Virus lässt mich keine Anti Vir Programme installieren

#0
10.10.2007, 21:10
...neu hier

Beiträge: 5
#1 Hallo,
Seit ein paar Tagen hab ich Probleme mit meinem Laptop. Beim Starten fing es an das eine gewisse LogonUi.exe Fehlerhaft sei, und mein PC dadurch nicht startete. Durch Internetrecherche an meinem Pc habe ich dann irgendwann die LogonUi einfach gelöscht, wodurch ich zwar nur noch den alten Windows Startbildschirm habe aber ich wieder Zugriff auf mein Laptop habe ;).
Kurz danach kam beim Starten von Windows immer eine Fehlermeldung das eine gewisse Savedump.exe fehlerhaft sei.
Ich denke mir das ich irgend einen Virus drauf habe, und wollte daher, angefangen mit Anti-Vir, verschiedene Anti-Virus Programme den Pc Durchsuchen lassen. Doch egal welches Programm ich installieren will... jedesmal kommt eine Fehlermeldung. Auch wenn ich eine Online Überprüfung machen will stürtzt der Pc Regelmäßig ab.
Nun frage ich euch wie ich weiter vorgehen soll, da mein Laptop auch keine cd's/dvd's mehr erkennt (und das bei noch so jungen 1 1/2 Jahren) und ich dementsprechend kein Windows neu aufsetzen kann.

habe im Anhang mal die Logfiles von Hjt und Datfind.bat.

ComboFix war leider nicht möglich, da bei der Viren untersuchung der Pc jedesmal abstürzt und etwas gefaßelt wurde von Physisches Abbild wird erstellt.

Ich danke euch für eure Hilfe!

Anhang: Logfiles.txt
Seitenanfang Seitenende
10.10.2007, 21:53
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Versuche mal ComboFix im abgesicherten Modus
__________
MfG Argus
Seitenanfang Seitenende
10.10.2007, 22:01
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#3 Prüfe mal diese Datei(en) bei VirusTotal

C:\WINDOWS\system32\protector.exe
C:\WINDOWS\system32\ntio256.sys
C:\DOKUME~1\PETERB~1\LOKALE~1\Temp\foeeowqj.dll
C:\WINDOWS\dkscvv32.exe
C:\WINDOWS\install.exe
C:\WINDOWS\temp1.exe

Stand alone DrWeb
Stand alone Kaspersky

Da es bei VirusTotal immer lange dauert versuche DrWeb
__________
MfG Argus
Seitenanfang Seitenende
10.10.2007, 22:54
...neu hier

Themenstarter

Beiträge: 5
#4 Hallo,

Hier die einzelnen Auswertungen :

C:\WINDOWS\system32\protector.exe:

File size: 15360 bytes

protector.exe packed by UPX
In file >protector.exe found virus Trojan.Sklog

C:\WINDOWS\system32\ntio256.sys:

File size: 17920 bytes

In file ntio256.sys found virus Trojan.Sklog


C:\DOKUME~1\PETERB~1\LOKALE~1\Temp\foeeowqj.dll:

File size: 53248 bytes

foeeowqj.dll - OK

C:\WINDOWS\dkscvv32.exe:

File size: 5804 bytes

dkscvv32.exe - OK


C:\WINDOWS\install.exe:

Scanned file: install.exe - Infected
install.exe - infected by Virus.Win32.Virut.x


C:\WINDOWS\temp1.exe:

Scanned file: temp1.exe - Infected
temp1.exe - infected by Virus.Win32.Virut.x


die install und temp1.exe habe ich über kaspersky prüfen lassen, da Dr. Web irgendwie überlastet war ;)

Vielen Dank schonmal für die schnelle Antwort!
Seitenanfang Seitenende
10.10.2007, 23:06
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#5 Download Avenger zum Desktop
Alle Fenster muessen geschlossen sein
Starte Avenger
Anhaken Input script manually
Die "Lupe" rechts anklicken - View/edit script (wird sich öffnen)
kopiere rein:

Files to delete:
C:\WINDOWS\system32\protector.exe
C:\WINDOWS\system32\ntio256.sys
C:\WINDOWS\install.exe
C:\WINDOWS\temp1.exe

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC nach Bestätigung (yes) neustarten
nach dem Neustart erscheint ein Log vom Avenger, kopiere es ab - mit rechtem Mausklick - kopieren - einfügen
__________
MfG Argus
Seitenanfang Seitenende
10.10.2007, 23:13
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Versuche danach ein scan mit CureIt! http://board.protecus.de/t29350.htm
__________
MfG Argus
Seitenanfang Seitenende
11.10.2007, 13:32
...neu hier

Themenstarter

Beiträge: 5
#7 Habe Avenger runtergeladen, jedoch beim Starten, egal ob entpackt oder direkt aus dem zip Ordner, kommt die Fehlermeldung Integrity Check Failed. This File has been modified. Reason might be a possible Virus Infection ;).
Solche bzw ähnliche Meldungen kommen auch bei jedem Anti virus Programm.!

Habe dann heut morgen mal Combo Fix im Abgesicherten Modus probiert. Mit Erfolg, siehe Anhang.

Habe dann auch noch mal eine Online Überprüfung gestartet den von Symantec. Keine Ahnung warum ich den noch nicht vorher ausprobiert habe. Ergebnis auch im Anhang. Als Laie wirkt das Ergebnis dann doch etwas sehr schlecht auf mich.

Mfg

Peter

Seitenanfang Seitenende
11.10.2007, 13:46
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Entferne auf C:\ Qoobox-->Papierkorb leeren

Benutze ATF Cleaner http://board.protecus.de/t23188.htm

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Und versuche mit CureIt im Abgesicherten Modus zu scannen
__________
MfG Argus
Seitenanfang Seitenende
11.10.2007, 17:17
...neu hier

Themenstarter

Beiträge: 5
#9 So hier der Bericht von CureIT

Mfg

Anhang: CureIt.txt
Seitenanfang Seitenende
11.10.2007, 18:19
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Wie ist es jetzt mit dein Rechner
Wenn du C:\Programme\DAEMON Tools weiter benutzen willst muss
SetupDTSB.exe zurueck gesetzt werden

Es befinden sich noch Reste von Programme auf dein Lappie
C:\Programme\CA\eTrust Internet Security Suite
C:\Programme\NetPumper
Kaspersky Anti-Virus 7.0
__________
MfG Argus
Seitenanfang Seitenende
11.10.2007, 20:30
...neu hier

Themenstarter

Beiträge: 5
#11 Ich denke die Probleme sind jetzt beseitigt. Ich kann zwar Anti Vir noch nicht deinstallieren, aber habe grade mal Bitdefender runtergeladen und isntallation ging problemos, und momentan ist er am scannen und am moven.

Vielen Dank für die schnelle Kompetente Hilfe
Seitenanfang Seitenende
11.10.2007, 21:52
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 als Zusatz koennte man ein AntiSpyware scanner wie AVG installieren
http://board.protecus.de/t29853.htm

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O2 - BHO: (no name) - {12D2B80C-BC0F-D112-E80B-04D064B5F270} - (no file)
O2 - BHO: (no name) - {9613A4E1-9AE5-D9DF-D4A5-FB85FC1DB9E9} - (no file)
O4 - HKLM\..\Run: [CaISSDT] "C:\Programme\CA\eTrust Internet Security Suite\caissdt.exe"
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Start-->Ausführen kopiere rein:
sc stop AVP
Klicke OK
Nochmal dasselbe kopiere rein:
sc delete AVP
Klicke OK

Wenn CA/eTrust auch noch unter Start -> Sytemsteuerung-> Software steht kann man es entfernen mit hilfe von M$ CleanUp http://support.microsoft.com/kb/290301
__________
MfG Argus
Seitenanfang Seitenende
18.11.2007, 15:47
...neu hier

Beiträge: 7
#13 Hallo!

Ein ähnliches Problem habe ich auch:

HijackThis sagt:
Logfile of HijackThis v1.99.1
Scan saved at 15:23:31, on 18.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\PadTouch\PadExe.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\System32\ZoomingHook.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\msagent\AgentSvr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\Media\Desktop\HJT.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [PadTouch] "C:\Programme\TOSHIBA\PadTouch\PadExe.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [EzButton] C:\Programme\EzButton\EzButton.EXE
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [ZoomingHook] c:\WINDOWS\System32\ZoomingHook.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {C61A2E0E-6D7E-4555-ACA0-50DB2CD83D4B} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1121977178721
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IPSUploader Control) - http://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: CeEPwrSvc - COMPAL ELECTRONIC INC. - C:\Programme\TOSHIBA\Power Management\CeEPwrSvc.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - T-Systems Enterprise Services GmbH - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: T-DSL Manager (TDslMgrService) - T-Systems - C:\Programme\T-DSL Manager\DslMgrSvc.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

Datfind sagt:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: AC99-2E21

Verzeichnis von C:\WINDOWS\system32

18.11.2007 15:05 1.158 wpa.dbl
17.11.2007 16:53 63.488 spoolw.exe
17.11.2007 16:53 289.280 libcurl.dll
07.11.2007 14:18 377.302 perfh009.dat
07.11.2007 14:18 51.710 perfc009.dat
07.11.2007 14:18 388.290 perfh007.dat
07.11.2007 14:18 62.510 perfc007.dat
07.11.2007 14:18 882.318 PerfStringBackup.INI
02.11.2007 08:12 18.238.072 MRT.exe
29.10.2007 16:07 373.760 xpsp3res.dll
25.10.2007 17:42 8.501.248 shell32.dll
10.10.2007 18:03 131.688 FNTCACHE.DAT
10.10.2007 17:39 1.616 preinst.log
26.09.2007 17:05 12.288 advpack.dll.mui

Verzeichnis von C:\DOKUME~1\Media\LOKALE~1\Temp

18.11.2007 15:25 100.662 datfind.txt
18.11.2007 15:13 512 ~DFB639.tmp
18.11.2007 15:13 512 ~DFB278.tmp
18.11.2007 15:12 512 ~DF6A1D.tmp
4 Datei(en) 102.198 Bytes
0 Verzeichnis(se), 53.021.908.992 Bytes frei


Verzeichnis von C:\WINDOWS

18.11.2007 15:06 1.570.470 WindowsUpdate.log
18.11.2007 15:05 159 wiadebug.log
18.11.2007 15:05 50 wiaservc.log
18.11.2007 15:05 0 0.log
18.11.2007 15:05 2.048 bootstat.dat
18.11.2007 02:00 32.548 SchedLgU.Txt
17.11.2007 13:43 737.862 setupapi.log
13.11.2007 22:53 138.773 iis6.log
13.11.2007 22:53 336.343 tsoc.log
13.11.2007 22:53 298.681 comsetup.log
13.11.2007 22:53 179.368 ntdtcsetup.log
13.11.2007 22:53 47.739 ocmsn.log
13.11.2007 22:53 1.393 imsins.log
13.11.2007 22:53 7.298 KB943460.log
13.11.2007 22:53 417.093 ocgen.log
13.11.2007 22:53 43.513 msgsocm.log
13.11.2007 22:53 864.800 FaxSetup.log
13.11.2007 22:53 145.618 updspapi.log
13.11.2007 19:16 453 brwmark.ini
07.11.2007 18:10 109.164 wmsetup.log
10.10.2007 17:55 779 win.ini
10.10.2007 17:38 1.745 DirectX.log
10.10.2007 15:14 1.393 imsins.BAK
10.10.2007 15:14 16.842 KB941202.log
10.10.2007 15:13 6.710 KB933729.log
10.10.2007 09:36 10.459 KB892130.log
10.10.2007 08:11 58.589 spupdsvc.log
09.10.2007 19:42 79.121 ie7_main.log
09.10.2007 19:41 64.575 KB939653-IE7.log
09.10.2007 19:35 151.241 ie7.log
09.10.2007 19:34 39.753 IDNMitigationAPIs.log
09.10.2007 19:32 39.447 NLSDownlevelMapping.log
09.10.2007 19:31 27.497 KB915865.log

Verzeichnis von C:\WINDOWS\temp

18.11.2007 15:05 409 WGANotify.settings
18.11.2007 15:05 255 WGAErrLog.txt
2 Datei(en) 664 Bytes
0 Verzeichnis(se), 53.021.892.608 Bytes frei

Das führte gestern dazu, dass der Link zur Systemsteuerung aus dem Startmenü verschwunden war. Nachdem ich die im allgemeinen Teil beschriebenen Schritte durchgeführt hatte, war die Systemsteuerung wieder da. Dafür stürzt der Rechner jetzt ständig ab. Ich habe es mit AVG- Anti Rootkit und Anti- Spyware schon versucht und auch mein AVK- Virenscanner hat schon einiges gefunden und gekillt, aber da der Rechner immer abstürzt, können die Scans nie beendet werden.
ComboFix ließ sich nicht ausführen, da ich angeblich keine aktuelle Kopie hatte, was sich auch nicht änderte, als ich das Programm nochmal von der HP 'runtergeladen habe.
Ich hoffe, es kann auch mir geholfen werden.
Dank und gruß,
Folke
Seitenanfang Seitenende
18.11.2007, 16:10
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#14 Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

C:\WINDOWS\system32\spoolw.exe

Stand alone DrWeb
Stand alone Kaspersky

ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile(C:\combofix.txt )
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !
__________
MfG Argus
Seitenanfang Seitenende
18.11.2007, 18:47
...neu hier

Beiträge: 7
#15 Das sagt VirusTotal:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.17.0 2007.11.16 -
AntiVir 7.6.0.34 2007.11.16 -
Authentium 4.93.8 2007.11.17 -
Avast 4.7.1074.0 2007.11.18 -
AVG 7.5.0.503 2007.11.17 -
BitDefender 7.2 2007.11.18 -
CAT-QuickHeal 9.00 2007.11.17 -
ClamAV 0.91.2 2007.11.18 -
DrWeb 4.44.0.09170 2007.11.18 -
eSafe 7.0.15.0 2007.11.14 suspicious Trojan/Worm
eTrust-Vet 31.2.5304 2007.11.17 -
Ewido 4.0 2007.11.18 -
FileAdvisor 1 2007.11.18 -
Fortinet 3.11.0.0 2007.11.18 -
F-Prot 4.4.2.54 2007.11.16 -
F-Secure 6.70.13030.0 2007.11.17 -
Ikarus T3.1.1.12 2007.11.18 -
Kaspersky 7.0.0.125 2007.11.18 -
McAfee 5165 2007.11.16 -
Microsoft 1.3007 2007.11.18 -
NOD32v2 2665 2007.11.17 -
Norman 5.80.02 2007.11.16 -
Panda 9.0.0.4 2007.11.18 -
Prevx1 V2 2007.11.18 Heuristic: Suspicious File With Outbound Communications
Rising 20.18.61.00 2007.11.18 -
Sophos 4.23.0 2007.11.18 -
Sunbelt 2.2.907.0 2007.11.17 -
Symantec 10 2007.11.18 -
TheHacker 6.2.9.133 2007.11.17 -
VBA32 3.12.2.5 2007.11.16 -
VirusBuster 4.3.26:9 2007.11.18 -
Webwasher-Gateway 6.0.1 2007.11.18 Win32.ModifiedUPX.gen!90 (suspicious)
weitere Informationen
File size: 63488 bytes
MD5: 4c6e97584658f20661d33afc176687ba
SHA1: 7c7e1dab0c5ba881a1fd93c75ab90025e59c351d
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=5DC9F2B0009E3EB9F897003F2E6B9800E105EAA3

Combo Fix sagt:
ComboFix 07-11-08.3 - Media 2007-11-18 18:33:04.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.619 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Media\Desktop\ComboFix (2).exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-10-18 bis 2007-11-18 ))))))))))))))))))))))))))))))
.

2007-11-18 00:09 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-17 17:39 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2007-11-17 15:47 <DIR> d-------- C:\Dokumente und Einstellungen\Media\Anwendungsdaten\Grisoft
2007-11-17 15:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-11-17 15:47 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-11-17 11:11 289,280 --a------ C:\WINDOWS\system32\libcurl.dll
2007-11-17 11:11 63,488 --a------ C:\WINDOWS\system32\spoolw.exe
2007-11-04 19:31 <DIR> d-------- C:\Programme\Google
2007-11-04 19:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-18 17:18 --------- d-----w C:\Programme\ICQToolbar
2007-11-18 00:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2007-11-17 23:26 --------- d-----w C:\Dokumente und Einstellungen\Media\Anwendungsdaten\Skype
2007-11-17 23:23 0 ----a-w C:\WINDOWS\system32\drivers\ip6fw.sys.new
2007-11-06 13:28 --------- d-----w C:\Programme\ICQ6
2007-10-21 13:42 --------- d-----w C:\Dokumente und Einstellungen\Media\Anwendungsdaten\ICQ Toolbar
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2006-03-22 18:02 24,192 ----a-w C:\Dokumente und Einstellungen\Media\usbsermptxp.sys
2006-03-22 18:02 22,768 ----a-w C:\Dokumente und Einstellungen\Media\usbsermpt.sys
2005-11-30 16:36 457 ----a-w C:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-06-10 20:10]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2003-10-30 15:46]
"PadTouch"="C:\Programme\TOSHIBA\PadTouch\PadExe.exe" [2004-02-12 10:44]
"AGRSMMSG"="AGRSMMSG.exe" [2004-02-21 05:00 C:\WINDOWS\agrsmmsg.exe]
"CeEPOWER"="C:\Programme\TOSHIBA\Power Management\CePMTray.exe" [2004-08-18 09:21]
"CeEKEY"="C:\Programme\TOSHIBA\E-KEY\CeEKey.exe" [2004-08-06 14:14]
"EzButton"="C:\Programme\EzButton\EzButton.EXE" []
"TPNF"="C:\Programme\TOSHIBA\TouchPad\TPTray.exe" [2004-07-28 15:23]
"SmoothView"="C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe" [2004-04-30 10:26]
"ZoomingHook"="c:\WINDOWS\System32\ZoomingHook.exe" [2004-07-14 15:07]
"NDSTray.exe"="NDSTray.exe" []
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2005-11-28 22:54]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" []
"T-DSL SpeedMgr"="C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" [2006-02-09 16:15]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2007-02-15 09:04]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 15:04]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-10-22 16:45]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-11-04 19:31]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"InfoCockpit"=C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
"T-Online_Software_6\WLAN-Access Finder"=C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2007-11-04 19:31:21]

R0 Klpf;Klpf;C:\WINDOWS\system32\Drivers\Klpf.sys
R0 Klpid;Klpid;C:\WINDOWS\system32\Drivers\klpid.sys
R1 SrvcEKIOMngr;SrvcEKIOMngr;C:\WINDOWS\system32\Drivers\EKIoMngr.sys
R1 SrvcEPECioctl;SrvcEPECioctl;C:\WINDOWS\system32\Drivers\ECioctl.sys
R1 SrvcEPIOMngr;SrvcEPIOMngr;C:\WINDOWS\system32\Drivers\EPIoMngr.sys
R1 SrvcSSIOMngr;SrvcSSIOMngr;C:\WINDOWS\system32\Drivers\SSIoMngr.sys
R1 SrvcTPIOMngr;SrvcTPIOMngr;C:\WINDOWS\system32\Drivers\TPIoMngr.sys
R2 AVKService;AVK Service;C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
R2 AVKWCtl;AVK Wächter;C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
R2 DVDAccss;DVDAccss;C:\WINDOWS\system32\drivers\DVDAccss.sys
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
R3 DKbFltr;Dritek HotKey Keyboard Filter Driver;C:\WINDOWS\system32\Drivers\DKbFltr.sys
R3 EMSCR;EMSCR;C:\WINDOWS\system32\DRIVERS\EMS7SK.sys
R3 EPOWER;Compal E-POWER Driver;C:\WINDOWS\system32\Drivers\hkdrv.sys
R3 ESDCR;ESDCR;C:\WINDOWS\system32\DRIVERS\ESD7SK.sys
R3 ESMCR;ESMCR;C:\WINDOWS\system32\DRIVERS\ESM7SK.sys
R3 GDInterceptor;GDInterceptor;\??\C:\WINDOWS\system32\interceptor.sys
R3 HookCentre;HookCentre;\??\C:\WINDOWS\system32\drivers\HookCentre.sys
R3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;\??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS
R3 TSMPacket;T-DSL Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys
S3 DTVFW;LITE-ON DVB-T USB adapter firmware;C:\WINDOWS\system32\DRIVERS\dtvfw.sys
S3 HotSpotFSvc;Hotspot Manager;"C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe"
S3 MIINPazX;MIINPazX NDIS Protocol Driver;\??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;\??\C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS
S3 NuVision;Hauppauge WinTV USB Pro (PAL B/G FM);C:\WINDOWS\system32\DRIVERS\NUVision.sys
S3 usbdtv;LITE-ON DVB-T (PID=F001) receiver;C:\WINDOWS\system32\Drivers\usbdtv.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0ec40746-9d9b-11db-baf2-000e35e0fa1d}]
\Shell\AutoRun\command - E:\pushinst.exe

.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-18 18:37:45
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-18 18:39:52
.
--- E O F ---

Ich habe die Datei spoolw.exe jetzt gelöscht. Doch das Problem besteht weiter: Wenn ich im Hintergrund den AVK- Scanner laufen lassen und gleichzeitig eine WORD- Datei bearbeite, stürzt der Rechner ab. Was ist nun zu tun?
Dank und Gruß,
Folke
Dieser Beitrag wurde am 18.11.2007 um 19:14 Uhr von Folke editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: