Sasser und weiteres

#0
05.11.2007, 18:27
Member

Beiträge: 11
#1 Hallo.

Ich habe das, was ich mit bloßem Auge erkennen konnte mit HJT gefixt und hoffe, dass mir jemand mit den verbleibenden Schädlingen weiterhelfen kann.

Das HJT Log habe ich 2 x erstellt. Einmal vor dem fixen und einmal danach. In dieser Reihenfolge poste ich die Protokolle auch. Aber zunächst


ComboFix


ComboFix 07-10-29.1 - werkstatt 2007-10-31 13:15:14.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.52 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\werkstatt\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SRFO5BWK\ComboFix[1].exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Gemeinsame Dateien\WinSoftware
C:\Programme\Gemeinsame Dateien\WinSoftware\CrXML.dll
C:\Programme\Gemeinsame Dateien\WinSoftware\PCheck.dll
C:\Programme\ISTsvc
C:\Programme\SideFind
C:\Programme\SideFind\sfexd001

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-28 bis 2007-10-31 ))))))))))))))))))))))))))))))
.

2007-10-31 13:12 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-31 13:10 74,752 --a------ C:\WINDOWS\ST6UNST.EXE
2007-10-31 13:10 16,384 --------- C:\WINDOWS\Setup1.exe
2007-10-23 17:26 <DIR> d-------- C:\Programme\MSXML 4.0
2007-10-23 17:26 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2007-10-23 05:38 <DIR> d-------- C:\Dokumente und Einstellungen\werkstatt\Anwendungsdaten\Canon
2007-10-23 05:33 <DIR> d-------- C:\Dokumente und Einstellungen\werkstatt\Anwendungsdaten\NewSoft
2007-10-22 12:15 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-10-22 12:15 15,104 --a------ C:\WINDOWS\system32\dllcache\usbscan.sys
2007-10-22 12:11 11,776 --a------ C:\WINDOWS\system32\pmsbfn32.dll
2007-10-22 12:09 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PDFView
2007-10-22 12:08 <DIR> d-------- C:\WINDOWS\system32\Color
2007-10-22 12:08 <DIR> d-------- C:\Programme\NewSoft
2007-10-22 12:06 <DIR> d-------- C:\Dokumente und Einstellungen\werkstatt\Anwendungsdaten\ScanSoft
2007-10-22 12:06 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2007-10-22 12:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2007-10-22 12:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2007-10-22 12:04 <DIR> d-------- C:\Programme\ScanSoft
2007-10-22 11:58 <DIR> d--h----- C:\WINDOWS\system32\CanonIJ Uninstaller Information
2007-10-22 11:58 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\CanonBJ
2007-10-22 11:58 197,632 --a------ C:\WINDOWS\system32\CNMLM7R.DLL
2007-10-22 11:57 <DIR> d--h----- C:\Programme\CanonBJ
2007-10-22 11:56 <DIR> d-------- C:\Programme\Canon
2007-10-22 10:17 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2007-10-22 10:17 31,616 --a------ C:\WINDOWS\system32\dllcache\usbccgp.sys
2007-10-19 16:42 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-10-19 11:49 <DIR> d-------- C:\TECDOC_CD
2007-10-10 05:19 582,656 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-09-27 05:22 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-09-22 09:54 <DIR> d-------- C:\Temp
2007-09-22 09:45 82,061 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-09-22 09:45 81,549 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-09-22 09:44 <DIR> d-------- C:\Programme\Kaspersky Lab
2007-09-22 09:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-09-22 09:44 6,780,960 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-09-22 09:44 193,824 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-09-22 09:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-31 12:27 91,844 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-10-31 12:27 19,220 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-10-26 09:22 --------- d-----w C:\Programme\AUPLUS
2007-10-22 11:10 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-22 11:05 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2007-09-03 04:54 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-04-06 23:19]
"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-04-06 23:07]
"avserve2.exe"="C:\WINDOWS\avserve2.exe" []
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 11:51]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-09-28 12:16]
"OpwareSE4"="C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" [2006-10-11 11:45]
"WrtMon.exe"="C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe" [2006-09-20 07:35]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57]
"BD"="" []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"Windows DLL host"="C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Windows DLL host"="C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
"Windows DLL host"="C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Windows DLL host"="C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\
InterVideo WinCinema Manager.lnk - C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe [2003-12-09 10:58:33]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows DLL host]
"C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

R2 AVMPORT;AVMPORT;C:\WINDOWS\system32\drivers\avmport.sys
R2 UMAXPCLS;Scannertreiber (Druckeranschluss);C:\WINDOWS\system32\DRIVERS\umaxpcls.sys
R3 AN983;ADMtek AN983/AN985/ADM951X 10/100Mbps Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\AN983.sys
R3 AVMCOWAN;AVMCOWAN;C:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys
R3 fpcibase;FRITZ!Card PCI;C:\WINDOWS\system32\DRIVERS\fpcibase.sys
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys
S3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS
S3 TOMCATWAN;T-Online DynamicISDN (WDM);C:\WINDOWS\system32\DRIVERS\WTOMCAT.SYS

.
**************************************************************************

catchme 0.3.1239 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-31 13:28:31
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-31 13:31:49 - machine was rebooted
.
--- E O F ---


HJT


Logfile of HijackThis v1.99.1
Scan saved at 13:36:20, on 31.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\werkstatt\Desktop\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://69.31.79.101/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.101/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://69.31.79.101/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://69.31.79.101/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://69.31.79.101/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mobile.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://69.31.79.101/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.couldnotfind.com/search_page.html?&account_id=134856
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://69.31.79.101/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://69.31.79.101/index.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [avserve2.exe] C:\WINDOWS\avserve2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
O4 - HKLM\..\RunServices: [Windows DLL host] "C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunServices: [Windows DLL host] "C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll (file missing)
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.fujitsu-siemens.de
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Autodata Limited License Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)


datfind


Datenträger in Laufwerk C: ist System
Volumeseriennummer: AC3F-3E9D

Verzeichnis von C:\WINDOWS\system32

31.10.2007 13:30 12.598 wpa.dbl
29.10.2007 06:06 380.350 perfh009.dat
29.10.2007 06:06 52.764 perfc009.dat
29.10.2007 06:06 391.000 perfh007.dat
29.10.2007 06:06 63.580 perfc007.dat
29.10.2007 06:06 897.778 PerfStringBackup.INI
22.10.2007 12:13 151.566 UninstIPP.isu
20.10.2007 05:17 117.360 FNTCACHE.DAT
28.09.2007 06:19 18.089.592 MRT.exe
29.08.2007 13:50 249.852 TZLog.log
21.08.2007 07:16 683.520 inetcomm.dll
20.08.2007 10:55 102.400 occache.dll
20.08.2007 10:55 232.960 webcheck.dll
20.08.2007 10:55 824.832 wininet.dll
20.08.2007 10:55 105.984 url.dll
20.08.2007 10:55 671.232 mstime.dll
20.08.2007 10:55 1.152.000 urlmon.dll
20.08.2007 10:55 193.024 msrating.dll
20.08.2007 10:55 477.696 mshtmled.dll
20.08.2007 10:55 3.584.512 mshtml.dll
20.08.2007 10:55 52.224 msfeedsbs.dll
20.08.2007 10:55 459.264 msfeeds.dll
20.08.2007 10:55 6.058.496 ieframe.dll
20.08.2007 10:55 44.544 iernonce.dll
20.08.2007 10:55 27.648 jsproxy.dll
20.08.2007 10:55 1.824.768 inetcpl.cpl
20.08.2007 10:55 267.776 iertutil.dll
20.08.2007 10:55 230.400 ieaksie.dll
20.08.2007 10:55 384.512 iedkcs32.dll
20.08.2007 10:55 383.488 ieapfltr.dll
20.08.2007 10:55 214.528 dxtrans.dll
20.08.2007 10:55 153.088 ieakeng.dll
20.08.2007 10:55 132.608 extmgr.dll
20.08.2007 10:55 63.488 icardie.dll
20.08.2007 10:55 124.928 advpack.dll
17.08.2007 11:19 63.488 ie4uinit.exe
17.08.2007 11:19 13.824 ieudinit.exe
17.08.2007 08:34 161.792 ieakui.dll
2210 Datei(en) 427.082.320 Bytes
0 Verzeichnis(se), 10.391.912.448 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: AC3F-3E9D

Verzeichnis von C:\DOKUME~1\WERKST~1\LOKALE~1\Temp

31.10.2007 13:50 108.476 datfind.txt
1 Datei(en) 108.476 Bytes
0 Verzeichnis(se), 10.391.932.928 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: AC3F-3E9D

Verzeichnis von C:\WINDOWS

31.10.2007 13:35 340 CCD32.INI
31.10.2007 13:34 705 ODBC.INI
31.10.2007 13:29 0 0.log
31.10.2007 13:28 159 wiadebug.log
31.10.2007 13:28 50 wiaservc.log
31.10.2007 13:28 1.766.078 WindowsUpdate.log
31.10.2007 13:27 2.048 bootstat.dat
31.10.2007 13:26 32.626 SchedLgU.Txt
31.10.2007 13:10 16.384 Setup1.exe
31.10.2007 13:10 1.734 ST6UNST.000
31.10.2007 13:10 74.752 ST6UNST.EXE
30.10.2007 17:16 160 ssystda.dat
29.10.2007 18:45 166.410 wmsetup.log
27.10.2007 05:26 238.821 setupact.log
26.10.2007 16:31 266.470 setupapi.log
26.10.2007 09:51 136.192 catchme.exe
23.10.2007 17:26 290.224 msxml4-KB936181-enu.LOG
23.10.2007 05:35 862 win.ini
22.10.2007 12:12 264 setup.iss
22.10.2007 12:06 408 MAXLINK.INI
20.10.2007 12:40 43.220 spupdsvc.log
20.10.2007 10:58 1.376.764 iis6.log
20.10.2007 10:58 371.940 comsetup.log
20.10.2007 10:58 224.686 ntdtcsetup.log
20.10.2007 10:58 565.878 tsoc.log
20.10.2007 10:58 61.847 tabletoc.log
20.10.2007 10:58 54.062 ocmsn.log
20.10.2007 10:58 1.393 imsins.log
20.10.2007 10:58 6.587 KB929399.log
20.10.2007 10:58 63.488 medctroc.Log
20.10.2007 10:58 212.887 netfxocm.log
20.10.2007 10:58 597.996 ocgen.log
20.10.2007 10:58 60.889 msgsocm.log
20.10.2007 10:58 1.209.729 FaxSetup.log
20.10.2007 10:58 383.842 msmqinst.log
20.10.2007 10:57 1.270 avmcoins.log
19.10.2007 16:45 1.114 wmsetup10.log
19.10.2007 16:45 1.393 imsins.BAK
19.10.2007 16:45 27.090 WMFDist11.log
19.10.2007 16:43 10.391 Wudf01000Inst.log
19.10.2007 12:24 3.580.020 OfflineCatalogue_4_2007_TECDOC_CD.log
10.10.2007 17:50 11.840 KB933729.log
10.10.2007 17:50 95.876 updspapi.log
10.10.2007 17:48 22.329 KB939653-IE7.log
10.10.2007 17:48 10.286 KB941202.log
29.08.2007 13:50 21.613 KB933360.log
16.08.2007 05:55 19.887 KB936021.log
16.08.2007 05:55 19.391 KB938828.log
16.08.2007 05:55 13.363 KB936782.log
16.08.2007 05:54 18.766 KB921503.log
16.08.2007 05:54 18.706 KB938829.log
16.08.2007 05:53 23.823 KB937143-IE7.log
16.08.2007 05:52 13.216 KB938127-IE7.log

306 Datei(en) 39.115.464 Bytes
0 Verzeichnis(se), 10.391.896.064 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: AC3F-3E9D

Verzeichnis von C:\WINDOWS\temp

31.10.2007 13:50 8.192 cch~12a9fd67c.htp
31.10.2007 13:50 8.192 cch~12a9e128d.htp
2 Datei(en) 16.384 Bytes
0 Verzeichnis(se), 10.391.916.544 Bytes frei
.
.
.
Datenträger in Laufwerk C: ist System
Volumeseriennummer: AC3F-3E9D

Verzeichnis von C:\WINDOWS\Downloaded Program Files

16.02.2005 15:15 401.408 isusweb.dll
08.04.2003 10:33 65 desktop.ini
25.07.2002 16:13 24.576 dwusplay.dll
25.07.2002 16:13 196.608 dwusplay.exe
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
14.10.1997 17:52 697 DirectAnimation Java Classes.osd
6 Datei(en) 624.516 Bytes
0 Verzeichnis(se), 10.391.916.544 Bytes frei


Und noch das HighJackThis Log nach dem Fixen

Logfile of HijackThis v1.99.1
Scan saved at 14:06:14, on 31.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\werkstatt\Desktop\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mobile.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4.0\OpwareSE4.exe"
O4 - HKLM\..\Run: [WrtMon.exe] C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtMon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.fujitsu-siemens.de
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Autodata Limited License Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)


Im Voraus vielen Dank für die Mühe
Gruß
ntv

[/u][/b]
Seitenanfang Seitenende
06.11.2007, 07:27
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

hast Du "winupd32.exe" gefixt?
[
...
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runservices]
"Windows DLL host"="C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runservices]
"Windows DLL host"="C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runservices]
"Windows DLL host"="C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"Windows DLL host"="C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"
...
]

Onlienscannen von :
C:\WINDOWS\system32\spool\drivers\w32x86\3\WrtProc.exe
und falls nicht gefixt auch die
C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe
untersuchen lassen (wobei ich denke das Ergebnis zu kennen ;o)

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Poste beide Logs mit Filenamen!

Chris
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: