eScan meldet Adware/Spyware...

#1 Hallo! Dieses Mal habe ich ein Problem mit meinem PC
Ich habe, nachdem ich bei meinem Kumpel mithilfe von eScan einige Viren gefunden hatte, auch meinen Computer von eScan auf Schädlinge scannen lassen.
Hier mal der Logfile:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.04.20.01
Installationssprache Deutsch
find.bat im normalen Modus ausgefuehrt

Microsoft Windows XP [Version 5.1.2600]
Version REG_SZ 9.1.9
Sat Apr 21 19:15:54 2007 => Virus-Datenbank Datum: 4/20/2007
Sat Apr 21 19:19:53 2007 => Virus-Datenbank Datum: 4/21/2007
Sat Apr 21 19:22:33 2007 => Virus-Datenbank Datum: 4/21/2007
Sat Apr 21 21:08:20 2007 => Virus-Datenbank Datum: 4/21/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Apr 21 19:23:31 2007 => Object "2antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Sat Apr 21 19:23:31 2007 => Offending Folder found: C:\antispyware
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Sat Apr 21 19:23:12 2007 => Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Sat Apr 21 20:54:43 2007 => C:\WINDOWS\Driver Cache\i386\driver.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath REG_EXPAND_SZ %SystemRoot%\System32\drivers\etc
C:\WINDOWS\system32\drivers\etc\hosts:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Apr 21 21:08:20 2007 => Gescannte Dateien: 71158
Sat Apr 21 21:08:20 2007 => Gefundene Viren: 1
Sat Apr 21 21:08:20 2007 => Anzahl der desinfizierten Dateien: 0
Sat Apr 21 21:08:20 2007 => Umbenannte Dateien: 0
Sat Apr 21 21:08:20 2007 => Anzahl der gelöschten Dateien: 0
Sat Apr 21 21:08:20 2007 => Anzahl Fehler: 39
Sat Apr 21 21:08:20 2007 => Dauer des Scans bisher: 01:45:19
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Apr 21 19:22:46 2007 => Specherüberprüfung: Aktiviert
Sat Apr 21 19:22:46 2007 => Registry Überprüfung: Aktiviert
Sat Apr 21 19:22:46 2007 => System-Ordner Überprüfung: Aktiviert
Sat Apr 21 19:22:46 2007 => Überprüfung der Systembereiche: Deaktiviert
Sat Apr 21 19:22:46 2007 => Überprüfung der Dienste: Aktiviert
Sat Apr 21 19:22:46 2007 => Überprüfung der Festplatten: Deaktiviert
Sat Apr 21 19:22:46 2007 => Überprüfung aller Festplatten :Aktiviert


Der Ordner C:\AntiSpyware wurde von mir angelegt und enthält keine Schädlinge!

Meine Frage: Ist das wirklich ein Schädling?
eScan hat mir noch weitere "Entries" angezeigt, die er löschen wollte, z.B. "HKLM\Software\Microsoft\Shared Tools\osa.exe" verweist auf das ungültige Objekt "C:\Programme\Microsoft Office\Office\OSA.EXE" . Kann das sein, das hier ein Eintrag eines Schädlings sitzt?

Vielen Dank im Voraus!

Grüsse CVN


PS: Ich habe mich über "2AntiSpyware" informiert und herausgefunden, dass es bei diesem Schädling mehrere Dateien im Ordner "Program Files" geben muss. Des Weiteren müssten immer wieder Meldungen aufgehen, in denen steht, mein PC sei verseucht! Kann das sein, dass der Virus nicht komplett auf meinem PC ist, da ich als eingeschränkter User immer im Internet bin?!?

#2 Das ist wohl die uebliche Escan Panikmache aktion. Poste mal diese Infos, damit wir uns eine uebersicht verschaffen koennen: http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter

#3 Hallo! Vielen Dank für die schnelle Antwort!
Hier mal HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 20:51:00, on 19.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\ATI-CPanel\atiptaxx.exe
C:\WINDOWS\Mixer.exe
C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\WLAN Quick-Starter\zywatch.exe
C:\AntiSpyware\hijackthis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe


Des Weiteren habe ich CleanProg durchnudeln lassen und alles gelöscht.

Combofix-Report folgt.......

Gruss

CVN

#4 Kleines zwischenposting um die Doppelpostsperre aufzuheben und dir zu sagen, das das HJT sauber aussieht.
__________
MfG Ralf
SEO-Spam Hunter

#5 Hallo!
combofix will irgendwie nicht funktionieren! Es kommt ne Meldung, dass "nircmd" falsch geschrieben sei oder dass es die Datei nich gibt.
Was soll ich denn jetzt machen?

Gruss CVN

#6 Lade es bitte erneut herunter und starte einen neuen Versuch. Ansonsten mache mit datfind.bat weiter.
__________
MfG Ralf
SEO-Spam Hunter

#7 HallO! Hier ein Teil der dafind.bat!
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8CE0-24B9

Verzeichnis von c:\

22.04.2007 14:05 0 dirdat.txt
22.04.2007 13:33 805.306.368 pagefile.sys
21.04.2007 21:08 0 23990098.$$$
18.02.2007 14:22 211 boot.ini
18.02.2007 14:17 47.564 NTDETECT.COM
18.02.2007 14:17 251.184 ntldr
18.02.2007 13:04 40.960 ffastun.ffo
18.02.2007 13:04 4.127 ffastun.ffa
18.02.2007 13:04 524.288 ffastun0.ffx
18.02.2007 13:04 90.112 ffastun.ffl
18.02.2007 00:00 801 tmpFile.dat
18.02.2007 00:00 548 pnpID.dat
17.02.2007 23:59 39 CTJINI.INI
17.02.2007 23:57 185 temp.log
17.02.2007 23:30 0 AUTOEXEC.BAT
17.02.2007 23:30 0 CONFIG.SYS
17.02.2007 23:30 0 MSDOS.SYS
17.02.2007 23:30 0 IO.SYS
02.04.2003 14:00 4.952 bootfont.bin
19 Datei(en) 806.271.339 Bytes
0 Verzeichnis(se), 148.378.984.448 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 8CE0-24B9

Verzeichnis von C:\WINDOWS\system32

08.04.2007 13:54 235.960 FNTCACHE.DAT
08.04.2007 13:51 9.857 jupdate-1.5.0_11-b03.log
07.04.2007 12:39 2.206 wpa.dbl
25.03.2007 14:21 380.350 perfh009.dat
25.03.2007 14:21 391.000 perfh007.dat
25.03.2007 14:21 52.764 perfc009.dat
25.03.2007 14:21 63.580 perfc007.dat
25.03.2007 14:21 897.954 PerfStringBackup.INI
17.03.2007 15:44 293.376 winsrv.dll
09.03.2007 13:51 270.336 xpsp3res.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:32 1.843.712 win32k.sys
07.03.2007 22:36 12.619.736 MRT.exe
07.03.2007 21:42 9.132 jupdate-1.5.0_10-b03.log
28.02.2007 18:02 2.138.624 ntoskrnl.exe
28.02.2007 18:02 2.018.304 ntkrnlpa.exe
18.02.2007 16:22 122.142 TZLog.log
18.02.2007 14:26 90 spupdwxp.log
18.02.2007 00:46 16.832 amcompat.tlb
18.02.2007 00:46 23.392 nscompat.tlb
18.02.2007 00:46 2.272 w95inf16.dll
18.02.2007 00:46 4.608 w95inf32.dll
17.02.2007 23:51 25.065 wmpscheme.xml
17.02.2007 23:36 237 $winnt$.inf
17.02.2007 23:32 3.033 jupdate-1.4.2_01-b06.log
17.02.2007 23:30 2.951 CONFIG.NT
17.02.2007 23:29 488 logonui.exe.manifest
17.02.2007 23:29 488 WindowsLogon.manifest
17.02.2007 23:29 749 ncpa.cpl.manifest
17.02.2007 23:29 749 wuaucpl.cpl.manifest
17.02.2007 23:29 749 cdplayer.exe.manifest
17.02.2007 23:29 749 sapi.cpl.manifest
17.02.2007 23:29 749 nwc.cpl.manifest
17.02.2007 23:28 21.740 emptyregdb.dat
17.02.2007 23:25 0 h323log.txt
05.02.2007 22:18 185.856 upnphost.dll
29.01.2007 10:58 60.416 tzchange.exe
23.01.2007 21:30 546.304 hhctrl.ocx
12.01.2007 10:27 670.720 mstime.dll
12.01.2007 10:27 51.712 msfeedsbs.dll
12.01.2007 10:27 3.580.416 mshtml.dll
12.01.2007 10:27 477.696 mshtmled.dll
12.01.2007 10:27 232.960 webcheck.dll
12.01.2007 10:27 27.136 jsproxy.dll
12.01.2007 10:27 6.054.400 ieframe.dll
12.01.2007 10:27 1.149.952 urlmon.dll
12.01.2007 10:27 458.752 msfeeds.dll
12.01.2007 10:27 822.784 wininet.dll
12.01.2007 10:27 132.608 extmgr.dll
10.01.2007 18:42 1.040.384 ieframe.dll.mui
08.01.2007 20:04 105.984 url.dll
08.01.2007 20:04 102.400 occache.dll
08.01.2007 20:03 193.024 msrating.dll
08.01.2007 20:02 1.823.744 inetcpl.cpl
08.01.2007 20:02 44.544 iernonce.dll
08.01.2007 20:02 266.752 iertutil.dll
08.01.2007 20:02 230.400 ieaksie.dll
08.01.2007 20:02 153.088 ieakeng.dll
08.01.2007 20:02 384.000 iedkcs32.dll
08.01.2007 20:02 161.792 ieakui.dll
08.01.2007 20:02 383.488 ieapfltr.dll
08.01.2007 20:00 124.928 advpack.dll
08.01.2007 19:08 56.832 ie4uinit.exe
08.01.2007 19:08 13.824 ieudinit.exe
04.01.2007 16:02 474.624 shlwapi.dll
04.01.2007 16:02 1.498.112 shdocvw.dll
04.01.2007 16:01 1.056.256 danim.dll
04.01.2007 16:01 1.022.976 browseui.dll
04.01.2007 16:01 152.064 cdfview.dll

Der Rest klappt nicht, weil sich bei mir das cmd-Fenster gleich wieder schließt! Ich versucher nochmals combofix!

CVN

#8 Du kannst Combofix auch mal im abgesicherten Modus probieren: http://www.bsi.bund.de/av/texte/wiederher.htm
__________
MfG Ralf
SEO-Spam Hunter

#9 Hallo nochmals! Jetzt hats geklappt!
Hier der Report!

"***" - 07-04-22 14:11:54 Service Pack 2
ComboFix 07-04-21.2V - Running from: C:\Dokumente und Einstellungen\ras\Desktop\


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\drivers\npf.sys


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\NPF
-------\LEGACY_NPF


((((((((((((((((((((((((((((((( Files Created from 2007-03-22 to 2007-04-22 ))))))))))))))))))))))))))))))))))


2007-04-22 14:10 <DIR> d-------- C:\bases_x
2007-04-21 19:23 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-04-21 19:23 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-04-21 19:23 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-04-21 19:23 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-04-21 19:23 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-04-21 19:23 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-04-21 19:15 153,600 --a------ C:\WINDOWS\R.COM
2007-04-21 19:15 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-04-20 16:28 43,584 --a------ C:\WINDOWS\system32\drivers\avipbb.sys
2007-04-20 16:28 28,352 --a------ C:\WINDOWS\system32\drivers\ssmdrv.sys
2007-04-19 20:52 <DIR> d-------- C:\Programme\ClearProg
2007-04-18 18:59 <DIR> d-------- C:\DOKUME~1\heike\ANWEND~1\InterVideo
2007-03-30 17:02 <DIR> d-------- C:\B_AntiVirus


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-22 13:56 -------- d-------- C:\Programme\wlan quick-starter
2007-04-22 13:56 -------- d-------- C:\Programme\wlan monitor
2007-03-25 14:21 63580 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-25 14:21 391000 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-17 15:44 293376 --a------ C:\WINDOWS\system32\winsrv.dll
2007-03-08 17:36 579072 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 17:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 17:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 17:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys
2007-02-18 00:46 4608 --a------ C:\WINDOWS\system32\w95inf32.dll
2007-02-18 00:46 2272 --a------ C:\WINDOWS\system32\w95inf16.dll
2007-02-18 00:00 801 --a------ C:\tmpFile.dat
2007-02-18 00:00 548 --a------ C:\pnpID.dat
2007-02-17 23:30 0 -rahs---- C:\MSDOS.SYS
2007-02-17 23:30 0 -rahs---- C:\IO.SYS
2007-02-17 23:30 0 --a------ C:\CONFIG.SYS
2007-02-17 23:30 0 --------- C:\AUTOEXEC.BAT
2007-02-17 23:28 21740 --a------ C:\WINDOWS\system32\emptyregdb.dat
2007-02-17 23:18 62 --ahs---- C:\DOKUME~1\ras\ANWEND~1\desktop.ini
2007-02-05 22:18 185856 --a------ C:\WINDOWS\system32\upnphost.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Programme\Java\jre1.5.0_11\bin\ssv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SunJavaUpdateSched"="\"C:\\Programme\\Java\\jre1.5.0_11\\bin\\jusched.exe\""
"ATIModeChange"="Ati2mdxx.exe"
"ATIPTA"="C:\\ATI-CPanel\\atiptaxx.exe"
"C-Media Mixer"="Mixer.exe /startup"
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE"
"WLAN Quick-Starter"="\"C:\\Programme\\WLAN Quick-Starter\\WLAN Quick-Starter.exe\" -update"
"wlconfig"="\"C:\\Programme\\WLAN Monitor\\wlconfig.exe\" -autostart"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"Arcor Online"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Arcor Online"=""

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0


********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-04-22 14:13:03
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


********************************************************************

Completion time: 07-04-22 14:13:06
C:\ComboFix-quarantined-files.txt ... 07-04-22 14:13


Gruss CVN

#10 Loesche das bitte. Das hat escan willkuerlich erstellt:
2007-04-21 19:23 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-04-21 19:23 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-04-21 19:23 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-04-21 19:23 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-04-21 19:23 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-04-21 19:23 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-04-21 19:15 153,600 --a------ C:\WINDOWS\R.COM
2007-04-21 19:15 140,800 --a------ C:\WINDOWS\system32\T.COM


Ansonsten sehe ich nichts besonderes.
__________
MfG Ralf
SEO-Spam Hunter

#11 Wäre das schlimm, wenn ich das drauflassen würde?
Hier noch son Bericht von Combofix:

Code

04-08-04 01:58      140800    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\TASKMGR.COM.vir
04-08-04 01:58      153600    --a------    C:\Qoobox\Quarantine\C\WINDOWS\REGEDIT.COM.vir
05-08-02 23:10      32512    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\npf.sys.vir
05-08-03 00:08      61440    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\WanPacket.dll.vir
05-08-03 00:08      81920    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\Packet.dll.vir
05-08-03 00:18      233472    --a------    C:\Qoobox\Quarantine\C\WINDOWS\system32\wpcap.dll.vir
07-04-22 14:12      1266    --a------    C:\Qoobox\Quarantine\Registry_backups\LEGACY_NPF.reg.cf
07-04-22 14:12      2426    --a------    C:\Qoobox\Quarantine\Registry_backups\services_NPF.reg.cf


Auflistung der Ordnerpfade
Volumenummer: 8CE0-24B9
C:\QOOBOX
\---Quarantine
    +---C
    |   \---WINDOWS
    |       |   REGEDIT.COM.vir
    |       |   
    |       \---system32
    |           |   Packet.dll.vir
    |           |   TASKMGR.COM.vir
    |           |   WanPacket.dll.vir
    |           |   wpcap.dll.vir
    |           |   
    |           \---drivers
    |                   npf.sys.vir
    |                   
    \---Registry_backups
            LEGACY_NPF.reg.cf
            services_NPF.reg.cf
            

#12 Den Ordner qoobox kannst du loeschen, den rest kannst du drauf lassen, ist nur unnoetig.
__________
MfG Ralf
SEO-Spam Hunter