Trojaner TR/Spy.Agent.42496 schon das zweite mal bei mir angezeigt

#0
15.10.2007, 19:38
...neu hier

Beiträge: 2
#1 Hallo alle zusammen,

habe bei euch gelesen, dass ihr einigen helfen konntent. Ich hoffe sehr, dass es bei mir auch funktioniert... Habe die Schritte zur beseitigung durchgeführt und hänge mal die Dateien an....

HIER EINMAL DAS DATFIND:
.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

15.10.2007 18:59 692 eRLog.ini
15.10.2007 18:59 1.158 wpa.dbl
05.10.2007 10:07 279.552 swreg.exe
28.09.2007 07:19 18.089.592 MRT.exe
09.09.2007 18:04 249.688 TZLog.log
08.09.2007 16:08 319.544 FNTCACHE.DAT
21.08.2007 08:16 683.520 inetcomm.dll
20.08.2007 11:55 477.696 mshtmled.dll
20.08.2007 11:55 671.232 mstime.dll
20.08.2007 11:55 824.832 wininet.dll
20.08.2007 11:55 3.584.512 mshtml.dll
20.08.2007 11:55 105.984 url.dll
20.08.2007 11:55 232.960 webcheck.dll
20.08.2007 11:55 193.024 msrating.dll
20.08.2007 11:55 102.400 occache.dll
20.08.2007 11:55 1.152.000 urlmon.dll
20.08.2007 11:55 267.776 iertutil.dll
20.08.2007 11:55 52.224 msfeedsbs.dll
20.08.2007 11:55 459.264 msfeeds.dll
20.08.2007 11:55 44.544 iernonce.dll
20.08.2007 11:55 6.058.496 ieframe.dll
20.08.2007 11:55 1.824.768 inetcpl.cpl
20.08.2007 11:55 27.648 jsproxy.dll
20.08.2007 11:55 384.512 iedkcs32.dll
20.08.2007 11:55 230.400 ieaksie.dll
20.08.2007 11:55 383.488 ieapfltr.dll
20.08.2007 11:55 153.088 ieakeng.dll
20.08.2007 11:55 63.488 icardie.dll
20.08.2007 11:55 132.608 extmgr.dll
20.08.2007 11:55 124.928 advpack.dll
20.08.2007 11:55 214.528 dxtrans.dll
17.08.2007 12:19 63.488 ie4uinit.exe
17.08.2007 12:19 13.824 ieudinit.exe
17.08.2007 09:34 161.792 ieakui.dll
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
20.07.2007 16:48 411.050 perfh007.dat
20.07.2007 16:48 72.874 perfc007.dat
20.07.2007 16:48 914.622 PerfStringBackup.INI
20.07.2007 16:48 60.504 perfc009.dat
20.07.2007 16:48 397.316 perfh009.dat
18.07.2007 14:42 60.416 tzchange.exe
09.07.2007 15:11 584.192 rpcrt4.dll

2176 Datei(en) 421.730.978 Bytes
0 Verzeichnis(se), 21.749.694.464 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 320D-180E

Verzeichnis von C:\DOKUME~1\Saturn\LOKALE~1\Temp

15.10.2007 19:04 106.379 datfind.txt
1 Datei(en) 106.379 Bytes
0 Verzeichnis(se), 21.750.644.736 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS

15.10.2007 18:59 4.888 ModemLog_SoftV92 Data Fax Modem with SmartCP.txt
15.10.2007 18:58 159 wiadebug.log
15.10.2007 18:57 0 0.log
15.10.2007 18:57 2.048 bootstat.dat
15.10.2007 18:56 32.622 SchedLgU.Txt
15.10.2007 18:56 50 wiaservc.log
15.10.2007 18:56 12 bthservsdp.dat
15.10.2007 18:27 230.390 setupact.log
15.10.2007 00:48 1.086.118 WindowsUpdate.log
12.10.2007 18:58 600.504 setupapi.log
11.10.2007 17:29 259.364 tsoc.log
11.10.2007 17:29 105.606 iis6.log
11.10.2007 17:29 1.393 imsins.log
11.10.2007 17:29 323.678 ocgen.log
11.10.2007 17:29 15.187 KB933729.log
11.10.2007 17:29 36.580 ocmsn.log
11.10.2007 17:29 33.486 msgsocm.log
11.10.2007 17:29 229.089 comsetup.log
11.10.2007 17:29 137.234 ntdtcsetup.log
11.10.2007 17:29 684.448 FaxSetup.log
11.10.2007 17:29 76.677 updspapi.log
11.10.2007 17:28 24.263 KB939653-IE7.log
11.10.2007 17:28 1.393 imsins.BAK
11.10.2007 17:27 10.759 KB941202.log
07.10.2007 14:37 4.549 tm.ini
07.10.2007 14:35 124 tdf.dii
28.09.2007 09:06 135.168 catchme.exe
09.09.2007 18:04 25.096 KB937143-IE7.log
09.09.2007 18:04 22.265 KB933360.log
09.09.2007 18:03 11.796 KB938127-IE7.log
08.09.2007 20:35 1.409 QTFont.for
08.09.2007 20:35 54.156 QTFont.qfn
24.08.2007 22:20 49 NeroDigital.ini
19.08.2007 22:10 8.405 spupdsvc.log
19.08.2007 22:07 22.866 ie7_main.log
19.08.2007 22:07 63.137 ie7.log
19.08.2007 22:05 14.278 IDNMitigationAPIs.log
19.08.2007 22:05 14.031 NLSDownlevelMapping.log
19.08.2007 22:04 11.800 KB915865.log
19.08.2007 22:03 5.992 KB914440.log
19.08.2007 22:03 31.477 KB937143.log
19.08.2007 22:03 11.743 KB904942.log
19.08.2007 18:29 54.252 wmsetup.log
17.08.2007 14:41 17.357 KB936021.log
17.08.2007 14:41 16.872 KB938828.log
17.08.2007 14:41 14.045 KB936782.log
17.08.2007 14:40 15.763 KB921503.log
17.08.2007 14:40 15.565 KB938829.log
17.08.2007 14:40 508.574 msxml6-KB933579-enu-x86.LOG
17.08.2007 14:39 15.325 KB938127.log
17.08.2007 14:38 283.444 msxml4-KB936181-enu.LOG
15.08.2007 14:45 512 wmsetup10.log
20.07.2007 16:49 37.277 KB933566.log
17.07.2007 20:31 12.505 KB929123.log
17.07.2007 20:31 11.801 KB935840.log
17.07.2007 20:29 11.747 KB935839.log

282 Datei(en) 24.240.854 Bytes
0 Verzeichnis(se), 21.750.644.736 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.06.2007 12:21 5.021 swflash.inf
27.12.2004 12:07 65 desktop.ini
2 Datei(en) 5.086 Bytes
0 Verzeichnis(se), 21.750.644.736 Bytes frei
.
.
.


HIER EINMAL DAS HIJACKTHIS:

Logfile of HijackThis v1.99.1
Scan saved at 19:03:41, on 15.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Arcade\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\PrintKey2000\Printkey2000.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Saturn\Desktop\HijackThis.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\MODI\11.0\MSPVIEW.EXE
C:\WINDOWS\system32\WISPTIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4a\NHelper.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: Rightdown Software SearchBar - {D6F180CB-E683-41a3-8CD2-C53DBAA0530D} - C:\Programme\Rightdown Software SearchBar\rssb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

Ich hoffe, dass es reicht, ansonsten bitte ich um antwort, was ich noch machen kann um diese "Seuche" los zu werden!

GLG Daniela
Seitenanfang Seitenende
15.10.2007, 19:45
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Du darfst von vorne anfangen http://board.protecus.de/t23188.htm ;)
__________
MfG Argus
Seitenanfang Seitenende
17.10.2007, 18:29
...neu hier

Themenstarter

Beiträge: 2
#3 Und alles noch einmal von vorne....


Datfind:

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

17.10.2007 17:35 1.158 wpa.dbl
17.10.2007 17:35 692 eRLog.ini
05.10.2007 10:07 279.552 swreg.exe
28.09.2007 07:19 18.089.592 MRT.exe
09.09.2007 18:04 249.688 TZLog.log
08.09.2007 16:08 319.544 FNTCACHE.DAT
21.08.2007 08:16 683.520 inetcomm.dll
20.08.2007 11:55 824.832 wininet.dll
20.08.2007 11:55 477.696 mshtmled.dll
20.08.2007 11:55 102.400 occache.dll
20.08.2007 11:55 671.232 mstime.dll
20.08.2007 11:55 193.024 msrating.dll
20.08.2007 11:55 105.984 url.dll
20.08.2007 11:55 232.960 webcheck.dll
20.08.2007 11:55 1.152.000 urlmon.dll
20.08.2007 11:55 3.584.512 mshtml.dll
20.08.2007 11:55 6.058.496 ieframe.dll
20.08.2007 11:55 52.224 msfeedsbs.dll
20.08.2007 11:55 44.544 iernonce.dll
20.08.2007 11:55 459.264 msfeeds.dll
20.08.2007 11:55 1.824.768 inetcpl.cpl
20.08.2007 11:55 267.776 iertutil.dll
20.08.2007 11:55 27.648 jsproxy.dll
20.08.2007 11:55 230.400 ieaksie.dll
20.08.2007 11:55 383.488 ieapfltr.dll
20.08.2007 11:55 384.512 iedkcs32.dll
20.08.2007 11:55 214.528 dxtrans.dll
20.08.2007 11:55 153.088 ieakeng.dll
20.08.2007 11:55 132.608 extmgr.dll
20.08.2007 11:55 124.928 advpack.dll
20.08.2007 11:55 63.488 icardie.dll
17.08.2007 12:19 63.488 ie4uinit.exe
17.08.2007 12:19 13.824 ieudinit.exe
17.08.2007 09:34 161.792 ieakui.dll
30.07.2007 19:20 30.040 wuaucpl.cpl.mui
30.07.2007 19:20 30.040 wuapi.dll.mui
30.07.2007 19:19 1.712.984 wuaueng.dll
30.07.2007 19:19 549.720 wuapi.dll
30.07.2007 19:19 325.976 wucltui.dll
30.07.2007 19:19 216.408 wuaucpl.cpl
30.07.2007 19:19 203.096 wuweb.dll
30.07.2007 19:19 92.504 cdm.dll
30.07.2007 19:19 53.080 wuauclt.exe
30.07.2007 19:19 43.352 wups2.dll
30.07.2007 19:18 34.136 wucltui.dll.mui
30.07.2007 19:18 33.624 wups.dll
30.07.2007 19:18 20.824 wuaueng.dll.mui
20.07.2007 16:48 411.050 perfh007.dat
20.07.2007 16:48 60.504 perfc009.dat
20.07.2007 16:48 914.622 PerfStringBackup.INI
20.07.2007 16:48 397.316 perfh009.dat
20.07.2007 16:48 72.874 perfc007.dat
18.07.2007 14:42 60.416 tzchange.exe
09.07.2007 15:11 584.192 rpcrt4.dll
2177 Datei(en) 422.091.938 Bytes
0 Verzeichnis(se), 21.746.155.520 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 320D-180E

Verzeichnis von C:\DOKUME~1\Saturn\LOKALE~1\Temp

17.10.2007 17:48 106.425 datfind.txt
1 Datei(en) 106.425 Bytes
0 Verzeichnis(se), 21.747.105.792 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS

17.10.2007 17:35 4.164 ModemLog_SoftV92 Data Fax Modem with SmartCP.txt
17.10.2007 17:35 159 wiadebug.log
17.10.2007 17:35 0 0.log
17.10.2007 17:34 2.048 bootstat.dat
16.10.2007 22:08 32.622 SchedLgU.Txt
16.10.2007 22:08 50 wiaservc.log
16.10.2007 22:08 12 bthservsdp.dat
16.10.2007 22:08 1.106.248 WindowsUpdate.log
15.10.2007 18:27 230.390 setupact.log
12.10.2007 18:58 600.504 setupapi.log
11.10.2007 17:29 259.364 tsoc.log
11.10.2007 17:29 105.606 iis6.log
11.10.2007 17:29 1.393 imsins.log
11.10.2007 17:29 323.678 ocgen.log
11.10.2007 17:29 15.187 KB933729.log
11.10.2007 17:29 36.580 ocmsn.log
11.10.2007 17:29 33.486 msgsocm.log
11.10.2007 17:29 229.089 comsetup.log
11.10.2007 17:29 137.234 ntdtcsetup.log
11.10.2007 17:29 684.448 FaxSetup.log
11.10.2007 17:29 76.677 updspapi.log
11.10.2007 17:28 24.263 KB939653-IE7.log
11.10.2007 17:28 1.393 imsins.BAK
11.10.2007 17:27 10.759 KB941202.log
07.10.2007 14:37 4.549 tm.ini
07.10.2007 14:35 124 tdf.dii
28.09.2007 09:06 135.168 catchme.exe
09.09.2007 18:04 25.096 KB937143-IE7.log
09.09.2007 18:04 22.265 KB933360.log
09.09.2007 18:03 11.796 KB938127-IE7.log
08.09.2007 20:35 1.409 QTFont.for
08.09.2007 20:35 54.156 QTFont.qfn
24.08.2007 22:20 49 NeroDigital.ini
19.08.2007 22:10 8.405 spupdsvc.log
19.08.2007 22:07 22.866 ie7_main.log
19.08.2007 22:07 63.137 ie7.log
19.08.2007 22:05 14.278 IDNMitigationAPIs.log
19.08.2007 22:05 14.031 NLSDownlevelMapping.log
19.08.2007 22:04 11.800 KB915865.log
19.08.2007 22:03 5.992 KB914440.log
19.08.2007 22:03 31.477 KB937143.log
19.08.2007 22:03 11.743 KB904942.log
19.08.2007 18:29 54.252 wmsetup.log
17.08.2007 14:41 17.357 KB936021.log
17.08.2007 14:41 16.872 KB938828.log
17.08.2007 14:41 14.045 KB936782.log
17.08.2007 14:40 15.763 KB921503.log
17.08.2007 14:40 15.565 KB938829.log
17.08.2007 14:40 508.574 msxml6-KB933579-enu-x86.LOG
17.08.2007 14:39 15.325 KB938127.log
17.08.2007 14:38 283.444 msxml4-KB936181-enu.LOG
15.08.2007 14:45 512 wmsetup10.log
20.07.2007 16:49 37.277 KB933566.log
17.07.2007 20:31 12.505 KB929123.log
17.07.2007 20:31 11.801 KB935840.log
17.07.2007 20:29 11.747 KB935839.log

282 Datei(en) 24.260.260 Bytes
0 Verzeichnis(se), 21.747.105.792 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datentr„ger in Laufwerk C: ist PROGRAMME
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\Downloaded Program Files

11.06.2007 12:21 5.021 swflash.inf
27.12.2004 12:07 65 desktop.ini
2 Datei(en) 5.086 Bytes
0 Verzeichnis(se), 21.747.105.792 Bytes frei
.
.
.


Highjackthis:

Logfile of HijackThis v1.99.1
Scan saved at 17:47:57, on 17.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Arcade\PCMService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\acer\epm\epm-dm.exe
C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\MODI\11.0\MSPVIEW.EXE
C:\WINDOWS\system32\WISPTIS.EXE
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Saturn\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4a\NHelper.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: Rightdown Software SearchBar - {D6F180CB-E683-41a3-8CD2-C53DBAA0530D} - C:\Programme\Rightdown Software SearchBar\rssb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Printkey2000.lnk = C:\Programme\PrintKey2000\Printkey2000.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_07\bin\npjpi142_07.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe



ComboFox:

ComboFix 07-10-12.4 - Saturn 2007-10-17 17:40:22.2 - [color=red]FAT32[/color]x86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.231 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Saturn\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-17 bis 2007-10-17 ))))))))))))))))))))))))))))))
.

2007-10-15 18:49 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-09 12:16 <DIR> d-------- C:\Programme\PrintKey2000
2007-10-07 16:18 <DIR> d-------- C:\Programme\flatster
2007-10-07 16:18 98,304 --a------ C:\WINDOWS\system32\unzip32.dll
2007-10-03 14:02 <DIR> d-------- C:\Programme\Avira
2007-10-03 14:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-09-25 15:44 954,640 --a------ C:\Temp\mfc42.dll
2007-09-25 15:44 612,352 --a------ C:\Temp\Simon.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-09-08 17:05 --------- d-----w C:\Dokumente und Einstellungen\Saturn\Anwendungsdaten\DataDesign
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-08-20 09:55 824,832 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2007-08-20 09:55 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2007-08-20 09:55 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll
2007-08-20 09:55 6,058,496 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2007-08-20 09:55 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-08-20 09:55 477,696 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-08-20 09:55 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-08-20 09:55 44,544 ----a-w C:\WINDOWS\system32\dllcache\iernonce.dll
2007-08-20 09:55 384,512 ----a-w C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-08-20 09:55 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-08-20 09:55 3,584,512 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-08-20 09:55 27,648 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-08-20 09:55 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll
2007-08-20 09:55 232,960 ----a-w C:\WINDOWS\system32\dllcache\webcheck.dll
2007-08-20 09:55 230,400 ----a-w C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-08-20 09:55 214,528 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-08-20 09:55 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2007-08-20 09:55 153,088 ----a-w C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-08-20 09:55 132,608 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-08-20 09:55 124,928 ----a-w C:\WINDOWS\system32\dllcache\advpack.dll
2007-08-20 09:55 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll
2007-08-20 09:55 102,400 ----a-w C:\WINDOWS\system32\dllcache\occache.dll
2007-08-20 09:55 1,152,000 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-08-17 12:40 --------- d-----w C:\Programme\MSXML 6.0
2007-08-17 10:20 625,152 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2007-08-17 10:19 63,488 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-08-17 10:19 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-08-17 07:34 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2005-09-14 09:58 20,480 ----a-w C:\Programme\Gemeinsame Dateien\UninstallDrv.exe
.

((((((((((((((((((((((((((((( snapshot@2007-10-15_18.59.32.43 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-03-13 08:57:12 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE
- 2007-10-15 16:58:02 16,384 ------w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2007-10-17 15:35:08 16,384 ------w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2007-10-15 16:58:02 32,768 ------w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2007-10-17 15:35:08 32,768 ------w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2007-10-15 16:58:02 32,768 ------w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2007-10-17 15:35:08 32,768 ------w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C1E58A84-95B3-4630-B8C2-D06B77B7A0FC}]
2004-05-17 21:57 135168 -rah----- C:\Programme\NavExcel\NavHelper\v2.0.4a\NHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D80C4E21-C346-4E21-8E64-20746AA20AEB}]
2007-01-12 15:33 331776 --a------ C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{5AA06644-BC46-4220-A460-47A6EB47C96D}"= C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll [2007-01-12 15:33 331776]
"{D6F180CB-E683-41a3-8CD2-C53DBAA0530D}"= C:\Programme\Rightdown Software SearchBar\rssb.dll [2007-03-02 01:57 339968]

[HKEY_CLASSES_ROOT\CLSID\{5AA06644-BC46-4220-A460-47A6EB47C96D}]
[HKEY_CLASSES_ROOT\NavExcelBar.NavExcelBarObj.1]
[HKEY_CLASSES_ROOT\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}]
[HKEY_CLASSES_ROOT\NavExcelBar.NavExcelBarObj]

[HKEY_CLASSES_ROOT\CLSID\{D6F180CB-E683-41a3-8CD2-C53DBAA0530D}]
[HKEY_CLASSES_ROOT\Pugi.PugiObj.1]
[HKEY_CLASSES_ROOT\TypeLib\{6D3F5DE4-E980-4407-A10F-9AC771ABAAE6}]
[HKEY_CLASSES_ROOT\Pugi.PugiObj]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{5AA06644-BC46-4220-A460-47A6EB47C96D}"= C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll [2007-01-12 15:33 331776]
"{D6F180CB-E683-41A3-8CD2-C53DBAA0530D}"= C:\Programme\Rightdown Software SearchBar\rssb.dll [2007-03-02 01:57 339968]

[HKEY_CLASSES_ROOT\CLSID\{5AA06644-BC46-4220-A460-47A6EB47C96D}]
[HKEY_CLASSES_ROOT\NavExcelBar.NavExcelBarObj.1]
[HKEY_CLASSES_ROOT\TypeLib\{5297E905-1DFB-4A9C-9871-A4F95FD58945}]
[HKEY_CLASSES_ROOT\NavExcelBar.NavExcelBarObj]

[HKEY_CLASSES_ROOT\CLSID\{D6F180CB-E683-41A3-8CD2-C53DBAA0530D}]
[HKEY_CLASSES_ROOT\Pugi.PugiObj.1]
[HKEY_CLASSES_ROOT\TypeLib\{6D3F5DE4-E980-4407-A10F-9AC771ABAAE6}]
[HKEY_CLASSES_ROOT\Pugi.PugiObj]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-10-07 22:44]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-10-07 22:43]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 05:00 C:\WINDOWS\system32\bthprops.cpl]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 05:00]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 05:00]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 05:00]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" []
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2004-10-07 16:27]
"PCMService"="C:\Programme\Arcade\PCMService.exe" [2004-08-27 16:50]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-12-07 21:10]
"EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-01-25 14:02]
"ePowerManagement"="C:\Acer\ePM\ePM.exe" [2005-01-21 15:21]
"eRecoveryService"="C:\Windows\System32\Check.exe" [2004-11-24 17:34]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-09-15 16:56]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_07\bin\jusched.exe" [2005-01-15 12:24]
"DU Meter"="C:\Programme\DU Meter\DUMeter.exe" [2006-11-27 15:21]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 19:46]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 05:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,"

R1 SSHDRV86;SSHDRV86;\??\C:\WINDOWS\system32\drivers\SSHDRV86.sys
R1 UBHelper;MRW remapping;C:\WINDOWS\system32\drivers\UBHelper.sys
R2 EpmPsd;Acer EPM Power Scheme Driver;\??\C:\WINDOWS\system32\drivers\epm-psd.sys
R2 EpmShd;Acer EPM System Hardware Driver;\??\C:\WINDOWS\system32\drivers\epm-shd.sys
R3 int15.sys;int15.sys;\??\C:\Programme\acer\eRecovery\int15.sys
S3 CEDTV;USBDTV USB2.0 DVB-T device;C:\WINDOWS\system32\Drivers\DTVM5P2.sys
S3 CEDTVLDR;DVB-T USB2.0 device firmware loader;C:\WINDOWS\system32\Drivers\CEDTVLDR.sys
S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe"

.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-17 17:44:05
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

C:\WINDOWS\system32ntos.exe 393216 bytes
C:\WINDOWS\system32wsnpoem

Scan erfolgreich abgeschlossen
versteckte Dateien: 2

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-17 17:46:01
C:\ComboFix2.txt ... 2007-10-15 19:01
.
--- E O F ---


Eine andere Antwort wäre mir jetzt lieber.... :-(

LG
Seitenanfang Seitenende
17.10.2007, 20:57
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: NavHelper Class - {C1E58A84-95B3-4630-B8C2-D06B77B7A0FC} - C:\Programme\NavExcel\NavHelper\v2.0.4a\NHelper.dll
O2 - BHO: Helper Class - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: NavExcel Toolbar - {5AA06644-BC46-4220-A460-47A6EB47C96D} - C:\Programme\NavExcel Search Toolbar\NavExcelBar.dll
O3 - Toolbar: Rightdown Software SearchBar - {D6F180CB-E683-41a3-8CD2-C53DBAA0530D} - C:\Programme\Rightdown Software SearchBar\rssb.dll

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Entferne auf
C:\Programme\NavExcel
C:\Programme\NavExcel Search Toolbar
C:\Programme\Rightdown Software SearchBar

cfscript.txt
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem


2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix



Und ein log von Hijack This
__________
MfG Argus
Seitenanfang Seitenende
20.10.2007, 18:08
Member

Beiträge: 32
#5 Auch bei mir zeigt AntiVir den Fund: TR/Spy.Agent.42496 in C:/Windows/System32/ntos.exe.
Habe die Vorarbeit erledigt. Vielen Dank im Voraus.

ComboFix:

ComboFix 07-10-20.6 - Chris 2007-10-20 16:44:04.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.265 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Chris\Desktop\ComboFix.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-20 bis 2007-10-20 ))))))))))))))))))))))))))))))
.

2007-10-20 14:33 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Grisoft
2007-10-20 14:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-10-20 14:33 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-20 13:05 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-12 11:01 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-03 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Image Zone Express
2007-09-23 18:25 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Contacts
2007-09-23 18:23 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-09-23 18:23 <DIR> d-------- C:\Programme\MSN Messenger

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-03 12:27 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\HP
2007-09-14 10:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm
2007-09-04 13:54 --------- d-----w C:\Programme\MSXML 4.0
2007-09-03 14:21 --------- d-----w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\HP
2007-09-03 14:16 --------- d-----w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Image Zone Express
2007-09-03 14:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2007-09-03 14:02 --------- d-----w C:\Programme\HP
2007-09-03 14:02 --------- d-----w C:\Programme\Gemeinsame Dateien\HP
2007-09-03 13:58 --------- d-----w C:\Programme\Hewlett-Packard
2007-09-03 13:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2007-08-23 11:26 --------- d-----w C:\Programme\Google
2007-08-23 11:19 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-10 19:56 93,128 ----a-w C:\WINDOWS\system32\ElbyCDIO.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2005-12-31 13:03 25,736 ----a-w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50]
"InCD"="D:\Christian\Programme\Nero 6\InCD\InCD.exe" [2004-03-24 12:41]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 15:05]
"iTunesHelper"="D:\Christian\Programme\iTunes_Quicktime\iTunesHelper.exe" [2005-10-18 12:58]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-01-29 16:38]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-01-23 20:33]
"routcnf"="D:\Christian\Programme\ta 33 usb\routcnf.exe" []
"Adobe Reader Speed Launcher"="D:\Christian\Programme\Adobe Reader\Reader\Reader_sl.exe" [2007-05-11 03:06]
"TomTomHOME.exe"="D:\TomTomHOME.exe" []
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41]
"!AVG Anti-Spyware"="D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"McAfee.InstantUpdate.Monitor"="C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" []
"BlackFooX 3"="D:\Christian\Programme\Any DVD\AnyDVD_v6.1.3.2_+_Loader_(Dr-PcPutte)crack\AnyDVD\BlackFooX3.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,"

R2 SetupNT;SetupNT;C:\WINDOWS\system32\SetupNT.sys
R3 3xHybrid;Pinnacle PCTV Stereo service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
S3 Dual Mode;Dual Mode Video Capture;C:\WINDOWS\system32\DRIVERS\CoachVc.sys
S3 pctvvbi;PCTVVBI;C:\WINDOWS\system32\DRIVERS\pctvvbi.sys
S3 ulisa;DeTeWe ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys

*Newly Created Service* - AVG_ANTI-SPYWARE_DRIVER
*Newly Created Service* - AVG_ANTI-SPYWARE_GUARD
.
HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:58, on 2007-10-20
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Christian\Programme\Nero 6\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Christian\Programme\Nero 6\InCD\InCD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Christian\Programme\iTunes_Quicktime\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
D:\Christian\Programme\Last FM\Last.fm\LastFMHelper.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\iPod\bin\iPodService.exe
D:\Christian\Programme\Last FM\Last.fm\LastFM.exe
C:\Programme\MSN Messenger\usnsvc.exe
D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\guard.exe
D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\avgas.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\WINDOWS\explorer.exe
D:\Christian\Programme\Hijack this\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Christian\Programme\Nero 6\InCD\InCD.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "D:\Christian\Programme\iTunes_Quicktime\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [routcnf] D:\Christian\Programme\ta 33 usb\routcnf.exe /capiactive
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Christian\Programme\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] D:\TomTomHOME.exe -s
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [BlackFooX 3] D:\Christian\Programme\Any DVD\AnyDVD_v6.1.3.2_+_Loader_(Dr-PcPutte)crack\AnyDVD\BlackFooX3.exe
O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\avsys.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Last.fm Helper.lnk = D:\Christian\Programme\Last FM\Last.fm\LastFMHelper.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Christian\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3B39E9B2-7622-4487-8E6A-FADE3DE42B29}: NameServer = 62.220.18.8 89.246.64.8
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Christian\Programme\Nero 6\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 6519 bytes

datFind:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 486D-E041

Verzeichnis von C:\WINDOWS\system32

2007-10-20 13:39 13,646 wpa.dbl
2007-10-20 13:36 288 DVCState-{00000000-00000000-0000000B-00001102-00000002-100A1102}.dat
2007-10-20 13:36 288 DVCStateBkp-{00000000-00000000-0000000B-00001102-00000002-100A1102}.dat
2007-10-20 13:36 1,080 settings.sfm
2007-10-20 13:36 1,080 settingsbkup.sfm
2007-10-20 13:36 24,144 BMXBkpCtrlState-{00000000-00000000-0000000B-00001102-00000002-100A1102}.rfx
2007-10-20 13:36 16,376 BMXStateBkp-{00000000-00000000-0000000B-00001102-00000002-100A1102}.rfx
2007-10-20 13:36 24,144 BMXCtrlState-{00000000-00000000-0000000B-00001102-00000002-100A1102}.rfx
2007-10-20 13:36 16,376 BMXState-{00000000-00000000-0000000B-00001102-00000002-100A1102}.rfx
2007-10-05 10:07 279,552 swreg.exe
2007-09-28 07:19 18,089,592 MRT.exe
2007-09-13 11:01 138,056 FNTCACHE.DAT
2007-08-29 16:42 249,852 TZLog.log
2007-08-21 08:16 683,520 inetcomm.dll
2007-08-20 11:55 671,232 mstime.dll
2007-08-20 11:55 105,984 url.dll
2007-08-20 11:55 824,832 wininet.dll
2007-08-20 11:55 1,152,000 urlmon.dll
2007-08-20 11:55 102,400 occache.dll
2007-08-20 11:55 232,960 webcheck.dll
2007-08-20 11:55 3,584,512 mshtml.dll
2007-08-20 11:55 477,696 mshtmled.dll
2007-08-20 11:55 193,024 msrating.dll
2007-08-20 11:55 52,224 msfeedsbs.dll
2007-08-20 11:55 459,264 msfeeds.dll
2007-08-20 11:55 6,058,496 ieframe.dll
2007-08-20 11:55 27,648 jsproxy.dll
2007-08-20 11:55 1,824,768 inetcpl.cpl
2007-08-20 11:55 44,544 iernonce.dll
2007-08-20 11:55 267,776 iertutil.dll
2007-08-20 11:55 230,400 ieaksie.dll
2007-08-20 11:55 384,512 iedkcs32.dll
2007-08-20 11:55 383,488 ieapfltr.dll
2007-08-20 11:55 63,488 icardie.dll
2007-08-20 11:55 132,608 extmgr.dll
2007-08-20 11:55 153,088 ieakeng.dll
2007-08-20 11:55 214,528 dxtrans.dll
2007-08-20 11:55 124,928 advpack.dll
2007-08-17 12:19 63,488 ie4uinit.exe
2007-08-17 12:19 13,824 ieudinit.exe
2007-08-17 09:34 161,792 ieakui.dll
2007-08-10 21:56 93,128 ElbyCDIO.dll
2007-07-30 19:20 30,040 wuaucpl.cpl.mui
2007-07-30 19:20 30,040 wuapi.dll.mui
2007-07-30 19:19 1,712,984 wuaueng.dll
2007-07-30 19:19 549,720 wuapi.dll
2007-07-30 19:19 325,976 wucltui.dll
2007-07-30 19:19 203,096 wuweb.dll
2007-07-30 19:19 216,408 wuaucpl.cpl
2007-07-30 19:19 92,504 cdm.dll
2007-07-30 19:19 53,080 wuauclt.exe
2007-07-30 19:19 43,352 wups2.dll
2007-07-30 19:18 34,136 wucltui.dll.mui
2007-07-30 19:18 33,624 wups.dll
2007-07-30 19:18 20,824 wuaueng.dll.mui
2007-07-18 14:42 60,416 tzchange.exe

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 486D-E041

Verzeichnis von C:\DOKUME~1\Chris\LOKALE~1\Temp

2007-10-20 17:02 103,095 datfind.txt
2007-10-20 16:47 53,248 rjexejkn.dll
2007-10-20 14:37 16,384 Perflib_Perfdata_db8.dat
2007-10-20 14:34 32,768 ~DF891B.tmp
2007-10-20 13:39 2,842 hpodvd09.log
5 Datei(en) 208,337 Bytes
0 Verzeichnis(se), 3,743,379,456 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 486D-E041

Verzeichnis von C:\WINDOWS

2007-10-20 15:37 253,321 wmsetup.log
2007-10-20 15:37 1,633,596 WindowsUpdate.log
2007-10-20 13:39 0 0.log
2007-10-20 13:38 159 wiadebug.log
2007-10-20 13:38 50 wiaservc.log
2007-10-20 13:37 2,048 bootstat.dat
2007-10-20 13:36 32,604 SchedLgU.Txt
2007-10-20 06:03 136,192 catchme.exe
2007-10-17 15:31 69 NeroDigital.ini
2007-10-12 13:05 51,325 ocmsn.log
2007-10-12 13:05 190,231 ntdtcsetup.log
2007-10-12 13:05 145,967 iis6.log
2007-10-12 13:05 1,393 imsins.log
2007-10-12 13:05 314,404 comsetup.log
2007-10-12 13:05 358,250 tsoc.log
2007-10-12 13:05 11,722 KB933729.log
2007-10-12 13:05 455,382 ocgen.log
2007-10-12 13:05 46,722 msgsocm.log
2007-10-12 13:05 919,671 FaxSetup.log
2007-10-12 13:05 445,294 setupapi.log
2007-10-12 13:05 89,631 updspapi.log
2007-10-12 13:03 1,393 imsins.BAK
2007-10-12 13:03 22,318 KB939653-IE7.log
2007-10-12 13:03 10,301 KB941202.log
2007-10-04 11:58 54,156 QTFont.qfn
2007-10-03 17:19 1,409 QTFont.for
2007-09-23 18:23 6,078 DPINST.LOG
2007-09-04 15:54 283,112 msxml4-KB936181-enu.LOG
2007-09-03 16:04 132,529 hpoins11.dat
2007-09-03 16:03 648 win.ini
2007-08-31 15:21 8,330 KB939683.log
2007-08-29 16:42 21,644 KB933360.log
2007-08-25 13:29 24 SC29CBB87.tmp
2007-08-15 21:38 42,947 spupdsvc.log
2007-08-15 14:05 20,623 KB936021.log
2007-08-15 14:05 20,125 KB938828.log
2007-08-15 14:05 19,585 KB921503.log
2007-08-15 14:05 19,427 KB938829.log
2007-08-15 14:02 23,923 KB937143-IE7.log
2007-08-15 14:01 12,083 KB938127-IE7.log
2007-08-15 14:00 9,626 KB936782.log
2007-08-08 20:58 390 lexstat.ini

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 486D-E041

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 486D-E041

Verzeichnis von C:\WINDOWS\Downloaded Program Files

2007-03-23 12:17 1,292 erma.inf
Seitenanfang Seitenende
20.10.2007, 23:25
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Verborgene Dateien sichtbar machen
>Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

C:\DOKUME~1\Chris\LOKALE~1\Temp\rjexejkn.dll

Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus
Seitenanfang Seitenende
21.10.2007, 13:06
Member

Beiträge: 32
#7 Habe es mit VirusTotal und DrWeb geprüft, beide haben nichts gefunden!
Seitenanfang Seitenende
21.10.2007, 13:27
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

cfscript.txt
1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\WINDOWS\system32\ntos.exe


2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix



Und ein log von Hijack This
__________
MfG Argus
Seitenanfang Seitenende
21.10.2007, 17:34
Member

Beiträge: 32
#9 Nach dem Klicken auf Fix Checked erscheint bei mir kein Text.
Seitenanfang Seitenende
21.10.2007, 17:37
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Was meinst du mit "kommt kein Text?"
__________
MfG Argus
Seitenanfang Seitenende
21.10.2007, 22:39
Member

Beiträge: 32
#11 Hatte zuvor in der Anleitung was falsch verstanden, habe jetzt aber alles ausgeführt. Hier sind die logs:

ComboFix:

ComboFix 07-10-20.6 - Chris 2007-10-21 22:17:21.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.250 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Chris\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Chris\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE::
C:\WINDOWS\system32\ntos.exe
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-21 bis 2007-10-21 ))))))))))))))))))))))))))))))
.

2007-10-21 11:20 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Grisoft
2007-10-20 14:33 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Grisoft
2007-10-20 14:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-10-20 14:33 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-20 13:05 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-12 11:01 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-03 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Image Zone Express
2007-09-23 18:25 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Contacts
2007-09-23 18:23 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-09-23 18:23 <DIR> d-------- C:\Programme\MSN Messenger

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-03 12:27 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\HP
2007-09-14 10:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm
2007-09-04 13:54 --------- d-----w C:\Programme\MSXML 4.0
2007-09-03 14:21 --------- d-----w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\HP
2007-09-03 14:16 --------- d-----w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Image Zone Express
2007-09-03 14:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2007-09-03 14:02 --------- d-----w C:\Programme\HP
2007-09-03 14:02 --------- d-----w C:\Programme\Gemeinsame Dateien\HP
2007-09-03 13:58 --------- d-----w C:\Programme\Hewlett-Packard
2007-09-03 13:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2007-08-23 11:26 --------- d-----w C:\Programme\Google
2007-08-23 11:19 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-10 19:56 93,128 ----a-w C:\WINDOWS\system32\ElbyCDIO.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2005-12-31 13:03 25,736 ----a-w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50]
"InCD"="D:\Christian\Programme\Nero 6\InCD\InCD.exe" [2004-03-24 12:41]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 15:05]
"iTunesHelper"="D:\Christian\Programme\iTunes_Quicktime\iTunesHelper.exe" [2005-10-18 12:58]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-01-29 16:38]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-01-23 20:33]
"routcnf"="D:\Christian\Programme\ta 33 usb\routcnf.exe" []
"Adobe Reader Speed Launcher"="D:\Christian\Programme\Adobe Reader\Reader\Reader_sl.exe" [2007-05-11 03:06]
"TomTomHOME.exe"="D:\TomTomHOME.exe" []
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41]
"!AVG Anti-Spyware"="D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"McAfee.InstantUpdate.Monitor"="C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" []
"BlackFooX 3"="D:\Christian\Programme\Any DVD\AnyDVD_v6.1.3.2_+_Loader_(Dr-PcPutte)crack\AnyDVD\BlackFooX3.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,"

R2 SetupNT;SetupNT;C:\WINDOWS\system32\SetupNT.sys
R3 3xHybrid;Pinnacle PCTV Stereo service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
S3 Dual Mode;Dual Mode Video Capture;C:\WINDOWS\system32\DRIVERS\CoachVc.sys
S3 pctvvbi;PCTVVBI;C:\WINDOWS\system32\DRIVERS\pctvvbi.sys
S3 ulisa;DeTeWe ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys

.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-21 22:20:37
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

C:\WINDOWS\system32\wsnpoem
**************************************************************************
.
Zeit der Fertigstellung: 2007-10-21 22:22:38
C:\ComboFix2.txt ... 2007-10-21 21:25
.
--- E O F ---

HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:29:21, on 21.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Christian\Programme\Nero 6\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Christian\Programme\Nero 6\InCD\InCD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Christian\Programme\iTunes_Quicktime\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Christian\Programme\Adobe Reader\Reader\Reader_sl.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
D:\Christian\Programme\Last FM\Last.fm\LastFMHelper.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Christian\Programme\Hijack this\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Christian\Programme\Nero 6\InCD\InCD.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "D:\Christian\Programme\iTunes_Quicktime\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [routcnf] D:\Christian\Programme\ta 33 usb\routcnf.exe /capiactive
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Christian\Programme\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] D:\TomTomHOME.exe -s
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [BlackFooX 3] D:\Christian\Programme\Any DVD\AnyDVD_v6.1.3.2_+_Loader_(Dr-PcPutte)crack\AnyDVD\BlackFooX3.exe
O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\avsys.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Last.fm Helper.lnk = D:\Christian\Programme\Last FM\Last.fm\LastFMHelper.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Christian\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Christian\Programme\Nero 6\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 6494 bytes
Seitenanfang Seitenende
21.10.2007, 22:58
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 Entferne auf C:\ Qoobox-->Papierkorb leeren

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

file::
C:\DOKUME~1\Chris\LOKALE~1\Temp\rjexejkn.dll
C:\WINDOWS\system32\wsnpoem

2.
Sleppe diese Datei in ComboFix.exe(sehe Bild)
ComboFix wird jetzt starten und die Daten ausfuehren
Nach neustart des Rechners,poste das log von ComboFix


---------------------
Download SDFix zum Desktop

Starte im abgesicherten Modus:
http://www.bsi.bund.de/av/texte/wiederher.htm

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread

Und ein log von Hijack This
__________
MfG Argus
Seitenanfang Seitenende
22.10.2007, 10:47
Member

Beiträge: 32
#13 Das log von ComboFix:

ComboFix 07-10-20.6 - Chris 2007-10-22 10:24:46.5 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.244 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Chris\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Chris\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE::
C:\DOKUME~1\Chris\LOKALE~1\Temp\rjexejkn.dll
C:\WINDOWS\system32\wsnpoem
.

((((((((((((((((((((((( Dateien erstellt von 2007-09-22 bis 2007-10-22 ))))))))))))))))))))))))))))))
.

2007-10-21 11:20 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Grisoft
2007-10-20 14:33 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Grisoft
2007-10-20 14:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-10-20 14:33 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-20 13:05 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-12 11:01 582,656 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-03 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\Image Zone Express
2007-09-23 18:25 <DIR> d-------- C:\Dokumente und Einstellungen\Chris\Contacts
2007-09-23 18:23 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-09-23 18:23 <DIR> d-------- C:\Programme\MSN Messenger

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-03 12:27 --------- d-----w C:\Dokumente und Einstellungen\Peter\Anwendungsdaten\HP
2007-09-14 10:27 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Last.fm
2007-09-04 13:54 --------- d-----w C:\Programme\MSXML 4.0
2007-09-03 14:21 --------- d-----w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\HP
2007-09-03 14:16 --------- d-----w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\Image Zone Express
2007-09-03 14:03 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2007-09-03 14:02 --------- d-----w C:\Programme\HP
2007-09-03 14:02 --------- d-----w C:\Programme\Gemeinsame Dateien\HP
2007-09-03 13:58 --------- d-----w C:\Programme\Hewlett-Packard
2007-09-03 13:58 --------- d-----w C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2007-08-23 11:26 --------- d-----w C:\Programme\Google
2007-08-23 11:19 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-10 19:56 93,128 ----a-w C:\WINDOWS\system32\ElbyCDIO.dll
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2005-12-31 13:03 25,736 ----a-w C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 12:50]
"InCD"="D:\Christian\Programme\Nero 6\InCD\InCD.exe" [2004-03-24 12:41]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 15:05]
"iTunesHelper"="D:\Christian\Programme\iTunes_Quicktime\iTunesHelper.exe" [2005-10-18 12:58]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-01-29 16:38]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-01-23 20:33]
"routcnf"="D:\Christian\Programme\ta 33 usb\routcnf.exe" []
"Adobe Reader Speed Launcher"="D:\Christian\Programme\Adobe Reader\Reader\Reader_sl.exe" [2007-05-11 03:06]
"TomTomHOME.exe"="D:\TomTomHOME.exe" []
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41]
"!AVG Anti-Spyware"="D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57]
"McAfee.InstantUpdate.Monitor"="C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" []
"BlackFooX 3"="D:\Christian\Programme\Any DVD\AnyDVD_v6.1.3.2_+_Loader_(Dr-PcPutte)crack\AnyDVD\BlackFooX3.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,"

R2 SetupNT;SetupNT;C:\WINDOWS\system32\SetupNT.sys
R3 3xHybrid;Pinnacle PCTV Stereo service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys
S3 Dual Mode;Dual Mode Video Capture;C:\WINDOWS\system32\DRIVERS\CoachVc.sys
S3 pctvvbi;PCTVVBI;C:\WINDOWS\system32\DRIVERS\pctvvbi.sys
S3 ulisa;DeTeWe ISDN-Adapter (USB);C:\WINDOWS\system32\Drivers\ulisa.sys

.
**************************************************************************

catchme 0.3.1232 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-22 10:28:15
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

C:\WINDOWS\system32\wsnpoem
**************************************************************************
.
Zeit der Fertigstellung: 2007-10-22 10:30:20
C:\ComboFix2.txt ... 2007-10-21 22:22
C:\ComboFix3.txt ... 2007-10-21 21:25
.
--- E O F ---

der Bericht von SophosReport.txt:


SDFix: Version 1.110

Run by Chris on 22.10.2007 at 11:26

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\DOKUME~1\Chris\Desktop\SDFix\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\wsnpoem\audio.dll - Deleted
C:\WINDOWS\system32\wsnpoem\video.dll - Deleted
C:\WINDOWS\system32\ntos.exe - Deleted



Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------

File Backups: - C:\DOKUME~1\Chris\Desktop\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes:

Sat 25 Aug 2007 24 ..SH. --- "C:\WINDOWS\SC29CBB87.tmp"
Wed 10 Nov 2004 4,348 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Thu 15 Feb 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"

Finished!


log von HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:38:25, on 22.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Christian\Programme\Nero 6\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
D:\Christian\Programme\Nero 6\InCD\InCD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Christian\Programme\iTunes_Quicktime\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Christian\Programme\Adobe Reader\Reader\Reader_sl.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
D:\Christian\Programme\Last FM\Last.fm\LastFMHelper.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
D:\Christian\Programme\Hijack this\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Christian\Programme\Nero 6\InCD\InCD.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "D:\Christian\Programme\iTunes_Quicktime\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [routcnf] D:\Christian\Programme\ta 33 usb\routcnf.exe /capiactive
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Christian\Programme\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TomTomHOME.exe] D:\TomTomHOME.exe -s
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [McAfee.InstantUpdate.Monitor] "C:\Programme\McAfee\McAfee Shared Components\Instant Updater\RuLaunch.exe" /STARTMONITOR
O4 - HKCU\..\Run: [BlackFooX 3] D:\Christian\Programme\Any DVD\AnyDVD_v6.1.3.2_+_Loader_(Dr-PcPutte)crack\AnyDVD\BlackFooX3.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Last.fm Helper.lnk = D:\Christian\Programme\Last FM\Last.fm\LastFMHelper.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Christian\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Christian\Programme\anti spyware 7.5\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - D:\Christian\Programme\Nero 6\InCD\InCDsrv.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 6119 bytes
Dieser Beitrag wurde am 22.10.2007 um 11:52 Uhr von chris_h editiert.
Seitenanfang Seitenende
23.10.2007, 17:34
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#14 Entferne auf C:\SDFix\ backups -->papierkorb leeren

Systemwiederherstellung
Arbeitsplatz-->Rechtsklick, dann auf Eigenschaften--->Reiter Systemwiederherstellung--->Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)

Entferne CombiFix von dein Rechner
Start > Ausführen>Kopiere rein ComboFix /u OK
__________
MfG Argus
Seitenanfang Seitenende
24.10.2007, 13:31
Member

Beiträge: 32
#15 Habe alles erledigt.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: