Norton Protection Center startet nicht mehr

#1 Hallo ihr Fachmänner & -Frauen,

das letzte Mal wurde mir beim Winfixer-Problem so klasse geholfen, dass ich mir dachte, ich versuchs noch mal hier.
(Ja, ich weiß, Norton Anti Virus mag nicht jeder, aber meine Lizenz ist noch mindestens 300 Tage gültig und deshalb will ich ihn retten!)

Die Logs:

Hier ComboFix-Ergebnis:

ComboFix 07-08-17.2 - "Ricky" 2007-08-21 14:52:29.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.248 [GMT 2:00]
* Created a new restore point


((((((((((((((((((((((((( Files Created from 2007-07-21 to 2007-08-21 )))))))))))))))))))))))))))))))


2007-08-21 03:42 18,816 --------- C:\WINDOWS\system32\SAVRKBootTasks.sys
2007-08-21 03:09 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-08-21 03:07 138,624 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2007-08-21 03:01 <DIR> d-------- C:\Programme\Spyware Terminator
2007-08-21 03:01 <DIR> d-------- C:\Programme\Crawler
2007-08-21 03:01 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Spyware Terminator
2007-08-21 02:39 <DIR> d-------- C:\Programme\Sophos
2007-08-20 23:45 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2007-08-20 23:45 <DIR> d-------- C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\SUPERAntiSpyware.com
2007-08-20 23:45 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\SUPERAntiSpyware.com
2007-08-20 22:23 <DIR> d-------- C:\Programme\Sunbelt Software
2007-08-20 21:24 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-08-20 21:24 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Kaspersky Lab
2007-08-20 17:11 <DIR> d-------- C:\Programme\a-squared Anti-Malware
2007-08-20 01:42 <DIR> d-------- C:\Programme\Malware
2007-08-19 22:54 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-08-16 21:20 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-08-15 20:24 <DIR> d-------- C:\Programme\MSXML 4.0
2007-08-05 12:23 34,308 --a------ C:\WINDOWS\system32\Chip.dll


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-21 05:18 --------- d-------- C:\Programme\SpeedFan
2007-08-21 04:25 --------- d-------- C:\Programme\Sibelius 4
2007-08-21 04:22 --------- d-------- C:\Programme\AV Vcs 5.5 DIAMOND
2007-08-21 00:03 --------- d-------- C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\Skype
2007-08-20 23:44 --------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-08-19 23:05 --------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-08-19 22:53 --------- d-------- C:\Programme\TuneUp Utilities 2007
2007-08-19 02:48 --------- d-------- C:\Programme\PeerGuardian2
2007-08-17 14:47 --------- d-------- C:\Programme\Mozilla Thunderbird
2007-07-29 08:34 --------- d-------- C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\BitTorrent
2007-07-22 01:46 --------- d-------- C:\Programme\JetAudio
2007-07-22 01:46 --------- d-------- C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\COWON
2007-07-16 14:05 --------- d-------- C:\Programme\Gemeinsame Dateien\COWON
2007-07-16 14:04 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-07-16 12:01 --------- d-------- C:\Programme\gs
2007-07-16 12:01 --------- d-------- C:\Programme\FreePDF_XP
2007-07-13 02:13 --------- d-------- C:\Programme\Vokabeltrainer
2007-06-28 20:24 --------- d-------- C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\Sibelius Software
2007-06-28 00:16 --------- d-------- C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\ICQ
2007-06-27 00:07 35693 --a------ C:\WINDOWS\system32\RemoveVideoActiveXObject.reg
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-17 00:11 51200 --a------ C:\WINDOWS\nircmd.exe
2007-06-14 17:21 604 --ah----- C:\Programme\STLL Notifier
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe
2006-11-22 01:39 81920 --a------ C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\ezpinst.exe
2006-11-22 01:39 47360 --a--c--- C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\pcouffin.sys
2003-11-18 13:37 241664 --a------ C:\Programme\npmusicn.dll
2004-08-04 12:00:00 94,800 -csh--w C:\WINDOWS\twain.dll
2004-08-04 12:00:00 50,688 --sh--w C:\WINDOWS\twain_32.dll
2004-08-04 12:00:00 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-02-22 12:11]
"Control Center"="C:\Programme\ASUS\WLAN Card Utilities\Center.exe" [2003-04-11 11:57]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2005-07-25 13:01]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-03-08 05:42]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 20:27]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 15:40]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 16:57]
"a-squared"="C:\Programme\a-squared Anti-Malware\a2guard.exe" [2007-08-20 17:21]
"sunasDTServ"="C:\Programme\Sunbelt Software\CounterSpy Client\sunasDTServ.exe" [2004-11-15 13:46]
"sunasServ"="C:\Programme\Sunbelt Software\CounterSpy Client\sunasServ.exe" [2004-11-15 13:46]
"SpywareTerminator"="C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" [2007-08-21 03:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvts]
C:\WINDOWS\system32\awvts.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfebxx]
khfebxx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzlo32]
winzlo32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
"C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Control Center]
C:\Programme\ASUS\WLAN Card Utilities\Center.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\icq.com]
rundll32.exe "C:\WINDOWS\system32\ffhrentv.dll",forkonce

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PeerGuardian]
C:\Programme\PeerGuardian2\pg2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SC2]
C:\WINDOWS\system32\scchk32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\spywarefighterguard]
C:\Programme\SPYWAREfighter\spftray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"BitTorrent"="C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CXMon"="C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
"RegisterDropHandler"=C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE

R1 SAVRKBootTasks;Boot Tasks Driver;\??\C:\WINDOWS\system32\SAVRKBootTasks.sys
R1 sp_rsdrv2;Spyware Terminator Driver 2;\??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 ASNDIS5;ASNDIS5 Protocol Driver;\??\C:\WINDOWS\system32\ASNDIS5.SYS
R3 MTC0001_MPB;MPB device driver;C:\WINDOWS\system32\ntMPB.sys
S3 MEMSWEEP2;MEMSWEEP2;\??\C:\WINDOWS\system32\D.tmp
S3 P1Scanner;MUSTEK P1 Still Image Device Service;C:\WINDOWS\system32\drivers\usbscan.sys
S3 RDID1027;EDIROL PCR;C:\WINDOWS\system32\Drivers\rdwm1027.sys

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp


Contents of the 'Scheduled Tasks' folder
2007-08-17 15:17:10 C:\WINDOWS\Tasks\1-Click Maintenance.job - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
2007-08-10 18:55:44 C:\WINDOWS\Tasks\Norton AntiVirus - Vollständige Systemprüfung ausführen - Ricky.job

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-21 14:57:07
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-21 14:58:53

--- E O F ---


Hijackthis Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:17:19, on 21.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\ASUS\WLAN Card Utilities\Center.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Sunbelt Software\CounterSpy Client\sunasDTServ.exe
C:\Programme\Sunbelt Software\CounterSpy Client\sunasServ.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Ricky.VALLON-R\Desktop\HJT\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - (no file)
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Control Center] C:\Programme\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [sunasDTServ] C:\Programme\Sunbelt Software\CounterSpy Client\sunasDTServ.exe
O4 - HKLM\..\Run: [sunasServ] C:\Programme\Sunbelt Software\CounterSpy Client\sunasServ.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Yahoo! Search - file:///F:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///F:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///F:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///F:\Programme\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140888859966
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153696906750
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Vallon
O17 - HKLM\Software\..\Telephony: DomainName = Vallon
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Vallon
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = Vallon
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: awvts - C:\WINDOWS\system32\awvts.dll (file missing)
O20 - Winlogon Notify: khfebxx - khfebxx.dll (file missing)
O20 - Winlogon Notify: winzlo32 - winzlo32.dll (file missing)
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 10746 bytes


datfind der letzten 3 Monate:

Datentr„ger in Laufwerk C: ist C:
Volumeseriennummer: 2C03-DB39

Verzeichnis von C:\WINDOWS\system32

21.08.2007 14:15 13.646 wpa.dbl
21.08.2007 04:22 3.768 iklog.log
19.08.2007 22:55 2.550 Uninstall.ico
19.08.2007 22:55 1.406 Help.ico
19.08.2007 22:55 30.590 pavas.ico
14.08.2007 11:37 1.581.544 FNTCACHE.DAT
05.08.2007 12:23 34.308 Chip.dll
03.08.2007 06:34 16.789.464 MRT.exe
22.07.2007 18:39 279.552 swreg.exe
19.07.2007 08:56 3.583.488 mshtml.dll
12.07.2007 03:05 58.930 perfc009.dat
12.07.2007 03:05 392.630 perfh009.dat
12.07.2007 03:05 405.692 perfh007.dat
12.07.2007 03:05 70.976 perfc007.dat
12.07.2007 03:05 900.650 PerfStringBackup.INI
27.06.2007 16:05 823.808 wininet.dll
27.06.2007 16:05 232.960 webcheck.dll
27.06.2007 16:05 1.152.000 urlmon.dll
27.06.2007 16:05 105.984 url.dll
27.06.2007 16:05 671.232 mstime.dll
27.06.2007 16:05 102.400 occache.dll
27.06.2007 16:05 193.024 msrating.dll
27.06.2007 16:05 477.696 mshtmled.dll
27.06.2007 16:05 52.224 msfeedsbs.dll
27.06.2007 16:05 459.264 msfeeds.dll
27.06.2007 16:05 27.648 jsproxy.dll
27.06.2007 16:05 1.824.256 inetcpl.cpl
27.06.2007 16:04 267.776 iertutil.dll
27.06.2007 16:04 6.058.496 ieframe.dll
27.06.2007 16:04 44.544 iernonce.dll
27.06.2007 16:04 384.512 iedkcs32.dll
27.06.2007 16:04 383.488 ieapfltr.dll
27.06.2007 16:04 230.400 ieaksie.dll
27.06.2007 16:04 153.088 ieakeng.dll
27.06.2007 16:04 132.608 extmgr.dll
27.06.2007 16:04 124.928 advpack.dll
27.06.2007 10:27 13.824 ieudinit.exe
27.06.2007 10:27 63.488 ie4uinit.exe
27.06.2007 09:42 4.254 jupdate-1.6.0_01-b06.log
27.06.2007 09:00 161.792 ieakui.dll
27.06.2007 01:11 17.243 stvwa.ini
27.06.2007 00:07 35.693 RemoveVideoActiveXObject.reg
26.06.2007 19:27 645 vtnerhff.ini
26.06.2007 08:08 1.104.896 msxml3.dll
19.06.2007 15:31 282.112 gdi32.dll
14.06.2007 17:21 604 T3
11.06.2007 23:51 10.834.944 wmp.dll

Poblembeschreibung:

Mein Norton Anti Virus startet nicht mehr. Jedes Mal, wenn ich versuche ihn zu öffnen, bekomme ich eine Fehlermeldung (die steht weiter unten) und alles, was eigentlich grüne Haken sein sollten, erscheint als rote Xe.


Informationen zu Ihrem Produkt und zum Problem
Produkt NAV
Version 12.8.0.4
Sprache german
Modulnummer 3031
Fehlernummer 101239
Build Symantec

Fehlermeldung, die immer wieder kommt, wenn ich Norton versuche zu starten:
Unbekannter Fehler. : res://C:\Programme\NortonAntiVirus\NAVUIHTM.DLL/navstats.htm : 239

Klicken Sie hier, um zur Symantec Technical Support Knowledge Base zu gelangen...

3031, 101239

Dachte, dass es vielleicht ein Trojanerproblem sein könnte. Ad-Aware SE, Spybot, Spyware Terminator, Super Anti Spyware, a-suqared und nochmal irgendwas hab ich schln drüber laufen lassen. Haben auch einiges gefunden und (hoffentlich) gelöscht. Bei Spybot kommt immer wieder was, was sich aber wohl damit nicht beheben lässt.

Hoffe, ihr könnt mir helfen!
Vielen lieben Dank schon mal im Voraus,
Ricky[/b]

#2 Hi,

prüfe Online:

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\ezpinst.exe
C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\pcouffin.sys

Poste das Ergebnis.

Hast Du eine Neuinstallation schon probiert?
http://www.rokop-security.de/lofiversion/index.php/t10012.html

Was findet spybot?

Chris

Ps.: Es sind noch Reste (Reg-Einträge) von Virtmundo da, die mit HJ gefixt werden sollten:
O20 - Winlogon Notify: awvts - C:\WINDOWS\system32\awvts.dll (file missing)
O20 - Winlogon Notify: khfebxx - khfebxx.dll (file missing)
O20 - Winlogon Notify: winzlo32 - winzlo32.dll (file missing)

#3 Hallo Chris,

vielen Dank für die schnelle Antwort...
Aber ich glaube, dass ich was Dummes gemacht hab... ich hab über Tune Up 2007 ne Systemwiederherstellung gemacht und bin mir jetzt net ganz sicher, ob die Logs damit noch aktuell sind...

Norton funktioniert immer noch nicht wieder und jetzt ist auch noch irgendwie mein Thunderbird abgestürtzt... er öffnet zwar noch, aber ich seh meine Postfächer nicht mehr...

Sorry, bin eher ein unbedarfter PC-Benutzer... soll ich HJT und Combofix und so nochmal drüberlaufen lassen oder macht das keinen Unterschied, wenn ich mein System auf irgendwann Anfang August zurückgesetzt hab?

Vielen Dank für alle Hilfe!!!
Ricky

#4 Hi,

Du musst jetzt alle Installation seid damals durchführen, Windowsupdate etc.
Bei einer Wiederherstellung spielt Windows nur seine gesicherten Treiber etc. ein, keine Apps etc... -> Thunderbird etc. vielleich neu installieren/reparieren lassen...

Das kann sehr unangenehme Seiteneffekte haben....
Hast Du vorher vielleicht einen neuen Sicherungs-Punkt gesetzt, dann könntest Du wieder zurück...

Findest Du die genannten Dateien noch, dann lass sie bitte prüfen und poste das Ergebnis.

Auch neues HJ-Log, combofix etc. machen....

Chris

#5 Okay, hier jetzt die neuen Logs, habs wieder auf das System von gestern mittag eingestellt und Thunderbird läuft auch wieder, danke für den Tipp!

ComboFix 07-08-17.2 - "Ricky" 2007-08-22 17:21:48.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.205 [GMT 2:00]


((((((((((((((((((((((((( Files Created from 2007-07-22 to 2007-08-22 )))))))))))))))))))))))))))))))


2007-08-22 17:01 <DIR> d-------- C:\WINDOWS\LastGood
2007-08-22 16:50 <DIR> d-------- C:\Programme\Sophos
2007-08-22 16:50 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\SUPERAntiSpyware.com
2007-08-22 16:50 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Spyware Terminator
2007-08-22 16:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2007-08-22 16:47 <DIR> d-------- C:\Programme\MSXML 4.0
2007-08-22 04:54 <DIR> d-------- C:\Programme\SpywareBlaster
2007-08-22 04:51 <DIR> d-------- C:\Programme\a-squared Free
2007-08-22 03:44 164 --a------ C:\install.dat
2007-08-21 03:42 18,816 --------- C:\WINDOWS\system32\SAVRKBootTasks.sys
2007-08-21 03:09 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-08-21 03:07 138,624 --a------ C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
2007-08-21 03:01 <DIR> d-------- C:\Programme\Spyware Terminator
2007-08-21 03:01 <DIR> d-------- C:\Programme\Crawler
2007-08-20 23:45 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2007-08-20 23:45 <DIR> d-------- C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\SUPERAntiSpyware.com
2007-08-20 22:23 <DIR> d-------- C:\Programme\Sunbelt Software
2007-08-20 21:24 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-08-20 21:24 <DIR> d-------- C:\DOKUME~1\ALLUSE~1.WIN\ANWEND~1\Kaspersky Lab
2007-08-20 17:11 <DIR> d-------- C:\Programme\a-squared Anti-Malware
2007-08-20 01:42 <DIR> d-------- C:\Programme\Malware
2007-08-19 22:54 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-08-05 12:23 34,308 --a------ C:\WINDOWS\system32\Chip.dll


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-22 17:14 --------- d-------- C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\Skype
2007-08-22 17:07 --------- d-------- C:\Programme\SpeedFan
2007-08-22 16:50 --------- d-------- C:\Programme\Sibelius 4
2007-08-22 16:50 --------- d-------- C:\Programme\AV Vcs 5.5 DIAMOND
2007-08-22 16:48 --------- d-------- C:\Programme\Mozilla Thunderbird
2007-08-22 16:44 --------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-08-22 02:10 --------- d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-08-22 01:39 --------- d-------- C:\Programme\TuneUp Utilities 2007
2007-08-22 01:18 --------- d-------- C:\Programme\PeerGuardian2
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 271224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-07-30 19:19 207736 --a------ C:\WINDOWS\system32\muweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-29 08:34 --------- d-------- C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\BitTorrent
2007-07-22 01:46 --------- d-------- C:\Programme\JetAudio
2007-07-22 01:46 --------- d-------- C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\COWON
2007-07-16 14:05 --------- d-------- C:\Programme\Gemeinsame Dateien\COWON
2007-07-16 14:04 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-07-16 12:01 --------- d-------- C:\Programme\gs
2007-07-16 12:01 --------- d-------- C:\Programme\FreePDF_XP
2007-07-13 02:13 --------- d-------- C:\Programme\Vokabeltrainer
2007-06-28 20:24 --------- d-------- C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\Sibelius Software
2007-06-28 00:16 --------- d-------- C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\ICQ
2007-06-27 16:05 823808 --a------ C:\WINDOWS\system32\wininet(2)(2).dll
2007-06-27 16:05 1152000 --a------ C:\WINDOWS\system32\urlmon(2)(2).dll
2007-06-27 16:05 105984 --a------ C:\WINDOWS\system32\url(2)(2).dll
2007-06-27 16:04 267776 --a------ C:\WINDOWS\system32\iertutil(2)(2).dll
2007-06-27 00:07 35693 --a------ C:\WINDOWS\system32\RemoveVideoActiveXObject.reg
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3(2)(2).dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32(2)(2).dll
2007-06-17 00:11 51200 --a------ C:\WINDOWS\nircmd.exe
2007-06-14 17:21 604 --ah----- C:\Programme\STLL Notifier
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe
2006-11-22 01:39 81920 --a------ C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\ezpinst.exe
2006-11-22 01:39 47360 --a--c--- C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\pcouffin.sys
2003-11-18 13:37 241664 --a------ C:\Programme\npmusicn.dll
2004-08-04 12:00:00 94,800 -csh--w C:\WINDOWS\twain.dll
2004-08-04 12:00:00 50,688 --sh--w C:\WINDOWS\twain_32.dll
2004-08-04 12:00:00 12,288 --sh--w C:\WINDOWS\system32\regsvr32.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 10:22]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-02-22 12:11]
"Control Center"="C:\Programme\ASUS\WLAN Card Utilities\Center.exe" [2003-04-11 11:57]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2005-07-25 13:01]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-03-08 05:42]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2007-06-26 20:27]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2006-01-12 15:40]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-09-01 16:57]
"a-squared"="C:\Programme\a-squared Anti-Malware\a2guard.exe" [2007-08-20 17:21]
"sunasDTServ"="C:\Programme\Sunbelt Software\CounterSpy Client\sunasDTServ.exe" [2004-11-15 13:46]
"sunasServ"="C:\Programme\Sunbelt Software\CounterSpy Client\sunasServ.exe" [2004-11-15 13:46]
"SpywareTerminator"="C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" [2007-08-21 03:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvts]
C:\WINDOWS\system32\awvts.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfebxx]
khfebxx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winzlo32]
winzlo32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Acrobat Assistant.lnk
backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users.WINDOWS^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
"C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ccApp]
"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Control Center]
C:\Programme\ASUS\WLAN Card Utilities\Center.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\icq.com]
rundll32.exe "C:\WINDOWS\system32\ffhrentv.dll",forkonce

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PeerGuardian]
C:\Programme\PeerGuardian2\pg2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SC2]
C:\WINDOWS\system32\scchk32.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\spywarefighterguard]
C:\Programme\SPYWAREfighter\spftray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"BitTorrent"="C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"CXMon"="C:\Programme\Hewlett-Packard\PhotoSmart\Photo Imaging\Hpi_Monitor.exe"
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"RemoteControl"=C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices-]
"RegisterDropHandler"=C:\PROGRA~1\TEXTBR~1.0\Bin\REGIST~1.EXE

R1 SAVRKBootTasks;Boot Tasks Driver;\??\C:\WINDOWS\system32\SAVRKBootTasks.sys
R1 sp_rsdrv2;Spyware Terminator Driver 2;\??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 ASNDIS5;ASNDIS5 Protocol Driver;\??\C:\WINDOWS\system32\ASNDIS5.SYS
R3 MTC0001_MPB;MPB device driver;C:\WINDOWS\system32\ntMPB.sys
S3 MEMSWEEP2;MEMSWEEP2;\??\C:\WINDOWS\system32\D.tmp
S3 P1Scanner;MUSTEK P1 Still Image Device Service;C:\WINDOWS\system32\drivers\usbscan.sys
S3 RDID1027;EDIROL PCR;C:\WINDOWS\system32\Drivers\rdwm1027.sys

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - ASNDIS5

Contents of the 'Scheduled Tasks' folder
2007-08-17 15:17:10 C:\WINDOWS\Tasks\1-Click Maintenance.job - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
2007-08-10 18:55:44 C:\WINDOWS\Tasks\Norton AntiVirus - Vollständige Systemprüfung ausführen - Ricky.job

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-22 17:26:06
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-22 17:28:20
C:\ComboFix2.txt ... 2007-08-22 16:37
C:\ComboFix3.txt ... 2007-08-21 14:58

--- E O F ---


DATFIND:
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist C:
Volumeseriennummer: 2C03-DB39

Verzeichnis von C:\WINDOWS\system32

22.08.2007 16:55 13.646 wpa.dbl
22.08.2007 16:53 1.581.544 FNTCACHE.DAT
21.08.2007 04:22 3.768 iklog.log
19.08.2007 22:55 2.550 Uninstall.ico
19.08.2007 22:55 1.406 Help.ico
19.08.2007 22:55 30.590 pavas.ico
05.08.2007 12:23 34.308 Chip.dll
03.08.2007 06:34 16.789.464 MRT.exe
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 271.224 mucltui.dll
30.07.2007 19:19 207.736 muweb.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 30.072 mucltui.dll.mui
30.07.2007 19:18 20.824 wuaueng.dll.mui
22.07.2007 18:39 279.552 swreg.exe
19.07.2007 08:56 3.583.488 mshtml.dll
12.07.2007 03:05 58.930 perfc009.dat
12.07.2007 03:05 392.630 perfh009.dat
12.07.2007 03:05 405.692 perfh007.dat
12.07.2007 03:05 70.976 perfc007.dat
12.07.2007 03:05 900.650 PerfStringBackup.INI
27.06.2007 16:05 823.808 wininet(2)(2).dll
27.06.2007 16:05 823.808 wininet.dll
27.06.2007 16:05 232.960 webcheck.dll
27.06.2007 16:05 1.152.000 urlmon.dll
27.06.2007 16:05 1.152.000 urlmon(2)(2).dll
27.06.2007 16:05 102.400 occache.dll
27.06.2007 16:05 105.984 url.dll
27.06.2007 16:05 105.984 url(2)(2).dll
27.06.2007 16:05 671.232 mstime.dll
27.06.2007 16:05 193.024 msrating.dll
27.06.2007 16:05 477.696 mshtmled.dll
27.06.2007 16:05 459.264 msfeeds.dll
27.06.2007 16:05 52.224 msfeedsbs.dll
27.06.2007 16:05 27.648 jsproxy.dll
27.06.2007 16:05 1.824.256 inetcpl.cpl
27.06.2007 16:04 267.776 iertutil.dll
27.06.2007 16:04 267.776 iertutil(2)(2).dll
27.06.2007 16:04 44.544 iernonce.dll
27.06.2007 16:04 6.058.496 ieframe.dll
27.06.2007 16:04 384.512 iedkcs32.dll
27.06.2007 16:04 383.488 ieapfltr.dll
27.06.2007 16:04 230.400 ieaksie.dll
27.06.2007 16:04 153.088 ieakeng.dll
27.06.2007 16:04 132.608 extmgr.dll
27.06.2007 16:04 124.928 advpack.dll
27.06.2007 10:27 13.824 ieudinit.exe
27.06.2007 10:27 63.488 ie4uinit.exe
27.06.2007 09:42 4.254 jupdate-1.6.0_01-b06.log
27.06.2007 09:00 161.792 ieakui.dll
27.06.2007 01:11 17.243 stvwa.ini
27.06.2007 00:07 35.693 RemoveVideoActiveXObject.reg
26.06.2007 19:27 645 vtnerhff.ini
26.06.2007 08:08 1.104.896 msxml3(2)(2).dll
26.06.2007 08:08 1.104.896 msxml3.dll
19.06.2007 15:31 282.112 gdi32(2)(2).dll
19.06.2007 15:31 282.112 gdi32.dll
14.06.2007 17:21 604 T3
11.06.2007 23:51 10.834.944 wmp.dll

HJT

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:33:33, on 22.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\ASUS\WLAN Card Utilities\Center.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Sunbelt Software\CounterSpy Client\sunasDTServ.exe
C:\Programme\Sunbelt Software\CounterSpy Client\sunasServ.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\SpeedFan\speedfan.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Ricky.VALLON-R\Desktop\AntiSpyware\HJT\HJT.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Programme\TechSmith\SnagIt 8\SnagItBHO.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: QUICKfind BHO Object - {C08DF07A-3E49-4E25-9AB0-D3882835F153} - (no file)
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Programme\TechSmith\SnagIt 8\SnagItIEAddin.dll
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Control Center] C:\Programme\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [sunasDTServ] C:\Programme\Sunbelt Software\CounterSpy Client\sunasDTServ.exe
O4 - HKLM\..\Run: [sunasServ] C:\Programme\Sunbelt Software\CounterSpy Client\sunasServ.exe
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Yahoo! Search - file:///F:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Yahoo! &Dictionary - file:///F:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///F:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///F:\Programme\Yahoo!\Common/ycsms.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140888859966
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153696906750
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Vallon
O17 - HKLM\Software\..\Telephony: DomainName = Vallon
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Vallon
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = Vallon
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: awvts - C:\WINDOWS\system32\awvts.dll (file missing)
O20 - Winlogon Notify: khfebxx - khfebxx.dll (file missing)
O20 - Winlogon Notify: winzlo32 - winzlo32.dll (file missing)
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 10779 bytes


Öh, ich weiß jetzt allerdings gar nicht so wirklich, was ich machen soll... sorry...

#6 Hi,

teste wie oben im Post beschrieben diese zwei Files:
C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\ezpinst.exe
C:\DOKUME~1\RICKY~1.VAL\ANWEND~1\pcouffin.sys

Um den Rest kümmer ich mich morgen....

chris

#7 So hier die erste Datei vom Virustotal:

Datei ezpinst.exe empfangen 2007.08.22 18:23:14 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 37 und 53 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.22.0 2007.08.22 -
AntiVir 7.4.1.63 2007.08.22 -
Authentium 4.93.8 2007.08.22 -
Avast 4.7.1029.0 2007.08.21 -
AVG 7.5.0.484 2007.08.22 -
BitDefender 7.2 2007.08.22 -
CAT-QuickHeal 9.00 2007.08.22 -
ClamAV 0.91 2007.08.22 -
DrWeb 4.33 2007.08.22 -
eSafe 7.0.15.0 2007.08.22 -
eTrust-Vet 31.1.5080 2007.08.22 -
Ewido 4.0 2007.08.22 -
FileAdvisor 1 2007.08.22 -
Fortinet 2.91.0.0 2007.08.22 -
F-Prot 4.3.2.48 2007.08.22 -
F-Secure 6.70.13030.0 2007.08.22 -
Ikarus T3.1.1.12 2007.08.22 -
Kaspersky 4.0.2.24 2007.08.22 -
McAfee 5103 2007.08.22 -
Microsoft 1.2803 2007.08.22 -
NOD32v2 2475 2007.08.22 -
Norman 5.80.02 2007.08.22 -
Panda 9.0.0.4 2007.08.22 -
Prevx1 V2 2007.08.22 -
Rising 19.37.22.00 2007.08.22 -
Sophos 4.20.0 2007.08.22 -
Sunbelt 2.2.907.0 2007.08.22 -
Symantec 10 2007.08.22 -
TheHacker 6.1.8.171 2007.08.21 -
VBA32 3.12.2.2 2007.08.22 -
VirusBuster 4.3.26:9 2007.08.22 -
Webwasher-Gateway 6.0.1 2007.08.22 -
weitere Informationen
File size: 81920 bytes
MD5: cda12f70283c1d0f08e5e729d8799a23
SHA1: 82aea1da19b734ef9e8c6f9fc56e1c2325a2e288

Und hier die andere noch.

Datei pcouffin.sys empfangen 2007.08.22 18:32:07 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 37 und 53 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.22.0 2007.08.22 -
AntiVir 7.4.1.63 2007.08.22 -
Authentium 4.93.8 2007.08.22 -
Avast 4.7.1029.0 2007.08.21 -
AVG 7.5.0.484 2007.08.22 -
BitDefender 7.2 2007.08.22 -
CAT-QuickHeal 9.00 2007.08.22 -
ClamAV 0.91 2007.08.22 -
DrWeb 4.33 2007.08.22 -
eSafe 7.0.15.0 2007.08.22 -
eTrust-Vet 31.1.5080 2007.08.22 -
Ewido 4.0 2007.08.22 -
FileAdvisor 1 2007.08.22 -
Fortinet 2.91.0.0 2007.08.22 -
F-Prot 4.3.2.48 2007.08.22 -
F-Secure 6.70.13030.0 2007.08.22 -
Ikarus T3.1.1.12 2007.08.22 -
Kaspersky 4.0.2.24 2007.08.22 -
McAfee 5103 2007.08.22 -
Microsoft 1.2803 2007.08.22 -
NOD32v2 2475 2007.08.22 -
Norman 5.80.02 2007.08.22 -
Panda 9.0.0.4 2007.08.22 -
Prevx1 V2 2007.08.22 -
Rising 19.37.22.00 2007.08.22 -
Sophos 4.20.0 2007.08.22 -
Sunbelt 2.2.907.0 2007.08.22 -
Symantec 10 2007.08.22 -
TheHacker 6.1.8.171 2007.08.21 -
VBA32 3.12.2.2 2007.08.22 -
VirusBuster 4.3.26:9 2007.08.22 -
Webwasher-Gateway 6.0.1 2007.08.22 -
weitere Informationen
File size: 47360 bytes
MD5: 02aaafb7ba137ce5ddabcdf8090954d9
SHA1: d9d38430647b1215f8eacc327c61bbeff82a2817

#8 Hi,

das gefällt mir nicht, muß noch mal nachschauen aber
S3 MEMSWEEP2;MEMSWEEP2;\??\C:\WINDOWS\system32\D.tmp
könnte ein Rootkit sein, aber auch was von Sophos...
Prüfen das morgen...

So, da bin ich wieder:
Findest Du die angegebene Datei (C:\WINDOWS\system32\D.tmp), wenn ja bitte Online prüfen lassen.
Um einen aktiven Rootkit auszuschliessen:
blacklight:
http://virus-protect.org/artikel/tools/rootkithook.html
Poste den Report!

Chris

#9 Hallo Chris,

die Datei findet sich bei mir nicht mehr... hab sowohl von Hand im System 32 Ordner gesucht als auch über die Windowssuche, aber der hat auch nix gefunden.

Ich hatte mal was von Sophos drauf... aber bin mir nicht sicher, ob ich das nicht durch meine Systemwiederherstellungen irgendwie runtergeworfen hab...

Hm... bin völlig ratlos im Moment...

#10 Hi,

lass mal wie beschrieben Blacklight los...
blacklight:
http://virus-protect.org/artikel/tools/rootkithook.html

chris

#11 Meinst du mit Report die Txt, dies nach dem ersten Scan erstellt hat?

Das wär dann nämlich das hier:
08/23/07 17:21:52 [Info]: BlackLight Engine 1.0.64 initialized
08/23/07 17:21:52 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/23/07 17:21:55 [Note]: 7019 4
08/23/07 17:21:55 [Note]: 7005 0
08/23/07 17:24:11 [Note]: 7006 0
08/23/07 17:24:12 [Note]: 7011 2056
08/23/07 17:24:12 [Note]: 7026 0
08/23/07 17:24:12 [Note]: 7026 0
08/23/07 17:24:17 [Note]: FSRAW library version 1.7.1022
08/23/07 17:41:53 [Note]: 7007 0

Hab blacklight wie beschrieben 2x laufen lassen, hat beide Male nichts gefunden, deshalb konnt ich auch nichts umbenennen lassen.

d.h. dann wohl, dass es kein Rootkit war? Hab jetzt auch noch mal Spybot und Spyware Terminator laufen lassen. Denen ist auch nichts aufgefallen.
Lass jetzt nochmal Superantispyware laufen und dann weiß ich auch net... eigentlich doch gut, wenn die nix finden, oder?!

#12 Hi,

ja, direkt zu erkennen ist nichts...

chris

#13 Hmmm,

folgende Sachen noch löschen:
C:\WINDOWS\system32\vtnerhff.ini
C:\WINDOWS\system32\stvwa.ini

Läuft eigentlich der Teatimer noch (Spybot ist wohl entfernt worden, er Guard läfut noch [High Arni])?

mir ist trotzdem nicht ganz wohl bei der Sache,
suchen wir mal memsweep in der Registry:

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren): memsweep2

Poste das Ergebniss...

chris

#14 Hi Chris,

also Spybot ist nicht gelöscht... ich habs noch drauf... dementsprechend müsste Teatimer auch noch laufen, oder? Sorry, ich hab echt net so viel Ahnung hier...

Log vom RegSearch:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 24.08.2007 13:21:04 for strings:
; 'memsweep2'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MEMSWEEP2]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MEMSWEEP2\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MEMSWEEP2\0000]
"Service"="MEMSWEEP2"
"DeviceDesc"="MEMSWEEP2"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MEMSWEEP2\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MEMSWEEP2\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MEMSWEEP2]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MEMSWEEP2]
"DisplayName"="MEMSWEEP2"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MEMSWEEP2\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MEMSWEEP2\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\MEMSWEEP2\Enum]
"0"="Root\\LEGACY_MEMSWEEP2\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MEMSWEEP2]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MEMSWEEP2\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MEMSWEEP2\0000]
"Service"="MEMSWEEP2"
"DeviceDesc"="MEMSWEEP2"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MEMSWEEP2\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\MEMSWEEP2]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\MEMSWEEP2]
"DisplayName"="MEMSWEEP2"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\MEMSWEEP2\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEMSWEEP2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEMSWEEP2\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEMSWEEP2\0000]
"Service"="MEMSWEEP2"
"DeviceDesc"="MEMSWEEP2"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEMSWEEP2\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MEMSWEEP2\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MEMSWEEP2]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MEMSWEEP2]
"DisplayName"="MEMSWEEP2"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MEMSWEEP2\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MEMSWEEP2\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MEMSWEEP2\Enum]
"0"="Root\\LEGACY_MEMSWEEP2\\0000"

; End Of The Log...

#15 Hi,

das was gefunden wurde ist Deckungsgleich mit dem was ich vermutet habe,
frage mal nach, was jetzt das beste wäre....

Chris