Ich werde den Trojaner Rootkit.Win32.Agent nicht los!!!

#0
22.06.2007, 09:44
Member

Beiträge: 14
#1 Hallo zusammen!

Ich habe das Problem, dass ich den Trojaner Rootkit.Win32.Agent nicht loswerde. Habe schon alles Mögliche probiert. Antivir, Bitdefender, Kaspersky etc. Nach einem Neustart ist er aber immer wieder da. Hier die Logfiles:

Kaspersky:


Virensuche
----------
Untersucht: 199401
Gefunden: 1
Nicht bearbeitet: 1
Start: 22.06.2007 08:11:23
Dauer: 01:23:36
Ende: 22.06.2007 09:34:59


Gefunden
--------
Status Objekt
------ ------
gefunden: trojanisches Programm Rootkit.Win32.Agent.ey Datei: C:\WINDOWS\system32\drivers\runtime2.sys


Ereignisse
----------
Zeit Name Status Grund
---- ---- ------ -----


Statistik
---------
Objekt Untersucht Gefährliche Objekte Nicht bearbeitet Gelöscht Nach Quarantäne verschoben Archive Gepackte Dateien Kennwortgeschützt Beschädigt
------ ---------- ------------------- ---------------- -------- -------------------------- ------- ---------------- ----------------- ----------


Einstellungen
-------------
Parameter Wert
--------- ----
Sicherheitsstufe Empfohlen
Aktion Nach der Untersuchung erfragen
Startmodus Manuell
Dateitypen Alle Dateien untersuchen
Nur neue und veränderte Dateien untersuchen Nein
Untersuchung von Archiven Alle
Untersuchung von angehängten OLE-Objekten Alle
Nicht untersuchen, wenn Objekt größer als Nein
Nicht untersuchen, wenn Untersuchung länger als Nein
Mailformatdateien untersuchen Nein
Kennwortgeschützte Archive untersuchen Nein
iChecker-Technologie aktivieren Ja
iSwift-Technologie aktivieren Ja
Gefundene gefährliche Objekte auf Registerkarte "Gefunden" anzeigen Ja

Combo:

ComboFix 07-06-18.2 - I:\Antiviren\ComboFix.exe
"Benning" - 2007-06-22 7:33:48 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Programme\winupdates
C:\WINDOWS\system32\4_exception.nls
C:\WINDOWS\system32\drivers\runtime2.sys . . . . failed to delete
C:\WINDOWS\system32\iepref32.dll
C:\WINDOWS\system32\lanmanwrk.exe
C:\WINDOWS\system32\ocxapi.dll
C:\WINDOWS\system32\ocxloader.exe
C:\WINDOWS\system32\qmopt.dll
C:\WINDOWS\wpcjmd.log


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_LANMANDRV
-------\LEGACY_RUNTIME
-------\LEGACY_RUNTIME2
-------\nm
-------\runtime


((((((((((((((((((((((((( Files Created from 2007-05-22 to 2007-06-22 )))))))))))))))))))))))))))))))


2007-06-22 07:32 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-22 06:48 22,296 --a------ C:\WINDOWS\system32\qmjlenci.exe
2007-06-20 06:20 5,322 --a------ C:\WINDOWS\system32\ielog.dll
2007-06-20 06:20 22,296 --a------ C:\WINDOWS\system32\qmfmakbm.exe
2007-06-20 05:52 22,296 --a------ C:\WINDOWS\system32\qmbhdahl.exe
2007-06-19 15:31 22,296 --a------ C:\WINDOWS\system32\qmgaelpn.exe
2007-06-19 15:07 47,849 --a------ C:\WINDOWS\system32\cjpeg.exe
2007-06-19 15:04 82,258 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-06-19 15:04 82,258 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-06-19 15:04 7,968 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-06-19 15:04 3,290,144 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-06-19 15:04 <DIR> d----c--- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab
2007-06-19 15:02 <DIR> d-------- C:\Programme\Kaspersky
2007-06-15 21:43 4,096 --a------ C:\WINDOWS\system32\43547032ld.exe
2007-06-01 11:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2007-06-01 11:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ankiro
2007-06-01 11:58 <DIR> d-------- C:\DOKUME~1\Benning\ANWEND~1\SPAMfighter
2007-06-01 11:57 <DIR> d-------- C:\Programme\SPAMfighter
2007-05-31 09:57 <DIR> d-------- C:\WINDOWS\pss
2007-05-25 18:05 39,296 --a------ C:\WINDOWS\system32\drivers\runtime2.sys
2007-05-25 10:34 0 --a------ C:\WINDOWS\ogx5r1bglo.dat
2007-05-24 15:56 16 --a------ C:\WINDOWS\hfs.dat
2007-05-22 20:30 <DIR> d-------- C:\DOKUME~1\Benning\ANWEND~1\ICQ Toolbar


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-22 04:50:27 -------- d-----w C:\DOKUME~1\Benning\ANWEND~1\Skype
2007-05-31 15:37:43 63,580 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-05-31 15:37:43 391,000 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-05-31 12:54:59 -------- d-----w C:\Programme\EA SPORTS
2007-05-23 17:31:25 -------- d-----w C:\Programme\MSN Messenger
2007-05-20 18:45:41 16 ----a-w C:\WINDOWS\fdd.dat
2007-05-20 18:45:28 4 ----a-w C:\WINDOWS\system32\panmavic.dat
2007-05-16 11:55:18 16 ----a-w C:\WINDOWS\gdf.dat
2007-05-14 13:19:46 44 ----a-w C:\WINDOWS\system32\p2hhr.bat
2007-05-11 13:36:13 0 ----a-w C:\WINDOWS\vg8iqb.dll
2007-05-07 14:57:34 1,098,648 ----a-w C:\WINDOWS\system32\FreeImage.dll
2007-05-06 15:24:40 -------- d-----w C:\DOKUME~1\Benning\ANWEND~1\SopCast
2007-04-23 13:13:34 3,144,800 ----a-w C:\WINDOWS\ftxlke.pif
2007-04-19 13:25:20 16 ----a-w C:\WINDOWS\hpsys.dat
2007-04-18 16:57:58 0 ----a-w C:\WINDOWS\cdi1okj.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{055FD26D-3A88-4e15-963D-DC8493744B1D}=F:\Programme\ICQToolbar\toolbaru.dll [2006-12-25 10:40]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [2001-03-02 13:02]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 13:22]
{9030D464-4C02-4ABF-8ECC-5164760863C6}=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2006-07-07 12:29]
{9CB65201-89C4-402c-BA80-02D8C59F9B1D}=C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL [2007-04-08 19:27]
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}=C:\Programme\Windows Live Toolbar\msntb.dll [2006-10-11 00:26]
{FE063DB1-4EC0-403e-8DD8-394C54984B2C}=C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL [2007-04-08 19:27]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2004-03-18 10:33]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 10:50 C:\WINDOWS\LOGI_MWX.EXE]
"nwiz"="nwiz.exe" [2004-08-25 11:14 C:\WINDOWS\system32\nwiz.exe]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 17:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2005-06-03 08:16]
"iSaverCtrl"="C:\Programme\iSaver\iSaverCtrl.exe" [2005-01-19 17:32]
"ICQ Lite"="F:\Programme\ICQLite\ICQLite.exe" [2007-05-25 11:05]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-02-20 21:51]
"SPAMfighter Agent"="C:\Programme\SPAMfighter\SFAgent.exe" [2007-05-07 16:57]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spamihilator"="F:\Anti-Viren\Spamihilator\spamihilator.exe" [2007-01-24 15:49]
"Skype"="F:\Programme\Phone\Skype.exe" [2006-08-14 18:39]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-05-25 10:33]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=F:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{C7F76815-E647-4BCE-B21A-600CE626E5D8}"="C:\WINDOWS\system32\nvstatld.dll" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\brwmgr]
brwmgr32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jfgmgr]
jfgmgr32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\panmavic]
C:\WINDOWS\system32\panmavic.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch]
C:\WINDOWS\system32\slbipsch.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\swfmgr]
swfmgr32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vadmgr]
vadmgr32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wmvmgr]
wmvmgr32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\KASPER~1\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\asedwes]
C:\WINDOWS\system32\winvnkfi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cpssystem]
C:\WINDOWS\system32\smdlsset.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cxsemse]
C:\WINDOWS\system32\winvnkfi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"F:\Programme\DAEMON Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dllcvss]
C:\WINDOWS\system32\winvnkfi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dlmicss]
C:\WINDOWS\system32\netwsmlx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\expcrt]
C:\WINDOWS\system32\liscrts.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\idmlcs]
C:\WINDOWS\system32\rdlnldxc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\idmlssp]
C:\WINDOWS\system32\winvnkfi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\jfgdiag]
C:\WINDOWS\system32\jfgconf.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kbdmisd]
reghpveg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MnEx32]
C:\WINDOWS\system32\svhst32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\playscl]
C:\WINDOWS\system32\rdlnldxc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sdkeylib]
C:\WINDOWS\system32\sedkeyss.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\smiproc]
C:\WINDOWS\system32\ldmprocs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swfdiag]
C:\WINDOWS\system32\swfconf.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Usnsvc usnsvc


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{67389be4-64bd-11d9-84ae-00112f436c7d}]
AutoRun\command- I:\RunGame.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5e50f10-808e-11da-84e1-00112f436c7d}]
AutoRun\command- K:\setupSNK.exe


Contents of the 'Scheduled Tasks' folder
2006-11-07 13:42:14 C:\WINDOWS\tasks\Auf Updates für Windows Live Toolbar prüfen.job
2006-12-13 21:06:23 C:\WINDOWS\tasks\PMCS_Wakeup633016443835000000.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-22 07:41:56
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-22 7:45:16 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-22 07:45

--- E O F ---

HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 07:53:06, on 22.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
C:\Programme\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.prosieben.de/index.php?icqpath=icq
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - F:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [iSaverCtrl] C:\Programme\iSaver\iSaverCtrl.exe --startup
O4 - HKLM\..\Run: [ICQ Lite] "F:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKCU\..\Run: [Spamihilator] "F:\Anti-Viren\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [Skype] "F:\Programme\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: E-Mail.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?75754a8224e249b69d68a587f1133849
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?75754a8224e249b69d68a587f1133849
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky\scieplugin.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109106664421
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{69EB38F6-8031-4B7A-B556-5073E5680793}: NameServer = 192.168.200.1,192.186.200.100
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\adialhk.dll
O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing)
O20 - Winlogon Notify: jfgmgr - jfgmgr32.dll (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: panmavic - C:\WINDOWS\system32\panmavic.dll (file missing)
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\system32\slbipsch.dll (file missing)
O20 - Winlogon Notify: swfmgr - swfmgr32.dll (file missing)
O20 - Winlogon Notify: vadmgr - vadmgr32.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: wmvmgr - wmvmgr32.dll (file missing)
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (file missing)
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky\avp.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe


Datfind:


Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB

Verzeichnis von C:\WINDOWS\system32

22.06.2007 07:41 2.206 wpa.dbl
22.06.2007 06:48 5.322 ielog.dll
22.06.2007 06:48 47.849 cjpeg.exe
22.06.2007 06:48 4.626 nvapps.xml
20.06.2007 06:20 22.296 qmjlenci.exe
19.06.2007 15:31 22.296 qmfmakbm.exe
19.06.2007 15:31 22.296 qmbhdahl.exe
19.06.2007 15:18 22.296 qmgaelpn.exe
15.06.2007 21:43 4.096 43547032ld.exe
31.05.2007 17:37 391.000 perfh007.dat
31.05.2007 17:37 380.350 perfh009.dat
31.05.2007 17:37 52.764 perfc009.dat
31.05.2007 17:37 63.580 perfc007.dat
31.05.2007 17:37 897.954 PerfStringBackup.INI
28.05.2007 16:09 16 owbc6.tlt
28.05.2007 16:07 4 mklvcv.gfx
20.05.2007 20:45 4 panmavic.dat
17.05.2007 19:19 124.688 MSWINSCK.OCX
14.05.2007 15:19 44 p2hhr.bat
14.05.2007 15:01 16 owbc3.tlt
12.05.2007 17:49 428.424 dfg32.tmp
07.05.2007 16:57 1.098.648 FreeImage.dll
29.04.2007 18:12 7.006 jupdate-1.5.0_06-b05.log
02.04.2007 14:21 428.032 swreg.exe

2299 Datei(en) 482.103.011 Bytes
0 Verzeichnis(se), 12.124.622.848 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB

Verzeichnis von C:\DOKUME~1\Benning\LOKALE~1\Temp

22.06.2007 08:02 112.634 datfind.txt
22.06.2007 07:52 206 jusched.log
22.06.2007 07:46 10.641 log.txt
3 Datei(en) 123.481 Bytes
0 Verzeichnis(se), 12.124.639.232 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB

Verzeichnis von C:\WINDOWS

22.06.2007 07:40 0 0.log
22.06.2007 07:40 159 wiadebug.log
22.06.2007 07:40 50 wiaservc.log
22.06.2007 07:40 2.048 bootstat.dat
22.06.2007 07:38 1.230.542 WindowsUpdate.log
20.06.2007 15:32 917.062 ntbtlog.txt
20.06.2007 06:30 7.191 setupapi.log
19.06.2007 12:04 65 iTouch.ini
17.06.2007 18:31 10 458149045
05.06.2007 05:24 87.552 catchme.exe
01.06.2007 19:31 155 winamp.ini
01.06.2007 19:31 69 NeroDigital.ini
31.05.2007 10:23 120 setupact.log
31.05.2007 09:59 227 SYSTEM.INI
31.05.2007 09:59 650 win.ini
30.05.2007 16:58 0 setuperr.log
25.05.2007 11:05 0 jwteqqqur9.scf
25.05.2007 10:34 0 ogx5r1bglo.dat
25.05.2007 10:33 0 a3ape60pk.scf
24.05.2007 17:02 0 utulq46.bmp
24.05.2007 15:56 16 hfs.dat
24.05.2007 15:56 0 kodf.wd44et
20.05.2007 20:48 0 kodf.w44et
20.05.2007 20:45 16 fdd.dat
17.05.2007 15:19 0 vadcfg.tmp
16.05.2007 14:45 0 jpgcfg.tmp
16.05.2007 13:55 0 kodf.w4et
16.05.2007 13:55 16 gdf.dat
14.05.2007 15:24 0 drvcfg.tmp
12.05.2007 19:33 0 jhhfst.tmp
11.05.2007 15:36 0 vg8iqb.dll
11.05.2007 14:17 0 bopcfg.tmp
11.05.2007 14:17 0 anscfg.tmp
29.04.2007 12:53 0 qeuvv3de.tmp
28.04.2007 21:02 0 kodf.w2v
27.04.2007 22:29 0 wmvcfg.tmp
24.04.2007 15:30 0 j03aiuqf.txt
23.04.2007 15:13 3.144.800 ftxlke.pif
19.04.2007 15:25 16 hpsys.dat
18.04.2007 19:47 0 fp1g9aq.scf
18.04.2007 18:57 0 cdi1okj.dll
18.04.2007 18:56 3.144.800 fmd63i.ini
18.04.2007 18:36 0 kodf.wav
08.04.2007 19:39 316.640 WMSysPr9.prx
08.04.2007 17:05 0 shsdmmo.scf
08.04.2007 17:03 3.144.800 lx1k01.txt

280 Datei(en) 43.923.580 Bytes
0 Verzeichnis(se), 12.124.622.848 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB

Verzeichnis von C:\WINDOWS\temp

22.06.2007 07:46 373 WGANotify.settings
1 Datei(en) 373 Bytes
0 Verzeichnis(se), 12.124.622.848 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 15:36 5.019 swflash.inf
27.02.2005 12:11 2.072 vscanmsx.dat
23.02.2005 02:00 32 virscant.dat
23.02.2005 02:00 1.993.732 virscan9.dat
23.02.2005 02:00 2.390 catalog.dat
23.02.2005 02:00 1.246.508 virscan8.dat
23.02.2005 02:00 6.899 ecbootil.vxd
23.02.2005 02:00 1.907.527 virscan7.dat
23.02.2005 02:00 210.552 ecmsvr32.dll
23.02.2005 02:00 381.027 virscan6.dat
23.02.2005 02:00 202.761 virscan5.dat
23.02.2005 02:00 124.576 naveng32.dll
23.02.2005 02:00 685.728 navex32a.dll
23.02.2005 02:00 316.532 virscan4.dat
23.02.2005 02:00 87.264 scrauth.dat
23.02.2005 02:00 257.707 tcscan9.dat
23.02.2005 02:00 8.137 symaveng.cat
23.02.2005 02:00 900 symaveng.inf
23.02.2005 02:00 10.127 tcdefs.dat
23.02.2005 02:00 465.033 tcscan7.dat
23.02.2005 02:00 71.116 tcscan8.dat
23.02.2005 02:00 224 zdone.dat
23.02.2005 02:00 453 tinf.dat
23.02.2005 02:00 148 tinfidx.dat
23.02.2005 02:00 1.957 tinfl.dat
23.02.2005 02:00 38.189 tscan1.dat
23.02.2005 02:00 1.237 tscan1hd.dat
23.02.2005 02:00 5.516 v.grd
23.02.2005 02:00 2.225 v.sig
23.02.2005 02:00 106.244 virscan.inf
23.02.2005 02:00 915.530 virscan1.dat
23.02.2005 02:00 551.322 virscan2.dat
23.02.2005 02:00 144.704 virscan3.dat
18.02.2005 16:14 161.432 rufsi.dll
18.02.2005 16:11 198.256 avsniffdlgs.dll
18.02.2005 16:11 202.352 avsniff.dll
18.02.2005 16:09 241 CabSA.inf
18.02.2005 16:09 773 avsniff.inf
18.02.2005 16:07 201.896 navapi32.dll
18.02.2005 16:07 6.850 navapi.vxd
18.02.2005 16:06 42.112 ecmldr32.dll
22.12.2004 14:49 65 desktop.ini
03.08.2004 15:51 293 wuweb.inf
43 Datei(en) 10.567.658 Bytes
0 Verzeichnis(se), 12.124.622.848 Bytes frei
.
.

Was muss ich tun, damit dieses lästige Ding endlich weg ist??? Eine Neuinstallation möchte ich umgehen. Habe schon von meinem Provider eine mailversandbeschränkung aufs Auge gedrückt bekommen, weil scheinbar der Trojaner Mails versendet.

Vielen Dank im voraus für eure Hilfe!

Bluebird
Seitenanfang Seitenende
22.06.2007, 11:36
Moderator

Beiträge: 7805
#2 Starte bitte den Rechner neu, renne die Internetverbindung, deaktiviere den Kaspersky Hintergrundwaechter und bennene folgende Dateien um:

2007-06-22 06:48 22,296 --a------ C:\WINDOWS\system32\qmjlenci.exe
2007-06-20 06:20 5,322 --a------ C:\WINDOWS\system32\ielog.dll
2007-06-20 06:20 22,296 --a------ C:\WINDOWS\system32\qmfmakbm.exe
2007-06-20 05:52 22,296 --a------ C:\WINDOWS\system32\qmbhdahl.exe
2007-06-19 15:31 22,296 --a------ C:\WINDOWS\system32\qmgaelpn.exe
2007-06-19 15:07 47,849 --a------ C:\WINDOWS\system32\cjpeg.exe
2007-06-19 15:04 82,258 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-06-19 15:04 82,258 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-06-15 21:43 4,096 --a------ C:\WINDOWS\system32\43547032ld.exe
2007-04-23 13:13:34 3,144,800 ----a-w C:\WINDOWS\ftxlke.pif
2007-04-19 13:25:20 16 ----a-w C:\WINDOWS\hpsys.dat
2007-04-18 16:57:58 0 ----a-w C:\WINDOWS\cdi1okj.dll
Erstelle nun alle Reporte neu! Starte den PC erneut, aktiviere den Kasperskyhintergrundwaechter und und poste die neu erstellten Reporte.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.06.2007, 11:50
Member

Themenstarter

Beiträge: 14
#3 In was soll ich die Dateien umbennen?
Seitenanfang Seitenende
22.06.2007, 11:52
Moderator

Beiträge: 7805
#4 Schneide einfach den letzten Buchstaben ab. Das reicht vollkommen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.06.2007, 12:10
Member

Themenstarter

Beiträge: 14
#5 Den letzen Buchstaben des Dateinamen oder der Dateierweiterung? Oder egal?
Seitenanfang Seitenende
22.06.2007, 12:11
Moderator

Beiträge: 7805
#6 Im Zweifelsfalle die der Dateierweiterung. Damit du versehentliches Starten ausschliessen kannst.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.06.2007, 15:18
Member

Themenstarter

Beiträge: 14
#7 So, auf ein Neues:

Kaspersky:


Virensuche
----------
Untersucht: 199401
Gefunden: 1
Nicht bearbeitet: 1
Start: 22.06.2007 12:18:22
Dauer: 02:14:08
Ende: 22.06.2007 14:32:30


Gefunden
--------
Status Objekt
------ ------
gefunden: trojanisches Programm Rootkit.Win32.Agent.ey Datei: C:\WINDOWS\system32\drivers\runtime2.sys

Combo:

ComboFix 07-06-18.2 - I:\Antiviren\ComboFix.exe
"Benning" - 2007-06-22 14:35:00 - Service Pack 2 NTFS


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\drivers\runtime2.sys


((((((((((((((((((((((((( Files Created from 2007-05-22 to 2007-06-22 )))))))))))))))))))))))))))))))


2007-06-22 12:18 82,258 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-06-22 12:18 82,258 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-06-22 08:07 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-06-22 07:50 <DIR> d-------- C:\Programme\HJT
2007-06-22 07:32 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-19 15:04 9,248 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-06-19 15:04 3,370,784 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-06-19 15:04 <DIR> d----c--- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab
2007-06-19 15:02 <DIR> d-------- C:\Programme\Kaspersky
2007-06-01 11:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2007-06-01 11:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ankiro
2007-06-01 11:58 <DIR> d-------- C:\DOKUME~1\Benning\ANWEND~1\SPAMfighter
2007-06-01 11:57 <DIR> d-------- C:\Programme\SPAMfighter
2007-05-31 09:57 <DIR> d-------- C:\WINDOWS\pss
2007-05-25 10:34 0 --a------ C:\WINDOWS\ogx5r1bglo.dat
2007-05-24 15:56 16 --a------ C:\WINDOWS\hfs.dat
2007-05-22 20:30 <DIR> d-------- C:\DOKUME~1\Benning\ANWEND~1\ICQ Toolbar


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-22 10:00:45 -------- d-----w C:\DOKUME~1\Benning\ANWEND~1\Skype
2007-05-31 15:37:43 63,580 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-05-31 15:37:43 391,000 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-05-31 12:54:59 -------- d-----w C:\Programme\EA SPORTS
2007-05-23 17:31:25 -------- d-----w C:\Programme\MSN Messenger
2007-05-20 18:45:41 16 ----a-w C:\WINDOWS\fdd.dat
2007-05-20 18:45:28 4 ----a-w C:\WINDOWS\system32\panmavic.dat
2007-05-16 11:55:18 16 ----a-w C:\WINDOWS\gdf.dat
2007-05-14 13:19:46 44 ----a-w C:\WINDOWS\system32\p2hhr.bat
2007-05-11 13:36:13 0 ----a-w C:\WINDOWS\vg8iqb.dll
2007-05-07 14:57:34 1,098,648 ----a-w C:\WINDOWS\system32\FreeImage.dll
2007-05-06 15:24:40 -------- d-----w C:\DOKUME~1\Benning\ANWEND~1\SopCast
2007-04-23 13:13:34 3,144,800 ----a-w C:\WINDOWS\ftxl.pif


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{055FD26D-3A88-4e15-963D-DC8493744B1D}=F:\Programme\ICQToolbar\toolbaru.dll [2006-12-25 10:40]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [2001-03-02 13:02]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 13:22]
{9030D464-4C02-4ABF-8ECC-5164760863C6}=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2006-07-07 12:29]
{9CB65201-89C4-402c-BA80-02D8C59F9B1D}=C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL [2007-04-08 19:27]
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}=C:\Programme\Windows Live Toolbar\msntb.dll [2006-10-11 00:26]
{FE063DB1-4EC0-403e-8DD8-394C54984B2C}=C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL [2007-04-08 19:27]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2004-03-18 10:33]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 10:50 C:\WINDOWS\LOGI_MWX.EXE]
"nwiz"="nwiz.exe" [2004-08-25 11:14 C:\WINDOWS\system32\nwiz.exe]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 17:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2005-06-03 08:16]
"iSaverCtrl"="C:\Programme\iSaver\iSaverCtrl.exe" [2005-01-19 17:32]
"ICQ Lite"="F:\Programme\ICQLite\ICQLite.exe" [2007-05-25 11:05]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-02-20 21:51]
"SPAMfighter Agent"="C:\Programme\SPAMfighter\SFAgent.exe" [2007-05-07 16:57]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spamihilator"="F:\Anti-Viren\Spamihilator\spamihilator.exe" [2007-01-24 15:49]
"Skype"="F:\Programme\Phone\Skype.exe" [2006-08-14 18:39]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-05-25 10:33]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"ICQ Lite"=F:\Programme\ICQLite\ICQLite.exe -trayboot

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{C7F76815-E647-4BCE-B21A-600CE626E5D8}"="C:\WINDOWS\system32\nvstatld.dll" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\brwmgr]
brwmgr32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jfgmgr]
jfgmgr32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\panmavic]
C:\WINDOWS\system32\panmavic.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch]
C:\WINDOWS\system32\slbipsch.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\swfmgr]
swfmgr32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\vadmgr]
vadmgr32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wmvmgr]
wmvmgr32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\KASPER~1\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\asedwes]
C:\WINDOWS\system32\winvnkfi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cpssystem]
C:\WINDOWS\system32\smdlsset.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cxsemse]
C:\WINDOWS\system32\winvnkfi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"F:\Programme\DAEMON Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dllcvss]
C:\WINDOWS\system32\winvnkfi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dlmicss]
C:\WINDOWS\system32\netwsmlx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\expcrt]
C:\WINDOWS\system32\liscrts.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\idmlcs]
C:\WINDOWS\system32\rdlnldxc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\idmlssp]
C:\WINDOWS\system32\winvnkfi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\jfgdiag]
C:\WINDOWS\system32\jfgconf.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kbdmisd]
reghpveg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MnEx32]
C:\WINDOWS\system32\svhst32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\playscl]
C:\WINDOWS\system32\rdlnldxc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sdkeylib]
C:\WINDOWS\system32\sedkeyss.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\smiproc]
C:\WINDOWS\system32\ldmprocs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swfdiag]
C:\WINDOWS\system32\swfconf.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Usnsvc usnsvc


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{67389be4-64bd-11d9-84ae-00112f436c7d}]
AutoRun\command- I:\RunGame.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5e50f10-808e-11da-84e1-00112f436c7d}]
AutoRun\command- K:\setupSNK.exe


Contents of the 'Scheduled Tasks' folder
2006-11-07 13:42:14 C:\WINDOWS\tasks\Auf Updates für Windows Live Toolbar prüfen.job
2006-12-13 21:06:23 C:\WINDOWS\tasks\PMCS_Wakeup633016443835000000.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-22 14:46:52
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-22 14:50:16 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-06-22 14:50
C:\ComboFix2.txt ... 2007-06-22 07:45

--- E O F ---

Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 15:02:58, on 22.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SPAMfighter\SFAgent.exe
F:\Anti-Viren\Spamihilator\spamihilator.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
C:\Programme\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.prosieben.de/index.php?icqpath=icq
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - F:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [iSaverCtrl] C:\Programme\iSaver\iSaverCtrl.exe --startup
O4 - HKLM\..\Run: [ICQ Lite] "F:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKCU\..\Run: [Spamihilator] "F:\Anti-Viren\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [Skype] "F:\Programme\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: E-Mail.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky\ie_banner_deny.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?75754a8224e249b69d68a587f1133849
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?75754a8224e249b69d68a587f1133849
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky\scieplugin.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109106664421
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{69EB38F6-8031-4B7A-B556-5073E5680793}: NameServer = 192.168.200.1,192.186.200.100
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\adialhk.dll
O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing)
O20 - Winlogon Notify: jfgmgr - jfgmgr32.dll (file missing)
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: panmavic - C:\WINDOWS\system32\panmavic.dll (file missing)
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\system32\slbipsch.dll (file missing)
O20 - Winlogon Notify: swfmgr - swfmgr32.dll (file missing)
O20 - Winlogon Notify: vadmgr - vadmgr32.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: wmvmgr - wmvmgr32.dll (file missing)
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (file missing)
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky\avp.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

Datfind:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB

Verzeichnis von C:\WINDOWS\system32

22.06.2007 07:41 2.206 wpa.dbl
22.06.2007 06:48 5.322 ielog.dll
22.06.2007 06:48 47.849 cjpeg.exe
22.06.2007 06:48 4.626 nvapps.xml
20.06.2007 06:20 22.296 qmjlenci.exe
19.06.2007 15:31 22.296 qmfmakbm.exe
19.06.2007 15:31 22.296 qmbhdahl.exe
19.06.2007 15:18 22.296 qmgaelpn.exe
15.06.2007 21:43 4.096 43547032ld.exe
31.05.2007 17:37 391.000 perfh007.dat
31.05.2007 17:37 380.350 perfh009.dat
31.05.2007 17:37 52.764 perfc009.dat
31.05.2007 17:37 63.580 perfc007.dat
31.05.2007 17:37 897.954 PerfStringBackup.INI
28.05.2007 16:09 16 owbc6.tlt
28.05.2007 16:07 4 mklvcv.gfx
20.05.2007 20:45 4 panmavic.dat
17.05.2007 19:19 124.688 MSWINSCK.OCX
14.05.2007 15:19 44 p2hhr.bat
14.05.2007 15:01 16 owbc3.tlt
12.05.2007 17:49 428.424 dfg32.tmp
07.05.2007 16:57 1.098.648 FreeImage.dll
29.04.2007 18:12 7.006 jupdate-1.5.0_06-b05.log
02.04.2007 14:21 428.032 swreg.exe

2299 Datei(en) 482.103.011 Bytes
0 Verzeichnis(se), 12.124.622.848 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB

Verzeichnis von C:\DOKUME~1\Benning\LOKALE~1\Temp

22.06.2007 08:02 112.634 datfind.txt
22.06.2007 07:52 206 jusched.log
22.06.2007 07:46 10.641 log.txt
3 Datei(en) 123.481 Bytes
0 Verzeichnis(se), 12.124.639.232 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB

Verzeichnis von C:\WINDOWS

22.06.2007 07:40 0 0.log
22.06.2007 07:40 159 wiadebug.log
22.06.2007 07:40 50 wiaservc.log
22.06.2007 07:40 2.048 bootstat.dat
22.06.2007 07:38 1.230.542 WindowsUpdate.log
20.06.2007 15:32 917.062 ntbtlog.txt
20.06.2007 06:30 7.191 setupapi.log
19.06.2007 12:04 65 iTouch.ini
17.06.2007 18:31 10 458149045
05.06.2007 05:24 87.552 catchme.exe
01.06.2007 19:31 155 winamp.ini
01.06.2007 19:31 69 NeroDigital.ini
31.05.2007 10:23 120 setupact.log
31.05.2007 09:59 227 SYSTEM.INI
31.05.2007 09:59 650 win.ini
30.05.2007 16:58 0 setuperr.log
25.05.2007 11:05 0 jwteqqqur9.scf
25.05.2007 10:34 0 ogx5r1bglo.dat
25.05.2007 10:33 0 a3ape60pk.scf
24.05.2007 17:02 0 utulq46.bmp
24.05.2007 15:56 16 hfs.dat
24.05.2007 15:56 0 kodf.wd44et
20.05.2007 20:48 0 kodf.w44et
20.05.2007 20:45 16 fdd.dat
17.05.2007 15:19 0 vadcfg.tmp
16.05.2007 14:45 0 jpgcfg.tmp
16.05.2007 13:55 0 kodf.w4et
16.05.2007 13:55 16 gdf.dat
14.05.2007 15:24 0 drvcfg.tmp
12.05.2007 19:33 0 jhhfst.tmp
11.05.2007 15:36 0 vg8iqb.dll
11.05.2007 14:17 0 bopcfg.tmp
11.05.2007 14:17 0 anscfg.tmp
29.04.2007 12:53 0 qeuvv3de.tmp
28.04.2007 21:02 0 kodf.w2v
27.04.2007 22:29 0 wmvcfg.tmp
24.04.2007 15:30 0 j03aiuqf.txt
23.04.2007 15:13 3.144.800 ftxlke.pif
19.04.2007 15:25 16 hpsys.dat
18.04.2007 19:47 0 fp1g9aq.scf
18.04.2007 18:57 0 cdi1okj.dll
18.04.2007 18:56 3.144.800 fmd63i.ini
18.04.2007 18:36 0 kodf.wav
08.04.2007 19:39 316.640 WMSysPr9.prx
08.04.2007 17:05 0 shsdmmo.scf
08.04.2007 17:03 3.144.800 lx1k01.txt

280 Datei(en) 43.923.580 Bytes
0 Verzeichnis(se), 12.124.622.848 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB

Verzeichnis von C:\WINDOWS\temp

22.06.2007 07:46 373 WGANotify.settings
1 Datei(en) 373 Bytes
0 Verzeichnis(se), 12.124.622.848 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 15:36 5.019 swflash.inf
27.02.2005 12:11 2.072 vscanmsx.dat
23.02.2005 02:00 32 virscant.dat
23.02.2005 02:00 1.993.732 virscan9.dat
23.02.2005 02:00 2.390 catalog.dat
23.02.2005 02:00 1.246.508 virscan8.dat
23.02.2005 02:00 6.899 ecbootil.vxd
23.02.2005 02:00 1.907.527 virscan7.dat
23.02.2005 02:00 210.552 ecmsvr32.dll
23.02.2005 02:00 381.027 virscan6.dat
23.02.2005 02:00 202.761 virscan5.dat
23.02.2005 02:00 124.576 naveng32.dll
23.02.2005 02:00 685.728 navex32a.dll
23.02.2005 02:00 316.532 virscan4.dat
23.02.2005 02:00 87.264 scrauth.dat
23.02.2005 02:00 257.707 tcscan9.dat
23.02.2005 02:00 8.137 symaveng.cat
23.02.2005 02:00 900 symaveng.inf
23.02.2005 02:00 10.127 tcdefs.dat
23.02.2005 02:00 465.033 tcscan7.dat
23.02.2005 02:00 71.116 tcscan8.dat
23.02.2005 02:00 224 zdone.dat
23.02.2005 02:00 453 tinf.dat
23.02.2005 02:00 148 tinfidx.dat
23.02.2005 02:00 1.957 tinfl.dat
23.02.2005 02:00 38.189 tscan1.dat
23.02.2005 02:00 1.237 tscan1hd.dat
23.02.2005 02:00 5.516 v.grd
23.02.2005 02:00 2.225 v.sig
23.02.2005 02:00 106.244 virscan.inf
23.02.2005 02:00 915.530 virscan1.dat
23.02.2005 02:00 551.322 virscan2.dat
23.02.2005 02:00 144.704 virscan3.dat
18.02.2005 16:14 161.432 rufsi.dll
18.02.2005 16:11 198.256 avsniffdlgs.dll
18.02.2005 16:11 202.352 avsniff.dll
18.02.2005 16:09 241 CabSA.inf
18.02.2005 16:09 773 avsniff.inf
18.02.2005 16:07 201.896 navapi32.dll
18.02.2005 16:07 6.850 navapi.vxd
18.02.2005 16:06 42.112 ecmldr32.dll
22.12.2004 14:49 65 desktop.ini
03.08.2004 15:51 293 wuweb.inf
43 Datei(en) 10.567.658 Bytes
0 Verzeichnis(se), 12.124.622.848 Bytes frei

Seitenanfang Seitenende
22.06.2007, 15:50
Moderator

Beiträge: 7805
#8 Hake in Hijackthis bitte folgendes an und druecke fix checked:

O20 - Winlogon Notify: brwmgr - brwmgr32.dll (file missing)
O20 - Winlogon Notify: jfgmgr - jfgmgr32.dll (file missing)
O20 - Winlogon Notify: panmavic - C:\WINDOWS\system32\panmavic.dll (file missing)
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\system32\slbipsch.dll (file missing)
O20 - Winlogon Notify: swfmgr - swfmgr32.dll (file missing)
O20 - Winlogon Notify: vadmgr - vadmgr32.dll (file missing)
O20 - Winlogon Notify: wmvmgr - wmvmgr32.dll (file missing)
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (file missing)


Starte neu und schaue, ob die Eintraege wirklich verschwunden sind. Danach loesche alle Dateien, die du umbenennen solltest, oder wenn du kannst, packe sie vorher mit Winrar/Winzip und schicke sie an die Adresse virus@protecus.de .

Loesche auch c:\windows\lx1k01.txt

Danach bitte ein neuen Datfind Report posten.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.06.2007, 16:10
Member

Themenstarter

Beiträge: 14
#9 Vielen Dank erstmal für deine Hilfe. Muss gleich weg und komme erst Anfang der Woche dazu, mich weiter um das Problem zu kümmern. Ich werde mich dann Montag oder Dienstag hier wieder melden.

Bis dann

Bluebird
Seitenanfang Seitenende
26.06.2007, 08:07
Member

Themenstarter

Beiträge: 14
#10 Guten Morgen zusammen!

Anbei nun der neue Datfind Report sowie der HijackThis Report. Anzumerken wäre noch ,dass der Ordner "system32" unter C:\Windows nicht zu sehen ist (auch wenn Haken bei "alle Ordner sichtbar machen" gesetzt). Habe dann einfach in der Titelleiste "C:\Windows\system32" eingegeben, dann hat es geklappt. Sorgt der Trojaner für derartige Merkwürdigkeiten?

Datfind:

Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB

Verzeichnis von C:\WINDOWS\system32

26.06.2007 07:29 4.626 nvapps.xml
26.06.2007 07:29 2.206 wpa.dbl
31.05.2007 17:37 380.350 perfh009.dat
31.05.2007 17:37 52.764 perfc009.dat
31.05.2007 17:37 391.000 perfh007.dat
31.05.2007 17:37 63.580 perfc007.dat
31.05.2007 17:37 897.954 PerfStringBackup.INI
28.05.2007 16:09 16 owbc6.tlt
28.05.2007 16:07 4 mklvcv.gfx
20.05.2007 20:45 4 panmavic.dat
17.05.2007 19:19 124.688 MSWINSCK.OCX
14.05.2007 15:19 44 p2hhr.bat
14.05.2007 15:01 16 owbc3.tlt
12.05.2007 17:49 428.424 dfg32.tmp
07.05.2007 16:57 1.098.648 FreeImage.dll
29.04.2007 18:12 7.006 jupdate-1.5.0_06-b05.log
02.04.2007 14:21 428.032 swreg.exe
14.03.2007 19:19 95.864 NeroCo.dll

2292 Datei(en) 481.956.560 Bytes
0 Verzeichnis(se), 12.113.768.448 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB

Verzeichnis von C:\DOKUME~1\Benning\LOKALE~1\Temp

26.06.2007 07:43 112.288 datfind.txt
26.06.2007 07:39 618 jusched.log
22.06.2007 14:50 9.638 log.txt

3 Datei(en) 122.544 Bytes
0 Verzeichnis(se), 12.113.784.832 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB

Verzeichnis von C:\WINDOWS

26.06.2007 07:25 0 0.log
26.06.2007 07:24 50 wiaservc.log
26.06.2007 07:24 159 wiadebug.log
26.06.2007 07:24 2.048 bootstat.dat
26.06.2007 07:23 1.234.082 WindowsUpdate.log
20.06.2007 15:32 917.062 ntbtlog.txt
20.06.2007 06:30 7.191 setupapi.log
19.06.2007 12:04 65 iTouch.ini
17.06.2007 18:31 10 458149045
05.06.2007 05:24 87.552 catchme.exe
01.06.2007 19:31 155 winamp.ini
01.06.2007 19:31 69 NeroDigital.ini
31.05.2007 10:23 120 setupact.log
31.05.2007 09:59 227 SYSTEM.INI
31.05.2007 09:59 650 win.ini
30.05.2007 16:58 0 setuperr.log
25.05.2007 11:05 0 jwteqqqur9.scf
25.05.2007 10:34 0 ogx5r1bglo.dat
25.05.2007 10:33 0 a3ape60pk.scf
24.05.2007 17:02 0 utulq46.bmp
24.05.2007 15:56 16 hfs.dat
24.05.2007 15:56 0 kodf.wd44et
20.05.2007 20:48 0 kodf.w44et
20.05.2007 20:45 16 fdd.dat
17.05.2007 15:19 0 vadcfg.tmp
16.05.2007 14:45 0 jpgcfg.tmp
16.05.2007 13:55 0 kodf.w4et
16.05.2007 13:55 16 gdf.dat
14.05.2007 15:24 0 drvcfg.tmp
12.05.2007 19:33 0 jhhfst.tmp
11.05.2007 15:36 0 vg8iqb.dll
11.05.2007 14:17 0 anscfg.tmp
11.05.2007 14:17 0 bopcfg.tmp
29.04.2007 12:53 0 qeuvv3de.tmp
28.04.2007 21:02 0 kodf.w2v
27.04.2007 22:29 0 wmvcfg.tmp
24.04.2007 15:30 0 j03aiuqf.txt
18.04.2007 19:47 0 fp1g9aq.scf
18.04.2007 18:56 3.144.800 fmd63i.ini
18.04.2007 18:36 0 kodf.wav
08.04.2007 19:39 316.640 WMSysPr9.prx
08.04.2007 17:05 0 shsdmmo.scf

276 Datei(en) 37.637.504 Bytes
0 Verzeichnis(se), 12.113.768.448 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB

Verzeichnis von C:\WINDOWS\temp

26.06.2007 07:34 373 WGANotify.settings
26.06.2007 07:24 0 WGAErrLog.txt
2 Datei(en) 373 Bytes
0 Verzeichnis(se), 12.113.768.448 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: A427-EBFB

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09.11.2006 15:36 5.019 swflash.inf
27.02.2005 12:11 2.072 vscanmsx.dat
23.02.2005 02:00 32 virscant.dat
23.02.2005 02:00 1.993.732 virscan9.dat
23.02.2005 02:00 2.390 catalog.dat
23.02.2005 02:00 1.246.508 virscan8.dat
23.02.2005 02:00 6.899 ecbootil.vxd
23.02.2005 02:00 1.907.527 virscan7.dat
23.02.2005 02:00 210.552 ecmsvr32.dll
23.02.2005 02:00 381.027 virscan6.dat
23.02.2005 02:00 202.761 virscan5.dat
23.02.2005 02:00 124.576 naveng32.dll
23.02.2005 02:00 685.728 navex32a.dll
23.02.2005 02:00 316.532 virscan4.dat
23.02.2005 02:00 87.264 scrauth.dat
23.02.2005 02:00 257.707 tcscan9.dat
23.02.2005 02:00 8.137 symaveng.cat
23.02.2005 02:00 900 symaveng.inf
23.02.2005 02:00 10.127 tcdefs.dat
23.02.2005 02:00 465.033 tcscan7.dat
23.02.2005 02:00 71.116 tcscan8.dat
23.02.2005 02:00 224 zdone.dat
23.02.2005 02:00 453 tinf.dat
23.02.2005 02:00 148 tinfidx.dat
23.02.2005 02:00 1.957 tinfl.dat
23.02.2005 02:00 38.189 tscan1.dat
23.02.2005 02:00 1.237 tscan1hd.dat
23.02.2005 02:00 5.516 v.grd
23.02.2005 02:00 2.225 v.sig
23.02.2005 02:00 106.244 virscan.inf
23.02.2005 02:00 915.530 virscan1.dat
23.02.2005 02:00 551.322 virscan2.dat
23.02.2005 02:00 144.704 virscan3.dat
18.02.2005 16:14 161.432 rufsi.dll
18.02.2005 16:11 198.256 avsniffdlgs.dll
18.02.2005 16:11 202.352 avsniff.dll
18.02.2005 16:09 241 CabSA.inf
18.02.2005 16:09 773 avsniff.inf
18.02.2005 16:07 201.896 navapi32.dll
18.02.2005 16:07 6.850 navapi.vxd
18.02.2005 16:06 42.112 ecmldr32.dll
22.12.2004 14:49 65 desktop.ini
03.08.2004 15:51 293 wuweb.inf
43 Datei(en) 10.567.658 Bytes
0 Verzeichnis(se), 12.113.768.448 Bytes frei
.


HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 07:35:28, on 26.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SPAMfighter\SFAgent.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.prosieben.de/index.php?icqpath=icq
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - F:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - F:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Programme\AskTBar\bar\2.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [iSaverCtrl] C:\Programme\iSaver\iSaverCtrl.exe --startup
O4 - HKLM\..\Run: [ICQ Lite] "F:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programme\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [Spamihilator] "F:\Anti-Viren\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [Skype] "F:\Programme\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] F:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: E-Mail.lnk = ?
O8 - Extra context menu item: &ICQ Toolbar Search - res://F:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky\ie_banner_deny.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?75754a8224e249b69d68a587f1133849
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?75754a8224e249b69d68a587f1133849
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky\scieplugin.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1109106664421
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{69EB38F6-8031-4B7A-B556-5073E5680793}: NameServer = 192.168.200.1,192.186.200.100
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\aspnet_state.exe (file missing)
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky\avp.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

Bluebird
Seitenanfang Seitenende
26.06.2007, 08:40
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#11 Entferne auf C:\qoobox\ Papierkorb leeren

Entferne Combofix

Download ComboFix zum Desktop
Doppelklick combofix.exe
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile(combofix.txt).
Kopiere den Inhalt des Berichts C:/Combofix/combofix.txt in dein folgender Bericht
__________
MfG Argus
Seitenanfang Seitenende
26.06.2007, 09:05
Member

Themenstarter

Beiträge: 14
#12 "Benning" - 2007-06-26 8:58:51 - ComboFix 07-06-25.3 - Service Pack 2 NTFS


((((((((((((((((((((((((( Files Created from 2007-05-26 to 2007-06-26 )))))))))))))))))))))))))))))))


2007-06-22 12:18 82,258 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-06-22 12:18 82,258 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-06-22 08:07 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-06-22 07:50 <DIR> d-------- C:\Programme\HJT
2007-06-22 07:32 49,152 --a------ C:\WINDOWS\nircmd.exe
2007-06-19 15:04 3,390,496 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-06-19 15:04 11,808 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-06-19 15:04 <DIR> d----c--- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Kaspersky Lab
2007-06-19 15:02 <DIR> d-------- C:\Programme\Kaspersky
2007-06-01 11:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2007-06-01 11:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ankiro
2007-06-01 11:58 <DIR> d-------- C:\DOKUME~1\Benning\ANWEND~1\SPAMfighter
2007-06-01 11:57 <DIR> d-------- C:\Programme\SPAMfighter
2007-05-31 09:57 <DIR> d-------- C:\WINDOWS\pss


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-06-26 05:33:01 -------- d-----w C:\DOKUME~1\Benning\ANWEND~1\Skype
2007-05-31 15:37:43 63,580 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-05-31 15:37:43 391,000 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-05-31 12:54:59 -------- d-----w C:\Programme\EA SPORTS
2007-05-25 08:34:19 0 ----a-w C:\WINDOWS\ogx5r1bglo.dat
2007-05-24 13:56:37 16 ----a-w C:\WINDOWS\hfs.dat
2007-05-23 17:31:25 -------- d-----w C:\Programme\MSN Messenger
2007-05-22 18:30:06 -------- d-----w C:\DOKUME~1\Benning\ANWEND~1\ICQ Toolbar
2007-05-20 18:45:41 16 ----a-w C:\WINDOWS\fdd.dat
2007-05-20 18:45:28 4 ----a-w C:\WINDOWS\system32\panmavic.dat
2007-05-16 11:55:18 16 ----a-w C:\WINDOWS\gdf.dat
2007-05-14 13:19:46 44 ----a-w C:\WINDOWS\system32\p2hhr.bat
2007-05-11 13:36:13 0 ----a-w C:\WINDOWS\vg8iqb.dll
2007-05-07 14:57:34 1,098,648 ----a-w C:\WINDOWS\system32\FreeImage.dll
2007-05-06 15:24:40 -------- d-----w C:\DOKUME~1\Benning\ANWEND~1\SopCast


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{055FD26D-3A88-4e15-963D-DC8493744B1D}=F:\Programme\ICQToolbar\toolbaru.dll [2006-12-25 10:40]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [2001-03-02 13:02]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Programme\Java\jre1.5.0_06\bin\ssv.dll [2005-11-10 13:22]
{9030D464-4C02-4ABF-8ECC-5164760863C6}=C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll [2006-07-07 12:29]
{9CB65201-89C4-402c-BA80-02D8C59F9B1D}=C:\Programme\AskTBar\SrchAstt\2.bin\A5SRCHAS.DLL [2007-04-08 19:27]
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}=C:\Programme\Windows Live Toolbar\msntb.dll [2006-10-11 00:26]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"zBrowser Launcher"="C:\Programme\Logitech\iTouch\iTouch.exe" [2004-03-18 10:33]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 10:50 C:\WINDOWS\LOGI_MWX.EXE]
"nwiz"="nwiz.exe" [2004-08-25 11:14 C:\WINDOWS\system32\nwiz.exe]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 17:10 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 13:03]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2005-06-03 08:16]
"iSaverCtrl"="C:\Programme\iSaver\iSaverCtrl.exe" [2005-01-19 17:32]
"ICQ Lite"="F:\Programme\ICQLite\ICQLite.exe" [2007-05-25 11:05]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-02-20 21:51]
"SPAMfighter Agent"="C:\Programme\SPAMfighter\SFAgent.exe" [2007-05-07 16:57]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spamihilator"="F:\Anti-Viren\Spamihilator\spamihilator.exe" [2007-01-24 15:49]
"Skype"="F:\Programme\Phone\Skype.exe" [2006-08-14 18:39]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-05-25 10:33]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{C7F76815-E647-4BCE-B21A-600CE626E5D8}"="C:\WINDOWS\system32\nvstatld.dll" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\PROGRA~1\KASPER~1\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\asedwes]
C:\WINDOWS\system32\winvnkfi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cpssystem]
C:\WINDOWS\system32\smdlsset.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cxsemse]
C:\WINDOWS\system32\winvnkfi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"F:\Programme\DAEMON Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dllcvss]
C:\WINDOWS\system32\winvnkfi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dlmicss]
C:\WINDOWS\system32\netwsmlx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\expcrt]
C:\WINDOWS\system32\liscrts.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\idmlcs]
C:\WINDOWS\system32\rdlnldxc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\idmlssp]
C:\WINDOWS\system32\winvnkfi.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
"C:\Programme\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\jfgdiag]
C:\WINDOWS\system32\jfgconf.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\kbdmisd]
reghpveg.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MnEx32]
C:\WINDOWS\system32\svhst32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\playscl]
C:\WINDOWS\system32\rdlnldxc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"C:\Programme\QuickTime\qttask.exe" -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sdkeylib]
C:\WINDOWS\system32\sedkeyss.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\smiproc]
C:\WINDOWS\system32\ldmprocs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swfdiag]
C:\WINDOWS\system32\swfconf.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Usnsvc usnsvc


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{67389be4-64bd-11d9-84ae-00112f436c7d}]
AutoRun\command- I:\RunGame.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b5e50f10-808e-11da-84e1-00112f436c7d}]
AutoRun\command- K:\setupSNK.exe


Contents of the 'Scheduled Tasks' folder
2006-11-07 13:42:14 C:\WINDOWS\tasks\Auf Updates für Windows Live Toolbar prüfen.job
2006-12-13 21:06:23 C:\WINDOWS\tasks\PMCS_Wakeup633016443835000000.job

**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-06-26 09:02:39
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-06-26 9:03:52
C:\ComboFix-quarantined-files.txt ... 2007-06-22 14:50
C:\ComboFix2.txt ... 2007-06-22 14:50
C:\ComboFix3.txt ... 2007-06-22 07:45

--- E O F ---
Seitenanfang Seitenende
26.06.2007, 09:20
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#13 Download OTMoveIt zum Desktop
Oeffne:OTMoveIt.exe
Kopiere (selektiere en klick Ctrl-C) alle unterstehende

C:\WINDOWS\ogx5r1bglo.dat
C:\WINDOWS\system32\panmavic.dat

im linken Fenster ,wo steht "Paste List of Files/Folders to be moved"

Klicke auf den Roten MoveIt! knopf
Wenn das Tool fertig ist wird ein log erstellt (*******_******.log *steht fuer datum und zeit
In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"


Diese Ask Jeeves toolbar ist die bewusst installiert?
Es soll verbindungen geben schwischen AskTbar und CoolWebSearch
__________
MfG Argus
Seitenanfang Seitenende
26.06.2007, 09:38
Member

Themenstarter

Beiträge: 14
#14 C:\WINDOWS\ogx5r1bglo.dat moved successfully.
C:\WINDOWS\system32\panmavic.dat moved successfully.

Created on 06.26.2007 09:36:44

Ask Jeeves ist niocht bewußt installiert, werde ich mal deinstallieren.
Seitenanfang Seitenende
26.06.2007, 09:47
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#15 Entferne auf C:\_OTMoveIt\ Papierkorb leeren

Dein Java software ist veraltet,download jre-6-windows-i586.exe
Srcolle runter nach ---->Java Runtime Environment (JRE) 6u1
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze in haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch dein Webbrowser
Ueber "Start -> Einstellungen -> Systemsteuerung -> Software
Und entferne alle aeltere versionen von Java Runtime Environment (JRE of J2SE)
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6-windows-i586.exe”

Download SDFix zum Desktop

Starte im abgesicherten Modus:
http://www.bsi.bund.de/av/texte/wiederher.htm

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: