MSN - MyPhotos2007 - Trojaner/Virus Problem!

Thema ist geschlossen!
Thema ist geschlossen!
#0
24.08.2007, 13:20
Member

Beiträge: 19
#1 Hallo!
Ich weiß nicht wie dieser Trojaner/Virus auf mein PC gekommen ist...aber ich habe wie bei http://board.protecus.de/t30133.htm beschrieben ist, alles gemacht.

Ich hatte aber ein paar probleme mit DrWeb - CureIt und bei datfind.bat.
Bei DrWeb konnte ich nicht das "MoveIncurable" machen, da irgendwie ich nichts anklicken konnte.

Bei DatFind ist das DOS Fenster einfach verschwunden, sobald sich der Editor geöffnet hat. Somit konnte ich nur die system32.txt datei speichern...denn wenn ich nochmal datfind öffne, dann kommt immer nur wieder das gleiche. Der gleiche Editor und das DOS Fenster verschwindet.
Ergo ich kann weder im DOS Fenster "enter" oder sonstiges drücken/machen

hoffe ihr könnt mir helfen!

hier sind die ganzen logs:

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Adware.Virtumonde
Path: [1232] C:\WINDOWS\system32\gebyvut.dll
Risk: Medium

Name: Adware.Virtumonde
Path: [3224] C:\WINDOWS\system32\gebyvut.dll
Risk: Medium

Name: Trojan.Delf.ads
Path: C:\RECYCLER\NPROTECT\00331772.exe
Risk: High

Name: Trojan.Delf.ads
Path: C:\RECYCLER\NPROTECT\00331773.exe
Risk: High

Name: Trojan.Delf.ads
Path: C:\RECYCLER\NPROTECT\00331774.exe
Risk: High

Name: Trojan.Agent.abd
Path: C:\RECYCLER\NPROTECT\00331775.DLL
Risk: High

Name: Logger.Peflog.30
Path: C:\RECYCLER\NPROTECT\00331776.exe
Risk: High

Name: Trojan.Delf.ads
Path: C:\RECYCLER\NPROTECT\00331777.VIR/DSC515607.jpg-www.photobucket.com
Risk: High

Name: Downloader.Tiny.id
Path: C:\RECYCLER\NPROTECT\00331779.VIR
Risk: High

Name: Trojan.Delf.ads
Path: C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229\A0093897.EXE
Risk: High





SDFix: Version 1.100

Run by Matz on 24.08.2007 at 03:12

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\Dokumente und Einstellungen\Matz\new.txt - Deleted
C:\WINDOWS\system32\form.txt - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*;)isabled:Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\Programme\Autodesk\Autodesk DWF Viewer\_Setupx.dll
C:\Programme\Autodesk\Autodesk DWF Viewer\Setup.exe

Finished



Hier das von DrWeb, obwohl ich ein bisschen skeptisch bin, ob das wirklich das ist, was ihr wolltet....


mljge.dll;c:\windows\system32;Trojan.Virtumod;Wird nach dem Neustart desinfiziert.;
xxyxwvu.dll;c:\windows\system32;Trojan.Virtumod;Wird nach dem Neustart desinfiziert.;
1 dvd blah.exe;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Deaf Meal Log License;Trojan.Swizzor;Gelöscht.;
else build thunk.exe;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Deaf Meal Log License;Trojan.Swizzor;Gelöscht.;
ManagerBits.exe;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hold win software 32;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
Pop Deaf.exe;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hold win software 32;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
Debug Real.exe;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LICENSE ADMIN OPTION BIB;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
Idle Exit.exe;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LICENSE ADMIN OPTION BIB;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
dpyfxi.exe;C:\Dokumente und Einstellungen\En-Hae;BackDoor.IRC.Sdbot.1795;Gelöscht.;
hdcefk.exe;C:\Dokumente und Einstellungen\En-Hae;BackDoor.IRC.Sdbot.1795;Gelöscht.;
llzrqq.exe;C:\Dokumente und Einstellungen\En-Hae;BackDoor.IRC.Sdbot.1795;Gelöscht.;
nmnkzq.exe;C:\Dokumente und Einstellungen\En-Hae;BackDoor.IRC.Sdbot.1795;Gelöscht.;
pfhzpi.exe;C:\Dokumente und Einstellungen\En-Hae;BackDoor.IRC.Sdbot.1795;Gelöscht.;
xsfthh.exe;C:\Dokumente und Einstellungen\En-Hae;BackDoor.IRC.Sdbot.1795;Gelöscht.;
COPY THAT CLOSE.exe;C:\Dokumente und Einstellungen\En-Hae\Anwendungsdaten\ObjBone;Trojan.Swizzor;Gelöscht.;
bis14.exe;C:\Dokumente und Einstellungen\En-Hae\Lokale Einstellungen\Temp;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
r[1].exe;C:\Dokumente und Einstellungen\En-Hae\Lokale Einstellungen\Temporary Internet Files\Content.IE5\C1MNKDQJ;BackDoor.IRC.Sdbot.1795;Gelöscht.;
mirc.exe;C:\Programme\MIRC;Program.mIRC.621;Verschoben.;
awtqrpm.dll.vir;C:\QooBox\Quarantine\C\WINDOWS\system32;Trojan.Virtumod;Gelöscht.;
khfdawx.dll.vir;C:\QooBox\Quarantine\C\WINDOWS\system32;Trojan.Virtumod;Gelöscht.;
Process.exe;C:\SDFix\apps;Tool.Prockill;Verschoben.;
A0074783.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP204;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0074784.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP204;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087337.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087338.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087350.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087425.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Swizzor;Gelöscht.;
A0087426.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087437.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Swizzor;Gelöscht.;
A0087449.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087466.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087475.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Swizzor;Gelöscht.;
A0087487.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087518.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087545.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087562.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087574.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087582.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Swizzor;Gelöscht.;
A0087589.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087598.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087610.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087626.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087635.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Swizzor;Gelöscht.;
A0087644.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087657.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087669.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP221;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087685.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087698.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087709.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;Trojan.Swizzor;Gelöscht.;
A0087710.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087726.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087739.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087756.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087772.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087795.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;BackDoor.IRC.Sdbot.1795;Gelöscht.;
A0087816.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;Trojan.Swizzor;Gelöscht.;
A0087817.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087831.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087847.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087861.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087876.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087894.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087904.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087918.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;Trojan.Swizzor;Gelöscht.;
A0087919.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087930.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP222;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087942.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP223;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087959.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP223;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0087999.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Swizzor;Gelöscht.;
A0088000.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0088989.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0089990.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0090001.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0091001.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0091009.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0091017.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0091019.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0091020.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0091211.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;BackDoor.IRC.Sdbot.1795;Gelöscht.;
A0091250.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0091251.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Swizzor;Gelöscht.;
A0091269.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Swizzor;Gelöscht.;
A0091315.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0091376.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Swizzor;Gelöscht.;
A0091377.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0091394.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0091409.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0091453.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Swizzor;Gelöscht.;
A0091454.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0091518.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0091533.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0091542.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP224;Trojan.Swizzor;Gelöscht.;
A0091625.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP225;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0091637.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP225;Trojan.Swizzor;Gelöscht.;
A0091697.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP225;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0091715.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP225;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0091793.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP225;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0091875.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP225;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0091892.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP225;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0092895.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP225;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0092917.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP225;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0092932.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP225;Trojan.Swizzor;Gelöscht.;
A0092933.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP225;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0092934.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP225;Trojan.Swizzor;Gelöscht.;
A0092935.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP225;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0092936.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP225;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0092937.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP225;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0093047.dll;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP227;Trojan.Virtumod;Gelöscht.;
A0093064.dll;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP227;Trojan.Virtumod;Gelöscht.;
A0093084.dll;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP228;Trojan.Virtumod;Gelöscht.;
A0093085.dll;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP228;Trojan.Virtumod;Gelöscht.;
A0093805.EXE;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP228;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0093809.DLL;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP228;BackDoor.IRC.Shabot;Gelöscht.;
A0093812.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP228;BackDoor.IRC.Sdbot.1795;Gelöscht.;
A0093813.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP228;BackDoor.IRC.Sdbot.1795;Gelöscht.;
A0093814.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP228;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0093815.EXE;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP228;Trojan.Swizzor;Gelöscht.;
A0093816.EXE;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP228;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0094247.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Inject.372;Gelöscht.;
A0094248.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Inject.372;Gelöscht.;
A0094249.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Inject.372;Gelöscht.;
A0094251.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Peflog.30;Nicht desinfizierbar.Verschoben.;
A0094254.dll;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Virtumod;Gelöscht.;
A0094658.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Swizzor;Gelöscht.;
A0094659.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Swizzor;Gelöscht.;
A0094660.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0094661.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0094662.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0094663.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0094664.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;BackDoor.IRC.Sdbot.1795;Gelöscht.;
A0094665.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;BackDoor.IRC.Sdbot.1795;Gelöscht.;
A0094666.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;BackDoor.IRC.Sdbot.1795;Gelöscht.;
A0094667.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;BackDoor.IRC.Sdbot.1795;Gelöscht.;
A0094668.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;BackDoor.IRC.Sdbot.1795;Gelöscht.;
A0094669.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;BackDoor.IRC.Sdbot.1795;Gelöscht.;
A0094670.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Swizzor;Gelöscht.;
fccbaax.dll;C:\WINDOWS\system32;Trojan.Virtumod;Gelöscht.;
mljge.dll;C:\WINDOWS\system32;Trojan.Virtumod;Wird nach dem Neustart desinfiziert.;
qqxnowhn.exe;C:\WINDOWS\system32;Trojan.Virtumod;Gelöscht.;
subiasqh.exe;C:\WINDOWS\system32;Trojan.Virtumod;Gelöscht.;
xxyxwvu.dll;C:\WINDOWS\system32;Trojan.Virtumod;Wird nach dem Neustart desinfiziert.;





ComboFix 07-08-17.2 - "Matz" 2007-08-24 12:34:12.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.190 [GMT 2:00]


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\egjlm.bak1
C:\WINDOWS\system32\egjlm.ini
C:\WINDOWS\system32\ewdgub.dat
C:\WINDOWS\system32\ewdgub.exe
C:\WINDOWS\system32\ewdgub_nav.dat
C:\WINDOWS\system32\ewdgub_navps.dat
C:\WINDOWS\system32\mljge.dll
C:\WINDOWS\system32\nvs2.inf


((((((((((((((((((((((((( Files Created from 2007-07-24 to 2007-08-24 )))))))))))))))))))))))))))))))


2007-08-24 03:31 <DIR> d-------- C:\DOKUME~1\Matz\DoctorWeb
2007-08-24 03:10 <DIR> d-------- C:\WINDOWS\ERUNT
2007-08-24 01:22 <DIR> d-------- C:\Programme\CCleaner
2007-08-24 01:18 287,766 --------- C:\WINDOWS\system32\xxyxwvu.dll
2007-08-23 22:30 6,486 ---hs---- C:\WINDOWS\system32\xycdd.bak1
2007-08-23 22:22 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys
2007-08-23 22:19 <DIR> d-------- C:\DOKUME~1\Matz\ANWEND~1\Sunbelt Software
2007-08-23 22:19 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Sunbelt Software
2007-08-23 22:16 <DIR> d-------- C:\Programme\Sunbelt Software
2007-08-23 21:58 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-21 22:04 <DIR> d-------- C:\DOKUME~1\Matz\ANWEND~1\Help
2007-08-21 21:51 309 --a------ C:\DOKUME~1\Matz\efdvfk.exe
2007-08-21 21:47 18,228 --a------ C:\WINDOWS\system32\newsystem25.dll
2007-08-03 20:56 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Deaf Meal Log License
2007-08-03 20:55 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\LICENSE ADMIN OPTION BIB


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-24 01:18 --------- d-------- C:\Programme\MSN Messenger
2007-08-24 01:18 --------- d-------- C:\Programme\Messenger Plus! Live
2007-08-17 16:08 --------- d-------- C:\Programme\Norton SystemWorks
2007-08-17 16:07 --------- d-------- C:\DOKUME~1\Matz\ANWEND~1\Symantec
2007-08-01 21:27 --------- d-------- C:\DOKUME~1\Matz\ANWEND~1\teamspeak2
2007-07-22 13:36 --------- d-------- C:\Programme\Pokerstars
2007-07-21 13:55 --------- d-------- C:\Programme\ICQLite
2007-07-18 19:19 --------- d-------- C:\Programme\iriver
2007-06-28 17:58 --------- d-------- C:\DOKUME~1\Matz\ANWEND~1\Screenshot Sender
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-24 16:59 --------- d-------- C:\DOKUME~1\Matz\ANWEND~1\Skype
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-15 14:37 27376 --a------ C:\WINDOWS\system32\SBBD.exe
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe
2007-05-17 02:07 315 --a------ C:\Programme\Gemeinsame Dateien\game0.nfo
2006-05-28 23:39 16826 --ah-c--- C:\Programme\Gemeinsame Dateien\empires.GID
2006-05-24 21:42 79229 -----c--- C:\Programme\Gemeinsame Dateien\Info.doc
2006-05-24 21:42 39535 -----c--- C:\Programme\Gemeinsame Dateien\Infox.doc
2006-05-24 21:42 315457 -----c--- C:\Programme\Gemeinsame Dateien\Uninstal.Exe
2006-05-24 21:42 27780 -----c--- C:\Programme\Gemeinsame Dateien\EULA.RTF
2006-05-24 21:42 2752512 -----c--- C:\Programme\Gemeinsame Dateien\SETUPENU.DLL
2006-05-24 21:41 2842385 -----c--- C:\Programme\Gemeinsame Dateien\EMPIRES.HLP
2006-05-24 21:41 175662 -----c--- C:\Programme\Gemeinsame Dateien\mapdefault.bmp
2006-05-24 21:41 163840 --------- C:\Programme\Gemeinsame Dateien\languagex.dll
2006-05-24 21:40 33280 -----c--- C:\Programme\Gemeinsame Dateien\AoEHlp.dll
2006-05-24 21:40 27648 -----c--- C:\Programme\Gemeinsame Dateien\aelaunch.dll
1999-12-17 02:37 19649 --------- C:\Programme\Gemeinsame Dateien\update.rtf
1999-12-01 09:09 1503232 --------- C:\Programme\Gemeinsame Dateien\EMPIRESX.EXE
1999-12-01 08:43 1470464 --------- C:\Programme\Gemeinsame Dateien\EMPIRES.EXE
1998-04-25 00:02 211456 --------- C:\Programme\Gemeinsame Dateien\language.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}]
2007-08-24 01:18 287766 --------- C:\WINDOWS\system32\xxyxwvu.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-07-19 20:09]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-07-19 20:06]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-07-19 20:10]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2004-03-24 07:40]
"CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 14:04]
"TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2005-08-25 19:11]
"HWSetup"="C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 13:45]
"SVPWUTIL"="C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-05-01 13:45]
"TFncKy"="C:\Programme\Toshiba\TOSHIBA Controls\TFncKy.exe" [2005-05-17 16:02]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2005-05-31 05:33]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-30 12:42]
"IS CfgWiz"="C:\Programme\Norton Internet Security\cfgwiz.exe" [2005-02-17 16:51]
"URLLSTCK.exe"="C:\Programme\Norton Internet Security\UrlLstCk.exe" [2005-05-06 04:27]
"SNPSTD2"="C:\WINDOWS\vsnpstd2.exe" [2004-08-30 16:37]
"SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-06-15 15:17]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 10:05]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"WinUpdate"=C:\WINDOWS\system32\alrsvcl.exe

C:\Dokumente und Einstellungen\Matz\Startmen\Programme\Autostart\
Microsoft Office OneNote 2003 Schnellstart.lnk - C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE [2004-06-17 08:03:44]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
AutoCAD Startup Accelerator.lnk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe [2005-03-05 15:18:22]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}"= C:\WINDOWS\system32\xxyxwvu.dll [2007-08-24 01:18 287766]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbxxvtt]
cbxxvtt.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcyx]
C:\WINDOWS\system32\ddcyx.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyxwvu]
xxyxwvu.dll 2007-08-24 01:18 287766 C:\WINDOWS\system32\xxyxwvu.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"WinUpdate"= C:\WINDOWS\system32\alrsvcl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader - Schnellstart.lnk
backup=C:\WINDOWS\pss\Adobe Reader - Schnellstart.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Digimax Viewer 2.1.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Digimax Viewer 2.1.lnk
backup=C:\WINDOWS\pss\Digimax Viewer 2.1.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^En-Hae^Startmenü^Programme^Autostart^Microsoft Office OneNote 2003 Schnellstart.lnk]
path=C:\Dokumente und Einstellungen\En-Hae\Startmenü\Programme\Autostart\Microsoft Office OneNote 2003 Schnellstart.lnk
backup=C:\WINDOWS\pss\Microsoft Office OneNote 2003 Schnellstart.lnkStartup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CFSServ.exe]
C:\Programme\Toshiba\ConfigFree\CFSServ.exe -NoClient

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"C:\Spiele\daemontools\DAEMON Tools\daemon.exe" -lang 1033

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
"C:\Programme\ICQLite\ICQLite.exe" -minimize

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IncrediMail]
C:\Programme\IncrediMail\bin\IncMail.exe /c

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
"C:\Programme\MSN Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NDSTray.exe]
C:\Programme\Toshiba\ConfigFree\NDSTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Option Bib Logo Log]
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\LICENSE ADMIN OPTION BIB\Debug Real.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PadTouch]
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -onlytray

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
"C:\Spiele\Skype\Phone\Skype.exe" /nosplash /minimized

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmoothView]
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System]
rundl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TCtryIOHook]
TCtrlIOHook.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ToADiMon.exe]
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPSMain]
TPSMain.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tvs]
C:\Programme\TOSHIBA\Tvs\TvsTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UnlockerAssistant]
C:\Spiele\window blinds\Unlocker\UnlockerAssistant.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Up setup else log]
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Deaf Meal Log License\1 dvd blah.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zooming]
ZoomingHook.exe

R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys
R1 SrvcSSIOMngr;SrvcSSIOMngr;C:\WINDOWS\system32\Drivers\SSIoMngr.sys
R1 TPwSav;Common Driver;C:\WINDOWS\system32\Drivers\TPwSav.sys
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"
R3 NPDriver;Norton Unerase Protection Driver;\??\C:\WINDOWS\system32\Drivers\NPDRIVER.SYS
R3 TDSLAdapter;T-DSL-Adapter (T-Online);C:\WINDOWS\system32\DRIVERS\TDSLAdap.sys
S3 SBAPIFS;SBAPIFS;\??\C:\WINDOWS\system32\drivers\sbapifs.sys
S3 SDdriver;SDdriver;\??\C:\WINDOWS\system32\Drivers\sddriver.sys
S3 snpstd2;Trust WB-3100P Portable Webcam;C:\WINDOWS\system32\DRIVERS\snpstd2.sys
S3 TDSLProtocol;T-DSL-Protocol (T-Online);C:\WINDOWS\system32\DRIVERS\TDSLProt.sys
S3 tosrfec;Bluetooth ACPI from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfec.sys


Contents of the 'Scheduled Tasks' folder
2007-08-24 01:00:00 C:\WINDOWS\Tasks\A8E01683918B8A7F.job - c:\dokume~1\matz\anwend~1\objbone\COPY MODE LOGO.exe
2007-05-28 10:00:00 C:\WINDOWS\Tasks\Norton SystemWorks One Button Checkup.job
2005-11-08 18:17:35 C:\WINDOWS\Tasks\Registrierungserinnerung 1.job - C:\WINDOWS\system32\OOBE\oobebaln.exe
2005-11-08 18:17:36 C:\WINDOWS\Tasks\Registrierungserinnerung 3.job - C:\WINDOWS\system32\OOBE\oobebaln.exe
2007-08-23 22:00:00 C:\WINDOWS\Tasks\Symantec Drmc.job
2007-08-24 10:44:01 C:\WINDOWS\Tasks\Symantec NetDetect.job - C:\Programme\Symantec\LiveUpdate\NDetect.exe

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-24 12:43:27
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-24 12:45:46 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-24 12:45
C:\ComboFix2.txt ... 2007-08-24 01:10

--- E O F ---






Logfile of HijackThis v1.99.1
Scan saved at 12:48:14, on 24.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Toshiba\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\vsnpstd2.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\HijackThis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQLite\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQLite\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\xxyxwvu.dll
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQLite\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [TFncKy] C:\Programme\Toshiba\TOSHIBA Controls\TFncKy.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Norton Internet Security\cfgwiz.exe /GUID {257BBC47-1B26-432e-9F84-188603799DD3} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\alrsvcl.exe
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {D7783732-69C6-4A28-BE53-618CC4609617} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: cbxxvtt - cbxxvtt.dll (file missing)
O20 - Winlogon Notify: ddcyx - C:\WINDOWS\system32\ddcyx.dll (file missing)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: xxyxwvu - C:\WINDOWS\SYSTEM32\xxyxwvu.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IS Service (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe









.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B5-F693

Verzeichnis von C:\WINDOWS\system32

24.08.2007 12:54 1.150 dcbeg.ini
24.08.2007 12:48 266.304 gebcd.dll
24.08.2007 12:43 1.158 wpa.dbl
24.08.2007 01:18 287.766 xxyxwvu.dll
23.08.2007 22:58 11.003 xycdd.ini
23.08.2007 22:30 6.486 xycdd.bak1
21.08.2007 21:47 18.228 newsystem25.dll
15.08.2007 09:52 129 MRT.INI
03.08.2007 06:34 16.789.464 MRT.exe
22.07.2007 18:39 279.552 swreg.exe
26.06.2007 16:39 671.232 wininet.dll
26.06.2007 08:08 1.104.896 msxml3.dll
19.06.2007 15:31 282.112 gdi32.dll
15.06.2007 14:37 27.376 SBBD.exe
15.06.2007 10:13 532.480 mstime.dll
15.06.2007 10:13 39.424 pngfilt.dll
15.06.2007 10:13 474.624 shlwapi.dll
15.06.2007 10:13 1.498.112 shdocvw.dll
15.06.2007 10:13 619.008 urlmon.dll
15.06.2007 10:13 146.432 msrating.dll
15.06.2007 10:13 449.024 mshtmled.dll
15.06.2007 10:13 3.085.312 mshtml.dll
15.06.2007 10:13 1.056.256 danim.dll
15.06.2007 10:13 55.808 extmgr.dll
15.06.2007 10:13 96.768 inseng.dll
15.06.2007 10:13 16.384 jsproxy.dll
15.06.2007 10:13 205.824 dxtrans.dll
15.06.2007 10:13 1.022.976 browseui.dll
15.06.2007 10:13 357.888 dxtmsft.dll
15.06.2007 10:13 152.064 cdfview.dll
15.06.2007 10:13 251.904 iepeers.dll
14.06.2007 12:56 373.760 xpsp3res.dll
02.06.2007 17:21 60.120 mlfcache.dat
17.05.2007 13:28 549.376 oleaut32.dll
16.05.2007 17:11 683.520 inetcomm.dll
08.05.2007 15:03 1.275.392 msxml4.dll

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B5-F693

Verzeichnis von C:\DOKUME~1\Matz\LOKALE~1\Temp

24.08.2007 12:54 108.021 datfind.txt
24.08.2007 12:49 16.384 Perflib_Perfdata_24c.dat
2 Datei(en) 124.405 Bytes
0 Verzeichnis(se), 10.258.182.144 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B5-F693

Verzeichnis von C:\WINDOWS

24.08.2007 12:41 0 0.log
24.08.2007 12:40 159 wiadebug.log
24.08.2007 12:40 1.491.753 WindowsUpdate.log
24.08.2007 12:40 50 wiaservc.log
24.08.2007 12:40 2.048 bootstat.dat
24.08.2007 12:38 32.032 SchedLgU.Txt
24.08.2007 04:03 613.774 ntbtlog.txt
21.08.2007 22:39 227 system.ini
21.08.2007 22:39 1.034 win.ini
16.08.2007 01:09 3.826 ModemLog_TOSHIBA Software Modem.txt
20.07.2007 00:47 109.056 catchme.exe
17.06.2007 00:11 51.200 nircmd.exe
13.06.2007 15:21 1.036.288 explorer.exe
06.04.2007 12:14 227 Missing.ini
25.01.2007 18:40 99.946 War3Unin.dat
04.01.2007 23:05 2.829 War3Unin.pif
04.01.2007 23:05 139.264 War3Unin.exe
05.11.2006 14:46 1.152 mozver.dat
05.11.2006 14:42 0 nsreg.dat
30.08.2006 12:08 739 STImgBrowser.INI
26.08.2006 09:49 2.560 _MSRSTRT.EXE
31.05.2006 17:08 0 isnooker.INI
03.05.2006 00:38 72.444 SetBrowser.exe
03.05.2006 00:38 748 SetBrowser.ini
11.03.2006 16:26 0 TPTray.INI
27.02.2006 17:10 143 WB.ini
14.11.2005 20:13 400 ODBC.INI
09.11.2005 19:42 24 AM_D8.PRF
23.09.2005 13:48 356.352 eSellerateEngine.dll
15.09.2005 10:01 8.192 REGLOCS.OLD
15.09.2005 09:34 61 smscfg.ini
14.09.2005 16:29 236 wininit.ini
14.09.2005 16:24 0 NDSTray.INI
14.09.2005 15:34 0 CeEKey.INI
12.09.2005 14:03 0 Sti_Trace.log
12.09.2005 13:29 316.640 WMSysPr9.prx
12.09.2005 13:19 197.043 orun32.isu
12.09.2005 13:19 849 orun32.ini
12.09.2005 13:08 0 control.ini
12.09.2005 13:07 4.161 ODBCINST.INI
12.09.2005 13:06 749 WindowsShell.Manifest
12.09.2005 13:05 36 vb.ini
12.09.2005 13:05 37 vbaddin.ini
21.06.2005 06:42 77.824 soundman.exe
03.06.2005 01:43 200.704 alcrmv.exe
03.06.2005 01:31 294.912 alcupd.exe
31.05.2005 05:33 98.360 dla.exe
27.05.2005 01:22 10.752 hh.exe
19.05.2005 11:48 237.568 TWallEx43_169.exe
11.05.2005 16:00 245.760 TBTdetect.exe
16.03.2005 16:32 229.376 TSwitchHibOn.exe
14.02.2005 08:54 173 TVersion.xml
22.12.2004 10:10 88.358 agrsmmsg.exe
20.12.2004 14:39 466 TBTdetect.ini
08.12.2004 16:04 45.056 cfdemo.scr
30.08.2004 16:37 286.720 vsnpstd2.exe
20.08.2004 10:05 3.072.054 TOSHIBA Satellite 1280x800.bmp
20.08.2004 10:05 3.072.054 TOSHIBA SATELLITE.bmp
20.08.2004 09:29 3.888.054 TOSHIBA Satellite 1440x900.bmp
19.08.2004 18:17 2.359.350 TOSHIBA Satellite 1024x768.bmp
19.08.2004 18:17 2.359.350 TOSHIBA Satellite.bmp.43
04.08.2004 14:00 153.600 regedit.exe
04.08.2004 14:00 17.336 Angler.bmp
04.08.2004 14:00 15.872 TASKMAN.EXE
04.08.2004 14:00 65.954 Pr„riewind.bmp
04.08.2004 14:00 1.272 Blaue Spitzen 16.bmp
04.08.2004 14:00 34.818 wmprfDEU.prx
04.08.2004 14:00 17.362 Rhododendron.bmp
04.08.2004 14:00 16.730 Feder.bmp
04.08.2004 14:00 9.522 Zapotek.bmp
04.08.2004 14:00 65.832 Santa Fe-Stuck.bmp
04.08.2004 14:00 707 _default.pif
04.08.2004 14:00 48.680 winnt256.bmp
04.08.2004 14:00 48.680 winnt.bmp
04.08.2004 14:00 26.680 F„cher.bmp
04.08.2004 14:00 288.768 winhlp32.exe
04.08.2004 14:00 257.568 winhelp.exe
04.08.2004 14:00 82.944 clock.avi
04.08.2004 14:00 70.144 NOTEPAD.EXE
04.08.2004 14:00 1.405 msdfmap.ini
04.08.2004 14:00 94.800 twain.dll
04.08.2004 14:00 50.688 twain_32.dll
04.08.2004 14:00 2 desktop.ini
04.08.2004 14:00 49.680 twunk_16.exe
04.08.2004 14:00 25.600 twunk_32.exe
04.08.2004 14:00 26.582 Granit.bmp
04.08.2004 14:00 17.062 Kaffeetasse.bmp
04.08.2004 14:00 65.978 Seifenblase.bmp
04.08.2004 14:00 18.944 vmmreg32.dll
04.08.2004 14:00 80 explorer.scf
03.08.2004 13:54 122.880 TMinimize.exe
09.06.2004 16:00 20.480 usnpstd2.exe
19.04.2004 12:18 3.072.056 TOSHIBA1280x0800.bmp
19.04.2004 11:18 3.072.056 TOSHIBA_GEN_169.BMP
06.04.2004 11:49 64.512 agrsmdel.exe
09.10.2003 17:55 20.966.970 cfdemo.exe
22.05.2003 16:51 3.888.056 TOSHIBA1440x0900.bmp
17.01.2003 17:35 13.023 snpstd2.src
17.01.2003 17:34 15.541 snpstd2.ini
07.11.2002 11:35 159.744 MakeMrk.exe
03.07.2002 11:44 53.248 amcap.exe
18.01.2002 19:12 112 ActiveSkin.INI
10.09.2001 11:13 2.359.352 TOSHIBA1024x0768.bmp
10.09.2001 10:13 2.359.352 TOSHIBA_GEN.BMP
10.11.1999 12:05 86.016 unvise32qt.exe
17.11.1998 14:44 328.704 IsUn0407.exe
20.11.1617 00:28 3.120 MF_C425.lfa
17.11.1617 17:36 3.120 MF_C426.lfa
17.11.1617 17:36 3.120 MF_C421.lfa
17.11.1617 17:36 3.120 MF_C420.lfa
110 Datei(en) 59.281.042 Bytes
0 Verzeichnis(se), 10.258.178.048 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B5-F693

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: F4B5-F693

Verzeichnis von C:\WINDOWS\Downloaded Program Files

13.04.2007 02:14 382.344 GAME_UNO1.dll
27.03.2007 16:00 5.021 swflash.inf
17.01.2007 15:44 316 GAME_UNO1.INF
14.10.2005 13:49 587 MSNPupld.inf
14.10.2005 12:02 372.736 MsnPUpld.dll
12.09.2005 13:06 65 desktop.ini
05.03.2005 14:57 113.784 IDropENU.dll
05.03.2005 14:23 302.712 IDrop.ocx
29.05.2003 16:00 160.864 messengerstatsclient.dll
19.06.2002 15:11 117.088 PURen-us.dll
31.05.2002 10:19 117.328 purde-de.dll
11 Datei(en) 1.572.845 Bytes
0 Verzeichnis(se), 10.258.173.952 Bytes frei
.
.
.


so...das sind jetzt alle logs usw...
hoffe ihr könnt mir helfen!

Vielen dank im vorraus!

Ma-Zhe
Dieser Beitrag wurde am 24.08.2007 um 13:24 Uhr von Ma-Zhe editiert.
Seitenanfang Seitenende
24.08.2007, 14:01
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

wow, was für ein verhau....
Besser wäre neu aufzusetzten, was da alles drauf war/ist....

Notdürftig:

Bitte folgende Files prüfen:

Zitat

C:\WINDOWS\system32\alrsvcl.exe
C:\WINDOWS\SYSTEM32\newsystem25.dll
C:\DOKUME~1\Matz\efdvfk.exe
C:\WINDOWS\MF_C425.lfa
C:\WINDOWS\system32\swreg.exe
C:\WINDOWS\system32\wininet.dll
C:\WINDOWS\system32\msxml3.dll

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren)
--> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den
Text markieren -> kopieren - einfügen

Poste die Ergebnisse mit Filenamen!

Ich habe die drei ersten Files schon aufgenommen, da es wahrscheinlich Maleware ist... Sonst wieder rauslöschen...

Lösche den folgenden Job (ausser er stammt von Dir):
C:\WINDOWS\Tasks\A8E01683918B8A7F.job - c:\dokume~1\matz\anwend~1\objbone\COPY MODE LOGO.exe


Also:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat



registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddcyx
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\xxyxwvu
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\cbxxvtt


Files to delete:
C:\WINDOWS\system32\alrsvcl.exe
C:\WINDOWS\SYSTEM32\newsystem25.dll
C:\DOKUME~1\Matz\efdvfk.exe

C:\WINDOWS\SYSTEM32\xxyxwvu.dll
C:\WINDOWS\SYSTEM32\xycdd.ini
C:\WINDOWS\SYSTEM32\xycdd.bak1

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat


O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\xxyxwvu.dll
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\alrsvcl.exe
O20 - Winlogon Notify: cbxxvtt - cbxxvtt.dll (file missing)
O20 - Winlogon Notify: ddcyx - C:\WINDOWS\system32\ddcyx.dll (file missing)



Poste ein neues HJ-Log!

Chris
Dieser Beitrag wurde am 24.08.2007 um 14:06 Uhr von Chris4You editiert.
Seitenanfang Seitenende
24.08.2007, 15:10
Member

Themenstarter

Beiträge: 19
#3 hm...die Datei "C:\WINDOWS\system32\alrsvcl.exe" konnte nicht gefunden werden...bist du sicher, dass das format .exe ist?
weil das gabs nur in .dll

ich weiß zwar nicht genau, wie du das gepostet haben willst...aber ich postes trotzdem mal rein...so wie ichs mir denke^^
hoffe is richtig...

und wegen meinem laptop....isses wirklich soo schlimm??

weil wenn...dann Schei......XD
ich fühl mich grad wie dein ava... irgendwie voll kacka... und dabei hab ich grad gegessen...-.-

aber trotzdem danke für die schnelle Hilfe!!



Filename:
C:\WINDOWS\SYSTEM32\newsystem25.dll :

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.22.0 2007.08.24 Win32/DllBot.worm.18228
AntiVir 7.4.1.63 2007.08.24 Worm/IRCBot.18228
Authentium 4.93.8 2007.08.23 -
Avast 4.7.1029.0 2007.08.24 Win32:Ircbot-ABW
AVG 7.5.0.484 2007.08.23 BackDoor.Ircbot.BAC
BitDefender 7.2 2007.08.24 Backdoor.Ircbot.ABFA
CAT-QuickHeal 9.00 2007.08.23 Backdoor.IRCBot.acd
ClamAV 0.91 2007.08.24 -
DrWeb 4.33 2007.08.24 -
eSafe 7.0.15.0 2007.08.23 Win32.IRCBot.acd
eTrust-Vet 31.1.5084 2007.08.24 Win32/Checkout.N
Ewido 4.0 2007.08.24 -
FileAdvisor 1 2007.08.24 -
Fortinet 2.91.0.0 2007.08.24 W32/IRCBot.ACD!tr.bdr
F-Prot 4.3.2.48 2007.08.23 -
F-Secure 6.70.13030.0 2007.08.24 Backdoor.Win32.IRCBot.acd
Ikarus T3.1.1.12 2007.08.24 MalwareScope.Backdoor.Hupigon.1
Kaspersky 4.0.2.24 2007.08.24 Backdoor.Win32.IRCBot.acd
McAfee 5104 2007.08.23 -
Microsoft 1.2803 2007.08.24 Backdoor:Win32/IRCbot.OP.dll
NOD32v2 2482 2007.08.24 Win32/IRCBot.WO
Norman 5.80.02 2007.08.24 Hupigon.gen83
Panda 9.0.0.4 2007.08.24 Suspicious file
Prevx1 V2 2007.08.24 -
Rising 19.37.42.00 2007.08.24 Worm.Win32.MSNPhoto.d
Sophos 4.20.0 2007.08.24 W32/IRCBot-XL
Sunbelt 2.2.907.0 2007.08.24 -
Symantec 10 2007.08.24 W32.Mimbot.A
TheHacker 6.1.8.172 2007.08.24 Backdoor/IRCBot.acd
VBA32 3.12.2.3 2007.08.23 -
VirusBuster 4.3.26:9 2007.08.23 -
Webwasher-Gateway 6.0.1 2007.08.24 Worm.IRCBot.18228
weitere Informationen
File size: 18228 bytes
MD5: 7cbc04dcbe3dd84e5348b9fdb63d6229
SHA1: 26aa131792bbe21487826d3e8a2f593b5d2d3ace
packers: eXPressor
packers: Expr




C:\DOKUME~1\Matz\efdvfk.exe :

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.22.0 2007.08.24 -
AntiVir 7.4.1.63 2007.08.24 -
Authentium 4.93.8 2007.08.23 -
Avast 4.7.1029.0 2007.08.24 -
AVG 7.5.0.484 2007.08.23 -
BitDefender 7.2 2007.08.24 -
CAT-QuickHeal 9.00 2007.08.23 -
ClamAV 0.91 2007.08.24 -
DrWeb 4.33 2007.08.24 -
eSafe 7.0.15.0 2007.08.23 -
eTrust-Vet 31.1.5084 2007.08.24 -
Ewido 4.0 2007.08.24 -
FileAdvisor 1 2007.08.24 -
Fortinet 2.91.0.0 2007.08.24 -
F-Prot 4.3.2.48 2007.08.23 -
F-Secure 6.70.13030.0 2007.08.24 -
Ikarus T3.1.1.12 2007.08.24 -
Kaspersky 4.0.2.24 2007.08.24 -
McAfee 5104 2007.08.23 -
Microsoft 1.2803 2007.08.24 -
NOD32v2 2482 2007.08.24 -
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.24 -
Prevx1 V2 2007.08.24 -
Rising 19.37.42.00 2007.08.24 -
Sophos 4.20.0 2007.08.24 -
Sunbelt 2.2.907.0 2007.08.24 -
Symantec 10 2007.08.24 -
TheHacker 6.1.8.172 2007.08.24 -
VBA32 3.12.2.3 2007.08.23 -
VirusBuster 4.3.26:9 2007.08.23 -
Webwasher-Gateway 6.0.1 2007.08.24 -
weitere Informationen
File size: 309 bytes
MD5: f5849e133add0f0f384f410073d617b0
SHA1: 41652e8110f2394acedf950400aa43963d489bda




C:\WINDOWS\MF_C425.lfa :

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.22.0 2007.08.24 -
AntiVir 7.4.1.63 2007.08.24 -
Authentium 4.93.8 2007.08.23 -
Avast 4.7.1029.0 2007.08.24 -
AVG 7.5.0.484 2007.08.23 -
BitDefender 7.2 2007.08.24 -
CAT-QuickHeal 9.00 2007.08.23 -
ClamAV 0.91 2007.08.24 -
DrWeb 4.33 2007.08.24 -
eSafe 7.0.15.0 2007.08.23 -
eTrust-Vet 31.1.5084 2007.08.24 -
Ewido 4.0 2007.08.24 -
FileAdvisor 1 2007.08.24 -
Fortinet 2.91.0.0 2007.08.24 -
F-Prot 4.3.2.48 2007.08.23 -
F-Secure 6.70.13030.0 2007.08.24 -
Ikarus T3.1.1.12 2007.08.24 -
Kaspersky 4.0.2.24 2007.08.24 -
McAfee 5104 2007.08.23 -
Microsoft 1.2803 2007.08.24 -
NOD32v2 2482 2007.08.24 -
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.24 -
Prevx1 V2 2007.08.24 -
Rising 19.37.42.00 2007.08.24 -
Sophos 4.20.0 2007.08.24 -
Sunbelt 2.2.907.0 2007.08.24 -
Symantec 10 2007.08.24 -
TheHacker 6.1.8.172 2007.08.24 -
VBA32 3.12.2.3 2007.08.23 -
VirusBuster 4.3.26:9 2007.08.23 -
Webwasher-Gateway 6.0.1 2007.08.24 -
weitere Informationen
File size: 3120 bytes
MD5: ef0f57f171b29f40faa05b9abb070f2d
SHA1: 9dabb2062fd8d33ca42d62d0b45157603e85af0f




C:\WINDOWS\system32\swreg.exe :

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.22.0 2007.08.24 -
AntiVir 7.4.1.63 2007.08.24 -
Authentium 4.93.8 2007.08.23 -
Avast 4.7.1029.0 2007.08.24 -
AVG 7.5.0.484 2007.08.23 -
BitDefender 7.2 2007.08.24 -
CAT-QuickHeal 9.00 2007.08.23 -
ClamAV 0.91 2007.08.24 -
DrWeb 4.33 2007.08.24 -
eSafe 7.0.15.0 2007.08.23 suspicious Trojan/Worm
eTrust-Vet 31.1.5084 2007.08.24 -
Ewido 4.0 2007.08.24 -
FileAdvisor 1 2007.08.24 -
Fortinet 2.91.0.0 2007.08.24 -
F-Prot 4.3.2.48 2007.08.23 -
F-Secure 6.70.13030.0 2007.08.24 -
Ikarus T3.1.1.12 2007.08.24 -
Kaspersky 4.0.2.24 2007.08.24 -
McAfee 5104 2007.08.23 -
Microsoft 1.2803 2007.08.24 -
NOD32v2 2482 2007.08.24 -
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.24 -
Prevx1 V2 2007.08.24 Generic.Malware
Rising 19.37.42.00 2007.08.24 -
Sophos 4.20.0 2007.08.24 -
Sunbelt 2.2.907.0 2007.08.24 -
Symantec 10 2007.08.24 -
TheHacker 6.1.8.172 2007.08.24 -
VBA32 3.12.2.3 2007.08.23 -
VirusBuster 4.3.26:9 2007.08.23 -
Webwasher-Gateway 6.0.1 2007.08.24 -
weitere Informationen
File size: 279552 bytes
MD5: 5dbee2a187ff4ba477c1c8b08682a585
SHA1: 5697e3c37b81f5e97da0b38227b408ee6a4112a5
packers: UPX
packers: UPX
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=2E03818F0003D09E44C70487BB26E4009C2A50B0




C:\WINDOWS\system32\wininet.dll :

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.22.0 2007.08.24 -
AntiVir 7.4.1.63 2007.08.24 -
Authentium 4.93.8 2007.08.23 -
Avast 4.7.1029.0 2007.08.24 -
AVG 7.5.0.484 2007.08.23 -
BitDefender 7.2 2007.08.24 -
CAT-QuickHeal 9.00 2007.08.23 -
ClamAV 0.91 2007.08.24 -
DrWeb 4.33 2007.08.24 -
eSafe 7.0.15.0 2007.08.23 -
eTrust-Vet 31.1.5084 2007.08.24 -
Ewido 4.0 2007.08.24 -
FileAdvisor 1 2007.08.24 -
Fortinet 2.91.0.0 2007.08.24 -
F-Prot 4.3.2.48 2007.08.23 -
F-Secure 6.70.13030.0 2007.08.24 -
Ikarus T3.1.1.12 2007.08.24 -
Kaspersky 4.0.2.24 2007.08.24 -
McAfee 5104 2007.08.23 -
Microsoft 1.2803 2007.08.24 -
NOD32v2 2482 2007.08.24 -
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.24 -
Prevx1 V2 2007.08.24 -
Rising 19.37.42.00 2007.08.24 -
Sophos 4.20.0 2007.08.24 -
Sunbelt 2.2.907.0 2007.08.24 -
Symantec 10 2007.08.24 -
TheHacker 6.1.8.172 2007.08.24 -
VBA32 3.12.2.3 2007.08.23 -
VirusBuster 4.3.26:9 2007.08.23 -
Webwasher-Gateway 6.0.1 2007.08.24 -
weitere Informationen
File size: 671232 bytes
MD5: 8ffb79a006666912364801ae679e618e
SHA1: d68ed729b532e10d178775186c41b79f4db6ebe3




C:\WINDOWS\system32\msxml3.dll :

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.22.0 2007.08.24 -
AntiVir 7.4.1.63 2007.08.24 -
Authentium 4.93.8 2007.08.23 -
Avast 4.7.1029.0 2007.08.24 -
AVG 7.5.0.484 2007.08.23 -
BitDefender 7.2 2007.08.24 -
CAT-QuickHeal 9.00 2007.08.23 -
ClamAV 0.91 2007.08.24 -
DrWeb 4.33 2007.08.24 -
eSafe 7.0.15.0 2007.08.23 -
eTrust-Vet 31.1.5084 2007.08.24 -
Ewido 4.0 2007.08.24 -
FileAdvisor 1 2007.08.24 -
Fortinet 2.91.0.0 2007.08.24 -
F-Prot 4.3.2.48 2007.08.23 -
F-Secure 6.70.13030.0 2007.08.24 -
Ikarus T3.1.1.12 2007.08.24 -
Kaspersky 4.0.2.24 2007.08.24 -
McAfee 5104 2007.08.23 -
Microsoft 1.2803 2007.08.24 -
NOD32v2 2482 2007.08.24 -
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.24 -
Prevx1 V2 2007.08.24 -
Rising 19.37.42.00 2007.08.24 -
Sophos 4.20.0 2007.08.24 -
Sunbelt 2.2.907.0 2007.08.24 -
Symantec 10 2007.08.24 -
TheHacker 6.1.8.172 2007.08.24 -
VBA32 3.12.2.3 2007.08.23 -
VirusBuster 4.3.26:9 2007.08.23 -
Webwasher-Gateway 6.0.1 2007.08.24 -
weitere Informationen
File size: 1104896 bytes
MD5: 0fadc54736b5045ab9502f8eb06f7d12
SHA1: 1080b3c24c842c493e3597b4c1ac246c1a4629ea




Das Avenger Script ist irgendwie falsch...

hier ist der Error - Log

//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////

Error: selected file does not appear to be a valid script.
Error code: 0



Mit Hijackthis konnte ich nur
O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\alrsvcl.exe
fixen...
und danach hab ich ein log erstellt...hätte ich zuerst das log machen sollen, bevor ich fixe??
naja, wenn dann isses zuspät..

hier ist das log:

Logfile of HijackThis v1.99.1
Scan saved at 15:30:07, on 24.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Toshiba\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\vsnpstd2.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\HijackThis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQLite\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQLite\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [TFncKy] C:\Programme\Toshiba\TOSHIBA Controls\TFncKy.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Norton Internet Security\cfgwiz.exe /GUID {257BBC47-1B26-432e-9F84-188603799DD3} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {D7783732-69C6-4A28-BE53-618CC4609617} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{B461050C-4810-4946-A69F-59079B32A9A0}: NameServer = 217.237.151.142 217.237.150.188
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IS Service (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe




hoffe ich konnte jetzt alles machen, was du gesagt hast...
und hoffe du kannst mir weiter helfen..

Vielen Dank!
Dieser Beitrag wurde am 24.08.2007 um 15:31 Uhr von Ma-Zhe editiert.
Seitenanfang Seitenende
24.08.2007, 16:09
Member
Avatar Chris4You

Beiträge: 694
#4 Hi,

die Datei heisst alrsvcl.exe, schau mal oben nach (O4 - HKCU\..\RunServices: [WinUpdate] C:\WINDOWS\system32\alrsvcl.exe), das war genau das was Du mit HJ fixen konntest. Wenn es eine entsprechende DLL gibt, lass die Online prüfen!

Wenn Avenger nicht tut (nicht Zitat mit reinkopieren!),
probieren wir die Killbox aus:

http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:

C:\WINDOWS\system32\alrsvcl.exe
C:\WINDOWS\system32\swreg.exe
C:\WINDOWS\SYSTEM32\newsystem25.dll
C:\WINDOWS\SYSTEM32\xxyxwvu.dll
C:\WINDOWS\SYSTEM32\xycdd.ini
C:\WINDOWS\SYSTEM32\xycdd.bak1

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

Dann lasse noch einmal Dr.Web laufen und poste den Report...

chris

Ps.: Das neue HJ-Log sieht schon ganz gut aus!
Wenn alles fehlerfrei durch ist folgendes durchführen:
1. Systemwiederherstellung löschen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da).

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

2.) Backups von Avenger&Co löschen:

C:\Qoobox - loeschen und Papierkorb leeren
C:\avenger\backup.zip - loeschen und Papierkorb leeren
C:\VundoFix Backups - loeschen und Papierkorb leeren
Dieser Beitrag wurde am 24.08.2007 um 16:14 Uhr von Chris4You editiert.
Seitenanfang Seitenende
24.08.2007, 16:23
Member

Themenstarter

Beiträge: 19
#5 Hi!

hm...den file gibts wirklich nicht...
nur:

C:\WINDOWS\system32\alrsvc.dll:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.25.0 2007.08.24 -
AntiVir 7.4.1.63 2007.08.24 -
Authentium 4.93.8 2007.08.23 -
Avast 4.7.1029.0 2007.08.24 -
AVG 7.5.0.484 2007.08.23 -
BitDefender 7.2 2007.08.24 -
CAT-QuickHeal 9.00 2007.08.23 -
ClamAV 0.91 2007.08.24 -
DrWeb 4.33 2007.08.24 -
eSafe 7.0.15.0 2007.08.23 -
eTrust-Vet 31.1.5084 2007.08.24 -
Ewido 4.0 2007.08.24 -
FileAdvisor 1 2007.08.24 -
Fortinet 2.91.0.0 2007.08.24 -
F-Prot 4.3.2.48 2007.08.23 -
F-Secure 6.70.13030.0 2007.08.24 -
Ikarus T3.1.1.12 2007.08.24 -
Kaspersky 4.0.2.24 2007.08.24 -
McAfee 5104 2007.08.23 -
Microsoft 1.2803 2007.08.24 -
NOD32v2 2482 2007.08.24 -
Norman 5.80.02 2007.08.24 -
Panda 9.0.0.4 2007.08.24 -
Prevx1 V2 2007.08.24 -
Rising 19.37.42.00 2007.08.24 -
Sophos 4.20.0 2007.08.24 -
Sunbelt 2.2.907.0 2007.08.24 -
Symantec 10 2007.08.24 -
TheHacker 6.1.8.172 2007.08.24 -
VBA32 3.12.2.3 2007.08.24 -
VirusBuster 4.3.26:9 2007.08.24 -
Webwasher-Gateway 6.0.1 2007.08.24 -
weitere Informationen
File size: 17408 bytes
MD5: 1aab6c5f8376357cb9b16c38c42c4076
SHA1: f335e5b2e567d735d82d7fb31722f01b6fb7db4c




Bei Avenger hab ich nicht "Zitat" mit reinkopiert...nur das was IN dem zitat drin war... aber trotzdem gings net...

Soll ich bei killbox die Dateien manuell löschen nach dem reboot?

und...bei DrWeb...nur den express scan oder meine ganze festplatte?

Also ich hab den DrWeb expressscan gemacht, hier der Bericht:

gebcd.dll;c:\windows\system32;Trojan.Virtumod;Wird nach dem Neustart desinfiziert.;
xxyxwvu.dll;c:\windows\system32;Trojan.Virtumod;Wird nach dem Neustart desinfiziert.;


soll ich nochmal komplett scannen?

Danke für die Hilfe!

P.S.: kannst du mir bitte rückmelden, ob ich deine Anweisungen richtig folgegeleistet hab? Danke^^
Dieser Beitrag wurde am 24.08.2007 um 16:49 Uhr von Ma-Zhe editiert.
Seitenanfang Seitenende
24.08.2007, 16:59
Member
Avatar Chris4You

Beiträge: 694
#6 Hi,

Killbox: "Delete on reboot "
dann werden die Files beim Neubooten gelöscht (bevor die Viecher starten) können. Danach dann ein Fullscan mit Dr. Web.

Chris
Seitenanfang Seitenende
24.08.2007, 18:57
Member

Themenstarter

Beiträge: 19
#7 So...ich hab jetzt einen fullscan gemacht...

hier der log:

gebcd.dll;c:\windows\system32;Trojan.Virtumod;Wird nach dem Neustart desinfiziert.;
xxyxwvu.dll;c:\windows\system32;Trojan.Virtumod;Wird nach dem Neustart desinfiziert.;
A0094671.dll;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Virtumod;Gelöscht.;
A0094672.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Virtumod;Gelöscht.;
A0094673.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Virtumod;Gelöscht.;
A0094676.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Program.mIRC.621;;
A0094677.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Tool.Prockill;;
A0094853.dll;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Virtumod;Gelöscht.;
A0098514.dll;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Virtumod;Gelöscht.;
A0098517.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Swizzor;Gelöscht.;
A0098518.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0098519.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Swizzor;Gelöscht.;
A0098520.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0098521.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
A0098522.exe;C:\System Volume Information\_restore{01C16C54-4E0C-4CEB-8A72-41CB8D280F9A}\RP229;Trojan.Packed.149;Nicht desinfizierbar.Verschoben.;
gebcd.dll;C:\WINDOWS\system32;Trojan.Virtumod;Wird nach dem Neustart desinfiziert.;
xxyxwvu.dll;C:\WINDOWS\system32;Trojan.Virtumod;Wird nach dem Neustart desinfiziert.;


hm...anscheinend hat doch nicht alles geklappt wie gedacht...

soll ich die backups wie oben beschrieben löschen?

hoffe ich muss nicht alles nochmal drauf machen...

trotzdem danke für die Hilfe!

Edit:
Qoobox und Avenger Backup hab ich jetzt gelöscht...

Vundofix backup gibts nicht..

Frage...soll ich auch die ComboFix Backups löschen?

generell, alle backups?
Dieser Beitrag wurde am 24.08.2007 um 19:02 Uhr von Ma-Zhe editiert.
Seitenanfang Seitenende
28.08.2007, 07:46
Member
Avatar Chris4You

Beiträge: 694
#8 Hi,

alle Backups löschen, und folgendes tun:
Systemwiederherstellung löschen
http://www.bsi.bund.de/av/texte/wiederher.htm
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da).

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Danach noch mal einen Fullscan (Dr. Web.), poste das Ergebniss und ein neues HJ-Log.

Gruß,
Chris
Seitenanfang Seitenende
29.08.2007, 23:12
Member

Themenstarter

Beiträge: 19
#9 Hi...

ja das dumme ist halt, dass ich mir nciht sicher bin, ob alles wieder einwandfrei läuft...

wegen dem bericht von DrWeb der 2 Posts drüber steht...
ach als ich das nochmal gemacht hab, wurden wieder trojaner gefunden...

aber ich machs nochmal...

danke für die hilfe..

Grüßle

Ma-Zhe


Edit:

auf C:\System Volume Information ist mir der Zugriff verweigert, obwohl ich adminrechte habe...ka wieso...

auf jedenfall hier die logfiles von DrWeb und Hijackthis:

DrWeb:
gebcd.dll;c:\windows\system32;Trojan.Virtumod;Wird nach dem Neustart desinfiziert.;
gebcd.dll;C:\WINDOWS\system32;Trojan.Virtumod;Wird nach dem Neustart desinfiziert.;

HiJackThis:

Logfile of HijackThis v1.99.1
Scan saved at 02:07:48, on 30.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Toshiba\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\vsnpstd2.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Matz\Desktop\cureit(2).exe
C:\DOKUME~1\Matz\LOKALE~1\Temp\RarSFX0\_start.exe
C:\DOKUME~1\Matz\LOKALE~1\Temp\RarSFX0\setup.exe
C:\Programme\HijackThis\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQLite\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQLite\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [HWSetup] C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP
O4 - HKLM\..\Run: [SVPWUTIL] C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [TFncKy] C:\Programme\Toshiba\TOSHIBA Controls\TFncKy.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [IS CfgWiz] C:\Programme\Norton Internet Security\cfgwiz.exe /GUID {257BBC47-1B26-432e-9F84-188603799DD3} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Programme\Norton Internet Security\UrlLstCk.exe
O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Programme\Gemeinsame Dateien\Autodesk Shared\acstart16.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {D7783732-69C6-4A28-BE53-618CC4609617} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: IS Service (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

thx nochmal für die hilfe!
Dieser Beitrag wurde am 30.08.2007 um 02:10 Uhr von Ma-Zhe editiert.
Seitenanfang Seitenende
30.08.2007, 07:41
Member
Avatar Chris4You

Beiträge: 694
#10 Hi,

HJ sieht soweit ganz gut aus bis auf diese Dateien:
C:\DOKUME~1\Matz\LOKALE~1\Temp\RarSFX0\_start.exe
C:\DOKUME~1\Matz\LOKALE~1\Temp\RarSFX0\setup.exe,
bitte online prüfen lassen (Programme die aus temporären Verzeichnissen starten, sind immer mit Vorsicht zu geniesen).
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html



Ist die Datei die von DrWeb angegeben wurde (c:\windows\system32\gebcd.dll) noch existent?

Wenn ja mit der Killbox löschen lassen, dann sollte sie weg sein...
(Ich frage mich nur, wo wird die gestartet...?)

Killbox:
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:
c:\windows\system32\gebcd.dll
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

SilentRunner:
Loadingpoints von Programmen.
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick Script starten, "ja" auswählen.
Die erstellte Text-Datei findet sich im gleichen Ordner wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chris
Dieser Beitrag wurde am 30.08.2007 um 08:02 Uhr von Chris4You editiert.
Seitenanfang Seitenende
30.08.2007, 10:59
Member

Themenstarter

Beiträge: 19
#11 Hi!

also...
C:\DOKUME~1\Matz\LOKALE~1\Temp\RarSFX0\_start.exe
C:\DOKUME~1\Matz\LOKALE~1\Temp\RarSFX0\setup.exe

gibts nicht mehr.
Gestern hab ich noch vorm schlafengehen alle temp dateien und alles mit CCleaner gelöscht...

nicht nur cookies usw...bei dem untermenue CCleaner sondern auch bei probleme...

naja...auf jedenfall gibts die nicht mehr.
also konnt ich die auch nich löschen^^

c:\windows\system32\gebcd.dll

gibts noch, kann ich aber mit killbox irgendwie nicht löschen.

es kommt immer diese nachricht:

"PendingFlieRenameOperations Registry Data has been Removed by External Process!"

wenn ich dann auf ok drücke (was anderes kann ich nicht drücken), passiert gar nichts.

Soll ich das mal manuell löschen?

Danke für die schnelle Hilfe!

Grüßle
Ma-Zhe

Edit:

Hier das Silentrunner Textdokument:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"TOSCDSPD" = "C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" ["TOSHIBA"]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"igfxtray" = "C:\WINDOWS\system32\igfxtray.exe" ["Intel Corporation"]
"igfxhkcmd" = "C:\WINDOWS\system32\hkcmd.exe" ["Intel Corporation"]
"igfxpers" = "C:\WINDOWS\system32\igfxpers.exe" ["Intel Corporation"]
"Apoint" = "C:\Programme\Apoint2K\Apoint.exe" ["Alps Electric Co., Ltd."]
"CeEKEY" = "C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" ["COMPAL ELECTRONIC INC."]
"TPNF" = "C:\Programme\TOSHIBA\TouchPad\TPTray.exe" ["COMPAL ELECTRONIC INC."]
"HWSetup" = "C:\Programme\TOSHIBA\TOSHIBA Applet\HWSetup.exe hwSetUP" ["TOSHIBA CO.,LTD."]
"SVPWUTIL" = "C:\Programme\Toshiba\Windows Utilities\SVPWUTIL.exe SVPwUTIL" ["TOSHIBA"]
"TFncKy" = "C:\Programme\Toshiba\TOSHIBA Controls\TFncKy.exe" ["TOSHIBA Corporation"]
"dla" = "C:\WINDOWS\system32\dla\tfswctrl.exe" ["Sonic Solutions"]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"IS CfgWiz" = "C:\Programme\Norton Internet Security\cfgwiz.exe /GUID {257BBC47-1B26-432e-9F84-188603799DD3} /MODE CfgWiz /CMDLINE "REBOOT"" ["Symantec Corporation"]
"URLLSTCK.exe" = "C:\Programme\Norton Internet Security\UrlLstCk.exe" ["Symantec Corporation"]
"SNPSTD2" = "C:\WINDOWS\vsnpstd2.exe" [empty string]
"SBCSTray" = "C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" ["Sunbelt Software"]
"GPLv3" = "rundll32.exe "C:\WINDOWS\system32\sieokesc.dll",realset" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
-> {HKLM...CLSID} = "XTTBPos00 Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQToolbar\toolbaru.dll" ["IE Toolbar"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{27CB24D5-75E5-43EB-BF17-DEF166CCDE05}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\gebcd.dll" [null data]
{5CA3D70E-1895-11CF-8E15-001234567890}\(Default) = (no title provided)

-> {HKLM...CLSID} = "DriveLetterAccess"
\InProcServer32\(Default) = "C:\WINDOWS\system32\dla\tfswshx.dll" ["Sonic Solutions"]
{9ECB9560-04F9-4bbc-943D-298DDF1699E1}\(Default) = "Norton Internet Security"
-> {HKLM...CLSID} = "CNisExtBho Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll" ["Symantec Corporation"]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = "NAV Helper"
-> {HKLM...CLSID} = "CNavExtBho Class"
\InProcServer32\(Default) = "C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
Dieser Beitrag wurde am 30.08.2007 um 11:04 Uhr von Ma-Zhe editiert.
Seitenanfang Seitenende
30.08.2007, 11:47
Member
Avatar Chris4You

Beiträge: 694
#12 Hi,

versuche sie mal online überprüfen zu lassen (virustotal);

Nur weitermachen, wenn als Schadware erkannt!

Poste das Ergebnis, bin mir aber fast sicher das sie weg muß...
Wenn das ein "DownloadTrojaner" ist, dann zieht er immer neue wieder auf Deinen Rechner!

Es sieht so aus als ob der Trojaner die Registry überwacht, und sobald sich da was gefährliches "zusammenbraut" (killbox oder avenger sich als zu starten beim Booten eintragen), löscht er die Einträge wieder raus.
Spybot bzw. Teatimer laufen ja nicht, oder (die machen da auch immer Probleme)

Versuche über den abgesicherten Modus zu löschen, bzw. wenn das nicht geht,
prüfe ob Du einen Prozess mit dem Namen findest der "abgeschossen" werden kann...

Wenn alles nichts Hilft und sie wirklich als Virus/Trojaner erkannt wird machen wir folgendes:
Start->Ausführen->cmd
cd \WINDOWS\system32
del gebcd.dll
regsvr32 /u gebcd.dll

Wenn das Löschen wegen einem Lock fehlschlägt, mit Unlocker das Lock brechen!
http://www.chip.de/downloads/c1_downloads_18414122.html
Dann mit Deregistrieren weitermachen (regsvr32 /u gebcd.dll)...


Chris
Dieser Beitrag wurde am 30.08.2007 um 11:55 Uhr von Chris4You editiert.
Seitenanfang Seitenende
30.08.2007, 12:14
Member

Themenstarter

Beiträge: 19
#13 hm...

okay...

heir von Virustotal:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.29.0 2007.08.30 -
AntiVir 7.4.1.66 2007.08.30 TR/Mon.Virtumonde.IH
Authentium 4.93.8 2007.08.29 -
Avast 4.7.1029.0 2007.08.29 Win32:Vundo-gen49
AVG 7.5.0.484 2007.08.29 Generic6.MNL
BitDefender 7.2 2007.08.30 DeepScan:Generic.Virtumonde.1.C591EDAB
CAT-QuickHeal 9.00 2007.08.30 -
ClamAV 0.91.2 2007.08.29 -
DrWeb 4.33 2007.08.30 Trojan.Virtumod
eSafe 7.0.15.0 2007.08.29 Suspicious Trojan/Worm
eTrust-Vet 31.1.5095 2007.08.30 Win32/Vundo!generic
Ewido 4.0 2007.08.29 -
FileAdvisor 1 2007.08.30 -
Fortinet 3.11.0.0 2007.08.30 -
F-Prot 4.3.2.48 2007.08.29 W32/Adware.QJQ
F-Secure 6.70.13030.0 2007.08.30 W32/Vundo.dam
Ikarus T3.1.1.12 2007.08.30 Win32.Rigel.6468
Kaspersky 4.0.2.24 2007.08.30 -
McAfee 5108 2007.08.29 -
Microsoft 1.2803 2007.08.30 Trojan:Win32/Virtumonde.O
NOD32v2 2491 2007.08.30 Win32/Adware.Virtumonde
Norman 5.80.02 2007.08.29 W32/Vundo.dam
Panda 9.0.0.4 2007.08.29 Spyware/Virtumonde
Prevx1 V2 2007.08.30 -
Rising 19.38.32.00 2007.08.30 -
Sophos 4.21.0 2007.08.30 Virtumundo
Sunbelt 2.2.907.0 2007.08.25 VIPRE.Suspicious
Symantec 10 2007.08.30 Downloader
TheHacker 6.1.9.175 2007.08.30 -
VBA32 3.12.2.3 2007.08.30 -
VirusBuster 4.3.26:9 2007.08.29 Adware.Vundo.P.Gen
Webwasher-Gateway 6.0.1 2007.08.30 Trojan.Mon.Virtumonde.IH
weitere Informationen
File size: 266304 bytes
MD5: df83cfef9a89dde35d4f09e26680df1e
SHA1: 8068f756d145f59ffbd8dca075f654864afc8d78
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.


anscheinend ist das ein Trojaner...

ich versuch das jetzt mal so zu mahen, wie dus gesagt hast...erst im abgesicherten modus...und dann wenns nicht geht mit cmd...usw...

hoffe es klappt


Edit:

das gebcd.dll ist an 2 Prozesse angeschlossen...
einmal an winlogon.exe und dann an explorer.exe

winlogon.exe wollte ich per taskmanager schließen, konnte ich nicht...
und explorer.exe zu löschen wäre n bissle doof...

wenn ichs mit unlocker versuch, kann ichs irgendwie auch nicht löschen.

alle 4 nicht freigegebenen Pfade sind:

C:\WINDOWS\system32\gebcd.dll

die Prozesspfade, die damit irgendwie verbunden sind, sind:

\??\C:\WINDOWS\system32\winlogon.exe PID: 1188 Handle: 1
C:\WINDOWS\explorer.EXE PID: 1024 Handle: 1
C:\Programme\Mozilla Firefox\firefox.exe PID: 3336 Handle: 1
\??\C:\WINDOWS\system32\winlogon.exe PID: 1188 Handle: 1576

wenn ich mit unlocker jetzt den Prozess beenden möchte, gehts nicht...auch bei löschen funktionierts irgendwie nicht.


grad eben konnte ich das mit irgendeiner tastenkombo, die ich aus zufall gedrückt hatte...glaub entf oder sowas, löschen, dann ist aber mein system abgestürzt und mein pc heruntergefahren.

mit cmd usw klappts nicht...

was kann ich noch tun?
Dieser Beitrag wurde am 30.08.2007 um 12:47 Uhr von Ma-Zhe editiert.
Seitenanfang Seitenende
30.08.2007, 13:38
Member
Avatar Chris4You

Beiträge: 694
#14 Hi,

dann folgendes:

Boot-CD (entweder die Windowsinstallatins-CD) oder besser so eine zusammenbauen (ist recht einfach):

http://www.ubcd4win.com/

Die hat den Vorteil, dass gleiche alle möglichen Scanner etc. dabei sind,
Du brauchst allerdings dazu auch eine Win-Inst.-CD (eine Recovery-CD geht auch).

Dann von der CD Booten, damit ist die Datei nicht mehr gesperrt (da das Windows von CD läuft und nicht das von Festplatte) und kann gelöscht/unbenannt werden. DrWeb ist auch drauf, damit dann noch mal alles Scannen...

Ich werde Ralf und Arnold informieren, Datei bitte nicht löschen sondern durch umbenennen sichern (z. B. Vir anhängen). Eventuell "brauchen" wir sie noch...

Chris

Ps: Rat von Arnold:
Combofix-Beta mal probieren:
http://download.bleepingcomputer.com/sUBs/Beta/ComboFix.exe
Runterladen, starten und den Anweisungen folgen...
Dieser Beitrag wurde am 30.08.2007 um 14:01 Uhr von Chris4You editiert.
Seitenanfang Seitenende
30.08.2007, 19:48
Member

Themenstarter

Beiträge: 19
#15 hi...

also wenn ich das richtig verstanden habe, soll ich also mein Windows ganz neu installieren?

bzw also meinen Computer defragmentieren usw..?

oder hab ich da was falsch verstanden?

und wenn ich die datei umbenannt hab...ist die dann unschädlich?

also irgendwie hab ich das noch nciht wirklich verstanden...werd mir aber mal die website anschauen...

hoffe jetzt werd ich den dreck endlich los...weil ich hab echt keine lust mehr....

edit:

also ich hab mir jetzt mal die seite angeschaut...aber irgendwie hab ichs nich kapiert... ich soll die tools bzw das UBCD4Win downloaden...und dann? was mach ich danach? diese Tools oder was auch immer auf eine CD packen und dann brennen?

oder muss ich noch irgendwie was anderes machen?
Dieser Beitrag wurde am 30.08.2007 um 20:04 Uhr von Ma-Zhe editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: