04.2006 06:47 <DIR> Ulead Systems
23.03.2006 16:34 <DIR> xing shared
0 Datei(en) 0 Bytes
26 Verzeichnis(se), 50.177.761.280 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4C1E-5722

Verzeichnis von C:\WINDOWS\Downloaded Program Files

25.07.2002 16:13 24.576 dwusplay.dll
25.07.2002 16:13 196.608 dwusplay.exe
24.01.2005 11:38 1.249 erma.inf
25.07.2002 16:05 172.032 isusweb.dll
29.06.2005 16:17 227 opuc.inf
02.12.2005 11:55 5.101 swflash.inf
26.05.2005 04:19 291 wuweb.inf
7 Datei(en) 400.084 Bytes
0 Verzeichnis(se), 50.177.761.280 Bytes frei
Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: 4C1E-5722

Verzeichnis von C:\Programme

13.02.2007 22:26 <DIR> .
13.02.2007 22:26 <DIR> ..
23.03.2006 16:40 <DIR> Adobe
03.04.2006 19:14 <DIR> Ahead
07.04.2006 22:52 <DIR> ALDI Online Druck Service (Sued)
07.04.2006 22:51 <DIR> ALDI Sued Foto Service
03.04.2006 18:14 <DIR> AMD
13.02.2007 15:09 <DIR> AntiVir PersonalEdition Classic
30.03.2006 08:55 <DIR> AOL 9.0
23.03.2006 14:51 <DIR> ATI Technologies
30.03.2006 09:00 <DIR> CA
05.04.2006 05:48 <DIR> Common~1
23.03.2006 14:07 <DIR> ComPlus Applications
06.04.2006 15:04 <DIR> DivX
05.04.2006 06:41 <DIR> Gemeinsame Dateien
15.02.2007 03:43 <DIR> Google
14.02.2007 15:01 <DIR> ICQLite
09.05.2006 14:53 <DIR> ICQToolbar
17.12.2006 09:27 <DIR> Internet Explorer
05.04.2006 06:40 <DIR> InterVideo
04.07.2006 17:30 <DIR> IrfanView
23.03.2006 16:39 <DIR> Java
21.08.2006 17:54 <DIR> Lavasoft
30.03.2006 08:36 <DIR> Learn2.com
05.04.2006 05:48 <DIR> Letstrade
07.04.2006 22:45 <DIR> MEDION
23.03.2006 15:21 <DIR> Messenger
23.03.2006 14:12 <DIR> microsoft frontpage
05.04.2006 06:27 <DIR> Microsoft Office
05.04.2006 06:27 <DIR> Microsoft Visual Studio
05.04.2006 06:27 <DIR> Microsoft Works
05.04.2006 06:18 <DIR> Microsoft.NET
23.03.2006 14:09 <DIR> Movie Maker
23.03.2006 14:03 <DIR> MSN
23.03.2006 14:04 <DIR> MSN Gaming Zone
06.04.2006 14:32 <DIR> MSN Messenger
17.11.2006 03:01 <DIR> MSXML 4.0
05.04.2006 05:40 <DIR> muvee Technologies
23.03.2006 14:09 <DIR> NetMeeting
05.04.2006 07:32 <DIR> OfficeUpdate11
23.03.2006 14:07 <DIR> Online Services
23.03.2006 14:10 <DIR> Online-Dienste
17.12.2006 09:26 <DIR> Outlook Express
16.02.2007 17:55 <DIR> PestPatrol
23.03.2006 16:29 <DIR> QuickTime
23.03.2006 16:34 <DIR> Real
06.05.2006 12:11 <DIR> Realtek AC97
06.04.2006 10:49 <DIR> Skype
05.04.2006 06:46 <DIR> SmartSound Software
13.02.2007 22:41 <DIR> Spybot - Search & Destroy
23.03.2006 15:37 <DIR> Synaptics
15.07.2006 17:57 <DIR> Ulead Systems
30.03.2006 08:36 <DIR> Viewpoint
23.03.2006 15:36 <DIR> winbond
30.03.2006 09:23 <DIR> Windows Journal Viewer
23.03.2006 15:29 <DIR> Windows Media Connect 2
17.12.2006 09:27 <DIR> Windows Media Player
05.04.2006 06:43 <DIR> Windows Media-Komponenten
23.03.2006 14:04 <DIR> Windows NT
23.03.2006 14:06 <DIR> Windows Plus
06.04.2006 14:05 <DIR> WISO
23.03.2006 14:12 <DIR> xerox
21.06.2006 08:39 <DIR> Yahoo!
0 Datei(en) 0 Bytes
63 Verzeichnis(se), 50.177.757.184 Bytes frei





ServiceFilter.zip:

The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 2
Feb 16, 2007 18:04:49


---> Begin Service Listing <---

Unknown Service # 1
Service Name: AntiVirScheduler
Display Name: AntiVir PersonalEdition Classic Planer
Start Mode: Auto
Start Name: LocalSystem
Description: Dienst zur Steuerung von AntiVir Prüfaufträgen und ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\sched.exe
State: Running
Process ID: 1864
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 2
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Guard
Start Mode: Auto
Start Name: LocalSystem
Description: Bietet permanente Schutz vor Viren und Malware mit der AntiVir ...
Service Type: Own Process
Path: c:\programme\antivir personaledition classic\avguard.exe
State: Running
Process ID: 548
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #3
Service Name: AOL ACS
Display Name: AOL Connectivity Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\aol\acs\aolacsd.exe"
State: Running
Process ID: 1976
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #4
Service Name: aspnet_state
Display Name: ASP.NET-Zustandsdienst
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Stellt die Unterstützung für nicht aktive Sitzungszustände von ASP.NET bereit. Wenn der Dienst ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 5
Service Name: clr_optimization_v2.0.50727_32
Display Name: .NET Runtime Optimization Service v2.0.50727_X86
Start Mode: Manual
Start Name: LocalSystem
Description: Microsoft .NET Framework ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 6
Service Name: ehRecvr
Display Name: Media Center Receiver Service
Start Mode: Auto
Start Name: LocalSystem
Description: Media Center Service for TV and FM broadcast ...
Service Type: Own Process
Path: c:\windows\ehome\ehrecvr.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 7
Service Name: gusvc
Display Name: Google Updater Service
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\google\common\google updater\googleupdaterservice.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 8
Service Name: IDriverT
Display Name: InstallDriver Table Manager
Start Mode: Manual
Start Name: LocalSystem
Description: Provides support for the Running Object Table for InstallShield ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\installshield\driver\11\intel 32\idrivert.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 9
Service Name: InoRPC
Display Name: eTrust Antivirus RPC Server
Start Mode: Auto
Start Name: LocalSystem
Description: Listens for Admin Server discovery and policy ...
Service Type: Own Process
Path: "c:\programme\ca\etrust antivirus\inorpc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 10
Service Name: InoRT
Display Name: eTrust Antivirus Realtime Server
Start Mode: Auto
Start Name: LocalSystem
Description: Provides real-time on-access virus ...
Service Type: Own Process
Path: "c:\programme\ca\etrust antivirus\inort.exe"
State: Running
Process ID: 1988
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 11
Service Name: InoTask
Display Name: eTrust Antivirus Job Server
Start Mode: Auto
Start Name: LocalSystem
Description: Schedules background task such as scan jobs and signature ...
Service Type: Own Process
Path: "c:\programme\ca\etrust antivirus\inotask.exe"
State: Running
Process ID: 724
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 12
Service Name: LightScribeService
Display Name: LightScribeService Direct Disc Labeling Service
Start Mode: Auto
Start Name: LocalSystem
Description: Used by the LightScribe software components to support 3rd party disc labeling applications using ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\lightscribe\lssrvc.exe"
State: Running
Process ID: 1600
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 13
Service Name: McrdSvc
Display Name: Media Center Extender Service
Start Mode: Auto
Start Name: NT AUTHORITY\LocalService
Description: ...
Service Type: Own Process
Path: c:\windows\ehome\mcrdsvc.exe
State: Running
Process ID: 4048
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service #14
Service Name: MDM
Display Name: Machine Debug Manager
Start Mode: Auto
Start Name: LocalSystem
Description: Unterstützt lokales und remotes Debuggen für Visual Studio- und Skript-Debugger. Wenn dieser ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\vs7debug\mdm.exe"
State: Running
Process ID: 2008
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 15
Service Name: MHN
Display Name: MHN
Start Mode: Manual
Start Name: LocalSystem
Description: Ein Multimediaheimnetzwerk (Multimedia Home Networking oder MHN) stellt eine Netzwerkplattform für ...
Service Type: Share Process
Path: c:\windows\system32\svchost.exe -k netsvcs
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 16
Service Name: NPOBUT
Display Name: NPOBUT
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\dokume~1\susan\lokale~1\temp\npobut.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #17
Service Name: ose
Display Name: Office Source Engine
Start Mode: Manual
Start Name: LocalSystem
Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #18
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{7000eb90-3c88-4025-bd24-68c50972a3d7}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 19
Service Name: UleadBurningHelper
Display Name: Ulead Burning Helper
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\gemeinsame dateien\ulead systems\dvd\ulcdrsvr.exe
State: Running
Process ID: 2360
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 20
Service Name: wbsecsvc
Display Name: wbsecsvc
Start Mode: Auto
Start Name: LocalSystem
Description: Winbond Security Supported ...
Service Type: Own Process
Path: c:\windows\system32\wbsecsvc.exe /service
State: Running
Process ID: 2376
Started: Wahr
Exit Code: 0
Accept Pause: Wahr
Accept Stop: Wahr

Unknown Service # 21
Service Name: WMConnectCDS
Display Name: Windows Media Connect-Dienst
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Freigabe von Medien für universelle Plug & ...
Service Type: Own Process
Path: c:\programme\windows media connect 2\wmccds.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 103 Win32 services on this machine.
21 were unrecognized.

Script Execution Time: 1,3125 seconds.


Gromozon kann ich nicht aufrufen. Auch mit dem anderen Link nicht. "...Seite kann nicht angezeigt werden" erscheint mal wieder

#12 ««
da der rootkit eventuell den Download von der Originalseite verhindert:
http://virus-protect.org/zip/B43DF26.zip

««
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

C:\Dokumente und Einstellungen\susan\Lokale Einstellungen\Temp\npobut.exe

poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Gromozon_removal.log:

Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
Scanning: C:\WINDOWS
Scanning: C:\Programme\Gemeinsame Dateien


Trojan.Gromozon does not exist - your system is clean.


VirusTotal:


STATUS: FINISHED
Complete scanning result of "npobut.exe", received in VirusTotal at 02.16.2007, 21:07:49 (CET).
Antivirus Version Update Result
AntiVir 7.3.1.37 02.16.2007 no virus found
Authentium 4.93.8 02.16.2007 no virus found
Avast 4.7.936.0 02.16.2007 no virus found
AVG 386 02.16.2007 no virus found
BitDefender 7.2 02.16.2007 no virus found
CAT-QuickHeal 9.00 02.16.2007 no virus found
ClamAV devel-20060426 02.16.2007 no virus found
DrWeb 4.33 02.16.2007 no virus found
eSafe 7.0.14.0 02.16.2007 no virus found
eTrust-Vet 30.4.3405 02.16.2007 no virus found
Ewido 4.0 02.16.2007 no virus found
Fortinet 2.85.0.0 02.16.2007 no virus found
F-Prot 4.2.1.29 02.16.2007 no virus found
F-Secure 6.70.13030.0 02.16.2007 no virus found
Ikarus T3.1.0.31 02.16.2007 no virus found
Kaspersky 4.0.2.24 02.16.2007 no virus found
McAfee 4965 02.16.2007 no virus found
Microsoft 1.2204 02.16.2007 no virus found
NOD32v2 2066 02.16.2007 no virus found
Norman 5.80.02 02.16.2007 no virus found
Panda 9.0.0.4 02.16.2007 no virus found
Prevx1 V2 02.16.2007 no virus found
Sophos 4.14.0 02.16.2007 no virus found
Sunbelt 2.2.907.0 02.15.2007 no virus found
Symantec 10 02.16.2007 no virus found
TheHacker 6.1.6.059 02.16.2007 no virus found
UNA 1.83 02.16.2007 no virus found
VBA32 3.11.2 02.16.2007 no virus found
VirusBuster 4.3.19:9 02.16.2007 no virus found
Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

#14 1.
scanne und poste nach Anleitung den report
CWShredder
http://virus-protect.org/antispytools1.html
http://www.intermute.com/spysubtract/cwshredder_download.html

2.
poste dieses log
http://virus-protect.org/winpfind.html
http://www.bleepingcomputer.com/files/winpfind.php
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Ich hoffe das ist richtig so:

**** Run Keys ****

RUN: [ehTray] C:\WINDOWS\ehome\ehtray.exe
RUN: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
RUN: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
RUN: [AGRSMMSG] AGRSMMSG.exe
RUN: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
RUN: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
RUN: [PestPatrol Control Center] C-\PROGRA~1\PESTPA~1\PPControl.exe
RUN: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
RUN: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
RUN: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
RUN: [SoundMan] SOUNDMAN.EXE
RUN: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
RUN: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
RUN: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
RUN: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
RUN: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
RUN: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
RUN: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe


**** Browser Helper Objects ****

BHO: [AcroIEHlprObj Class] C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
BHO: [SSVHelper Class] C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
BHO: [Google Toolbar Helper] c:\programme\google\googletoolbar4.dll


**** IE Toolbars ****

TOOLBAR: [ICQ Toolbar] C:\Programme\ICQToolbar\toolbaru.dll
TOOLBAR: [&Google] c:\programme\google\googletoolbar4.dll


**** IE Extensions ****

IEExt: []
IEExt: [Recherchieren]
IEExt: [Messenger] C:\Programme\Messenger\msmsgs.exe


**** Hosts File Entries ****

HOSTS: 127.0.0.1 localhost
HOSTS: 127.0.0.1 localhost


**** IE Settings ****

Default Page: http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default Search: http://www.google.com/ie
Local Page: C:\windows\system32\blank.htm
Search Bar: http://www.google.com/ie
Search Page: http://www.google.com


**** IE Context Menu (Right click) ****

IEContext: [&ICQ Toolbar Search] res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IEContext: [Nach Microsoft &Excel exportieren] res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000


**** Layered Service Providers ****

LSP: MSAFD Tcpip [TCP/IP]
LSP: MSAFD Tcpip [UDP/IP]
LSP: RSVP UDP Service Provider
LSP: RSVP TCP Service Provider
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0CFE154E-FE29-43FF-BC38-7F0BB261D8D7}] SEQPACKET 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0CFE154E-FE29-43FF-BC38-7F0BB261D8D7}] DATAGRAM 4
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{AC542745-1E37-4786-AB7B-7C2F1587B050}] SEQPACKET 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{AC542745-1E37-4786-AB7B-7C2F1587B050}] DATAGRAM 3
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0A64618E-A1CB-474A-845C-34770515F68B}] SEQPACKET 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{0A64618E-A1CB-474A-845C-34770515F68B}] DATAGRAM 0
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2D46BED3-D49F-4DE2-9D5A-571EBDE2ECAD}] SEQPACKET 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{2D46BED3-D49F-4DE2-9D5A-571EBDE2ECAD}] DATAGRAM 1
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{5421DED6-DE71-4ACC-98B6-799505496D80}] SEQPACKET 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{5421DED6-DE71-4ACC-98B6-799505496D80}] DATAGRAM 2
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D4CAFDE8-5128-40DA-8364-4C85D9E4AEAB}] SEQPACKET 6
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{D4CAFDE8-5128-40DA-8364-4C85D9E4AEAB}] DATAGRAM 6
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{A0B471F4-1EB8-4C7E-AC97-B0984708CF3D}] SEQPACKET 7
LSP: MSAFD NetBIOS [\Device\NetBT_Tcpip_{A0B471F4-1EB8-4C7E-AC97-B0984708CF3D}] DATAGRAM 7


**** Blocked Control Panel Items ****

BLOCKED: [ncpa.cpl] No
BLOCKED: [odbccp32.cpl] No


**** Downloaded Program Files ****

{166B1BCA-3F9C-11CF-8075-444553540000} [http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab]
{3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} [http://office.microsoft.com/officeupdate/content/opuc3.cab] C:\WINDOWS\opuc.dll
{6414512B-B978-451D-A0D8-FCFDF33E833C} [http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143122975250]
{8AD9C840-044E-11D1-B3E9-00805F499D93} [http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab]
{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} [http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab]
{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} [http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab]
{D27CDB6E-AE6D-11CF-96B8-444553540000} [http://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab]


**** Custom IE Search Items ****

SEARCH: [SearchAssistant] http://www.google.com/ie
SEARCH: [SearchAssistant] http://www.google.com/ie
SEARCH: [CustomizeSearch] http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
SEARCH: [Default_Search_URL] http://www.google.com/ie


Sorry, beim 2. Log kommt "File not found". Hast du vielleicht einen anderen Link dafuer? Der Alternativdownload funktioniert bei mir auch nicht..."Seite kann nicht angezeigt werden".