Starker upload von services.exe und ab und zu automatischer Neustart

#1 Hi,

ich habe das Problem, dass ich seit gestern permanent Upload habe, der durch den Dienst services.exe verursacht wird. Außerdem startet sich mein Rechner ab und zu einfach neu. Ich habe schon antivir, adaware und spybot laufen lassen. Diese haben ein paar Sachen gefunden, was aber vermutlich andere kleine Probleme waren.

Hier die Log files:

Logfile of HijackThis v1.99.1
Scan saved at 22:07:44, on 10.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bluetooth Software\bin\btwdins.exe
C:\Programme\Atguard\iamserv.exe
C:\WINDOWS\system32\r_server.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\ICQ\ICQNet.exe
C:\WINDOWS\Mixer.exe
C:\Daten\Data_no_install\DUmeter\DUMETER.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\PROGRA~1\Atguard\iamapp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Serv-U\ServUTray.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Bluetooth Software\BTTray.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\NclBTHandler.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Daten\Data_no_install\Tightvnc\winvnc.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Thomas\Desktop\THOMAS\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = www-cache.tu-chemnitz.de:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [DU Meter] C:\Daten\Data_no_install\DUmeter\DUMETER.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ServUTrayIcon] C:\Programme\Serv-U\ServUTray.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: Outlook Express (2).lnk = C:\Programme\Outlook Express\msimn.exe
O4 - Startup: Shutdown 20.lnk = C:\WINDOWS\system32\shutdown.exe
O4 - Startup: Verknüpfung mit To Do.txt.lnk = D:\To Do.txt
O4 - Startup: Verknüpfung mit winvnc.exe.lnk = C:\Daten\Data_no_install\Tightvnc\winvnc.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Bluetooth Software\btsendto_ie.htm
O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} - http://213.229.27.32:1003//activex/AMC.cab
O16 - DPF: {898FBC6E-E394-4D8C-A8A1-441F40110022} (pixelnet_de_bilduebertragung) - http://www.pixelnet.de/upload/pixelnet_de_bilduebertragung.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://213.229.27.207/activex/AxisCamControl.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{99D28FFA-5670-49CB-BE98-60A6646B8587}: NameServer = 192.168.5.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FAF6ED5E-60EA-4105-A6B5-A1E87A622E97}: NameServer = 192.168.2.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winjyg32 - winjyg32.dll (file missing)
O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - (no file)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Bluetooth Software\bin\btwdins.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Unknown owner - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe (file missing)
O23 - Service: WRQ IAM (iamServ) - WRQ, Inc. - C:\Programme\Atguard\iamserv.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe


>>>
"Thomas" - 07-04-10 22:08:56 Service Pack 2
ComboFix 07-04-05 - Running from: "C:\Dokumente und Einstellungen\Thomas\Desktop\THOMAS"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\install.log
C:\WINDOWS\system32\winsub.xml


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\nm
-------\LEGACY_NM


((((((((((((((((((((((((((((((( Files Created from 2007-03-10 to 2007-04-10 ))))))))))))))))))))))))))))))))))


2007-04-10 20:19 0 --a------ C:\WINDOWS\system32\CMMGR32.EXE
2007-04-10 18:43 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2007-04-10 18:43 <DIR> d-------- C:\DOKUME~1\Thomas\ANWEND~1\SUPERAntiSpyware.com
2007-04-10 18:43 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SUPERAntiSpyware.com
2007-04-10 18:28 54,272 --a------ C:\WINDOWS\system32\iampw.dll
2007-04-10 18:28 103,936 --a------ C:\WINDOWS\system32\iamlog.dll
2007-04-10 18:25 <DIR> d-------- C:\DOKUME~1\Thomas\ANWEND~1\Ethereal
2007-04-10 18:22 <DIR> d-------- C:\Programme\WinPcap
2007-04-10 18:22 <DIR> d-------- C:\Programme\Ethereal
2007-04-10 16:59 <DIR> d-------- C:\Programme\Lavasoft
2007-04-10 16:59 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-04-10 16:59 <DIR> d-------- C:\DOKUME~1\Thomas\ANWEND~1\Lavasoft
2007-04-09 21:53 <DIR> d-------- C:\DOKUME~1\Thomas\ANWEND~1\True Sword
2007-04-09 21:52 <DIR> d-------- C:\WINDOWS\system32\backuped
2007-04-09 21:52 <DIR> d-------- C:\Programme\True Sword 4
2007-04-09 15:16 <DIR> d-------- C:\WINDOWS\system32\rserver30
2007-04-09 14:49 89,230 --a------ C:\WINDOWS\system32\mmn.exe.exe
2007-04-09 14:49 40,590 --a------ C:\WINDOWS\system32\pdp.exe.exe
2007-04-09 14:46 <DIR> d-------- C:\DOKUME~1\Thomas\ANWEND~1\Radmin
2007-04-09 14:45 <DIR> d-------- C:\Programme\Radmin Viewer 3.0
2007-03-20 07:54 <DIR> d-------- C:\Programme\Dragon UnPACKer 5
2007-03-11 17:09 <DIR> d-------- C:\DOKUME~1\Thomas\ANWEND~1\MCMPEGEnc
2007-03-11 16:43 <DIR> d-------- C:\Programme\MainConcept
2007-03-11 16:06 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2007-03-11 16:06 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-03-11 16:06 <DIR> d-------- C:\Programme\K-Lite Codec Pack


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-10 18:33 9906 --a------ C:\WINDOWS\system32\drivers\cv2k1.sys
2007-04-10 18:33 9237 --a------ C:\WINDOWS\system32\drivers\cv2k2.sys
2007-04-10 18:28 -------- d-------- C:\Programme\atguard
2007-04-10 17:29 -------- d-------- C:\Programme\icq
2007-04-09 18:55 -------- d-------- C:\DOKUME~1\Thomas\ANWEND~1\utorrent
2007-04-09 18:20 -------- d-------- C:\Programme\serv-u
2007-03-25 17:14 48354 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-25 17:14 316924 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-19 19:58 -------- d-------- C:\Programme\pokerstars.net
2007-03-11 17:10 -------- d--h----- C:\Programme\installshield installation information
2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys
2007-02-23 17:59 -------- d-------- C:\DOKUME~1\Thomas\ANWEND~1\skype


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"ServUTrayIcon"="C:\\Programme\\Serv-U\\ServUTray.exe"
"NBJ"="\"C:\\Programme\\Ahead\\Nero BackItUp\\NBJ.exe\""
"SUPERAntiSpyware"="C:\\Programme\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Mirabilis ICQ"="C:\\PROGRA~1\\ICQ\\ICQNet.exe"
"C-Media Mixer"="Mixer.exe /startup"
@=""
"DU Meter"="C:\\Daten\\Data_no_install\\DUmeter\\DUMETER.EXE"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"BluetoothAuthenticationAgent"="rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent"
"PCSuiteTrayApplication"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\LaunchApplication.exe -startup"
"iamapp"="C:\\PROGRA~1\\Atguard\\iamapp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"UPnPMonitor"="{e57ce738-33e8-4c51-8354-bb4de9d215d1}"
"SysRun"="{D7FFD784-5276-42D1-887B-00267870A4C7}"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"PcSync"="C:\\Programme\\Nokia\\Nokia PC Suite 6\\PcSync2.exe /NoDialog"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoClose"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\run]

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjyg32

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
bthsvcs REG_MULTI_SZ BthServ\0\0



********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

HKLM\SYSTEM\CurrentControlSet\Services\winmgmtf1c-582f

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\system32\windev-f1c-582f.sys 135168 bytes

scan completed successfully
hidden processes: 0
hidden services: 1
hidden files: 1

********************************************************************

Completion time: 07-04-10 22:11:01
C:\ComboFix-quarantined-files.txt ... 07-04-10 22:11



>>>
Datentr„ger in Laufwerk C: ist Platte-1
Volumeseriennummer: A86A-2EE4

Verzeichnis von C:\WINDOWS\system32

10.04.2007 22:14 7.949 windev-peers.ini
10.04.2007 22:07 13.646 wpa.dbl
10.04.2007 20:19 0 CMMGR32.EXE
09.04.2007 16:06 110.992 FNTCACHE.DAT
09.04.2007 14:49 40.590 pdp.exe.exe
09.04.2007 14:49 89.230 mmn.exe.exe
25.03.2007 17:14 41.148 perfc009.dat
25.03.2007 17:14 314.800 perfh009.dat
25.03.2007 17:14 48.354 perfc007.dat
25.03.2007 17:14 316.924 perfh007.dat
25.03.2007 17:14 728.112 PerfStringBackup.INI
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:32 1.843.712 win32k.sys
07.03.2007 22:36 12.619.736 MRT.exe
15.02.2007 17:44 122.142 TZLog.log
30.01.2007 07:03 3.596.288 qt-dx331.dll
29.01.2007 10:58 60.416 tzchange.exe
25.01.2007 14:52 617.472 urlmon.dll
23.01.2007 21:30 546.304 hhctrl.ocx
04.01.2007 15:41 664.576 wininet.dll
04.01.2007 15:41 474.624 shlwapi.dll
04.01.2007 15:41 1.494.528 shdocvw.dll
04.01.2007 15:41 39.424 pngfilt.dll
04.01.2007 15:41 532.480 mstime.dll
04.01.2007 15:40 146.432 msrating.dll
04.01.2007 15:40 448.512 mshtmled.dll
04.01.2007 15:40 3.077.632 mshtml.dll
04.01.2007 15:40 16.384 jsproxy.dll
04.01.2007 15:40 96.768 inseng.dll
04.01.2007 15:40 251.392 iepeers.dll
04.01.2007 15:40 357.888 dxtmsft.dll
04.01.2007 15:40 205.312 dxtrans.dll
04.01.2007 15:40 1.056.256 danim.dll
04.01.2007 15:40 55.808 extmgr.dll
04.01.2007 15:40 152.064 cdfview.dll
04.01.2007 15:40 1.023.488 browseui.dll
04.01.2007 13:52 123.392 xpsp3res.dll
19.12.2006 23:49 135.168 shsvcs.dll
19.12.2006 23:49 8.494.592 shell32.dll
19.12.2006 20:21 2.182.656 ntoskrnl.exe
19.12.2006 20:21 2.059.904 ntkrnlpa.exe
19.12.2006 20:17 334.336 wiaservc.dll



>>>
Datentr„ger in Laufwerk C: ist Platte-1
Volumeseriennummer: A86A-2EE4

Verzeichnis von C:\DOKUME~1\Thomas\LOKALE~1\Temp



>>>
Datentr„ger in Laufwerk C: ist Platte-1
Volumeseriennummer: A86A-2EE4

Verzeichnis von C:\WINDOWS

10.04.2007 22:07 0 0.log
10.04.2007 22:07 157 wiadebug.log
10.04.2007 22:07 50 wiaservc.log
10.04.2007 22:06 2.048 bootstat.dat
10.04.2007 22:06 1.494.409 WindowsUpdate.log
10.04.2007 22:06 32.626 SchedLgU.Txt
10.04.2007 21:50 1.011.185 setupapi.log
09.04.2007 18:57 114.787 wmsetup.log
09.04.2007 18:57 316.640 WMSysPr9.prx
09.04.2007 18:19 116 NeroDigital.ini
09.04.2007 14:42 735.100 iis6.log
09.04.2007 14:42 215.975 comsetup.log
09.04.2007 14:42 1.355 imsins.log
09.04.2007 14:42 130.292 ntdtcsetup.log
09.04.2007 14:42 31.419 tabletoc.log
09.04.2007 14:42 289.135 tsoc.log
09.04.2007 14:42 34.602 ocmsn.log
09.04.2007 14:42 12.607 KB925902.log
09.04.2007 14:42 108.919 netfxocm.log
09.04.2007 14:42 43.493 MedCtrOC.log
09.04.2007 14:42 309.006 ocgen.log
09.04.2007 14:42 30.842 msgsocm.log
09.04.2007 14:42 616.128 FaxSetup.log
09.04.2007 14:42 201.570 msmqinst.log
09.04.2007 14:41 48.796 updspapi.log
17.03.2007 17:54 4.696 imsins.BAK
17.03.2007 17:50 308 nsw.log
15.03.2007 18:19 12.341 KB929338.log
11.03.2007 17:13 2.982 DirectX.log
20.02.2007 21:20 194 appr.ini
20.02.2007 20:53 1.083 APDFPRP.INI
15.02.2007 17:45 20.196 KB927779.log
15.02.2007 17:44 17.205 KB927802.log
15.02.2007 17:44 16.885 KB928255.log
15.02.2007 17:44 13.396 KB924667.log
15.02.2007 17:44 25.838 KB931836.log
15.02.2007 17:44 15.341 KB926436.log
15.02.2007 17:44 15.552 KB918118.log
15.02.2007 17:43 19.843 KB928090.log
15.02.2007 17:43 12.464 KB928843.log
07.02.2007 17:35 1.364 IE4 Error Log.txt
23.01.2007 17:45 185 mdm.ini
14.01.2007 23:50 11.779 KB929969.log
19.12.2006 13:33 2.360 ie7_main.log
17.12.2006 17:47 21.442 KB925454.log
17.12.2006 17:46 13.238 KB925398.log
17.12.2006 17:46 14.318 KB923689.log
17.12.2006 17:46 13.554 KB926255.log
17.12.2006 17:46 14.095 KB923694.log



>>>
Datentr„ger in Laufwerk C: ist Platte-1
Volumeseriennummer: A86A-2EE4

Verzeichnis von C:\WINDOWS\temp




>>>
Datentr„ger in Laufwerk C: ist Platte-1
Volumeseriennummer: A86A-2EE4

Verzeichnis von C:\WINDOWS\Downloaded Program Files

21.11.2005 10:49 181.240 AxisCamControl.ocx
16.11.2005 18:29 65 desktop.ini
27.08.2005 14:30 5.065 swflash.inf
31.05.2005 21:42 453 setup.inf
22.06.2004 16:52 442.368 pixelnet_de_bilduebertragung.ocx
16.06.2004 07:02 323.584 isusweb.dll
09.10.2003 11:32 144 QTPlugin.inf
25.07.2002 19:13 24.576 dwusplay.dll
25.07.2002 19:13 196.608 dwusplay.exe
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
10 Datei(en) 1.175.265 Bytes
0 Verzeichnis(se), 1.689.300.992 Bytes frei



>>>
Datentr„ger in Laufwerk C: ist Platte-1
Volumeseriennummer: A86A-2EE4

Verzeichnis von C:\

10.04.2007 22:17 0 sys.txt
10.04.2007 22:17 783 down.txt
10.04.2007 22:16 112 tmp.txt
10.04.2007 22:16 12.068 system.txt
10.04.2007 22:15 129 systemtemp.txt
10.04.2007 22:14 115.732 system32.txt
10.04.2007 22:11 7.430 ComboFix.txt
10.04.2007 22:11 755 ComboFix-quarantined-files.txt
10.04.2007 22:06 536.383.488 hiberfil.sys
10.04.2007 22:06 805.306.368 pagefile.sys
10.04.2007 21:31 229 boot.ini_save
10.10.2006 15:25 3.047.616.512 wiesn.mpg
17.09.2006 16:09 55.312 SDSSetup.log
06.06.2006 18:32 99 s308
25.12.2005 13:02 630.445 reclock_log.txt
05.12.2005 22:33 3 TCPCheckResult.txt
05.12.2005 22:23 289 SX1Addon.log
16.11.2005 18:30 0 IO.SYS
16.11.2005 18:30 0 CONFIG.SYS
16.11.2005 18:30 0 MSDOS.SYS
16.11.2005 18:30 0 AUTOEXEC.BAT
16.11.2005 18:22 211 boot.ini
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 251.184 ntldr
04.08.2004 14:00 47.564 NTDETECT.COM
25 Datei(en) 6.015.656.575 Bytes
0 Verzeichnis(se), 1.689.288.704 Bytes frei



Vielen Dank im voraus. Ich hoffe Ihr könnt mir helfen.

Thomas

#2 Hi,

da läuft ein RemoteServer auf Deinem Rechner r_server.exe...

Bitte folgende Dateien prüfen:
virustotal:


C:\WINDOWS\system32\pdp.exe.exe
C:\WINDOWS\system32\mmn.exe.exe
C:\WINDOWS\system32\iampw.dll
C:\WINDOWS\system32\iamlog.dll

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

poste die logs hier

------------------------------------------

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|SysRun

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjyg32

Files to delete:
C:\WINDOWS\system32\winjyg32.dll
C:\WINDOWS\system32\pdp.exe.exe
C:\WINDOWS\system32\mmn.exe.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Chris

#3 gehrti

schon alles abgearbeitet ???
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Hi,

sorry dass ich erst jetzt antworte und vielen Dank schon mal.

Hier die Logs:

STATUS: FINISHEDComplete scanning result of "pdp.exe.exe", received in VirusTotal at 04.11.2007, 16:44:44 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.12.0 04.11.2007 no virus found
AntiVir 7.3.1.50 04.11.2007 TR/Small.DBY.BT
Authentium 4.93.8 04.11.2007 no virus found
Avast 4.7.936.0 04.11.2007 no virus found
AVG 7.5.0.447 04.11.2007 no virus found
BitDefender 7.2 04.11.2007 Trojan.Peed.Gen
CAT-QuickHeal 9.00 04.11.2007 (Suspicious) - DNAScan
ClamAV devel-20070312 04.11.2007 Trojan.Small-1608
DrWeb 4.33 04.11.2007 Trojan.Packed.81
eSafe 7.0.15.0 04.10.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3560 04.11.2007 Win32/Pecoan.R
Ewido 4.0 04.10.2007 no virus found
FileAdvisor 1 04.11.2007 no virus found
Fortinet 2.85.0.0 04.11.2007 W32/PkTibs.fam!tr
F-Prot 4.3.1.45 04.11.2007 no virus found
F-Secure 6.70.13030.0 04.11.2007 Packed.Win32.Tibs.o
Ikarus T3.1.1.5 04.11.2007 no virus found
Kaspersky 4.0.2.24 04.11.2007 Email-Worm.Win32.Zhelatin.cs
McAfee 5005 04.10.2007 no virus found
Microsoft 1.2405 04.11.2007 Worm:Win32/Nuwar.gen
NOD32v2 2181 04.11.2007 Win32/Nuwar.gen
Norman 5.80.02 04.11.2007 W32/Tibs.gen78
Panda 9.0.0.4 04.11.2007 Suspicious file
Prevx1 V2 04.11.2007 no virus found
Sophos 4.16.0 04.06.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.11.2007 Trojan.Packed.13
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.10.2007 no virus found
VirusBuster 4.3.7:9 04.11.2007 Trojan.Tibs.Gen!Pac.92
Webwasher-Gateway 6.0.1 04.11.2007 Trojan.Small.DBY.BT


Aditional Information
File size: 40590 bytes
MD5: 4c54e499d8683a83ee02c7127fbfc668
SHA1: 941e68363a0a45c4777b6ca3491ec95421679b43

>>>
STATUS: FINISHEDComplete scanning result of "mmn.exe.exe", received in VirusTotal at 04.11.2007, 16:43:00 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.12.0 04.11.2007 no virus found
AntiVir 7.3.1.50 04.11.2007 TR/Small.DBY.BT
Authentium 4.93.8 04.11.2007 no virus found
Avast 4.7.936.0 04.11.2007 no virus found
AVG 7.5.0.447 04.11.2007 no virus found
BitDefender 7.2 04.11.2007 Trojan.Peed.Gen
CAT-QuickHeal 9.00 04.11.2007 (Suspicious) - DNAScan
ClamAV devel-20070312 04.11.2007 Trojan.Small-1608
DrWeb 4.33 04.11.2007 Trojan.Packed.81
eSafe 7.0.15.0 04.10.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3560 04.11.2007 Win32/Sintun.L
Ewido 4.0 04.10.2007 no virus found
FileAdvisor 1 04.11.2007 no virus found
Fortinet 2.85.0.0 04.11.2007 W32/PkTibs.fam!tr
F-Prot 4.3.1.45 04.11.2007 no virus found
F-Secure 6.70.13030.0 04.11.2007 Packed.Win32.Tibs.o
Ikarus T3.1.1.5 04.11.2007 no virus found
Kaspersky 4.0.2.24 04.11.2007 Email-Worm.Win32.Zhelatin.cs
McAfee 5005 04.10.2007 no virus found
Microsoft 1.2405 04.11.2007 Worm:Win32/Nuwar.gen
NOD32v2 2181 04.11.2007 Win32/Nuwar.gen
Norman 5.80.02 04.11.2007 W32/Tibs.gen78
Panda 9.0.0.4 04.11.2007 no virus found
Prevx1 V2 04.11.2007 no virus found
Sophos 4.16.0 04.06.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.11.2007 Trojan.Packed.13
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.10.2007 no virus found
VirusBuster 4.3.7:9 04.11.2007 Trojan.Tibs.Gen!Pac.92
Webwasher-Gateway 6.0.1 04.11.2007 Trojan.Small.DBY.BT


Aditional Information
File size: 89230 bytes
MD5: 98dcf2cb66425d89ca8fcb3a60da0904
SHA1: 4b08ac03fb9b599fa2fe758159860aad3c4592b5

>>>
STATUS: FINISHEDComplete scanning result of "iampw.dll_", received in VirusTotal at 04.11.2007, 16:43:26 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.12.0 04.11.2007 no virus found
AntiVir 7.3.1.50 04.11.2007 no virus found
Authentium 4.93.8 04.11.2007 no virus found
Avast 4.7.936.0 04.11.2007 no virus found
AVG 7.5.0.447 04.11.2007 no virus found
BitDefender 7.2 04.11.2007 no virus found
CAT-QuickHeal 9.00 04.11.2007 no virus found
ClamAV devel-20070312 04.11.2007 no virus found
DrWeb 4.33 04.11.2007 no virus found
eSafe 7.0.15.0 04.10.2007 no virus found
eTrust-Vet 30.7.3560 04.11.2007 no virus found
Ewido 4.0 04.10.2007 no virus found
FileAdvisor 1 04.11.2007 no virus found
Fortinet 2.85.0.0 04.11.2007 no virus found
F-Prot 4.3.1.45 04.11.2007 no virus found
F-Secure 6.70.13030.0 04.11.2007 no virus found
Ikarus T3.1.1.5 04.11.2007 no virus found
Kaspersky 4.0.2.24 04.11.2007 no virus found
McAfee 5005 04.10.2007 no virus found
Microsoft 1.2405 04.11.2007 no virus found
NOD32v2 2181 04.11.2007 no virus found
Norman 5.80.02 04.11.2007 no virus found
Panda 9.0.0.4 04.11.2007 no virus found
Prevx1 V2 04.11.2007 no virus found
Sophos 4.16.0 04.06.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.11.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.10.2007 no virus found
VirusBuster 4.3.7:9 04.11.2007 no virus found
Webwasher-Gateway 6.0.1 04.11.2007 no virus found


Aditional Information
File size: 54272 bytes
MD5: 7b9a2e751f98a33e1f86fedbd014d7eb
SHA1: 08711d300641fae500b8a899931d8e814b55f1aa


>>>
STATUS: FINISHEDComplete scanning result of "iamlog.dll", received in VirusTotal at 04.11.2007, 16:43:35 (CET).

Antivirus Version Update Result
AhnLab-V3 2007.4.12.0 04.11.2007 no virus found
AntiVir 7.3.1.50 04.11.2007 no virus found
Authentium 4.93.8 04.11.2007 no virus found
Avast 4.7.936.0 04.11.2007 no virus found
AVG 7.5.0.447 04.11.2007 no virus found
BitDefender 7.2 04.11.2007 no virus found
CAT-QuickHeal 9.00 04.11.2007 no virus found
ClamAV devel-20070312 04.11.2007 no virus found
DrWeb 4.33 04.11.2007 no virus found
eSafe 7.0.15.0 04.10.2007 no virus found
eTrust-Vet 30.7.3560 04.11.2007 no virus found
Ewido 4.0 04.10.2007 no virus found
FileAdvisor 1 04.11.2007 no virus found
Fortinet 2.85.0.0 04.11.2007 no virus found
F-Prot 4.3.1.45 04.11.2007 no virus found
F-Secure 6.70.13030.0 04.11.2007 no virus found
Ikarus T3.1.1.5 04.11.2007 no virus found
Kaspersky 4.0.2.24 04.11.2007 no virus found
McAfee 5005 04.10.2007 no virus found
Microsoft 1.2405 04.11.2007 no virus found
NOD32v2 2181 04.11.2007 no virus found
Norman 5.80.02 04.11.2007 no virus found
Panda 9.0.0.4 04.11.2007 no virus found
Prevx1 V2 04.11.2007 no virus found
Sophos 4.16.0 04.06.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.11.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.10.2007 no virus found
VirusBuster 4.3.7:9 04.11.2007 no virus found
Webwasher-Gateway 6.0.1 04.11.2007 no virus found


Aditional Information
File size: 103936 bytes
MD5: f5f77a028c3d35a7f1a31f82d58494dd
SHA1: 666c1a066acb8dc497df694dffe3efb20589aa65


Außerdem habe ich seit heute noch eine Meldung nach dem Neutstart:

"Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt."

Folgendes Log wurde dabei angelegt:

Problemsignatur
BCCode : 10000050 BCP1 : E1FC0000 BCP2 : 00000000 BCP3 : 805034A1
BCP4 : 00000001 OSVer : 5_1_2600 SP : 2_0 Product : 256_1

Server=watson.microsoft.com
UI LCID=1031
Flags=1696082
Brand=WINDOWS
TitleName=Microsoft Windows
DigPidRegPath=HKLM\Software\Microsoft\Windows NT\CurrentVersion\DigitalProductId
ErrorText=Für diesen Fehler wurde ein Protokoll erstellt.
HeaderText=Das System wird nach einem schwerwiegenden Fehler wieder ausgeführt.
Stage2URL=
Stage2URL=/dw/bluetwo.asp?BCCode=10000050&BCP1=E1053000&BCP2=00000000&BCP3=805034A1&BCP4=00000001&OSVer=5_1_2600&SP=2_0&Product=256_1
DataFiles=C:\DOKUME~1\Thomas\LOKALE~1\Temp\WER8dd7.dir00\Mini041107-02.dmp|C:\DOKUME~1\Thomas\LOKALE~1\Temp\WER8dd7.dir00\sysdata.xml
ErrorSubPath=blue
DirectoryDelete=C:\DOKUME~1\Thomas\LOKALE~1\Temp\WER8dd7.dir00

Danke im Voraus,
Thomas

#5 Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|SysRun

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjyg32

Files to delete:
C:\WINDOWS\system32\winjyg32.dll
C:\WINDOWS\system32\pdp.exe.exe
C:\WINDOWS\system32\mmn.exe.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
poste das log vom avenger, was nach neustart erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Sorry hatte das Log vergessen. Hatte es vorhin schon ausgeführt.

Danach hat sich mein Rechner von selbst mindestens 5 mal neugestartet. Immer so ca. 30 Sekunden bis 3 Minuten nach dem Reboot.

Hier das Log:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gdhvprkj

*******************

Script file located at: \??\C:\WINDOWS\rubfnvvq.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\winjyg32.dll not found!
Deletion of file C:\WINDOWS\system32\winjyg32.dll failed!

Could not process line:
C:\WINDOWS\system32\winjyg32.dll
Status: 0xc0000034

File C:\WINDOWS\system32\pdp.exe.exe deleted successfully.
File C:\WINDOWS\system32\mmn.exe.exe deleted successfully.
Registry value HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|SysRun deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjyg32 deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Danke im voraus,
Thomas

#7 ««
http://www.f-secure.com/blacklight/
starte die Datei, nimm die Lizenzbestimmung an und waehle scan, wenn es mit dem Scan fertig ist, druecke next und danach close. Nun befindet sich im selben Ordner von Blacklight eine FSB*.TXT Datei - poste bitte das log hier

Dann starte blacklight nochmal und lasse alle Dateien, die es anzeigt umbenennen (ausser C:\WINDOWS\system32\wbem\wbemtest.exe)
Dann lass Blacklight den Rechner neu starten.

die umbenannten Dateien (im Ordner von blacklight) bitte an virus@protecus.de schicken. Wichtig ist auch die umbenannte ini Datei.

-----------------------------------
««
im Normalmodus
http://virus-protect.org/artikel/tools/sdfix.html
RunThis.bat doppelt klicken

reinschreiben: 2
2 : wird Norman geladen - scanne ud poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Hi,

danke. Ich werde es morgen nachmittag gleich machen. Leider habe ich heute abend keinen Zugriff mehr zu meinem Rechner (steht bei meiner Freundin).

Thomas

#9 also dann - bis morgen
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Hallo,

hier das Log:
04/12/07 17:16:17 [Info]: BlackLight Engine 1.0.61 initialized
04/12/07 17:16:17 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/12/07 17:16:17 [Note]: 7019 4
04/12/07 17:16:17 [Note]: 7005 0
04/12/07 17:16:26 [Note]: 7006 0
04/12/07 17:16:26 [Note]: 7011 1896
04/12/07 17:16:26 [Note]: 7026 0
04/12/07 17:16:26 [Note]: 7026 0
04/12/07 17:16:29 [Note]: FSRAW library version 1.7.1021
04/12/07 17:21:07 [Info]: Hidden file: c:\WINDOWS\system32\windev-f1c-582f.sys
04/12/07 17:21:07 [Note]: 10002 1
04/12/07 17:21:08 [Info]: Hidden file: c:\WINDOWS\system32\windev-peers.ini
04/12/07 17:21:08 [Note]: 10002 1
04/12/07 17:24:25 [Note]: 7007 0

Ich habe die 2 umgenannten Dateien per Mail rausgeschickt.

Jedoch konnte ich Norman herunterladen. Das Skript streikte und unter http://download.norman.no/public/NGenFix.exe befindet sich die Datei nicht mehr.

Ich habe die Norman_Malware_Cleaner.exe herunter geladen. Ich nehme an, das ist korrekt so?

Sobald der Scan fertig ist, lad ich den report hoch.

MfG. Thomas

Mfg. Thomas

#11 Zur Info: Die Datei ist da. Antivir erkennt diese "Storm"Variante, allerdings nur als "SPR", du kannst Antivir wie folgt einstellen und nochmal deine Festplatte pruefen und alles in Quarantäne schieben: http://board.protecus.de/t23979.htm

Das war auf jedenfall der Grund fuer das hohe Datenvolumen...
__________
MfG Ralf
SEO-Spam Hunter

#12 gehrti

zum Abschluss:

http://virus-protect.org/artikel/tools/sdfix.html
SDFix.zip entpacken

es erscheint folgende Meldung:

"The SDFix Folder has been extracted to %systemdrive% - Please run from that location.
(%systemdrive% = drive that contains the Windows directory - typically C:\SDFix )"

unter C:\ findet man nun den SDFix-Ordner

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

schreibe: Y
folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hier noch das Log von Norman:

Norman Malware Cleaner
Copyright © 1990 - 2007, Norman ASA. Built 2007/04/11 15:58:59

Norman Scanner Engine Version: 5.90.36
Nvcbin.def Version: 5.90.00, Date: 2007/04/11 15:58:59, Variants: 1
Nvcmacro.def Version: 5.90.00, Date: 2007/04/11 15:58:59, Variants: 12

Operating System: Microsoft Windows XP Professional 5.1.2600 Service Pack 2
Logged on user: THOMAS\Thomas





Scanning running processes and process memory...

Number of processes/threads found: 1960
Number of processes/threads scanned: 1960
Number of processes/threads not scanned: 0
Number of infected processes/threads terminated: 0
Total scanning time: 14s


Scanning file system...



C:\WINDOWS\system32\windev-f1c-582f.sys.ren (Infected with W32/DLoader.CORX)
Deleted file




F:\System Volume Information\_RESTO~1\RP555\A0085420.EXE (Error whilst scanning file: I/O Error)

F:\System Volume Information\_RESTO~1\RP555\A0085432.EXE (Error whilst scanning file: I/O Error)

F:\System Volume Information\_RESTO~1\RP555\A0085562.EXE (Error whilst scanning file: I/O Error)

F:\System Volume Information\_RESTO~1\RP555\A0085574.EXE (Error whilst scanning file: I/O Error)





f:\System Volume Information\_RESTO~1\RP555\A0085420.EXE (Error whilst scanning file: I/O Error)

f:\System Volume Information\_RESTO~1\RP555\A0085432.EXE (Error whilst scanning file: I/O Error)

f:\System Volume Information\_RESTO~1\RP555\A0085562.EXE (Error whilst scanning file: I/O Error)

f:\System Volume Information\_RESTO~1\RP555\A0085574.EXE (Error whilst scanning file: I/O Error)




Number of files found: 179514
Number of archives unpacked: 0
Number of files scanned: 179398
Number of files not scanned: 116
Number of files skipped due to exclude list: 0
Number of infected files found: 1
Number of infected files repaired/deleted: 1
Number of infections removed: 1
Total scanning time: 1h 5m 3s



Den letzten Schritt mache ich jetzt und danach lasse ich dann Antivir auch nochmal durchlaufen.

MfG. und bis dann
Thomas

#14 ««
o.k. poste das log, was dann erscheint. und berichte spaeter vom Antivirus

««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann gleich wieder aktivieren)
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hi,

hier erstmal das Log von SDFIX


SDFix: Version 1.78

Run by Thomas - 12.04.2007 - 18:59:13,50

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:






Restoring Windows Registry Values
Restoring Windows Default Hosts File


Rebooting...

Normal Mode:
Checking Files:

Below files will be copied to Backups folder then removed:

C:\WINDOWS\SYSTEM32\CMMGR32.EXE - Deleted



Removing Temp Files

ADS Check:

Checking if ADS is attached to system32 Folder
C:\WINDOWS\system32
No streams found.

Checking if ADS is attached to svchost.exe
C:\WINDOWS\system32\svchost.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\ICQ\\Icq.exe"="C:\\Programme\\ICQ\\Icq.exe:*:Enabled:ICQ"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Antivir folgt später.