System Doctor - schon wieder..

#0
10.04.2007, 04:24
...neu hier

Beiträge: 4
#1 Hallo Hallo,

seid neustem scheint mein System von System Doctror befallen zu sein, Norton AntiVir06 hatte dies nicht bemerkt, dafür allerdings Spyware Doctor, der mir allerdings nur das Problem aufzeigen, nicht lösen konnte.

Nun habe ich mich durch alle Thread hier zu diesem Thema durchgelesen und probiert alle Punkte korrekt auszuführen...
Ich hoffe mir kann geholfen werden, danke schonmal

John Wym

Hijack Sagt:

Logfile of HijackThis v1.99.1
Scan saved at 04:42:31, on 10.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\DOKUME~1\JonnyWym\LOKALE~1\Temp\RtkBtMnt.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\JonnyWym\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aceradvantage.com/stdreg
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.aceradvantage.com/stdreg
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: iesupport - {CEDA2047-4123-4889-9FBC-A3F8B0435261} - C:\WINDOWS\iesupport.dll
O21 - SSODL: iedebug - {3CFBDBDA-FC8C-474E-B82E-D500EAB8969B} - C:\WINDOWS\iedebug.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: M-Audio CMIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

ComboFix sagt:

"JonnyWym" - 07-04-10 4:58:34 Service Pack 2
ComboFix 07-04-05 - Running from: "C:\Dokumente und Einstellungen\JonnyWym\Desktop"


((((((((((((((((((((((((((((((( Files Created from 2007-03-10 to 2007-04-10 ))))))))))))))))))))))))))))))))))


2007-04-10 04:41 <DIR> d-------- C:\DOKUME~1\JonnyWym\Hijack
2007-04-10 03:50 <DIR> d-------- C:\DOKUME~1\JonnyWym\ANWEND~1\PC Tools
2007-04-10 03:15 83,536 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-04-10 03:15 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-04-10 03:15 59,984 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-04-10 03:15 52,304 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-04-10 03:15 39,248 --a------ C:\WINDOWS\system32\drivers\ikfileflt.sys
2007-04-10 03:15 26,064 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-04-10 03:15 <DIR> d-------- C:\Programme\Spyware Doctor
2007-04-10 01:00 80,896 --a------ C:\WINDOWS\iedebug.dll
2007-04-10 01:00 71,168 --a------ C:\WINDOWS\iesupport.dll
2007-04-10 00:59 <DIR> d-------- C:\Programme\NewMediaCodec
2007-04-04 15:56 724,872 --a------ C:\WindowsXP-KB935448-x86-DEU.exe
2007-04-04 12:15 <DIR> d-------- C:\Programme\GameSpy
2007-03-28 18:51 97,936 --a------ C:\WINDOWS\system32\drivers\symfw.sys
2007-03-28 18:51 538,256 --a------ C:\WINDOWS\system32\SymNeti.dll
2007-03-28 18:51 31,888 --a------ C:\WINDOWS\system32\drivers\symids.sys
2007-03-28 18:51 28,304 --a------ C:\WINDOWS\system32\drivers\symndis.sys
2007-03-28 18:51 24,208 --a------ C:\WINDOWS\system32\drivers\symredrv.sys
2007-03-28 18:51 189,584 --a------ C:\WINDOWS\system32\drivers\symtdi.sys
2007-03-28 18:51 161,424 --a------ C:\WINDOWS\system32\SymRedir.dll
2007-03-28 18:51 12,944 --a------ C:\WINDOWS\system32\drivers\symdns.sys
2007-03-27 18:28 <DIR> d-------- C:\Programme\eMule.de 0.46c v17
2007-03-27 11:35 615 --a------ C:\WINDOWS\eReg.dat
2007-03-25 01:36 44,224 -ra------ C:\WINDOWS\system32\drivers\BVRPMPR5.SYS
2007-03-25 01:35 <DIR> d-------- C:\Netgear
2007-03-24 02:54 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2007-03-24 02:19 <DIR> d-------- C:\Programme\thriXXX
2007-03-22 17:49 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Google
2007-03-16 12:09 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Adobe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-10 04:47 12 --a------ C:\WINDOWS\bthservsdp.dat
2007-04-10 02:19 48776 --a------ C:\WINDOWS\system32\s32evnt1.dll
2007-04-10 02:19 115000 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-04-10 01:56 64802 --a------ C:\WINDOWS\system32\perfc007.dat
2007-04-10 01:56 393030 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-15 19:54 73 --a------ C:\WINDOWS\system32\ssprs.dll
2007-03-15 19:51 205 --a------ C:\WINDOWS\system32\lsprst7.dll
2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys
2007-02-28 23:28 -------- d-------- C:\Programme\msxml 4.0
2007-02-24 21:43 -------- d-------- C:\Programme\Gemeinsame Dateien\skype
2007-02-24 21:42 -------- d-------- C:\Programme\skype
2007-02-18 15:23 -------- d-------- C:\Programme\versatel
2007-02-18 15:22 172032 --a------ C:\WINDOWS\wsbtn.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"updateMgr"="C:\\Programme\\Adobe\\Acrobat 7.0\\Reader\\AdobeUpdateManager.exe AcRdB7_0_9"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"igfxtray"="C:\\WINDOWS\\system32\\igfxtray.exe"
"igfxhkcmd"="C:\\WINDOWS\\system32\\hkcmd.exe"
"igfxpers"="C:\\WINDOWS\\system32\\igfxpers.exe"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"ehTray"="C:\\WINDOWS\\ehome\\ehtray.exe"
"LaunchApp"="Alaunch"
"RTHDCPL"="RTHDCPL.EXE"
"SkyTel"="SkyTel.EXE"
"Alcmtr"="ALCMTR.EXE"
"AzMixerSel"="C:\\Programme\\Realtek\\InstallShield\\AzMixerSel.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"ntiMUI"="C:\\Programme\\NewTech Infosystems\\NTI CD & DVD-Maker 7\\ntiMUI.exe"
@=""
"ADMTray.exe"="\"C:\\Acer\\Empowering Technology\\admtray.exe\""
"eDataSecurity Loader"="C:\\Acer\\Empowering Technology\\eDataSecurity\\eDSloader.exe"
"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE\" /Spoil /RemAdvDef /Migration32"
"MSPY2002"="C:\\WINDOWS\\system32\\IME\\PINTLGNT\\ImScInst.exe /SYNC"
"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"
"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"
"ccApp"="\"C:\\Programme\\Gemeinsame Dateien\\Symantec Shared\\ccApp.exe\""
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvMcTray.dll,NvTaskbarInit"
"ePower_DMC"="C:\\Acer\\Empowering Technology\\ePower\\ePower_DMC.exe"
"Acer ePower Management"="C:\\Acer\\Empowering Technology\\ePower\\Acer ePower Management.exe boot"
"LManager"="C:\\PROGRA~1\\LAUNCH~1\\LManager.exe"
"eRecoveryService"="C:\\Acer\\Empowering Technology\\eRecovery\\Monitor.exe"
"iTunesHelper"="\"C:\\Programme\\iTunes\\iTunesHelper.exe\""
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"ISUSPM Startup"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\isuspm.exe\" -startup"
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
@=""
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
@=""
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
@=""
"Installed"="1"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"iesupport"="{CEDA2047-4123-4889-9FBC-A3F8B0435261}"
"iedebug"="{3CFBDBDA-FC8C-474E-B82E-D500EAB8969B}"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,\
63,65,73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,5c,52,6f,79,61,6c,65,2e,\
6d,73,73,74,79,6c,65,73,00
"InstallTheme"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,63,65,\
73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,2e,74,68,65,6d,65,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
"msconfig"="C:\\DOKUME~1\\JonnyWym\\LOKALE~1\\Temp\\msconfig.exe"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdauxservice
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\safeboot\minimal\sdcoreservice

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
bthsvcs REG_MULTI_SZ BthServ\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0

*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\LEGACY_INT15.SYS


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Norton AntiVirus - Vollst„ndige Systemprfung ausfhren - JonnyWym.job
C:\WINDOWS\tasks\AppleSoftwareUpdate.job


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-04-10 5:00:56
C:\ComboFix-quarantined-files.txt ... 07-04-10 05:00
C:\ComboFix3.txt ... 07-04-10 04:33
C:\ComboFix2.txt ... 07-04-10 04:35

System 32.txt

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0954-16DC

Verzeichnis von C:\WINDOWS\system32

10.04.2007 04:49 451 eRLog.ini
10.04.2007 04:49 51.048 nvapps.xml
10.04.2007 04:48 1.158 wpa.dbl
10.04.2007 04:32 13.658 iklog.log
10.04.2007 02:19 48.776 S32EVNT1.DLL
10.04.2007 01:56 901.734 PerfStringBackup.INI
10.04.2007 01:56 382.026 perfh009.dat
10.04.2007 01:56 53.770 perfc009.dat
10.04.2007 01:56 64.802 perfc007.dat
10.04.2007 01:56 393.030 perfh007.dat
04.04.2007 16:47 159.544 FNTCACHE.DAT
02.04.2007 07:58 546.304 hhctrl.ocx
28.03.2007 18:51 538.256 SymNeti.dll
28.03.2007 18:51 161.424 SymRedir.dll
15.03.2007 19:54 87 ssprs.tgz
15.03.2007 19:54 73 ssprs.dll
15.03.2007 19:51 219 lsprst7.tgz
15.03.2007 19:51 205 lsprst7.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:32 1.843.712 win32k.sys
07.03.2007 21:36 12.619.736 MRT.exe
28.02.2007 21:24 122.142 TZLog.log
15.02.2007 18:01 337.280 WgaTray.exe
15.02.2007 18:01 1.476.992 LegitCheckControl.dll
15.02.2007 18:00 236.928 WgaLogon.dll
29.01.2007 09:58 60.416 tzchange.exe
25.01.2007 13:52 617.472 urlmon.dll
04.01.2007 18:59 1.025 clauth1.dll
04.01.2007 18:59 1.025 clauth2.dll
04.01.2007 18:59 1.025 sysprs7.dll
04.01.2007 18:59 1.025 sysprs7.tgz
04.01.2007 14:41 664.576 wininet.dll
04.01.2007 14:41 474.624 shlwapi.dll
04.01.2007 14:41 1.494.528 shdocvw.dll
04.01.2007 14:41 39.424 pngfilt.dll
04.01.2007 14:41 532.480 mstime.dll
04.01.2007 14:41 146.432 msrating.dll
04.01.2007 14:40 448.512 mshtmled.dll
04.01.2007 14:40 3.077.632 mshtml.dll
04.01.2007 14:40 251.392 iepeers.dll
04.01.2007 14:40 16.384 jsproxy.dll
04.01.2007 14:40 96.768 inseng.dll
04.01.2007 14:40 1.056.256 danim.dll
04.01.2007 14:40 205.312 dxtrans.dll
04.01.2007 14:40 357.888 dxtmsft.dll
04.01.2007 14:40 55.808 extmgr.dll
04.01.2007 14:40 1.023.488 browseui.dll
04.01.2007 14:40 152.064 cdfview.dll
04.01.2007 12:52 123.392 xpsp3res.dll
02.01.2007 18:59 233.472 REX Shared Library.dll

Systemtemp.txt

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0954-16DC

Verzeichnis von C:\DOKUME~1\JonnyWym\LOKALE~1\Temp

10.04.2007 04:48 725 hd-log.txt
30.08.2006 21:32 507.904 RtkBtMnt.exe
2 Datei(en) 508.629 Bytes
0 Verzeichnis(se), 16.889.282.560 Bytes frei

Windows.txt

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0954-16DC

Verzeichnis von C:\WINDOWS

10.04.2007 04:49 3.842 ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt
10.04.2007 04:48 0 0.log
10.04.2007 04:48 2.048 bootstat.dat
10.04.2007 04:47 1.240.449 WindowsUpdate.log
10.04.2007 04:47 32.622 SchedLgU.Txt
10.04.2007 04:47 12 bthservsdp.dat
10.04.2007 03:15 40 SpywareDoctor5Install.log
10.04.2007 02:31 10.519 KB935448.log
10.04.2007 02:31 56.460 MedCtrOC.log
10.04.2007 02:31 113.402 ntdtcsetup.log
10.04.2007 02:31 248.669 tsoc.log
10.04.2007 02:31 26.796 tabletoc.log
10.04.2007 02:31 31.195 ehOCGen.log
10.04.2007 02:31 29.472 ocmsn.log
10.04.2007 02:31 639.716 iis6.log
10.04.2007 02:31 188.588 comsetup.log
10.04.2007 02:31 1.374 imsins.log
10.04.2007 02:31 543.417 FaxSetup.log
10.04.2007 02:31 265.788 ocgen.log
10.04.2007 02:31 26.777 msgsocm.log
10.04.2007 02:31 106.922 netfxocm.log
10.04.2007 02:31 63.883 plusoc.log
10.04.2007 02:31 173.262 msmqinst.log
10.04.2007 02:31 24.099 updspapi.log
10.04.2007 01:56 4.566 imsins.BAK
10.04.2007 01:56 4.051 wmsetup.log
07.04.2007 23:18 54.156 QTFont.qfn
07.04.2007 17:47 80.896 iedebug.dll
07.04.2007 17:47 71.168 iesupport.dll
04.04.2007 15:47 17.998 KB925902.log
04.04.2007 15:47 1.131 ie7_main.log
04.04.2007 13:41 283.014 setupapi.log
04.04.2007 13:41 385.972 setupact.log
29.03.2007 21:26 1.409 QTFont.for
27.03.2007 11:50 615 eReg.dat
27.03.2007 11:35 558 Byteswarm LiveUpdate Setup Log.txt
25.03.2007 07:40 69 NeroDigital.ini
17.03.2007 03:03 16.559 KB929338.log
16.03.2007 01:33 50 wiaservc.log
16.03.2007 01:33 216 wiadebug.log
02.03.2007 16:08 13.998 WgaNotify.log
01.03.2007 10:58 923 spupdsvc.log
28.02.2007 23:33 39.657 KB917734.log
28.02.2007 23:33 49.635 KB899587.log
28.02.2007 23:33 48.710 KB924191.log
28.02.2007 23:32 48.306 KB922819.log
28.02.2007 23:32 45.892 KB885835.log
28.02.2007 23:32 45.563 KB885836.log
28.02.2007 23:32 46.509 KB923414.log
28.02.2007 23:32 46.956 KB929969.log
28.02.2007 23:32 46.490 KB911927.log
28.02.2007 23:32 37.098 KB925398.log
28.02.2007 23:32 45.888 KB901017.log
28.02.2007 23:31 46.204 KB899591.log
28.02.2007 23:31 45.759 KB920685.log
28.02.2007 23:31 46.395 KB896424.log
28.02.2007 23:31 46.391 KB893756.log
28.02.2007 23:31 45.969 KB923980.log
28.02.2007 23:31 45.355 KB911280.log
28.02.2007 23:31 44.813 KB911562.log
28.02.2007 23:31 40.780 KB896423.log
28.02.2007 23:31 46.137 KB900485.log
28.02.2007 23:30 43.977 KB924270.log
28.02.2007 23:30 41.537 KB873339.log
28.02.2007 23:30 33.239 KB887998.log
28.02.2007 23:30 41.343 KB887472.log
28.02.2007 23:30 42.541 KB896358.log
28.02.2007 23:30 27.497 KB910437.log
28.02.2007 23:30 34.278 KB923689.log
28.02.2007 23:29 41.444 KB920670.log
28.02.2007 23:29 40.936 KB891781.log
28.02.2007 23:29 41.650 KB918439.log
28.02.2007 23:29 46.786 KB902400.log
28.02.2007 23:29 42.689 KB920872.log
28.02.2007 23:29 61.964 KB919007.log
28.02.2007 23:28 62.271 KB914388.log
28.02.2007 23:28 60.127 KB917344.log
28.02.2007 23:28 60.104 KB905414.log
28.02.2007 23:28 59.301 KB917953.log
28.02.2007 23:28 59.197 KB901214.log
28.02.2007 23:28 56.347 KB923191.log
28.02.2007 23:28 57.778 KB917422.log
28.02.2007 23:28 21.076 KB922582.log
28.02.2007 23:27 54.885 KB926255.log
28.02.2007 23:27 53.545 KB888302.log
28.02.2007 23:27 55.475 KB900725.log
28.02.2007 23:27 54.545 KB920213.log
28.02.2007 23:27 53.061 KB912919.log
28.02.2007 23:27 16.222 KB886185.log
28.02.2007 23:27 52.462 KB916595.log
28.02.2007 23:27 53.200 KB923694.log
28.02.2007 23:26 52.661 KB904706.log
28.02.2007 23:26 51.932 KB901190.log
28.02.2007 23:26 52.046 KB908531.log
28.02.2007 23:26 51.010 KB905749.log
28.02.2007 23:26 51.159 KB913580.log
28.02.2007 23:26 49.357 KB896428.log
28.02.2007 23:26 50.047 KB894391.log
28.02.2007 23:25 47.758 KB908519.log
28.02.2007 23:25 47.975 KB920683.log
28.02.2007 23:25 47.470 KB914389.log
28.02.2007 23:25 48.933 KB890859.log
28.02.2007 21:26 128.982 KB927779.log
28.02.2007 21:25 87.371 KB927802.log
28.02.2007 21:25 88.212 KB928255.log
28.02.2007 21:25 84.289 KB924667.log
28.02.2007 21:25 96.832 KB931836.log
28.02.2007 21:24 86.336 KB926436.log
28.02.2007 21:24 86.552 KB918118.log
28.02.2007 21:24 91.230 KB928090.log
28.02.2007 21:23 83.763 KB928843.log
18.02.2007 15:30 1.517 Versatel.log
18.02.2007 15:23 31 wwwbatch.ini
18.02.2007 15:22 172.032 WsBtn.dll
15.02.2007 12:03 758 CoD.INI
14.02.2007 15:20 3.124 netcfg.log
14.02.2007 15:20 61 awerror.txt
14.02.2007 15:20 277 awprotoc.txt
14.02.2007 13:36 2.338 DirectX.log
06.02.2007 16:00 44.784 Logic 5.prf
02.02.2007 20:34 9.034 KB925454.log
02.02.2007 20:33 7.853 KB922616.log
02.02.2007 20:32 6.671 KB924496.log
02.02.2007 20:32 6.577 KB921398.log
29.01.2007 22:13 690 win.ini
27.01.2007 03:24 6.783 KB898461.log
04.01.2007 18:52 286.720 iun506.exe
02.01.2007 19:36 41 winampa.ini

Temp.txt

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0954-16DC

Verzeichnis von C:\WINDOWS\temp

Down.txt

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0954-16DC

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 14:36 5.019 swflash.inf
30.08.2006 20:52 65 desktop.ini
11.08.2005 15:30 417.792 isusweb.dll
25.07.2002 17:13 24.576 dwusplay.dll
25.07.2002 17:13 196.608 dwusplay.exe
5 Datei(en) 644.060 Bytes
0 Verzeichnis(se), 16.889.282.560 Bytes frei

c.txt

Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 0954-16DC

Verzeichnis von C:\

10.04.2007 05:21 0 sys.txt
10.04.2007 05:21 485 down.txt
10.04.2007 05:21 108 tmp.txt
10.04.2007 05:20 12.297 system.txt
10.04.2007 05:19 335 systemtemp.txt
10.04.2007 05:19 109.672 system32.txt
10.04.2007 05:00 1.349 ComboFix-quarantined-files.txt
10.04.2007 05:00 9.205 ComboFix.txt
10.04.2007 04:48 1.071.763.456 hiberfil.sys
10.04.2007 04:48 1.610.612.736 pagefile.sys
10.04.2007 04:35 9.106 ComboFix2.txt
10.04.2007 04:33 9.552 ComboFix3.txt
04.04.2007 15:56 724.872 WindowsXP-KB935448-x86-DEU.exe
26.12.2006 21:49 209 boot.ini
31.08.2006 02:56 83 Preload.aaa
31.08.2006 02:23 856 IPH.PH
30.08.2006 21:33 50 AUTOEXEC.BAT
30.08.2006 21:23 519 RHDSetup.log
30.08.2006 20:54 0 IO.SYS
30.08.2006 20:54 0 CONFIG.SYS
30.08.2006 20:54 0 MSDOS.SYS
10.08.2004 20:00 4.952 bootfont.bin
10.08.2004 20:00 251.184 ntldr
10.08.2004 20:00 47.564 NTDETECT.COM
13.09.2000 15:20 851.968 b4
11.11.1999 00:17 49 MCE.TAG
26 Datei(en) 2.684.410.607 Bytes
0 Verzeichnis(se), 16.889.282.560 Bytes frei

Symptome:
1.Es wurden drei links auf dem Desktop kreiert, die "Privacy Protection", "ErrorCleaner" & "Spyware&MalwareProtection" heißen. Diese lassen sich zwar löschen, sind jedoch nach jedem Neustart wieder an ihrem Platz

2.Immer wieder öffnet sich der Browser mit verschiedenen Werbeseiten

3.Ein rotes Ausrufezeichen zeigt sich rechts unten bei den aktiven Programmen und warnt vor Viren

4.Das System versucht alle 3 Minuten Kontakt zum Internet aufzubauen

5.Alle paar Minuten öffnet sich ein Fenster dass vor Trojanern warnt und rät, gleich die dollsten Schutzprogramme zu laden - bei Bestätigung erfolgt eine weiterleitung auf die Seite http://de.drivecleaner.com/.freeware/index.php?ad=swp_ron_ed2&link=3560&aff=pp_1234723744&a=1&p=37&ex=1&hv=0&ap=&w=0&j=0

Ich hoffe dass wäre alles was ich angeben sollte, falls noch fragen offen sind...ich sitz ja eh wütend davor ;)
Danke nochmal, ich hoffe das wird wieder
Dieser Beitrag wurde am 10.04.2007 um 05:32 Uhr von John Wym editiert.
Seitenanfang Seitenende
10.04.2007, 12:28
Moderator

Beiträge: 7805
#2 Wo wird denn da was von wem gefunden?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
10.04.2007, 13:52
...neu hier

Themenstarter

Beiträge: 4
#3 Hm?
Steht das nicht alles da? Das Programm Spyware Doctor meldet mir das ich mit dem System Doctor "befallen" bin, einen Ort o.ä. gibt es mir allerdings nicht an. Unter http://board.protecus.de/t23188.htm gibt es ja eine Reihe von durchzuführenden Analysen, und deren Ergebnisse stehen unter den jweiligen Punkten, also "Hijack sagt" usw. Was dis zu bedeuten hat..keine Ahnung, deshalb wende ich mich ja hierher. Ich bin leider nicht der größte Experte..
Seitenanfang Seitenende
10.04.2007, 13:56
Moderator

Beiträge: 7805
#4 Spywaredoctor muss dir doch einen Report erstellen, wo er die Funde anzeigt. Wenn nein, dann gleich runter von der Platte mit so einem "Schund".
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
10.04.2007, 14:07
...neu hier

Themenstarter

Beiträge: 4
#5 Nein, einen Ort hat mir das Programm nicht gesagt...es ist auch nur ne freeware, die behauptet das Problem lösen zu können - wenn ich es kaufe...
Seitenanfang Seitenende
10.04.2007, 14:23
Moderator

Beiträge: 7805
#6 Dann schleunigst runter mit so einem Programm. DAs verunsichert mehr, als das es einem hilft!

Hake in Hijackthis folgendes an und druecke fix checked :

O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

Danach bitte folgendes bei Jotti/VT pruefen lassen
C:\WINDOWS\iedebug.dll
C:\WINDOWS\iesupport.dll
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
10.04.2007, 14:49
...neu hier

Themenstarter

Beiträge: 4
#7 Hm...Wo hake ich denn das an? Einen button fix checked hab ich beim öffnen von Hijackthis ebenfalls nicht...
Seitenanfang Seitenende
10.04.2007, 15:41
Moderator

Beiträge: 7805
#8 Neion, ist klar, das es nicht da ist. Du musst erst einen scan machen, dann in Hijackthis vor den Eintraegen das Kaestchen anhaken und dann erscheint unten ein "fix checked" ;)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: