Hijackthis+Combofix+datfind-Logfiles mit der Bitte um Durchsicht

#0
24.03.2007, 11:53
Member

Beiträge: 12
#1 Hallo zusammen,

muß mal wieder den PC meines Sohnes desinfizieren oder am besten sterilisieren.
Habe jetzt erst nachfolgende Virenmeldungen gesehen.


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 14. Dezember 2006 18:00

C:\apache\php\sapi\php4nsapi.dll
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Eine Sicherungskopie wurde unter dem Namen b3b5f3d4.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.

C:\Dokumente und Einstellungen\All Users\Dokumente\Gemeinsame Downloads\Sonstiges\star_wars_battlefront_2_plus_9_trainer.zip
[0] Archivtyp: ZIP
--> pztrain.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Eine Sicherungskopie wurde unter dem Namen a4f3e6b2.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.

C:\Dokumente und Einstellungen\LSBBK.NAME-A4Q2WBFMJG\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für star_wars_battlefront_2_plus_9_trainer.zip\pztrain.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Eine Sicherungskopie wurde unter dem Namen a6f3ffe0.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.

C:\System Volume Information\_restore{FDF03599-CBA3-40FC-B3C6-D10BAC516646}\RP688\A0250574.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Eine Sicherungskopie wurde unter dem Namen 75b6c6a1.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.

C:\System Volume Information\_restore{FDF03599-CBA3-40FC-B3C6-D10BAC516646}\RP695\A0254838.dll
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Eine Sicherungskopie wurde unter dem Namen 79b6c6c1.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.

04.09.06
C:\System Volume Information\_restore{FDF03599-CBA3-40FC-B3C6-D10BAC516646}\RP598\A0233231.exe
[0] Archivtyp: RAR SFX (self extracting)
--> ARTMONEY.DLL
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Eine Sicherungskopie wurde unter dem Namen 782e4d29.qua erstellt ( QUARANTÄNE )
[INFO] Die Datei wurde gelöscht.


Habe jetzt alle Maßnahmen durchgeführt wird im Forum beschrieben:
1. Hijackthis
2. cleanup
3. combofix
4 datfindbat
und habe die Logs angehängt mit der Bitte um Durchsicht und freue mich auf gute Ratschläge wie ich die Kiste wieder sauber bekomme.

Es freut sich ein PC-gestreßter Dadddy
Klaus



hijackthis - Logfile
Logfile of HijackThis v1.99.1
Scan saved at 11:14:47, on 24.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ClamWin\bin\ClamTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Jana Server\JanaAdmin.exe
C:\Programme\KWorld Multimedia\PVR-TV 713X Utilities\P3XRCtl.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\_Virus\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.5:3128;gopher=192.168.0.5:3128;http=192.168.0.5:3128;https=192.168.0.5:3128;socks=192.168.0.5:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 192.168.0.5;127.0.0.1;localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ClamWin] "C:\Programme\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: JanaAdmin.exe.lnk = C:\Programme\Jana Server\JanaAdmin.exe
O4 - Global Startup: Remote Control.lnk = C:\Programme\KWorld Multimedia\PVR-TV 713X Utilities\P3XRCtl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)




Combofix-Logfile
"LSBBK" - 07-03-24 11:30:03 Service Pack 2
ComboFix 07-03-23 - Running from: "C:\_Virus\combofix"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\install.log


((((((((((((((((((((((((((((((( Files Created from 2007-02-24 to 2007-03-24 ))))))))))))))))))))))))))))))))))


2007-03-22 15:09 <DIR> d-------- C:\Programme\Audacity 1.3 Beta
2007-03-21 13:49 87,608 --a------ C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\ezpinst.exe
2007-03-21 13:49 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2007-03-21 13:49 47,360 --a------ C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\pcouffin.sys
2007-03-21 13:49 <DIR> d-------- C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\Vso
2007-03-21 13:41 414,272 --a------ C:\WINDOWS\system32\DivXc32f.dll
2007-03-21 13:41 414,272 --a------ C:\WINDOWS\system32\DivXc32.dll
2007-03-21 13:34 <DIR> d-------- C:\Programme\Player
2007-03-18 14:36 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-03-18 12:47 <DIR> d-------- C:\Programme\ClamWin
2007-03-18 12:47 <DIR> d-------- C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\.clamwin
2007-03-18 12:47 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\.clamwin
2007-03-18 12:45 <DIR> d-------- C:\_Virus
2007-03-16 16:56 <DIR> d-------- C:\Programme\Rockstar Games
2007-03-14 17:51 <DIR> d-------- C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\Anvil Studio
2007-03-13 15:04 880,128 --a------ C:\WINDOWS\system32\ECMM.scr
2007-03-13 15:04 <DIR> d-------- C:\CSOFT
2007-03-07 16:55 198,144 --------- C:\WINDOWS\system32\_psisdecd.dll
2007-03-02 23:58 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\CyberLink
2007-03-02 23:56 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2007-03-01 19:06 868,352 --------- C:\WINDOWS\system32\sys_kernel.dll
2007-03-01 19:06 4,413,952 --------- C:\WINDOWS\system32\step2.dll
2007-03-01 19:06 371,200 ---h----- C:\WINDOWS\system32\libmplayer.dll
2007-03-01 19:06 2,696,192 ---h----- C:\WINDOWS\system32\libavcodec.dll
2007-03-01 19:06 <DIR> d-------- C:\WINDOWS\ehome
2007-03-01 19:04 83,968 --a------ C:\WINDOWS\UnGins.exe
2007-02-26 16:00 646,392 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2007-02-26 15:48 <DIR> d-------- C:\Programme\Xilisoft
2007-02-26 15:20 <DIR> d-------- C:\Programme\MP3 Player Utilities 4.09
2007-02-25 19:15 <DIR> d-------- C:\Programme\PM


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-03-23 17:51 -------- d-------- C:\Programme\mozilla thunderbird
2007-03-21 16:37 -------- d-------- C:\Programme\recuva
2007-03-21 14:19 33 --a------ C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\pcouffin.log
2007-03-21 14:19 1144 --a------ C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\pcouffin.inf
2007-03-21 14:19 1074 --a------ C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\pcouffin.cat
2007-03-18 19:08 -------- d-------- C:\Programme\McAfee
2007-03-18 14:11 -------- d-------- C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\phonostar-player
2007-03-18 13:55 -------- d--h----- C:\Programme\installshield installation information
2007-03-18 12:37 -------- d-------- C:\Programme\elaborate bytes
2007-03-05 16:53 -------- d-------- C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\help
2007-02-26 15:23 -------- d-------- C:\Programme\avsmedia
2007-02-24 18:59 -------- d-------- C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\avsmedia
2007-02-21 15:56 1461 --a------ C:\WINDOWS\ereg.dat
2007-02-21 15:55 737280 --a------ C:\WINDOWS\iun6002.exe
2007-02-21 15:53 -------- d-------- C:\Programme\ea games
2007-02-18 18:30 -------- d-------- C:\Programme\counter-strike 1.6
2007-02-09 19:44 59528 --a------ C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\gdipfontcachev1.dat
2007-02-09 19:29 -------- d-------- C:\Programme\illustrate
2007-02-09 19:18 -------- d-------- C:\Programme\free video to mp3 converter
2007-02-09 12:44 4103032 --a------ C:\WINDOWS\system32\spoonuninstall.exe
2007-02-08 22:40 271360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2007-02-08 22:40 18048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2007-02-07 15:11 -------- d-------- C:\Programme\electronic arts
2007-02-01 19:25 -------- d-------- C:\Programme\divx
2007-02-01 17:26 -------- d-------- C:\Programme\sixteen tons entertainment
2007-02-01 13:32 -------- d-------- C:\DOKUME~1\LSBBK~1.NAM\ANWEND~1\skype
2007-01-27 11:40 -------- d-------- C:\Programme\red kawa
2007-01-05 20:05 108144 --a------ C:\WINDOWS\system32\cmdlineext.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
"LogitechSoftwareUpdate"="C:\\Programme\\Logitech\\Video\\ManifestEngine.exe boot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Wizard"=hex(2):00
"SoundMan"="SOUNDMAN.EXE"
"NeroCheck"="C:\\WINDOWS\\System32\\\\NeroCheck.exe"
"WinVNC"="\"C:\\Programme\\RealVNC\\WinVNC\\WinVNC.exe\" -servicehelper"
"LVCOMSX"="C:\\WINDOWS\\system32\\LVCOMSX.EXE"
"LogitechVideoRepair"="C:\\Programme\\Logitech\\Video\\ISStart.exe"
"LogitechVideoTray"="C:\\Programme\\Logitech\\Video\\LogiTray.exe"
"Zone Labs Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_08\\bin\\jusched.exe\""
@=""
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"ClamWin"="\"C:\\Programme\\ClamWin\\bin\\ClamTray.exe\" --logon"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"SSS6_Suite"="\"C:\\Programme\\Steganos Security Suite 6\\sss.exe\" /booting"
"SSS6_SAFE"="\"C:\\Programme\\Steganos Security Suite 6\\safe.exe\" /booting"
"SSS6_SPM"="\"C:\\Programme\\Steganos Security Suite 6\\spm.exe\" /booting"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0



********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-03-24 11:35:16





Datfind - Logfiles

System32.txt
Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: 8895-01EA

Verzeichnis von C:\WINDOWS\system32

24.03.2007 11:25 17.774 LVCOMSX.LOG
22.03.2007 13:30 54.112 vsconfig.xml
14.03.2007 15:11 233.576 FNTCACHE.DAT
13.03.2007 15:04 1.799 daoSetup.log
05.03.2007 19:14 34.308 BASSMOD.dll
26.02.2007 15:19 1.158 wpa.dbl
09.02.2007 12:44 4.103.032 SpoonUninstall.exe
08.01.2007 12:12 868.352 sys_kernel.dll
05.01.2007 20:05 108.144 CmdLineExt.dll
14.12.2006 14:42 122.880 MakayamaMobileTVCenter.ocx
11.12.2006 13:54 4.413.952 step2.dll
25.11.2006 09:44 16.832 amcompat.tlb
25.11.2006 09:44 23.392 nscompat.tlb
24.11.2006 17:05 312.946 perfh009.dat
24.11.2006 17:05 40.664 perfc009.dat
24.11.2006 17:05 318.106 perfh007.dat
24.11.2006 17:05 49.028 perfc007.dat
24.11.2006 17:05 728.094 PerfStringBackup.INI
08.11.2006 12:36 44.544 msxml4a.dll
08.11.2006 12:36 198.144 _psisdecd.dll
06.11.2006 23:39 132.096 gc.dll


systemtemp.txt
Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: 8895-01EA

Verzeichnis von C:\DOKUME~1\LSBBK~1.NAM\LOKALE~1\Temp

24.03.2007 11:27 251 ClamWin1.log
1 Datei(en) 251 Bytes
0 Verzeichnis(se), 15.935.033.344 Bytes frei



system.txt
Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: 8895-01EA

Verzeichnis von C:\WINDOWS

23.03.2007 23:56 1.880.627 WindowsUpdate.log
22.03.2007 13:31 0 0.log
22.03.2007 13:30 159 wiadebug.log
22.03.2007 13:30 50 wiaservc.log
22.03.2007 13:30 2.048 bootstat.dat
21.03.2007 19:14 32.332 SchedLgU.Txt
21.03.2007 14:29 518 canopus.ini
21.03.2007 14:19 245.873 setupapi.log
21.03.2007 13:47 39.260 wmsetup.log
18.03.2007 14:51 375 setupact.log
16.03.2007 17:08 166.621 DirectX.log
11.03.2007 15:30 1.915 Ultra EDIT.INI
06.03.2007 17:48 1.204 win.ini
21.02.2007 19:52 1.782 Battlefield Mod Development Toolkit - 3ds max tools Setup Log.txt
21.02.2007 15:56 1.461 eReg.dat
21.02.2007 15:55 737.280 iun6002.exe
21.02.2007 15:55 22.922 Battlecraft 1942 Setup Log.txt
05.02.2007 23:10 8.192 LSBBK.pcb
04.02.2007 19:47 1.164 datawriter.log
04.02.2007 19:47 4.152 coredw.log
26.01.2007 22:34 27 DVCONFIG.INI
22.01.2007 21:27 646 GEARInstall.log
17.12.2006 14:51 115.819 iis6.log
17.12.2006 14:51 19.367 comsetup.log
17.12.2006 14:51 334.752 tsoc.log
17.12.2006 14:51 1.943 imsins.log
17.12.2006 14:51 173.530 ntdtcsetup.log
17.12.2006 14:51 42.978 ocmsn.log
17.12.2006 14:51 40.047 ocgen.log
17.12.2006 14:51 42.198 msgsocm.log
17.12.2006 14:51 807.148 FaxSetup.log

tmp.txt
Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: 8895-01EA

Verzeichnis von C:\WINDOWS\Temp

22.03.2007 13:30 256 ZLT03a55.TMP
22.03.2007 13:30 256 ZLT03a52.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 15.935.008.768 Bytes frei



down.txt
Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: 8895-01EA

Verzeichnis von C:\WINDOWS\Downloaded Program Files

20.03.2003 14:04 65 desktop.ini
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 18:52 697 DirectAnimation Java Classes.osd
3 Datei(en) 1.924 Bytes
0 Verzeichnis(se), 15.935.008.768 Bytes frei



sys.txt
Datentr„ger in Laufwerk C: ist 53_01_02
Volumeseriennummer: 8895-01EA

Verzeichnis von C:\

24.03.2007 11:47 0 sys.txt
24.03.2007 11:46 432 down.txt
24.03.2007 11:46 322 tmp.txt
24.03.2007 11:45 13.658 system.txt
24.03.2007 11:44 294 systemtemp.txt
24.03.2007 11:41 110.879 system32.txt
24.03.2007 11:35 7.881 ComboFix.txt
22.03.2007 13:30 804.835.328 hiberfil.sys
22.03.2007 13:30 402.653.184 pagefile.sys
18.03.2007 14:47 211 boot.ini
18.03.2007 13:45 9.427 ps_system_Zeit.txt
29.01.2007 21:43 226.695 Installer.log
29.01.2007 21:43 0 Debug.QC6
20.09.2006 15:22 22.863.524 debug.log
29.06.2006 14:58 50 AUTOEXEC.BAT
04.05.2006 18:15 38.684 EasyShare.dmp
16.02.2006 17:08 56 dhnp.ist
01.11.2005 14:02 183 LogiSetup.log
03.02.2005 15:45 47.564 NTDETECT.COM
03.02.2005 15:45 251.184 ntldr
23.12.2003 19:21 98.304 ffastunT.ffl
21.12.2003 13:09 4.917 ffastun.ffa
21.12.2003 13:09 192.512 ffastun.ffo
21.12.2003 13:09 516.096 ffastun.ffl
21.12.2003 13:09 1.323.008 ffastun0.ffx
23.06.2003 16:33 79 Desktop anzeigen.scf
20.03.2003 14:37 26 fastboot.txt
20.03.2003 14:32 326 DRVlog.dat
20.03.2003 14:06 0 IO.SYS
20.03.2003 14:06 0 MSDOS.SYS
20.03.2003 14:06 0 CONFIG.SYS
29.08.2002 13:00 4.952 bootfont.bin
18.08.2001 13:00 2 oem.tag
24.05.2001 11:59 162.304 UNWISE.EXE
34 Datei(en) 1.233.362.082 Bytes
0 Verzeichnis(se), 15.935.004.672 Bytes frei
Seitenanfang Seitenende
25.03.2007, 12:38
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 stevenm

1.
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.

2.
im Normalmodus
http://virus-protect.org/artikel/tools/sdfix.html
RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen -waehle 6 - scanne und poste hier den report
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.03.2007, 13:06
Member

Themenstarter

Beiträge: 12
#3 Hallo Sabina,

habe folgende Fehlermeldung


To run the SDFix tool please reboot to Safe Mode
(Reboot, tap the F8 Key and choose Safe Mode from the Advanced Menu)



1. Download/Run a-squared (EMSI Software - 10.5 MB)
2. Download/Run NGenFix (Norman - 2.3 MB)
3. Download/Run SAV32CLI (Sophos - 10.1 MB)

S. Save Add/Remove programs List
U. Download latest version of SDFix

E. EXIT



(Active Internet Connection Required To Download Files)




Type S,U,1,2,3 or E to Exit....3
Downloading Definition File from Sophos...

Sophos Anti-Virus - http://www.sophos.com/

Ein Unterverzeichnis oder eine Datei mit dem Namen "C:\sdfix\SDFix\IDE" existier
t bereits.
File Downloader - Version 1.01 (build 7.4)
Downloads a file from a HTTP or a FTP server.
Copyright (c) 2004, Noel Danjou <webmaster@noeld.com>.

Server: www.sophos.com
Port: 80
Protocol: HTTP

415_ides.zip:
Download failure: Der Servername oder die Serveradresse konnte nicht verarbeitet
werden.

Archive: 415_ides.zip
End-of-central-directory signature not found. Either this file is not
a zipfile, or it constitutes one disk of a multi-part archive. In the
latter case the central directory and zipfile comment will be found on
the last disk(s) of this archive.
unzip: cannot find zipfile directory in 415_ides.zip,
and cannot find 415_ides.zip.zip, period.
Dateiname existiert bereits, oder die Datei
konnte nicht gefunden werden.
Downloading SAV32CLI from Sophos...
Sophos Anti-Virus - http://www.sophos.com/

File Downloader - Version 1.01 (build 7.4)
Downloads a file from a HTTP or a FTP server.
Copyright (c) 2004, Noel Danjou <webmaster@noeld.com>.

Server: www.sophos.com
Port: 80
Protocol: HTTP

sav32sfx.exe:
Download failure: Der Servername oder die Serveradresse konnte nicht verarbeitet
werden.

Drücken Sie eine beliebige Taste . . .

Gruß
Klaus


sorry - lade Datei jetzt direkt von sophos runter - melde mich wieder
Klaus
Dieser Beitrag wurde am 25.03.2007 um 13:09 Uhr von stevenm editiert.
Seitenanfang Seitenende
25.03.2007, 14:32
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 vielleicht eine anomalie bei sophos ?? keine Ahnung.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.03.2007, 19:07
Member

Themenstarter

Beiträge: 12
#5 Hallo Sabina,

scan hat etwas gedauert - tausende Bilder auf der Maschine.

Anbei der Sophos-report

Sophos Anti-Virus
Version 4.16.0 [Win32/Intel]
Virus data version 4.16, April 2007
Includes detection for 231548 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 17:23:50, System date 25 March 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan

Full Scanning

Could not open C:\hiberfil.sys
Aborted checking C:\Patches\ArmaDemo103Setup.exe - appears to be a 'zip bomb'
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMsgDEU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf
Could not check C:\WINDOWS\$hf_mig$\KB919007\SP2QFE\rmcast.sys (virus scan failed)
Could not check C:\WINDOWS\system32\dllcache\rmcast.sys (virus scan failed)
Could not check C:\WINDOWS\system32\drivers\rmcast.sys (virus scan failed)
Could not open C:\WINDOWS\system32\drivers\sptd.sys
Aborted checking G:\Birgit\NWH\NWH 1-4\NWH 1-4_12.exe - appears to be a 'zip bomb'
Aborted checking G:\Birgit\NWH\NWH_1-4\NWH 1-4_12.exe - appears to be a 'zip bomb'

2 boot sectors swept.
35728 files swept in 1 hour, 1 minute and 36 seconds.
12 errors were encountered.
No viruses were discovered.
4 encrypted files were not checked.
Ending Sophos Anti-Virus.


Gruß
Klaus
Seitenanfang Seitenende
25.03.2007, 19:52
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 aktiviere wieder die systemwiederherstellung und scanne noch mal mit antivirus (im abges.Modus)
+
berichte

(falls die systemauslastung zu hoch wird - deinstalliere den sophos wieder)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.03.2007, 19:49
Member

Themenstarter

Beiträge: 12
#7 Hallo Sabina,

sorry die späte Rückmeldung - gestern keine Zeit.

Alles wie beschrieben durchgeführt:
"aktiviere wieder die systemwiederherstellung und scanne noch mal mit antivirus (im abges.Modus)"

Report vom Antivir:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Dienstag, 27. März 2007 17:22

Es wird nach 713545 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: LSBBK
Computername: STEFFEN

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.5 208936 Bytes 18.03.2007 13:40:58
AVSCAN.DLL : 7.0.3.0 35880 Bytes 26.10.2006 19:54:37
LUKE.DLL : 7.0.3.2 143400 Bytes 31.10.2006 16:07:43
LUKERES.DLL : 7.0.2.0 9256 Bytes 19.10.2006 08:27:59
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 08:15:44
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 13:40:59
ANTIVIR2.VDF : 6.38.0.111 406528 Bytes 23.03.2007 10:02:32
ANTIVIR3.VDF : 6.38.0.119 30208 Bytes 26.03.2007 17:14:45
AVEWIN32.DLL : 7.3.1.44 2363904 Bytes 24.03.2007 10:02:32
AVPREF.DLL : 7.0.2.0 23592 Bytes 03.11.2006 09:56:47
AVREP.DLL : 6.38.0.90 1204264 Bytes 24.03.2007 10:02:32
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 30.03.2006 08:43:10
AVPACK32.DLL : 7.3.0.6 360488 Bytes 24.03.2007 10:02:32
AVREG.DLL : 7.0.1.2 30760 Bytes 18.03.2007 13:40:58
NETNT.DLL : Keine Information!
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 08.11.2006 12:26:22
RCTEXT.DLL : 7.0.12.0 77864 Bytes 22.11.2006 13:17:43

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: quarantäne
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: BSD Mailbox, Netscape/Mozilla Mailbox, Eudora Mailbox, Squid cache, Pegasus Mailbox, MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,
Erweiterte Sucheinstellungen.....: 0x00007000

Beginn des Suchlaufs: Dienstag, 27. März 2007 17:22

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Es wurden '11' Prozesse mit '11' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'G:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( 24 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <53_01_02>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'G:\' <Video>
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht gefunden werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Dienstag, 27. März 2007 19:28
Benötigte Zeit: 2:06:10 min

Der Suchlauf wurde vollständig durchgeführt.

6639 Verzeichnisse wurden überprüft
311441 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
311441 Dateien ohne Befall
9617 Archive wurden durchsucht
2 Warnungen
37 Hinweise


Sieht nicht ganz schlecht aus oder ???

Gruß
Klaus
Seitenanfang Seitenende
27.03.2007, 19:51
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 fein ;)
alles im gruenen Bereich.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende