TR\Vundo.gen Problem

#1 Hallo Ihr Lieben Helfer in der Not,
auch bei mir hat Vundo zugeschlagen
Antivir meckert bei dem File im system32-Pfad : fcyvs.dll

hier die Logs:

hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:50:43, on 19.09.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\x-syshelp\ZoneAlarm\zlclient.exe
C:\x-syshelp\Unlocker\UnlockerAssistant.exe
C:\x-HP\active-sync\wcescomm.exe
C:\x-HP\ACTIVE~1\rapimgr.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\x-temp\vir\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\x-basic\adobeacrobat\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Security Monitor Process] mssmp.exe
O4 - HKLM\..\Run: [Compaq Service Drivers] winsvc.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\x-syshelp\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\x-syshelp\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\RunServices: [Microfost Windows update] kopkwlk.exe
O4 - HKLM\..\RunServices: [Microsoft Security Monitor Process] mssmp.exe
O4 - HKLM\..\RunServices: [Compaq Service Drivers] winsvc.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\x-HP\active-sync\wcescomm.exe"
O4 - HKUS\.DEFAULT\..\Run: [Compaq Service Drivers] winsvc.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [Compaq Service Drivers] winsvc.exe (User 'Default user')
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\x-HP\ACTIVE~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\x-HP\ACTIVE~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\x-HP\ACTIVE~1\INetRepl.dll
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\x-syshelp\systemworks\Norton Cleanup\WCQuick.lnk (file missing)
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\x-syshelp\systemworks\Norton Cleanup\WCQuick.lnk (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Network Confg System - Unknown owner - C:\WINNT\system32\lviss.exe (file missing)
O23 - Service: Norton UnErase Protection (NProtectService) - Unknown owner - C:\X-SYSH~1\SYSTEM~1\NORTON~1\NPROTECT.EXE (file missing)
O23 - Service: Norton Protection Center Service (NSCService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE (file missing)
O23 - Service: SPBBCSvc - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe (file missing)
O23 - Service: Speed Disk service - Unknown owner - C:\X-SYSH~1\SYSTEM~1\NORTON~1\SPEEDD~1\NOPDB.EXE (file missing)
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

--
End of file - 4923 bytes


combofix:

ComboFix 07-09-18.4 - "Administrator" 19.09.2007 22:27:21.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.28 [GMT 2:00]
.

(((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))

REGISTRY ENTRIES REMOVED:

[HKEY_CLASSES_ROOT\clsid\{1A7F227C-9E49-485F-8A47-0069474477FA}]
@=""
"IDEx"="ADDR"

[HKEY_CLASSES_ROOT\clsid\{1A7F227C-9E49-485F-8A47-0069474477FA}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{1A7F227C-9E49-485F-8A47-0069474477FA}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{1A7F227C-9E49-485F-8A47-0069474477FA}\InprocServer32]
@="C:\\WINNT\\system32\\nstdtect.dll"
"ThreadingModel"="Apartment"


[HKEY_CLASSES_ROOT\clsid\{75FCDD29-B260-4662-B92A-862AB50DF8B8}]
@=""

[HKEY_CLASSES_ROOT\clsid\{75FCDD29-B260-4662-B92A-862AB50DF8B8}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{75FCDD29-B260-4662-B92A-862AB50DF8B8}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{75FCDD29-B260-4662-B92A-862AB50DF8B8}\InprocServer32]
@="C:\\WINNT\\system32\\fsamebuf.dll"
"ThreadingModel"="Apartment"


[HKEY_CLASSES_ROOT\clsid\{B2DF0B1E-EC01-4E17-A5A6-888991B996D0}]
@=""

[HKEY_CLASSES_ROOT\clsid\{B2DF0B1E-EC01-4E17-A5A6-888991B996D0}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{B2DF0B1E-EC01-4E17-A5A6-888991B996D0}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{B2DF0B1E-EC01-4E17-A5A6-888991B996D0}\InprocServer32]
@="C:\\WINNT\\system32\\sfvsvc.dll"
"ThreadingModel"="Apartment"


[HKEY_CLASSES_ROOT\clsid\{2C92DE24-E97F-45A5-A445-C8836989F151}]
@=""

[HKEY_CLASSES_ROOT\clsid\{2C92DE24-E97F-45A5-A445-C8836989F151}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{2C92DE24-E97F-45A5-A445-C8836989F151}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{2C92DE24-E97F-45A5-A445-C8836989F151}\InprocServer32]
@="C:\\WINNT\\system32\\alpmgmts.dll"
"ThreadingModel"="Apartment"


[HKEY_CLASSES_ROOT\clsid\{4AA28EAF-8AB6-4EC3-8F3A-1F02269192A8}]
@=""

[HKEY_CLASSES_ROOT\clsid\{4AA28EAF-8AB6-4EC3-8F3A-1F02269192A8}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{4AA28EAF-8AB6-4EC3-8F3A-1F02269192A8}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{4AA28EAF-8AB6-4EC3-8F3A-1F02269192A8}\InprocServer32]
@="C:\\WINNT\\system32\\dmraw.dll"
"ThreadingModel"="Apartment"


* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


FILES REMOVED:

C:\WINNT\system32\g4lmle311h.dll
C:\WINNT\system32\k2440chqef4e0.dll


Granting SeDebugPrivilege to Administratoren ... successful


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\dfndrff_e42.exe
C:\dfndrff_e43.exe
C:\dfndrff_e45.exe
C:\dfndrff_e49.exe
C:\dfndrff_e58.exe
C:\DOKUME~1\ADMINI~1\ANWEND~1\searchtoolbarcorp
C:\DOKUME~1\ADMINI~1\ANWEND~1\searchtoolbarcorp\Toolbar Vision\PageHistory.txt
C:\DOKUME~1\ADMINI~1\ANWEND~1\searchtoolbarcorp\Toolbar Vision\WebHistory.txt
C:\MTE3NDI6ODoxNgMTE3NDI6ODoxNg.exe
C:\nwnmff_e42.exe
C:\nwnmff_e43.exe
C:\nwnmff_e45.exe
C:\Programme\deskbar
C:\Programme\deskbar\about.html
C:\Programme\deskbar\basis.xml
C:\Programme\deskbar\deskbar.crc
C:\Programme\deskbar\deskbar.inf
C:\Programme\deskbar\icons.bmp
C:\Programme\deskbar\inst.bat
C:\Programme\deskbar\mbback.bmp
C:\Programme\deskbar\mbbigopen.bmp
C:\Programme\deskbar\mbclose.bmp
C:\Programme\deskbar\mbfwd.bmp
C:\Programme\deskbar\mblogo.bmp
C:\Programme\deskbar\mbsep.bmp
C:\Programme\deskbar\options.html
C:\Programme\deskbar\softomate.gif
C:\Programme\deskbar\version.txt
C:\windows_e58.exe
C:\WINNT\system32\fcyvs.dll
C:\WINNT\system32\qomlijg.dll
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\svycf.bak1
C:\WINNT\system32\svycf.bak2
C:\WINNT\system32\svycf.ini
C:\WINNT\system32\svycf.ini2
C:\WINNT\uninstall_nmon.vbs

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_CMDSERVICE
-------\LEGACY_NETWORK_MONITOR


((((((((((((((((((((((((( Files Created from 2007-08-19 to 2007-09-19 )))))))))))))))))))))))))))))))
.

2007-09-19 22:36 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_330.dat
2007-09-19 22:25 51,200 --a------ C:\WINNT\NirCmd.exe
2007-09-16 00:26 75,932 --a------ C:\WINNT\system32\drivers\klick.dat
2007-09-16 00:26 75,248 --a------ C:\WINNT\zllsputility.exe
2007-09-16 00:26 74,396 --a------ C:\WINNT\system32\drivers\klin.dat
2007-09-16 00:26 54,672 --a------ C:\WINNT\system32\vsutil_loc0407.dll
2007-09-16 00:26 42,384 --a------ C:\WINNT\zllsputility_loc0407.dll
2007-09-16 00:26 21,904 --a------ C:\WINNT\system32\imsinstall_loc0407.dll
2007-09-16 00:26 17,808 --a------ C:\WINNT\system32\imslsp_install_loc0407.dll
2007-09-16 00:26 11,264 --a------ C:\WINNT\system32\SpOrder.dll
2007-09-16 00:25 24,608 --ahs---- C:\WINNT\system32\drivers\fidbox.dat
2007-09-16 00:25 2,336 --ahs---- C:\WINNT\system32\drivers\fidbox2.dat
2007-09-16 00:25 110,360 --a------ C:\WINNT\system32\drivers\kl1.sys
2007-09-16 00:23 1,086,952 --a------ C:\WINNT\system32\zpeng24.dll
2007-09-16 00:23 <DIR> d-------- C:\WINNT\system32\ZoneLabs
2007-09-15 22:44 <DIR> d----c--- C:\Unlocker-gesperrter-dateien
2007-09-15 21:17 <DIR> d-a------ C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-09-15 20:28 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-09-15 20:23 <DIR> d----c--- C:\PC Praxis
2007-09-08 17:51 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\Media Player Classic
2007-09-08 17:49 <DIR> d-------- C:\DOKUME~1\ADMINI~1\ANWEND~1\XnView
2007-09-01 21:17 269,312 --a------ C:\WINNT\unin0407.exe
2007-09-01 21:03 92,208 --a------ C:\WINNT\system\WING.DLL
2007-09-01 21:03 89,504 --a------ C:\WINNT\system\_MSTEST.EXE
2007-09-01 21:03 44,464 --a------ C:\WINNT\system\D2HTOOLS.DLL
2007-09-01 21:03 25,808 --a------ C:\WINNT\system\CTL3DV2.DLL
2007-09-01 21:03 21,008 --a------ C:\WINNT\system\CTL3D.DLL
2007-09-01 21:03 188,960 --a------ C:\WINNT\system\WINGDE.DLL
2007-09-01 21:03 12,800 --a------ C:\WINNT\system\WING32.DLL

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
07-09-16 00:39 1364 --ahs---- C:\WINNT\system32\drivers\fidbox.idx
07-09-16 00:39 1292 --ahs---- C:\WINNT\system32\drivers\fidbox2.idx
06-10-29 20:21 271 ---h----- C:\Programme\desktop.ini
06-10-29 20:21 22080 ---h----- C:\Programme\folder.htt
01-05-08 13:00 32528 --a------ C:\WINNT\inf\wbfirdma.sys
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Security Monitor Process"="mssmp.exe" []
"Compaq Service Drivers"="winsvc.exe" []
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [06-04-06 02:06 ]
"Synchronization Manager"="mobsync.exe" [03-06-19 21:05 C:\WINNT\system32\mobsync.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [07-04-02 10:35 ]
"ZoneAlarm Client"="C:\x-syshelp\ZoneAlarm\zlclient.exe" [07-06-21 21:54 ]
"UnlockerAssistant"="C:\x-syshelp\Unlocker\UnlockerAssistant.exe" [06-09-07 19:19 ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\x-HP\active-sync\wcescomm.exe" [05-11-15 21:14 ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Microfost Windows update"=kopkwlk.exe
"Microsoft Security Monitor Process"=mssmp.exe
"Compaq Service Drivers"=winsvc.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
"Compaq Service Drivers"=winsvc.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Compaq Service Drivers"=winsvc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ActiveSync]
WcesWlgn.dll 05-11-15 20:44 7168 C:\WINNT\system32\WcesWlgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\tga.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=C:\x-syshelp\Spybot\TeaTimer.exe

R0 avgntmgr;avgntmgr;C:\WINNT\system32\DRIVERS\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINNT\system32\DRIVERS\avmndsl.sys
R3 nm2360;nm2360;C:\WINNT\system32\DRIVERS\nm2360mp.sys
R3 wdm_nm6;NeoMagic MagicMedia 256 + AC97 Treiber (WDM);C:\WINNT\system32\drivers\nm6wdm.sys
S2 Network Confg System;Network Confg System;"C:\WINNT\system32\lviss.exe"
S3 drhard;DRHARD;\??\C:\WINNT\system32\DRIVERS\DRHARD.SYS
S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);C:\WINNT\system32\DRIVERS\fdlubase.sys
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINNT\system32\DRIVERS\fwlanusb.sys
S3 neo20xx;neo20xx;C:\WINNT\system32\DRIVERS\neo20xx.sys
S3 NPDriver;Norton UnErase Protection Driver;\??\C:\WINNT\system32\Drivers\NPDRIVER.SYS
S3 SDdriver;SDdriver;\??\C:\WINNT\system32\Drivers\sddriver.sys

*Newly Created Service* - IPNAT
*Newly Created Service* - RASAUTO
*Newly Created Service* - SHAREDACCESS
.
**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-19 22:37:38
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2007-09-19 22:41:42 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 07-09-19 22:41
.
--- E O F ---


datfind:

Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 30F5-2F4C

Verzeichnis von C:\WINNT\system32

19.09.2007 22:36 16.384 Perflib_Perfdata_330.dat
19.09.2007 22:36 58.727 vsconfig.xml
19.09.2007 22:30 12.288 svycf.tmp
16.09.2007 00:38 12.288 svycf.tmp2
16.09.2007 00:33 4.212 zllictbl.dat
22.07.2007 18:39 279.552 swreg.exe
21.06.2007 21:55 54.672 vsutil_loc0407.dll
21.06.2007 21:54 21.904 imsinstall_loc0407.dll
21.06.2007 21:54 17.808 imslsp_install_loc0407.dll
21.06.2007 21:54 394.984 vsdatant.sys
21.06.2007 21:54 1.086.952 zpeng24.dll
21.06.2007 21:54 472.552 vsutil.dll
21.06.2007 21:54 99.816 vsxml.dll
21.06.2007 21:54 71.144 zlcommdb.dll
21.06.2007 21:54 46.568 vswmi.dll
21.06.2007 21:54 83.432 zlcomm.dll
21.06.2007 21:54 71.144 vsregexp.dll
21.06.2007 21:54 157.160 vsinit.dll
21.06.2007 21:54 103.912 vsmonapi.dll
21.06.2007 21:54 275.944 vspubapi.dll
21.06.2007 21:54 83.432 vsdata.dll
21.06.2007 21:54 796.048 libeay32_0.9.6l.dll
09.06.2007 22:10 17 lictest.log
17.02.2007 20:23 1.147.763 cpxrauwg.ini
12.02.2007 15:36 100.352 dfrg.msc
11.02.2007 10:16 21.840 SIntfNT.dll
11.02.2007 10:16 17.212 SIntf32.dll
11.02.2007 10:16 12.067 SIntf16.dll
08.02.2007 21:13 143 mcrh.tmp
26.01.2007 16:39 936.428 hryjnmgf.ini
14.01.2007 23:42 664 d3d9caps.dat
07.01.2007 14:43 768 d3d8caps.dat


1722 Datei(en) 269.101.401 Bytes
0 Verzeichnis(se), 2.757.281.792 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 30F5-2F4C

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

19.09.2007 23:10 89.288 datfind.txt
19.09.2007 22:48 114.688 ~DF6A0E.tmp
19.09.2007 22:45 96 WcesView.log
3 Datei(en) 204.072 Bytes
0 Verzeichnis(se), 2.757.274.624 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 30F5-2F4C

Verzeichnis von C:\WINNT

19.09.2007 22:34 422.942 WindowsUpdate.log
16.09.2007 00:25 415.692 setupapi.log
15.09.2007 22:49 113.722 ntbtlog.txt
15.09.2007 21:13 32.550 SchedLgU.Txt
15.09.2007 19:38 36 iltwain.ini
08.09.2007 17:52 69 NeroDigital.ini
01.09.2007 22:11 760 SC2K4WIN.INI
01.09.2007 22:11 477 win.ini
01.09.2007 21:02 263 system.ini
20.07.2007 00:47 109.056 catchme.exe
09.07.2007 11:42 1.285.092 ShellIconCache
09.07.2007 11:01 253 tm.ini
21.06.2007 21:55 42.384 zllsputility_loc0407.dll
21.06.2007 21:54 75.248 zllsputility.exe
20.06.2007 21:56 35 tdf.dii
17.06.2007 00:11 51.200 NirCmd.exe
09.06.2007 22:10 17 fldebug.log
23.02.2007 17:32 102.174 DirectX.log

123 Datei(en) 9.705.646 Bytes
0 Verzeichnis(se), 2.757.274.112 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 30F5-2F4C

Verzeichnis von C:\WINNT\temp

19.09.2007 22:33 256 ZLT06a59.TMP
19.09.2007 22:33 256 ZLT06a4c.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 2.757.275.648 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 30F5-2F4C

Verzeichnis von C:\WINNT\Downloaded Program Files

09.11.2006 15:36 5.019 swflash.inf
30.10.2006 01:42 65 desktop.ini
29.06.2005 18:17 227 opuc.inf

5 Datei(en) 7.170 Bytes
0 Verzeichnis(se), 2.757.267.456 Bytes frei

ich hoffe ihr könnt mir damit weiterhelfen
Daaaaanke herzlichst schon mal vorab
Lutz

#2 Hi,

bitte sofort folgende Files überprüfen (Vundo sollte schon eleminiert sein, einiges anders aber wohl nicht):
mssmp.exe (Wahrscheinlich in C:\WINNT, sonst suchen!)
kopkwlk.exe
winsvc.exe (Wahrscheinlich im C:\WINNT\system32-Verzeichnis, sonst suchen!)
C:\WINNT\system32\lviss.exe


Poste das Ergebnis.

Chris

#3 Nur fuer meine Information. Warum sind die erstellten Reporte so alt

Scan saved at 22:50:43, on 19.09.2007
ComboFix 07-09-18.4 - "Administrator" 19.09.2007 22:27:21.1 - NTFSx86

Nach Chris´Tipps solltest du neue Reporte erstellen. Achte darauf, das du auch die neuste Combofix Version nutzt.
__________
MfG Ralf
SEO-Spam Hunter

#4 Danke für die schnelle Antwort.
zu den Frage von Chris: die genannten Dateien waren auf dem Laptop nicht vorhanden.
zur Frage von Ralf: hatte die Reporte mal erstellt und dann keine Zeit gehabt sie zu posten - deshalb die Verspätung.

Unten nochmal gem. Tipp von Ralf die Reporte des nochmaligen 2. Durchganges (mit aktueller Combofix).

Wenn ihr mir keine weiteren "Handlungsanweisungen " gebt, muss ich mit den alten Quarantäne-files noch irgendwas machen - oder können die da einfach, weil überfüssig bzw. infiziert, dort im verborgenen bleiben?

Und ... kann ich es dann mal wagen den antivir wieder einzuschalten und mich "mit dem Stecker ins Netz trauen" ... ? (hab ich mit dem Laptop bislang vermieden, da ja mein PC noch OK nutzbar war)

Hier die LOGfiles und Danke nochmal wieder vorab
Lutz


HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:52:02, on 12.10.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\x-syshelp\ZoneAlarm\zlclient.exe
C:\x-syshelp\Unlocker\UnlockerAssistant.exe
C:\x-HP\active-sync\wcescomm.exe
C:\x-HP\ACTIVE~1\rapimgr.exe
C:\WINNT\explorer.exe
D:\x-temp\vir\HJT.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\x-basic\adobeacrobat\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Microsoft Security Monitor Process] mssmp.exe
O4 - HKLM\..\Run: [Compaq Service Drivers] winsvc.exe
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\x-syshelp\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\x-syshelp\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\RunServices: [Microfost Windows update] kopkwlk.exe
O4 - HKLM\..\RunServices: [Microsoft Security Monitor Process] mssmp.exe
O4 - HKLM\..\RunServices: [Compaq Service Drivers] winsvc.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\x-HP\active-sync\wcescomm.exe"
O4 - HKUS\.DEFAULT\..\Run: [Compaq Service Drivers] winsvc.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [Compaq Service Drivers] winsvc.exe (User 'Default user')
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\x-HP\ACTIVE~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\x-HP\ACTIVE~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\x-HP\ACTIVE~1\INetRepl.dll
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\x-syshelp\systemworks\Norton Cleanup\WCQuick.lnk (file missing)
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\x-syshelp\systemworks\Norton Cleanup\WCQuick.lnk (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Network Confg System - Unknown owner - C:\WINNT\system32\lviss.exe (file missing)
O23 - Service: Norton UnErase Protection (NProtectService) - Unknown owner - C:\X-SYSH~1\SYSTEM~1\NORTON~1\NPROTECT.EXE (file missing)
O23 - Service: Norton Protection Center Service (NSCService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE (file missing)
O23 - Service: SPBBCSvc - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe (file missing)
O23 - Service: Speed Disk service - Unknown owner - C:\X-SYSH~1\SYSTEM~1\NORTON~1\SPEEDD~1\NOPDB.EXE (file missing)
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

--
End of file - 4923 bytes


combofix:


ComboFix 07-10-12.4 - Administrator 12.10.2007 23:31:54.2 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.23 [GMT 2:00]
ausgeführt von:: D:\x-temp\vir\2-ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-12 bis 2007-10-12 ))))))))))))))))))))))))))))))
.

2007-10-12 23:32 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_324.dat
2007-10-03 16:31 24,784 --a------ C:\WINNT\system32\drivers\openhci.sys
2007-10-03 16:31 24,784 --a--c--- C:\WINNT\system32\dllcache\openhci.sys
2007-09-24 22:03 <DIR> d----c--- C:\x-temp
2007-09-19 22:36 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_330.dat
2007-09-19 22:25 51,200 --a------ C:\WINNT\NirCmd.exe
2007-09-16 00:26 75,932 --a------ C:\WINNT\system32\drivers\klick.dat
2007-09-16 00:26 75,248 --a------ C:\WINNT\zllsputility.exe
2007-09-16 00:26 74,396 --a------ C:\WINNT\system32\drivers\klin.dat
2007-09-16 00:26 54,672 --a------ C:\WINNT\system32\vsutil_loc0407.dll
2007-09-16 00:26 42,384 --a------ C:\WINNT\zllsputility_loc0407.dll
2007-09-16 00:26 21,904 --a------ C:\WINNT\system32\imsinstall_loc0407.dll
2007-09-16 00:26 17,808 --a------ C:\WINNT\system32\imslsp_install_loc0407.dll
2007-09-16 00:26 11,264 --a------ C:\WINNT\system32\SpOrder.dll
2007-09-16 00:25 110,360 --a------ C:\WINNT\system32\drivers\kl1.sys
2007-09-16 00:25 24,608 --ahs---- C:\WINNT\system32\drivers\fidbox.dat
2007-09-16 00:25 2,336 --ahs---- C:\WINNT\system32\drivers\fidbox2.dat
2007-09-16 00:23 <DIR> d-------- C:\WINNT\system32\ZoneLabs
2007-09-16 00:23 1,086,952 --a------ C:\WINNT\system32\zpeng24.dll
2007-09-15 22:44 <DIR> d----c--- C:\Unlocker-gesperrter-dateien
2007-09-15 21:17 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-09-15 20:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-09-15 20:23 <DIR> d----c--- C:\PC Praxis

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-15 22:39 1,364 --sha-w C:\WINNT\system32\drivers\fidbox.idx
2007-09-15 22:39 1,292 --sha-w C:\WINNT\system32\drivers\fidbox2.idx
2007-09-08 15:51 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Media Player Classic
2007-09-08 15:49 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\XnView
2006-10-29 18:21 271 ---h--w C:\Programme\desktop.ini
2006-10-29 18:21 22,080 ---h--w C:\Programme\folder.htt
2001-05-08 11:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

((((((((((((((((((((((((((((( snapshot_Mi 2007-09-19_223949.89 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-07-19 22:47:22 109,056 ----a-w C:\WINNT\catchme.exe
+ 2007-09-28 07:06:08 135,168 ----a-w C:\WINNT\catchme.exe
- 2007-07-22 16:39:27 279,552 ----a-w C:\WINNT\system32\swreg.exe
+ 2007-10-05 08:07:31 279,552 ----a-w C:\WINNT\system32\swreg.exe
- 2007-09-15 22:33:24 4,212 ---h--w C:\WINNT\system32\zllictbl.dat
+ 2007-10-02 23:22:40 4,212 ---h--w C:\WINNT\system32\zllictbl.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Microsoft Security Monitor Process"="mssmp.exe" []
"Compaq Service Drivers"="winsvc.exe" []
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [06.04.06 02:06 ]
"Synchronization Manager"="mobsync.exe" [19.06.03 21:05 C:\WINNT\system32\mobsync.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [02.04.07 10:35 ]
"ZoneAlarm Client"="C:\x-syshelp\ZoneAlarm\zlclient.exe" [21.06.07 21:54 ]
"UnlockerAssistant"="C:\x-syshelp\Unlocker\UnlockerAssistant.exe" [07.09.06 19:19 ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\x-HP\active-sync\wcescomm.exe" [15.11.05 21:14 ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Microfost Windows update"=kopkwlk.exe
"Microsoft Security Monitor Process"=mssmp.exe
"Compaq Service Drivers"=winsvc.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
"Compaq Service Drivers"=winsvc.exe

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Compaq Service Drivers"=winsvc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ActiveSync]
WcesWlgn.dll 15.11.05 20:44 7168 C:\WINNT\system32\WcesWlgn.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=C:\x-syshelp\Spybot\TeaTimer.exe

R0 avgntmgr;avgntmgr;C:\WINNT\system32\DRIVERS\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINNT\system32\DRIVERS\avmndsl.sys
R3 nm2360;nm2360;C:\WINNT\system32\DRIVERS\nm2360mp.sys
R3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys
R3 wdm_nm6;NeoMagic MagicMedia 256 + AC97 Treiber (WDM);C:\WINNT\system32\drivers\nm6wdm.sys
S2 Network Confg System;Network Confg System;"C:\WINNT\system32\lviss.exe"
S3 drhard;DRHARD;\??\C:\WINNT\system32\DRIVERS\DRHARD.SYS
S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);C:\WINNT\system32\DRIVERS\fdlubase.sys
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINNT\system32\DRIVERS\fwlanusb.sys
S3 neo20xx;neo20xx;C:\WINNT\system32\DRIVERS\neo20xx.sys
S3 NPDriver;Norton UnErase Protection Driver;\??\C:\WINNT\system32\Drivers\NPDRIVER.SYS
S3 SDdriver;SDdriver;\??\C:\WINNT\system32\Drivers\sddriver.sys

.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-12 23:34:51
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 12.10.2007 23:37:01
.
--- E O F ---


datfind:


.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 30F5-2F4C

Verzeichnis von C:\WINNT\system32

12.10.2007 23:32 16.384 Perflib_Perfdata_324.dat
12.10.2007 23:16 58.727 vsconfig.xml
05.10.2007 10:07 279.552 swreg.exe
03.10.2007 01:22 4.212 zllictbl.dat
19.09.2007 22:36 16.384 Perflib_Perfdata_330.dat
19.09.2007 22:30 12.288 svycf.tmp
16.09.2007 00:38 12.288 svycf.tmp2
21.06.2007 21:55 54.672 vsutil_loc0407.dll
21.06.2007 21:54 17.808 imslsp_install_loc0407.dll
21.06.2007 21:54 21.904 imsinstall_loc0407.dll
21.06.2007 21:54 394.984 vsdatant.sys
21.06.2007 21:54 1.086.952 zpeng24.dll
21.06.2007 21:54 46.568 vswmi.dll
21.06.2007 21:54 71.144 zlcommdb.dll
21.06.2007 21:54 99.816 vsxml.dll
21.06.2007 21:54 472.552 vsutil.dll
21.06.2007 21:54 83.432 zlcomm.dll
21.06.2007 21:54 71.144 vsregexp.dll
21.06.2007 21:54 275.944 vspubapi.dll
21.06.2007 21:54 157.160 vsinit.dll
21.06.2007 21:54 103.912 vsmonapi.dll
21.06.2007 21:54 83.432 vsdata.dll
21.06.2007 21:54 796.048 libeay32_0.9.6l.dll
09.06.2007 22:10 17 lictest.log
17.02.2007 20:23 1.147.763 cpxrauwg.ini
12.02.2007 15:36 100.352 dfrg.msc
11.02.2007 10:16 21.840 SIntfNT.dll
11.02.2007 10:16 17.212 SIntf32.dll
11.02.2007 10:16 12.067 SIntf16.dll
08.02.2007 21:13 143 mcrh.tmp
26.01.2007 16:39 936.428 hryjnmgf.ini
14.01.2007 23:42 664 d3d9caps.dat
07.01.2007 14:43 768 d3d8caps.dat

1723 Datei(en) 269.117.785 Bytes
0 Verzeichnis(se), 2.601.247.744 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 30F5-2F4C

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

12.10.2007 23:52 89.353 datfind.txt
12.10.2007 23:42 96 WcesView.log
12.10.2007 23:19 98.304 ~DF2042.tmp
3 Datei(en) 187.753 Bytes
0 Verzeichnis(se), 2.601.241.088 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 30F5-2F4C

Verzeichnis von C:\WINNT

12.10.2007 23:15 443.922 WindowsUpdate.log
03.10.2007 16:32 425.138 setupapi.log
28.09.2007 09:06 135.168 catchme.exe
24.09.2007 22:13 69 NeroDigital.ini
15.09.2007 22:49 113.722 ntbtlog.txt
15.09.2007 21:13 32.550 SchedLgU.Txt
15.09.2007 19:38 36 iltwain.ini
01.09.2007 22:11 760 SC2K4WIN.INI
01.09.2007 22:11 477 win.ini
01.09.2007 21:02 263 system.ini
09.07.2007 11:42 1.285.092 ShellIconCache
09.07.2007 11:01 253 tm.ini
21.06.2007 21:55 42.384 zllsputility_loc0407.dll
21.06.2007 21:54 75.248 zllsputility.exe
20.06.2007 21:56 35 tdf.dii
17.06.2007 00:11 51.200 NirCmd.exe
09.06.2007 22:10 17 fldebug.log
23.02.2007 17:32 102.174 DirectX.log

123 Datei(en) 9.762.184 Bytes
0 Verzeichnis(se), 2.601.240.576 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 30F5-2F4C

Verzeichnis von C:\WINNT\temp

12.10.2007 23:14 256 ZLT00e9b.TMP
12.10.2007 23:14 256 ZLT00e8e.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 2.601.242.112 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Lokaler Datentr„ger
Datentr„gernummer: 30F5-2F4C

Verzeichnis von C:\WINNT\Downloaded Program Files

09.11.2006 15:36 5.019 swflash.inf
30.10.2006 01:42 65 desktop.ini
29.06.2005 18:17 227 opuc.inf
20.01.2000 16:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 19:52 697 DirectAnimation Java Classes.osd
5 Datei(en) 7.170 Bytes
0 Verzeichnis(se), 2.601.233.408 Bytes frei
.
.
.


[/b]

#5 kurzer Nachtrag zu meinem vorherigen Post:
da ichs merkwürdig fand, dass Ihr mich zur Suche nach diesen Dateien aufgefordert habt, und diese auch im Hijack-log auftauchten, ich sie aber nicht finden konnte, hab ich auch mal die Registry danach durchforstet.
(S.u.) auch dort sind sie zwar hie und da zu finden, aber "ums verrecken" nicht als real exisitierende Dateien. So nebenbei: die dortigen Kommentare zu den Dateien wie z.B. "compaq service drivers" sehen doch ungefährlich aus - oder trügt der Schein... ?

Fazit: muss/sollte ich auch noch was an der registry schrauben, obwohl die Dateien (wen denn dann gefährlich) nicht vorhanden sind ...?

und... meine Fragen in vorherigen Post sind für mich auch noch immer offen ...

Merci vorab
Lutz

######## registry- "funde" ############

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU
mssmp kopkwlk winsvc lviss
tauchen dort auf

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
mssmp als Microsoft security monitor process
winsvc als compaq service drivers

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
mssmp als Microsoft security monitor process
winsvc als compaq service drivers
kopkwlk als microsoft windows update

HKEY_USERS\.DEFAULT\Software\Microsoft\OLE
mssmp als Microsoft security monitor process
winsvc als compaq service drivers

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Network Confg System
und
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Network Confg System
und
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Network Confg System
imagepath c:\system32\lviss.exe

#6 Entferne auf C:\ Qoobox-->Papierkorb leeren

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O4 - HKLM\..\Run: [Microsoft Security Monitor Process] mssmp.exe
O4 - HKLM\..\Run: [Compaq Service Drivers] winsvc.exe
O4 - HKLM\..\RunServices: [Microfost Windows update] kopkwlk.exe
O4 - HKLM\..\RunServices: [Microsoft Security Monitor Process] mssmp.exe
O4 - HKLM\..\RunServices: [Compaq Service Drivers] winsvc.exe
O4 - HKUS\.DEFAULT\..\Run: [Compaq Service Drivers] winsvc.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [Compaq Service Drivers] winsvc.exe (User 'Default user')
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\x-syshelp\systemworks\Norton Cleanup\WCQuick.lnk (file missing)
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\x-syshelp\systemworks\Norton Cleanup\WCQuick.lnk (file missing)
O23 - Service: Network Confg System - Unknown owner - C:\WINNT\system32\lviss.exe (file missing)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Du solltest ein Uninstaller von Symantec benutzen um die Reste von Norton zu entfernen

Entferne CombiFix
Start > Ausführen>Kopiere rein ComboFix /u OK

Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !

zusammen mit ein neuen log von HijackThis
__________
MfG Argus

#7 Hallo Arnold ... wie empfohlen combofix und hijackthis ausgeführt ... :
alles OK ? wie gehts nun weiter ?
Mit Dank
Lutz



ComboFix 07-10-17.8 - Administrator 17.10.2007 22:39:54.4 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.35 [GMT 2:00]
ausgeführt von:: D:\x-temp\vir\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-17 bis 2007-10-17 ))))))))))))))))))))))))))))))
.

2007-10-17 22:39 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_318.dat
2007-10-17 22:11 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_310.dat
2007-10-12 23:32 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_324.dat
2007-10-03 16:31 24,784 --a------ C:\WINNT\system32\drivers\openhci.sys
2007-10-03 16:31 24,784 --a--c--- C:\WINNT\system32\dllcache\openhci.sys
2007-09-24 22:03 <DIR> d----c--- C:\x-temp
2007-09-19 22:36 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_330.dat
2007-09-19 22:25 51,200 --a------ C:\WINNT\NirCmd.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-15 22:39 24,608 --sha-w C:\WINNT\system32\drivers\fidbox.dat
2007-09-15 22:39 2,336 --sha-w C:\WINNT\system32\drivers\fidbox2.dat
2007-09-15 22:39 1,364 --sha-w C:\WINNT\system32\drivers\fidbox.idx
2007-09-15 22:39 1,292 --sha-w C:\WINNT\system32\drivers\fidbox2.idx
2007-09-15 22:26 75,932 ----a-w C:\WINNT\system32\drivers\klick.dat
2007-09-15 22:26 74,396 ----a-w C:\WINNT\system32\drivers\klin.dat
2007-09-15 19:43 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-09-15 18:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-09-08 15:51 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Media Player Classic
2007-09-08 15:49 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\XnView
2006-10-29 18:21 271 ---h--w C:\Programme\desktop.ini
2006-10-29 18:21 22,080 ---h--w C:\Programme\folder.htt
2001-05-08 11:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [06.04.06 02:06 ]
"Synchronization Manager"="mobsync.exe" [19.06.03 21:05 C:\WINNT\system32\mobsync.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [02.04.07 10:35 ]
"ZoneAlarm Client"="C:\x-syshelp\ZoneAlarm\zlclient.exe" [21.06.07 21:54 ]
"UnlockerAssistant"="C:\x-syshelp\Unlocker\UnlockerAssistant.exe" [07.09.06 19:19 ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\x-HP\active-sync\wcescomm.exe" [15.11.05 21:14 ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ActiveSync]
WcesWlgn.dll 15.11.05 20:44 7168 C:\WINNT\system32\WcesWlgn.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=C:\x-syshelp\Spybot\TeaTimer.exe

R0 avgntmgr;avgntmgr;C:\WINNT\system32\DRIVERS\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINNT\system32\DRIVERS\avmndsl.sys
R3 nm2360;nm2360;C:\WINNT\system32\DRIVERS\nm2360mp.sys
R3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys
R3 wdm_nm6;NeoMagic MagicMedia 256 + AC97 Treiber (WDM);C:\WINNT\system32\drivers\nm6wdm.sys
S3 drhard;DRHARD;\??\C:\WINNT\system32\DRIVERS\DRHARD.SYS
S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);C:\WINNT\system32\DRIVERS\fdlubase.sys
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINNT\system32\DRIVERS\fwlanusb.sys
S3 neo20xx;neo20xx;C:\WINNT\system32\DRIVERS\neo20xx.sys
S3 SDdriver;SDdriver;\??\C:\WINNT\system32\Drivers\sddriver.sys
S4 Network Confg System;Network Confg System;"C:\WINNT\system32\lviss.exe"

.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-17 22:42:59
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 17.10.2007 22:44:59
.
--- E O F ---




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:52:20, on 17.10.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\x-syshelp\ZoneAlarm\zlclient.exe
C:\x-syshelp\Unlocker\UnlockerAssistant.exe
C:\x-HP\active-sync\wcescomm.exe
C:\x-HP\ACTIVE~1\rapimgr.exe
C:\WINNT\explorer.exe
D:\x-temp\vir\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\x-basic\adobeacrobat\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\x-syshelp\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\x-syshelp\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\x-HP\active-sync\wcescomm.exe"
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\x-HP\ACTIVE~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\x-HP\ACTIVE~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\x-HP\ACTIVE~1\INetRepl.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

--
End of file - 3288 bytes

#8 cfscript.txt
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINNT\system32\svycf.tmp
C:\WINNT\system32\svycf.tmp2
C:\WINNT\system32\cpxrauwg.ini
C:\WINNT\system32\mcrh.tmp
C:\WINNT\system32\hryjnmgf.ini

2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix



Start-->Ausführen kopiere rein:
sc stop ccEvtMgr
Klicke OK
Nochmal dasselbe kopiere rein:
sc delete ccEvtMgr
Klicke OK

Mach dasselbe mit
Start-->Ausführen kopiere rein:
sc stop ccSetMgr
Klicke OK
Nochmal dasselbe kopiere rein:
sc delete ccSetMgr
Klicke OK

Installiere AVG Anti Spyware 7.5
http://board.protecus.de/t29853.htm

Scanne mit DrWeb http://board.protecus.de/t29350.htm
__________
MfG Argus

#9 die o.g. startanweisungen funktionierten nicht, da ccEvtMgr und ccSetMgr wohl nicht auf dem Laptop exisiteren.

was tun ?
einfach übergehen und weiter mit AVG und Drweb ?

hier aber zumindest der Log von og. combofix aktion:

ComboFix 07-10-17.8 - Administrator 18.10.2007 20:58:28.5 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.25 [GMT 2:00]
ausgeführt von:: D:\x-temp\vir\ComboFix.exe
Command switches used :: D:\x-temp\vir\cfscript.txt
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-18 bis 2007-10-18 ))))))))))))))))))))))))))))))
.

2007-10-18 20:58 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_340.dat
2007-10-17 22:11 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_310.dat
2007-10-12 23:32 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_324.dat
2007-10-03 16:31 24,784 --a------ C:\WINNT\system32\drivers\openhci.sys
2007-10-03 16:31 24,784 --a--c--- C:\WINNT\system32\dllcache\openhci.sys
2007-09-24 22:03 <DIR> d----c--- C:\x-temp
2007-09-19 22:36 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_330.dat
2007-09-19 22:25 51,200 --a------ C:\WINNT\NirCmd.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-15 22:39 24,608 --sha-w C:\WINNT\system32\drivers\fidbox.dat
2007-09-15 22:39 2,336 --sha-w C:\WINNT\system32\drivers\fidbox2.dat
2007-09-15 22:39 1,364 --sha-w C:\WINNT\system32\drivers\fidbox.idx
2007-09-15 22:39 1,292 --sha-w C:\WINNT\system32\drivers\fidbox2.idx
2007-09-15 22:26 75,932 ----a-w C:\WINNT\system32\drivers\klick.dat
2007-09-15 22:26 74,396 ----a-w C:\WINNT\system32\drivers\klin.dat
2007-09-15 19:43 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-09-15 18:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-09-08 15:51 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Media Player Classic
2007-09-08 15:49 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\XnView
2006-10-29 18:21 271 ---h--w C:\Programme\desktop.ini
2006-10-29 18:21 22,080 ---h--w C:\Programme\folder.htt
2001-05-08 11:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [06.04.06 02:06 ]
"Synchronization Manager"="mobsync.exe" [19.06.03 21:05 C:\WINNT\system32\mobsync.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [02.04.07 10:35 ]
"ZoneAlarm Client"="C:\x-syshelp\ZoneAlarm\zlclient.exe" [21.06.07 21:54 ]
"UnlockerAssistant"="C:\x-syshelp\Unlocker\UnlockerAssistant.exe" [07.09.06 19:19 ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\x-HP\active-sync\wcescomm.exe" [15.11.05 21:14 ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ActiveSync]
WcesWlgn.dll 15.11.05 20:44 7168 C:\WINNT\system32\WcesWlgn.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=C:\x-syshelp\Spybot\TeaTimer.exe

R0 avgntmgr;avgntmgr;C:\WINNT\system32\DRIVERS\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINNT\system32\DRIVERS\avmndsl.sys
R3 nm2360;nm2360;C:\WINNT\system32\DRIVERS\nm2360mp.sys
R3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys
R3 wdm_nm6;NeoMagic MagicMedia 256 + AC97 Treiber (WDM);C:\WINNT\system32\drivers\nm6wdm.sys
S3 drhard;DRHARD;\??\C:\WINNT\system32\DRIVERS\DRHARD.SYS
S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);C:\WINNT\system32\DRIVERS\fdlubase.sys
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINNT\system32\DRIVERS\fwlanusb.sys
S3 neo20xx;neo20xx;C:\WINNT\system32\DRIVERS\neo20xx.sys
S3 SDdriver;SDdriver;\??\C:\WINNT\system32\Drivers\sddriver.sys
S4 Network Confg System;Network Confg System;"C:\WINNT\system32\lviss.exe"

.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-18 21:01:29
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 18.10.2007 21:03:35
.
--- E O F ---

#10 ... habt ihr mich vergessen ...?
s.o. die letzten beiden Posts von euch und mir ...

#11 Den Auftrag mit sc stop und sc delete beziehen sich auf O23 eintraege
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe (file missing)

cfscript.txt hat nicht funktioniert weil ComboFix nicht auf dein Desktop steht?
__________
MfG Argus

#12 Hier wie vorgeschlagen:
- unten das cfscribt-ergebnis mit combofix (diesmal auf dem desktop ;-)) )
- AVG erledigt ohne relevante ergebnisse
- dr.web - war auch ohne Funde - daher hier kein log
- und unten wie gewünscht das Hijack-log

(die Reste von Symantec hab ich aus der Registry noch nicht ganz getilgt, aber ich denke die Splitter können einfach so da liegen bleiben - mich stört's nicht)

puhhhh - das ist ja alles echte Knochenarbeit mit euren suuper-tipps
noch probleme übrig - wie geht's ansonsten weiter ...?
hab ichs geschafft ?

####################################################

ComboFix 07-10-17.8 - Administrator 25.10.2007 0:12:44.7 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.25 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\cfscript.txt
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-24 bis 2007-10-24 ))))))))))))))))))))))))))))))
.

2007-10-25 00:12 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_2bc.dat
2007-10-18 20:58 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_340.dat
2007-10-17 22:11 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_310.dat
2007-10-12 23:32 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_324.dat
2007-10-03 16:31 24,784 --a------ C:\WINNT\system32\drivers\openhci.sys
2007-10-03 16:31 24,784 --a--c--- C:\WINNT\system32\dllcache\openhci.sys
2007-09-24 22:03 <DIR> d----c--- C:\x-temp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-15 22:39 24,608 --sha-w C:\WINNT\system32\drivers\fidbox.dat
2007-09-15 22:39 2,336 --sha-w C:\WINNT\system32\drivers\fidbox2.dat
2007-09-15 22:39 1,364 --sha-w C:\WINNT\system32\drivers\fidbox.idx
2007-09-15 22:39 1,292 --sha-w C:\WINNT\system32\drivers\fidbox2.idx
2007-09-15 22:26 75,932 ----a-w C:\WINNT\system32\drivers\klick.dat
2007-09-15 22:26 74,396 ----a-w C:\WINNT\system32\drivers\klin.dat
2007-09-15 19:43 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-09-15 18:42 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-09-08 15:51 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Media Player Classic
2007-09-08 15:49 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\XnView
2006-10-29 18:21 271 ---h--w C:\Programme\desktop.ini
2006-10-29 18:21 22,080 ---h--w C:\Programme\folder.htt
2001-05-08 11:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [06.04.06 02:06 ]
"Synchronization Manager"="mobsync.exe" [19.06.03 21:05 C:\WINNT\system32\mobsync.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [02.04.07 10:35 ]
"ZoneAlarm Client"="C:\x-syshelp\ZoneAlarm\zlclient.exe" [21.06.07 21:54 ]
"UnlockerAssistant"="C:\x-syshelp\Unlocker\UnlockerAssistant.exe" [07.09.06 19:19 ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"H/PC Connection Agent"="C:\x-HP\active-sync\wcescomm.exe" [15.11.05 21:14 ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ActiveSync]
WcesWlgn.dll 15.11.05 20:44 7168 C:\WINNT\system32\WcesWlgn.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=C:\x-syshelp\Spybot\TeaTimer.exe

R0 avgntmgr;avgntmgr;C:\WINNT\system32\DRIVERS\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINNT\system32\DRIVERS\avmndsl.sys
R3 nm2360;nm2360;C:\WINNT\system32\DRIVERS\nm2360mp.sys
R3 openhci;Microsoft USB-Open Host-Controllertreiber;C:\WINNT\system32\DRIVERS\openhci.sys
R3 usbhub20;USB 2.0-Root-Hub-Support;C:\WINNT\system32\DRIVERS\usbhub20.sys
R3 wdm_nm6;NeoMagic MagicMedia 256 + AC97 Treiber (WDM);C:\WINNT\system32\drivers\nm6wdm.sys
S3 drhard;DRHARD;\??\C:\WINNT\system32\DRIVERS\DRHARD.SYS
S3 FDLUBASE;AVM FRITZ!Card DSL SL USB (WinXP/2000);C:\WINNT\system32\DRIVERS\fdlubase.sys
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINNT\system32\DRIVERS\fwlanusb.sys
S3 neo20xx;neo20xx;C:\WINNT\system32\DRIVERS\neo20xx.sys
S3 SDdriver;SDdriver;\??\C:\WINNT\system32\Drivers\sddriver.sys
S4 Network Confg System;Network Confg System;"C:\WINNT\system32\lviss.exe"

.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-25 00:15:36
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 25.10.2007 0:17:39
.
--- E O F ---


#########################################


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:56:04, on 31.10.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\x-temp\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\x-syshelp\ZoneAlarm\zlclient.exe
C:\x-syshelp\Unlocker\UnlockerAssistant.exe
C:\x-HP\active-sync\wcescomm.exe
C:\x-HP\ACTIVE~1\rapimgr.exe
D:\x-temp\vir\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\x-basic\adobeacrobat\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\x-syshelp\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\x-syshelp\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\x-HP\active-sync\wcescomm.exe"
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\x-HP\ACTIVE~1\INetRepl.dll (file missing)
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.adobe.com/pub/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\x-temp\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - (no file)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - (no file)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

--
End of file - 2982 bytes

#13 Sieht gut aus!
Nur ein Tip nebenbei ComboFix untergeht fast jeden Tag ein update also immer die letzte version benutzen
Gilt auch für CureIt von DrWeb
__________
MfG Argus

#14 Suuuuuper Daaaaanke,
hätt ich ohne Euch echt nicht geschafft
Lutz