Probleme mit "Drive Cleaner"

Thema ist geschlossen!
Thema ist geschlossen!
#0
10.04.2007, 17:57
Member

Beiträge: 13
#1 Hi,
ich habe da dieses Problem mit dem Drive Cleaner. Ein Fenster geht auf; dort drin steht, dass ich Sexseiten besucht habe und schnell den Drive Cleaner kaufen muss, um dies zu vertuschen. Allerdings war ich auf keinen Sexseiten...dieses Fenster geht immerwieder auf...es nervt. Ich habe hier im Forum schon ein paar Themen dazu gefunden. Jedoch verstehe ich es nicht...leider zu kompliziert für mich... . Kann sich vielleicht jemand ein wenig Zeit nehmen und mir das nochmal erklären? Wäre sehr nett! Danke im Vorraus!
MfG
Laika
Seitenanfang Seitenende
10.04.2007, 22:23
Moderator

Beiträge: 7805
#2 Versorge uns bitte mit diesen Informationen: http://board.protecus.de/t23188.htm
(Hijackthis bitte vor dem start in test.exe oder aehnliches umbenennen)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
11.04.2007, 10:48
Member

Themenstarter

Beiträge: 13
#3 Es hat sich schon erledigt! Mit "Ad-Aware" habe ich einmal den PC durchscannen lassen und alles von Rechner entfernt, was gefährlich sein könnte. Bis jetzt ist dieses fenster zum Glück nicht mehr aufgegangen! Ich hoffe, es bleibt so! Naja...trotzdem danke.

Edit: Gerade davon gesprochen, schon war es wieder da...

2. Edit: Logfile of HijackThis v1.99.1
Scan saved at 10:55:20, on 11.04.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
d:\Programme\ClipInc\Server\ClipInc-Server.exe
d:\Programme\ClipInc\Server\ClipInc-Server.exe
d:\Programme\ClipInc\Server\ClipInc-Server.exe
C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\Programme\NDAS\System\ndassvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\SCANJET\PrecisionScanLT\hppwrsav.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
D:\Programme\DAEMON Tools\daemon.exe
D:\Programme\ClipInc\Player\ClipIncTray.exe
C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\NDAS\System\ndasmgmt.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINDOWS\explorer.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\test.exe

O1 - Hosts: 85.14.220.146 l2authd.lineage2.com
O1 - Hosts: 85.14.220.146 l2testauthd.lineage2.com
O1 - Hosts: 85.14.220.146 l2patcher.lineage2.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSI Live] C:\Programme\MSI\MSI Live\SetWallpaper.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ClipIncSrvTray] "d:\Programme\ClipInc\Player\ClipIncTray.exe"
O4 - HKLM\..\Run: [SDR6U_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe"
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NDAS Device Management.lnk = C:\Programme\NDAS\System\ndasmgmt.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{459781E3-2621-4240-AEC3-B8641E9EDA7F}: NameServer = 192.168.6.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{459781E3-2621-4240-AEC3-B8641E9EDA7F}: NameServer = 192.168.6.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{459781E3-2621-4240-AEC3-B8641E9EDA7F}: NameServer = 192.168.6.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - d:\Programme\ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - d:\Programme\ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - d:\Programme\ClipInc\Server\ClipInc-Server.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: NDAS Service (ndassvc) - XIMETA, Inc. - C:\Programme\NDAS\System\ndassvc.exe
O23 - Service: Ntlmkfrd - Unknown owner - (no file)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

Nachdem "Clean Up" einige Dateien gelöscht hatte, habe ich neugestartet. Jedoch findet er immerwieder einige Dateien, die aber nach dem Neustart weg sein müssten.
Dieser Beitrag wurde am 11.04.2007 um 11:07 Uhr von Laika editiert.
Seitenanfang Seitenende
11.04.2007, 12:23
Moderator

Beiträge: 7805
#4 Vorweg, ich wuerde raten, den PC neu aufzusetzen, da noch Malware da ist(ich vermute mehr, als das was ich so schon sehe), der Rechner ist auch einem sehr alten Patchstand, der Malwareeinfall beguenstigt. Ich sehe Autocad, was mich gewerblich Nutzung vermuten laesst. Das ist nichts schlimmes, nur wuerde ich dann kein Risiko eingehen!

Ich denke der aktive VNC Server ist gewollt. Kein AV-Programm auch?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
11.04.2007, 12:40
Member

Themenstarter

Beiträge: 13
#5 Ähm...ich verstehe nicht so recht...kenne mich in diesem Gebiet kaum aus.
AV-Programm? Antivirenprogramm, oder? Ich habe "AntiVir".
Seitenanfang Seitenende
11.04.2007, 12:46
Moderator

Beiträge: 7805
#6 Ich seh es gerade, musste wohl erst Mittagessen, damit ich sehe;)
Im Grunde aendert das aber wenig. Frage bleibt, gewerbliche Nutzung? Dann reinigen(unsicherer) oder auf Nummer sichergehen ?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
11.04.2007, 12:57
Member

Themenstarter

Beiträge: 13
#7 Was ist denn eine gewerbliche Nutzung? o.o'
Ich kenne mich damit wirklich kaum aus...und das ist das erste Mal in den 4 Jahren wo ich einen PC besitze, wo ich so ein Problem habe. Deshalb habe ich mich noch nie damit beschäftigt/beschäftigen müssen.
Seitenanfang Seitenende
12.04.2007, 12:29
Moderator

Beiträge: 7805
#8 Ich sehe da ein Programm(Autodesk) mit dem Man diverse Zeichnungen/Berechnungen machen kann, welches von Architekten, aber auch in anderen Bereichen(Industrie) genutzt wird. Daher die Frage, ob du den Rechner beruflich nutzt, oder aber ob es z.B. ein gebrauchter Rechner ist.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.04.2007, 20:41
Member

Themenstarter

Beiträge: 13
#9 Nein...ich benutzte meinen Pc nur Privat. Für einen Beruf ist es ja noch zu früh. Ich suche nur hin und wieder Informationen für die Schule aus dem Interner heraus.
Seitenanfang Seitenende
12.04.2007, 20:52
Moderator

Beiträge: 7805
#10 Dann hake mal folgendes in Hijackthis an und druecke "fix checked"

O1 - Hosts: 85.14.220.146 l2authd.lineage2.com
O1 - Hosts: 85.14.220.146 l2testauthd.lineage2.com
O1 - Hosts: 85.14.220.146 l2patcher.lineage2.com
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O23 - Service: Ntlmkfrd - Unknown owner - (no file)

Starte dann neu, aktualisiere Antivir, stelle dein Antivir ein, wie hier beschrieben:
http://board.protecus.de/t23979.htm und lasse Antivir deine Festplatten pruefen und alle Funde in die Quarantäne schieben. Danach poste den Antivir Report, ein neues Hijackthis log und combofix Log(Link oben in meinem ersten Posting)
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.04.2007, 21:43
Member

Themenstarter

Beiträge: 13
#11 AntiVir Report:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 12. April 2007 21:10

Es wird nach 736917 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 1) [5.1.2600]
Benutzername: Laika
Computername: LAIKA-42

Versionsinformationen:
BUILD.DAT : 217 12749 Bytes 05.12.2006 16:57:00
AVSCAN.EXE : 7.0.3.5 208936 Bytes 16.01.2007 14:51:58
AVSCAN.DLL : 7.0.3.0 35880 Bytes 13.12.2006 15:14:38
LUKE.DLL : 7.0.3.2 143400 Bytes 13.12.2006 15:14:39
LUKERES.DLL : 7.0.2.0 9256 Bytes 13.12.2006 15:14:39
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 12:54:07
ANTIVIR1.VDF : 6.37.1.151 4303360 Bytes 23.02.2007 09:42:09
ANTIVIR2.VDF : 6.38.0.186 608768 Bytes 06.04.2007 07:57:52
ANTIVIR3.VDF : 6.38.0.214 134656 Bytes 12.04.2007 19:07:03
AVEWIN32.DLL : 7.3.1.50 2400768 Bytes 12.04.2007 19:07:03
AVPREF.DLL : 7.0.2.0 23592 Bytes 13.12.2006 15:14:38
AVREP.DLL : 6.38.0.210 1232936 Bytes 12.04.2007 19:07:03
AVRPBASE.DLL : 7.0.0.0 2162728 Bytes 23.07.2006 12:54:07
AVPACK32.DLL : 7.3.0.8 360488 Bytes 03.04.2007 08:38:32
AVREG.DLL : 7.0.1.2 30760 Bytes 16.01.2007 14:51:58
NETNT.DLL : 6.32.0.0 6696 Bytes 27.09.2005 07:56:47
RCIMAGE.DLL : 7.0.1.3 2097192 Bytes 13.12.2006 15:14:37
RCTEXT.DLL : 7.0.12.0 77864 Bytes 13.12.2006 15:14:37

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Festplatten
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldiscs.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche Laufende Programme....: ein
Durchsuche Registrierung.........: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: BSD Mailbox, Netscape/Mozilla Mailbox, Eudora Mailbox, Squid cache, Pegasus Mailbox, MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,
Erweiterte Sucheinstellungen.....: 0x00001000

Beginn des Suchlaufs: Donnerstag, 12. April 2007 21:10

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ICQLite.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ndasmgmt.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winvnc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'acrobat_sl.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'MPAPI3s.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'SERVIC~1.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'PcSync2.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'sdrmon.exe' - '1' Module wurden durchsucht
Modul ist infiziert -> 'C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe'
Durchsuche Prozess 'iaxwzvw.exe' - '1' Module wurden durchsucht
Modul ist infiziert -> 'C:\windows\system32\iaxwzvw.exe'
Durchsuche Prozess 'ClipIncTray.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ndassvc.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'raysat_3dsmax8server.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'hppwrsav.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'LaunchApplication.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'DataLayer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'acrotray.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'RTHDCPL.EXE' - '1' Module wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'AdskScSrv.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Module wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Module wurden durchsucht
Infected processes will be killed
Process 'sdrmon.exe' will be killed
Process 'iaxwzvw.exe' will be killed
Infected Process 'sdrmon.exe' will be rescanned
C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe
[FUND] Enthält Signatur des SPR/Dldr.WinFixer.L.32-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46908492.qua' verschoben!
Infected Process 'iaxwzvw.exe' will be rescanned
C:\windows\system32\iaxwzvw.exe
[FUND] Enthält verdächtigen Code: HEUR/Malware
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '46968491.qua' verschoben!

Es wurden '47' Prozesse mit '45' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[HINWEIS] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( 29 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\vaxscsi.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'D:\'
Beginne mit der Suche in 'E:\'


Ende des Suchlaufs: 07-04-12 21:35
Benötigte Zeit: 25:07 min

Der Suchlauf wurde vollständig durchgeführt.

7659 Verzeichnisse wurden überprüft
198616 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
2 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
4 Dateien konnten nicht durchsucht werden
198612 Dateien ohne Befall
725 Archive wurden durchsucht
4 Warnungen
0 Hinweise

Hijackthis Log:
Logfile of HijackThis v1.99.1
Scan saved at 21:38, on 07-04-12
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
d:\Programme\ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\SCANJET\PrecisionScanLT\hppwrsav.exe
D:\Programme\DAEMON Tools\daemon.exe
d:\Programme\ClipInc\Server\ClipInc-Server.exe
d:\Programme\ClipInc\Server\ClipInc-Server.exe
C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
C:\Programme\NDAS\System\ndassvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\ClipInc\Player\ClipIncTray.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\RealVNC\WinVNC\WinVNC.exe
C:\Programme\NDAS\System\ndasmgmt.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\test.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSI Live] C:\Programme\MSI\MSI Live\SetWallpaper.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Programme\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [hppwrsav] C:\SCANJET\PrecisionScanLT\hppwrsav.exe
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ClipIncSrvTray] "d:\Programme\ClipInc\Player\ClipIncTray.exe"
O4 - HKLM\..\Run: [iaxwzvw] c:\windows\system32\iaxwzvw.exe iaxwzvw
O4 - HKLM\..\Run: [SDR6U_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe"
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NDAS Device Management.lnk = C:\Programme\NDAS\System\ndasmgmt.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{459781E3-2621-4240-AEC3-B8641E9EDA7F}: NameServer = 192.168.6.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{459781E3-2621-4240-AEC3-B8641E9EDA7F}: NameServer = 192.168.6.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{459781E3-2621-4240-AEC3-B8641E9EDA7F}: NameServer = 192.168.6.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - d:\Programme\ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - d:\Programme\ClipInc\Server\ClipInc-Server.exe
O23 - Service: ClipInc 003 (ClipInc003) - Unknown owner - d:\Programme\ClipInc\Server\ClipInc-Server.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - C:\Programme\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: NDAS Service (ndassvc) - XIMETA, Inc. - C:\Programme\NDAS\System\ndassvc.exe
O23 - Service: Ntlmkfrd - Unknown owner - (no file)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\RealVNC\WinVNC\WinVNC.exe" -service (file missing)


Combofix Log:
"Laika" - 07-04-12 21:38:35 Service Pack 1
ComboFix 07-04-05 - Running from: "C:\"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\nvs2.inf
C:\WINDOWS\system32\winsys.exe
C:\WINDOWS\system32\iaxwzvw_navps.dat
C:\WINDOWS\system32\iaxwzvw.dat


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_MCHINJDRV


((((((((((((((((((((((((((((((( Files Created from 2007-03-12 to 2007-04-12 ))))))))))))))))))))))))))))))))))


2007-04-12 21:12 1,171,918 --a------ C:\ComboFix.exe
2007-04-12 21:03 <DIR> d-------- C:\backups
2007-04-11 10:52 218,112 --a------ C:\test.exe
2007-04-10 18:18 <DIR> d-------- C:\Programme\Lavasoft
2007-04-10 18:18 <DIR> d-------- C:\DOKUME~1\Laika\ANWEND~1\Lavasoft
2007-04-10 16:27 <DIR> d-------- C:\DOKUME~1\Laika\ANWEND~1\DriveCleaner 2006 Free
2007-04-10 16:23 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free
2007-04-07 16:35 241,066 --a------ C:\WINDOWS\system32\iaxwzvw_nav.dat
2007-04-07 16:34 241,066 --a------ C:\WINDOWS\system32\abpicxkfhs_navtmp.dat
2007-04-03 12:08 <DIR> d-------- C:\WINDOWS\LogFiles
2007-03-26 15:55 442,368 --a------ C:\WINDOWS\system32\dvmsg.dll
2007-03-26 15:55 1,734,160 --a------ C:\WINDOWS\CISUnins.exe
2007-03-26 15:55 1,734,160 --a------ C:\WINDOWS\CICUnins.exe
2007-03-26 15:55 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Tobit
2007-03-25 14:14 <DIR> d-------- C:\Programme\Clickster
2007-03-25 12:24 <DIR> d-------- C:\DOKUME~1\Laika\ANWEND~1\U3


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-12 21:07 -------- d-------- C:\DOKUME~1\Laika\ANWEND~1\skype
2007-04-11 19:17 -------- d-------- C:\Programme\powerlame
2007-04-10 16:53 -------- d-------- C:\Programme\tuneup utilities 2006
2007-04-02 10:44 -------- d-------- C:\DOKUME~1\Laika\ANWEND~1\nokia
2007-03-25 10:29 49174 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-25 10:29 320094 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-23 18:14 43520 --a------ C:\WINDOWS\system32\cmdlineext03.dll
2007-03-11 20:31 -------- d-------- C:\DOKUME~1\Laika\ANWEND~1\teamspeak2
2007-03-10 12:11 -------- d--h----- C:\Programme\installshield installation information
2007-03-10 12:11 -------- d-------- C:\Programme\google
2007-03-10 12:11 -------- d-------- C:\DOKUME~1\Laika\ANWEND~1\google
2007-03-06 16:57 -------- d-------- C:\Programme\netspeedmonitor
2007-02-09 15:11 680 --a------ C:\WINDOWS\autolnch.reg


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"PcSync"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\PcSync2.exe /NoDialog"
"Skype"="\"C:\\Programme\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"RTHDCPL"="RTHDCPL.EXE"
"Alcmtr"="ALCMTR.EXE"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"nwiz"="nwiz.exe /install"
"NvMediaCenter"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvMcTray.dll,NvTaskbarInit"
"MSI Live"="C:\\Programme\\MSI\\MSI Live\\SetWallpaper.exe"
"WinVNC"="\"C:\\Programme\\RealVNC\\WinVNC\\WinVNC.exe\" -servicehelper"
"Acrobat Assistant 7.0"="\"C:\\Programme\\Adobe\\Acrobat 7.0\\Distillr\\Acrotray.exe\""
@=""
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"DataLayer"="C:\\Programme\\Gemeinsame Dateien\\PCSuite\\DataLayer\\DataLayer.exe"
"PCSuiteTrayApplication"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\LaunchApplication.exe -onlytray"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"hppwrsav"="C:\\SCANJET\\PrecisionScanLT\\hppwrsav.exe"
"DAEMON Tools"="\"D:\\Programme\\DAEMON Tools\\daemon.exe\" -lang 1033"
"ClipIncSrvTray"="\"d:\\Programme\\ClipInc\\Player\\ClipIncTray.exe\""
"SDR6U_Check"="\"C:\\Programme\\Gemeinsame Dateien\\DriveCleaner 2006 Free\\sdrmon.exe\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0

hklm\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*
UxTuneUp




~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20070412-210357-169
O23 - Service: Ntlmkfrd - Unknown owner - (no file)
backup-20070412-210357-644
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
backup-20070412-210357-975
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
backup-20070412-210357-352
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
backup-20070412-210357-619
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
backup-20070412-210357-184
O4 - HKLM\..\Run: [SW20] C:\WINDOWS\System32\sw20.exe
backup-20070412-210357-789
O1 - Hosts: 85.14.220.146 l2patcher.lineage2.com
backup-20070412-210357-603
O1 - Hosts: 85.14.220.146 l2testauthd.lineage2.com
backup-20070412-210357-999
O4 - HKLM\..\Run: [SW24] C:\WINDOWS\System32\sw24.exe
backup-20070412-210357-154
O1 - Hosts: 85.14.220.146 l2authd.lineage2.com

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Klick-Wartung.job


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-04-12 21:43:00
C:\ComboFix-quarantined-files.txt ... 07-04-12 21:43
Seitenanfang Seitenende
12.04.2007, 21:51
Moderator

Beiträge: 7805
#12 Nutze bitte einmal roughremover: http://www.malwarebytes.org/rogueremover.php

und ueberpruefe diese Datei C:\WINDOWS\system32\dvmsg.dll bei Jotti/VT

Schaue, ob diese Dateien wirklich geloescht wurden:
C:\WINDOWS\system32\iaxwzvw_nav.dat
C:\WINDOWS\system32\abpicxkfhs_navtmp.dat
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.04.2007, 22:16
Member

Themenstarter

Beiträge: 13
#13 Auf der Seite "Virus Total" wurde in der datei "dvmsg.dll" kein Virus gefunden.

Die Datei "iaxwzvw_nav.dat" und "abpicxkfhs_navtmp.dat" in C sind noch da.

Hier gehts weiter: http://board.protecus.de/t29175-1.htm
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: