Virus - total !

#76 Hallo Sabina !

Nett das du wieder da bist.
Ich habe dir mal alles gepostet, ich bin am Donnerstag Abend wieder zurück, einen kleinen Kurzurlaub habe ich mir nun wirklich verdient, ich hoffe das wir dann den Rechner wieder richt sauber bekommen, ist deiner Meinung die Festplatte zu klein , weil das Lexware - Buchhaltungsprogramm viel Platz einnimmt, wäre es vielleicht vom Vorteil eine Externe zu besorgen ?

Bis dahin alles Gute aus Berlin
Gruss Suzi

#77 r123s

Bei viel Musik usw.. ist eine externe Platte zum Abspeichern immer von Vorteil
---------------------
1.
loesche erst mal alles von BearShare...
C:\Dokumente und Einstellungen\SUZAN SHALABI\Eigene Dateien\BearShareV6de.exe

2
Combofix

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.

Zitat

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\P2P Networking]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KAZAA]

Driver::
xaurrfew.sys
gjebhpfr.sys

File::
C:\WINDOWS\system32\drivers\xaurrfew.sys
C:\WINDOWS\system32\drivers\gjebhpfr.sys

Folder::
C:\Programme\Kazaa
C:\Programme\MediaSupplyCodec
C:\Programme\HbTools

mit der rechten Maustaste auf das Symbol von Combofix ziehen
wende combofix noch mal an - tippe 1 - Poste dann das log, was erscheint

----------------------------------------------------------------------
3.
wende smitfraudfix an (kann im Normalmodus sein)
http://www.virus-protect.org/artikel/tools/smitfraudfix.html

4.
CCleaner anwenden
http://www.virus-protect.org/ccleaner.html

5.
poste dieses Log
http://www.virus-protect.org/registry_stuff.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#78 ComboFix 08-01-07.5 - SUZAN SHALABI 2008-01-10 21:42:56.9 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.629 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\SUZAN SHALABI\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\SUZAN SHALABI\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE
C:\WINDOWS\system32\drivers\gjebhpfr.sys
C:\WINDOWS\system32\drivers\xaurrfew.sys
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\MediaSupplyCodec
C:\Programme\MediaSupplyCodec\cnsqtkrrfv.exe
C:\Programme\MediaSupplyCodec\imex.bat
C:\Programme\MediaSupplyCodec\install.ico
C:\Programme\MediaSupplyCodec\MediaSupplyCodec.ocx

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-10 bis 2008-01-10 ))))))))))))))))))))))))))))))
.

2008-01-10 21:25 . 2008-01-10 21:25 <DIR> d-------- C:\WINDOWS\LastGood
2008-01-07 20:53 . 2008-01-10 21:45 213,024 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-07 20:53 . 2008-01-07 21:14 1,820 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-07 17:12 . 2008-01-10 21:32 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-07 17:12 . 2008-01-07 20:53 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-06 13:47 . 2008-01-06 13:47 <DIR> d-------- C:\2bd2932915fca7b132838576
2007-12-30 18:02 . 2008-01-06 13:10 <DIR> d-------- C:\Programme\Bingo RM to MP3 Wave Converter
2007-12-30 17:58 . 2008-01-06 13:12 <DIR> d-------- C:\Programme\RM to MP3 Converter
2007-12-29 13:14 . 2008-01-06 13:10 <DIR> d-------- C:\Programme\Blacky3
2007-12-28 21:08 . 2008-01-06 13:10 <DIR> d-------- C:\Programme\Bingo RM MP3 to Audio CD Maker
2007-12-28 21:01 . 2008-01-06 13:14 <DIR> d-------- C:\Programme\Speedy RM to MP3 Converter
2007-12-28 20:49 . 2007-12-28 21:04 <DIR> d-------- C:\Programme\Real Alternative
2007-12-28 20:36 . 2007-12-28 20:37 <DIR> d-------- C:\Programme\Acoustica MP3 CD Burner
2007-12-28 20:36 . 2007-12-28 20:36 <DIR> d-------- C:\Dokumente und Einstellungen\SUZAN SHALABI\Anwendungsdaten\Acoustica
2007-12-28 20:36 . 2002-11-05 15:16 57,344 --a------ C:\WINDOWS\system32\Wnaspint.dll
2007-12-26 11:28 . 2007-12-26 11:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\NCH Swift Sound
2007-12-26 11:22 . 2007-12-26 11:22 <DIR> d-------- C:\Dokumente und Einstellungen\SUZAN SHALABI\Anwendungsdaten\NCH Swift Sound
2007-12-26 11:14 . 2008-01-06 13:14 <DIR> d-------- C:\Programme\NCH Swift Sound
2007-12-24 10:22 . 2008-01-07 13:56 230,432 --a------ C:\PA207.DAT
2007-12-21 08:46 . 2007-12-21 08:46 <DIR> d-------- C:\WINDOWS\PixArt
2007-12-21 08:46 . 2007-12-21 08:46 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PAC207
2007-12-21 08:46 . 2006-11-03 10:59 48,128 --a------ C:\WINDOWS\system32\Remove.exe
2007-12-21 08:46 . 2007-01-04 01:20 314 --a------ C:\WINDOWS\system32\Remover.ini
2007-12-21 08:44 . 2007-12-21 08:46 <DIR> d-------- C:\Programme\Trust
2007-12-21 08:43 . 2007-12-21 08:46 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2007-12-19 13:11 . 1998-10-29 16:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2007-12-19 13:07 . 2007-12-19 13:08 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2007-12-19 13:03 . 2007-12-19 13:25 113,952 --a------ C:\WINDOWS\hpoins07.dat
2007-12-19 13:03 . 2005-05-24 07:50 21,124 --------- C:\WINDOWS\hpomdl07.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-06 17:20 --------- d-----w C:\Programme\microsoft frontpage
2008-01-04 14:55 --------- d-----w C:\Dokumente und Einstellungen\SUZAN SHALABI\Anwendungsdaten\AdobeUM
2007-12-30 09:27 --------- d-----w C:\Programme\TuneUp Utilities 2007
2007-12-23 08:31 --------- d-----w C:\Programme\Gemeinsame Dateien\Lexware
2007-12-23 08:24 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-19 12:15 --------- d-----w C:\Programme\Hewlett-Packard
2007-12-19 12:00 --------- d-----w C:\Dokumente und Einstellungen\SUZAN SHALABI\Anwendungsdaten\Skype
2007-11-29 13:46 --------- d-----w C:\Programme\goop
2007-11-29 13:46 --------- d-----w C:\Programme\eMule
2007-11-22 17:26 --------- d-----w C:\Programme\Windows Live Toolbar
2007-11-21 16:50 --------- d-----w C:\Programme\Avira
2007-11-21 16:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-11-20 17:10 --------- dcsh--w C:\Programme\Gemeinsame Dateien\WindowsLiveInstaller
2007-11-20 17:10 --------- d-----w C:\Programme\Windows Live
2007-11-20 17:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-12 15:32 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2007-11-12 15:13 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2006-06-30 10:26 774,144 ----a-w C:\Programme\RngInterstitial.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-10 03:06 7311360]
"Monitor"="C:\WINDOWS\PixArt\PAC207\Monitor.exe" [2006-11-03 11:01 319488]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-12-28 21:24 185896]
"LexwareInfoService"="C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe" [2007-09-25 13:59 532776]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-09-10 11:52 77824]
"AVP"="C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_07.01.2008_21-47[1].exe" [2007-10-12 15:29 212992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Lexware Info Service.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Lexware Info Service.lnk
backup=C:\WINDOWS\pss\Lexware Info Service.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AltnetPointsManager]
--a------ 2006-07-19 16:01 336896 C:\Program Files\Altnet\Points Manager\Points Manager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
--a------ 2007-11-30 11:07 249896 C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient]
-ra------ 2006-02-23 00:04 1499136 C:\Programme\avmwlanstick\wlangui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-04 13:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FLMOFFICE4DMOUSE]
--a------ 2006-03-28 11:23 958464 C:\Programme\Labtec\Desktop\V5.1\moffice.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-05-11 22:12 49152 C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]
--a------ 2004-08-04 13:00 208952 C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelAudioStudio]
--a------ 2005-04-08 19:37 7081984 C:\Programme\Intel Audio Studio\IntelAudioStudio.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2007-10-18 11:34 5724184 C:\Programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSPY2002]
--a------ 2004-08-04 13:00 59392 C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 09:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2005-12-10 03:06 7311360 C:\WINDOWS\system32\NvCpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2005-12-10 03:06 86016 C:\WINDOWS\system32\NvMcTray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2005-12-10 03:06 1519616 C:\WINDOWS\system32\nwiz.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OFFICEKB]
--a------ 2006-03-28 11:23 387584 C:\Programme\Labtec\Desktop\V5.1\kbdap32a.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2004-08-04 13:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2004-08-04 13:00 455168 C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-09-10 11:52 77824 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SemanticInsight]
C:\Programme\RXToolBar\Semantic Insight\SemanticInsight.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
C:\Programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2005-06-03 03:52 36975 C:\Programme\Java\jre1.5.0_04\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\tbon]
--a------ 2006-07-01 21:00 83456 C:\Programme\TBONBin\tbon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2006-12-28 21:24 185896 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ZoneAlarm Client]
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

R2 Pctspk;PCTEL Speaker Phone;C:\WINDOWS\system32\pctspk.exe [2001-08-18 03:55]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00]
R3 PAC207;Trust WB-1400T Webcam;C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2007-05-14 10:26]
R3 Ptserlp;PCTEL Serial Device Driver for PCI;C:\WINDOWS\system32\DRIVERS\ptserlp.sys [2001-08-17 12:28]
S0 sexjdqpf;sexjdqpf;C:\WINDOWS\system32\drivers\xaurrfew.sys []
S0 tfgaqmyf;tfgaqmyf;C:\WINDOWS\system32\drivers\gjebhpfr.sys []
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-04-18 15:15]
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-02-23 00:04]
S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" [2007-09-07 03:17]
S3 phil2vid;Philips VGA-Kamera (USB);C:\WINDOWS\system32\DRIVERS\philcam2.sys [2001-08-17 13:04]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2a3c3cb4-03af-11db-bfa3-00132061f2e3}]
\Shell\AutoRun\command - F:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{429b9829-02eb-11db-bf9f-00132061f2e3}]
\Shell\AutoRun\command - F:\preinst.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-10-29 14:38:32 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
"2008-01-10 20:40:02 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-10 21:45:34
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
"ImagePath"="\"C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_07.01.2008_21-47
[1].exe\" -r"

.
Zeit der Fertigstellung: 2008-01-10 21:46:41
ComboFix-quarantined-files.txt 2008-01-10 20:46:36
ComboFix2.txt 2008-01-07 19:36:07
.
2008-01-06 17:14:57 --- E O F ---

#79 boote in den abgesicherten modus

suche: + lösche :

C:\WINDOWS\system32\drivers\xaurrfew.sys
C:\WINDOWS\system32\drivers\gjebhpfr.sys

dann wende Combofix noch mal an, damit ich sehe, ob die 2 sys gelöscht sind.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#80 die beiden sys dateien sind nicht aufzufinden.
- etwas probleme mit Nr. 3 und 5. Arbeitsschritt.

#81 1.
Start -- Ausfuehren --- cmd

reinkopieren (in das schwarze DOS-Fenster):

Zitat

dir C:\WINDOWS\system32\drivers\xaurrfew.sys /a h /s > files.txt
notepad files.txt

poste, was erscheint

------

2.
Start -- Ausführen -- cmd
DOS öffnet sich

kopiere rein:

Zitat

dir C:\WINDOWS\system32\drivers\xaurrfew.sys /a h > files.txt
notepad files.txt

der Texteditor wird sich öffnen (kopiere alles ab und poste es hier)

----------
3.
Den folgenden Text in den Editor kopieren und als fix.bat auf dem Desktop speichern:

Zitat

sc delete gjebhpfr
sc delete xaurrfew
attrib -s - h - r C:\WINDOWS\system32\drivers\xaurrfew.sys
attrib -s - h - r C:\WINDOWS\system32\drivers\gjebhpfr.sys
del xaurrfew
del gjebhpfr
dellater C:\WINDOWS\system32\drivers\xaurrfew.sys
dellater C:\WINDOWS\system32\drivers\gjebhpfr.sys

In den abgesicherten Modus starten.(F8 druecken, wenn der PC startet)

Die fix.bat Datei auf dem Desktop doppelklicken.

____________

4.
dann brauche ich ein neues log von Combofix, um zu sehen, ob die sys geloscht sind.

-
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#82 Es taucht immer folgende Meldung auf:
xaurrfew.sys ist entweder falsch geschrieben oder wird nicht gefunden.

#83 Alle sys Dateien scheinen nicht da zu sein.
Ich habe unter Suchen und unter regedit suchen nicht finden können.

#84 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\system32\drivers" >>files.txt
notepad files.txt

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#85 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 50DC-CABF

Verzeichnis von C:\WINDOWS\system32\drivers

10.01.2008 22:02 <DIR> .
10.01.2008 22:02 <DIR> ..
04.08.2004 13:00 53.248 1394bus.sys
04.08.2004 13:00 188.800 acpi.sys
04.08.2004 13:00 12.160 acpiec.sys
15.02.2006 01:22 142.464 aec.sys
04.08.2004 13:00 138.496 afd.sys
04.08.2004 13:00 41.088 amdk6.sys
04.08.2004 13:00 41.472 amdk7.sys
04.08.2004 13:00 60.800 arp1394.sys
04.08.2004 13:00 14.336 asyncmac.sys
03.08.2004 22:59 95.360 atapi.sys
04.08.2004 13:00 59.904 atmarpc.sys
04.08.2004 13:00 31.360 atmepvc.sys
04.08.2004 13:00 55.936 atmlane.sys
04.08.2004 13:00 352.256 atmuni.sys
17.08.2001 13:59 3.072 audstub.sys
09.08.2007 13:04 40.768 avgntdd.sys
18.07.2007 14:22 21.312 avgntmgr.sys
30.11.2007 11:07 61.632 avipbb.sys
18.04.2005 15:15 15.104 avmunet.sys
04.08.2004 13:00 4.224 beep.sys
04.08.2004 13:00 71.552 bridge.sys
10.04.2001 15:16 13.184 bsaspi32.sys
04.08.2004 13:00 13.952 cbidf2k.sys
03.08.2004 22:10 17.024 CCDECODE.sys
04.08.2004 13:00 18.688 cdaudio.sys
04.08.2004 13:00 63.744 cdfs.sys
08.03.2004 11:55 13.567 CDRBSDRV.SYS
05.07.2000 01:16 9.688 cdrbsvsd.sys
04.08.2004 13:00 49.536 cdrom.sys
04.08.2004 13:00 262.528 cinemst2.sys
04.08.2004 13:00 49.664 classpnp.sys
04.08.2004 13:00 11.776 cpqdap01.sys
04.08.2004 13:00 40.576 crusoe.sys
17.02.2006 22:55 <DIR> disdn
04.08.2004 13:00 36.352 disk.sys
04.08.2004 13:00 14.208 diskdump.sys
04.08.2004 13:00 800.384 dmboot.sys
04.08.2004 13:00 154.112 dmio.sys
04.08.2004 13:00 5.888 dmload.sys
03.08.2004 23:07 52.864 DMusic.sys
03.08.2004 23:08 60.288 drmk.sys
03.08.2004 23:07 2.944 drmkaud.sys
04.08.2004 13:00 10.496 dxapi.sys
04.08.2004 13:00 71.040 dxg.sys
04.08.2004 13:00 3.328 dxgthk.sys
01.04.2005 01:04 180.736 e1e5132.sys
14.12.2004 16:55 9.472 EIO.sys
17.08.2001 13:46 6.400 enum1394.sys
12.11.2007 13:18 <DIR> etc
04.08.2004 13:00 143.360 fastfat.sys
04.08.2004 13:00 27.392 fdc.sys
04.08.2004 13:00 35.072 fips.sys
04.08.2004 13:00 20.480 flpydisk.sys
21.08.2006 10:14 128.896 fltmgr.sys
04.08.2004 13:00 12.288 fsvga.sys
04.08.2004 13:00 7.936 fs_rec.sys
04.08.2004 13:00 126.336 ftdisk.sys
23.02.2006 00:04 264.704 fwlanusb.sys
23.02.2006 00:04 97.312 Fwusb1b.bin
04.08.2004 13:00 3.440.660 gm.dls
04.08.2004 13:00 646 gmreadme.txt
12.08.2004 17:45 137.728 Hdaudbus.sys
12.08.2004 17:45 113.664 Hdaudio.sys
04.08.2004 13:00 36.224 hidclass.sys
04.08.2004 13:00 24.960 hidparse.sys
04.08.2004 13:00 9.600 hidusb.sys
08.03.2005 05:43 51.120 HPZid412.sys
08.03.2005 05:43 16.496 HPZipr12.sys
08.03.2005 05:43 21.744 HPZius12.sys
17.03.2006 01:33 262.784 http.sys
04.08.2004 13:00 53.248 i8042prt.sys
02.03.2004 15:37 5.504 imagedrv.sys
02.03.2004 15:37 125.184 imagesrv.sys
04.08.2004 13:00 41.856 imapi.sys
04.08.2004 13:00 40.192 intelppm.sys
04.08.2004 13:00 29.056 ip6fw.sys
04.08.2004 13:00 32.896 ipfltdrv.sys
04.08.2004 13:00 20.992 ipinip.sys
29.09.2004 23:28 134.912 ipnat.sys
04.08.2004 13:00 74.752 ipsec.sys
04.08.2004 13:00 11.264 irenum.sys
18.08.2001 04:18 36.224 isapnp.sys
04.08.2004 13:00 25.216 kbdclass.sys
04.08.2004 00:46 14.848 kbdhid.sys
05.07.2007 13:34 134.160 klif.sys
14.06.2006 09:47 172.416 kmixer.sys
03.08.2004 23:15 140.928 ks.sys
04.08.2004 13:00 92.032 ksecdd.sys
04.08.2004 13:00 7.680 mcd.sys
04.08.2004 13:00 63.744 mf.sys
04.08.2004 13:00 4.224 mnmdd.sys
04.08.2004 13:00 30.336 modem.sys
04.08.2004 13:00 23.552 mouclass.sys
04.08.2004 13:00 12.288 mouhid.sys
04.08.2004 13:00 42.240 mountmgr.sys
04.08.2004 13:00 181.248 mrxdav.sys
05.05.2006 10:41 453.120 mrxsmb.sys
04.08.2004 13:00 19.072 msfs.sys
04.08.2004 13:00 35.072 msgpc.sys
03.08.2004 22:58 7.552 MSKSSRV.sys
03.08.2004 22:58 5.376 MSPCLOCK.sys
03.08.2004 22:58 4.992 MSPQM.sys
04.08.2004 13:00 15.488 mssmbios.sys
03.08.2004 21:58 5.504 MSTEE.sys
04.08.2004 13:00 107.904 mup.sys
03.08.2004 22:10 85.376 NABTSFEC.sys
04.08.2004 13:00 182.912 ndis.sys
03.08.2004 22:10 10.880 NdisIP.sys
04.08.2004 13:00 9.600 ndistapi.sys
04.08.2004 13:00 12.928 ndisuio.sys
04.08.2004 13:00 91.776 ndiswan.sys
04.08.2004 13:00 38.016 ndproxy.sys
04.08.2004 13:00 34.560 netbios.sys
04.08.2004 13:00 162.816 netbt.sys
04.08.2004 13:00 61.824 nic1394.sys
04.08.2004 13:00 12.032 nikedrv.sys
04.08.2004 13:00 40.320 nmnt.sys
04.08.2004 13:00 30.848 npfs.sys
09.02.2007 12:10 574.464 ntfs.sys
04.08.2004 13:00 2.944 null.sys
10.12.2005 03:06 3.536.768 nv4_mini.sys
04.08.2004 13:00 12.416 nwlnkflt.sys
04.08.2004 13:00 32.512 nwlnkfwd.sys
04.08.2004 13:00 88.448 nwlnkipx.sys
04.08.2004 13:00 63.232 nwlnknb.sys
04.08.2004 13:00 55.936 nwlnkspx.sys
04.08.2004 13:00 61.056 ohci1394.sys
04.08.2004 13:00 3.456 oprghdlr.sys
04.08.2004 13:00 46.592 p3.sys
04.08.2004 13:00 80.384 parport.sys
04.08.2004 13:00 18.688 partmgr.sys
04.08.2004 13:00 7.040 parvdm.sys
04.08.2004 00:37 68.224 pci.sys
18.08.2001 04:30 3.328 pciide.sys
03.08.2004 22:59 25.088 pciidex.sys
04.08.2004 13:00 120.320 pcmcia.sys
14.05.2007 10:26 508.288 PFC027.SYS
17.08.2001 13:04 173.696 philcam2.sys
16.03.2004 11:58 136.960 portcls.sys
04.08.2004 13:00 39.424 processr.sys
04.08.2004 13:00 69.120 psched.sys
04.08.2004 13:00 17.792 ptilink.sys
17.08.2001 12:28 112.574 ptserlp.sys
04.08.2004 13:00 8.832 rasacd.sys
04.08.2004 13:00 51.328 rasl2tp.sys
04.08.2004 13:00 41.472 raspppoe.sys
04.08.2004 13:00 48.384 raspptp.sys
04.08.2004 13:00 16.512 raspti.sys
04.08.2004 13:00 34.432 rawwan.sys
05.05.2006 10:47 174.592 rdbss.sys
04.08.2004 13:00 4.224 rdpcdd.sys
03.08.2004 23:01 196.864 rdpdr.sys
10.06.2005 05:10 139.528 rdpwd.sys
04.08.2004 00:40 57.600 redbook.sys
04.08.2004 13:00 12.032 rio8drv.sys
04.08.2004 13:00 12.032 riodrv.sys
13.07.2006 09:48 202.240 rmcast.sys
04.08.2004 13:00 30.080 rndismp.sys
04.08.2004 13:00 5.888 rootmdm.sys
04.08.2004 13:00 96.256 scsiport.sys
04.08.2004 13:00 67.584 sdbus.sys
13.11.2007 11:25 20.480 secdrv.sys
04.08.2004 13:00 15.488 serenum.sys
04.08.2004 13:00 65.920 serial.sys
04.08.2004 13:00 11.136 sffdisk.sys
04.08.2004 13:00 10.240 sffp_sd.sys
04.08.2004 13:00 11.392 sfloppy.sys
04.04.2005 16:01 35.712 sfng32.sys
03.08.2004 22:10 11.136 SLIP.sys
04.08.2004 13:00 14.592 smclib.sys
04.08.2004 13:00 25.472 sonydcam.sys
14.06.2006 09:47 6.400 splitter.sys
04.08.2004 13:00 73.472 sr.sys
14.08.2006 11:34 332.928 srv.sys
01.03.2007 10:34 28.352 ssmdrv.sys
29.03.2005 20:47 52.416 ssm_bus.sys
29.03.2005 20:47 6.112 ssm_cm.sys
29.03.2005 20:47 6.112 ssm_cmnt.sys
29.03.2005 20:47 6.096 ssm_mdfl.sys
29.03.2005 20:48 84.512 ssm_mdm.sys
29.03.2005 20:48 5.776 ssm_wh.sys
29.03.2005 20:48 5.776 ssm_whnt.sys
03.08.2004 23:08 48.640 stream.sys
03.08.2004 22:10 15.360 StreamIP.sys
04.08.2004 13:00 4.352 swenum.sys
17.08.2001 14:00 54.272 swmidi.sys
03.08.2004 23:15 60.800 sysaudio.sys
04.08.2004 13:00 14.976 tape.sys
30.10.2007 18:20 360.064 tcpip.sys
16.08.2006 10:37 225.664 tcpip6.sys
04.08.2004 13:00 18.560 tdi.sys
04.08.2004 13:00 12.040 tdpipe.sys
04.08.2004 13:00 21.896 tdtcp.sys
04.08.2004 00:58 40.840 termdd.sys
04.08.2004 13:00 51.712 tosdvd.sys
04.08.2004 13:00 21.376 tsbvcap.sys
04.08.2004 13:00 12.416 tunmp.sys
04.08.2004 13:00 66.176 udfs.sys
28.12.2006 10:56 <DIR> UMDF
23.04.2007 11:32 364.160 update.sys
04.08.2004 13:00 12.672 usb8023.sys
03.08.2004 22:07 59.264 usbaudio.sys
04.08.2004 13:00 23.808 usbcamd.sys
04.08.2004 13:00 23.936 usbcamd2.sys
03.08.2004 23:08 31.616 usbccgp.sys
04.08.2004 13:00 4.736 usbd.sys
03.08.2004 23:08 26.624 usbehci.sys
03.08.2004 23:08 57.600 usbhub.sys
04.08.2004 13:00 16.000 usbintel.sys
03.08.2004 23:08 142.976 usbport.sys
03.08.2004 22:01 25.856 usbprint.sys
03.08.2004 21:58 15.104 usbscan.sys
03.08.2004 22:08 26.496 USBSTOR.SYS
03.08.2004 23:08 20.480 usbuhci.sys
04.08.2004 13:00 58.112 vdmindvd.sys
04.08.2004 13:00 20.992 vga.sys
04.08.2004 13:00 79.744 videoprt.sys
17.08.2001 12:28 604.253 vmodem.sys
04.08.2004 13:00 53.760 volsnap.sys
17.08.2001 12:28 397.502 vpctcom.sys
17.08.2001 12:28 64.605 vvoice.sys
04.08.2004 13:00 34.560 wanarp.sys
14.06.2006 10:00 82.944 wdmaud.sys
04.08.2004 13:00 4.352 wmilib.sys
18.10.2006 20:00 38.528 wpdusb.sys
04.08.2004 13:00 12.032 ws2ifsl.sys
03.08.2004 22:10 19.328 WSTCODEC.SYS
28.09.2006 18:55 77.568 WudfPf.sys
28.09.2006 19:00 82.944 WudfRd.sys
226 Datei(en) 22.835.991 Bytes
5 Verzeichnis(se), 188.340.924.416 Bytes frei

#86 ««
http://www.virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

xaurrfew

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

gjebhpfr

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

--------------------------------------------------------------------------

»»
scanne und berichte, ob was gefunden wurde
http://www.freewarefiles.com/program_9_90_22524.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#87 Ein Kumpel hat einiges bei mir aufgeräumt,
ich sende Dir mal den letzten Stand beim Hochfahren schreibt er das einige Sachen beschädigt sind

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:19:34, on 21.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_07.01.2008_21-47[1].exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_07.01.2008_21-47[1].exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Windows Live Toolbar\msn_sl.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_07.01.2008_21-47[1].exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?8a2b2848eaca4216b2237966fce29887
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?8a2b2848eaca4216b2237966fce29887
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: setup_7.0.0.180_07.01.2008_21-47[1] - Kaspersky Lab - C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_07.01.2008_21-47[1].exe

--
End of file - 5285 bytes

Gruss Susan

#88 was ist beschädigt ?

gib ein unter Start - Ausführen -

sfc /scanonce

Überprüft alle geschützten Systemdateien einmal beim nächsten Neustart
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#89 sfc /scanonce
passiert garnichts.
Beim Hochfahren erscheinen folgende Fenster.

winlogon.exe beschädigt beim wegklicken
dateien müssen in DLL-cage kopiert werden.
4extended$ OJJ ID: nicht lesbar. qttask.exe