Spyware Secure mit spybot entfernt, immer noch ständige Pop-Ups + HijackThis

Thema ist geschlossen!
Thema ist geschlossen!
#0
28.11.2007, 11:05
...neu hier

Beiträge: 7
#1 Guten Morgen!

Hatte dummerweise versucht Spyware Secure zu installieren.
Daanach hatte ich einige Probleme. CPU bis 100% . Programme blieben hängen etc. Mit Spybot einige Fehler behoben. Registry Optimierer laufen lassen.Mit AntiVir 5 versteckte Programme gefunden und gelöscht. Autostart Programme vermindert. PC arbeitet
wieder, jedoch immer noch elende Werbeseiten und auch Spyware Secure meldet sich moit gefälschten Windows Warnungen noch.

Anbei das HiJack This File:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:53:21, on 28.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\XP\System32\smss.exe
C:\WINDOWS\XP\system32\winlogon.exe
C:\WINDOWS\XP\system32\services.exe
C:\WINDOWS\XP\system32\lsass.exe
C:\WINDOWS\XP\system32\svchost.exe
C:\WINDOWS\XP\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\XP\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\XP\system32\HPZipm12.exe
C:\WINDOWS\XP\System32\svchost.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\WINDOWS\XP\system32\MsPMSPSv.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\XP\explorer.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\Norton Internet Security\ATRACK.EXE
C:\Programme\FRITZ!DSL\StCenter.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Outlook Express\msimn.exe
C:\PROGRA~1\WinZip\winzip32.exe
C:\DOKUME~1\theo\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: Shell=explorer.exe
F3 - REG:win.ini: run=
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [NAV Agent] REM C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [TkBellExe] REM "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] REM "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [HP Software Update] REM C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TerraTec Scheduler] REM C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
O4 - HKLM\..\Run: [RemoteControl] REM "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] REM C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LGODDFU] REM C:\Programme\lg_fwupdate\fwupdate.exe
O4 - HKLM\..\Run: [SAFEHOME HotKeys] REM "D:\Safe\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [NeroCheck] REM C:\WINDOWS\XP\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] REM Mixer.exe /startup
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] REM C:\WINDOWS\XP\System32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [SimpleScreenshot] REM C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE
O4 - HKCU\..\Run: [Norton Auto Protect] REM C:\Programme\Norton AntiVirus\NAVAPSVC.EXE
O4 - HKCU\..\Run: [Instant Sound Off] REM "C:\Programme\Tools&More\Instant Sound Off\Instant Sound Off.exe" /AUTOSTART
O4 - HKCU\..\Run: [SpybotSD TeaTimer] REM C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PowerBar] REM "C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [MySpaceIM] REM C:\Programme\MySpace\IM\MySpaceIM.exe
O4 - HKCU\..\Run: [MSMSGS] REM "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\XP\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\XP\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\XP\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\XP\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe (User 'Default user')
O4 - .DEFAULT Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\XP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\XP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\xp\system32\nwprovau.dll
O16 - DPF: {1B9935E4-8A50-4DD8-BD09-A7518723BF97} (Talisma NetAgent Customer ActiveX Control version 3) - http://etalk.epson.de/netagent/objects/custappx3.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} -
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123956337257
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4820/mcfscan.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\XP\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\XP\system32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

--
End of file - 9433 bytes
Seitenanfang Seitenende
28.11.2007, 11:49
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

bitte den Rest noch abarbeiten:
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles ((http://sicher-ins-netz.info/analyse/hjt.html)
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

chris
Seitenanfang Seitenende
28.11.2007, 12:54
...neu hier

Themenstarter

Beiträge: 7
#3 Hi Chris4You,

Vielen Dank für die Hilfe.
Ich hoffe es richtig gemacht zu haben .
Es folgen die gewünschten Files.

HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:45:41, on 28.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\XP\System32\smss.exe
C:\WINDOWS\XP\system32\winlogon.exe
C:\WINDOWS\XP\system32\services.exe
C:\WINDOWS\XP\system32\lsass.exe
C:\WINDOWS\XP\system32\svchost.exe
C:\WINDOWS\XP\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\XP\system32\spoolsv.exe
C:\Programme\Norton Internet Security\IAMAPP.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\XP\system32\HPZipm12.exe
C:\WINDOWS\XP\System32\svchost.exe
C:\Programme\Norton Internet Security\SymProxySvc.exe
C:\WINDOWS\XP\system32\MsPMSPSv.exe
C:\Programme\Norton Internet Security\NISSERV.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\Norton Internet Security\ATRACK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\XP\explorer.exe
C:\WINDOWS\XP\system32\notepad.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - D:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [iamapp] C:\Programme\Norton Internet Security\IAMAPP.EXE
O4 - HKLM\..\Run: [NAV Agent] REM C:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [TkBellExe] REM "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] REM "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] REM "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [HP Software Update] REM C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [TerraTec Scheduler] REM C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
O4 - HKLM\..\Run: [RemoteControl] REM "C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [InCD] REM C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [LGODDFU] REM C:\Programme\lg_fwupdate\fwupdate.exe
O4 - HKLM\..\Run: [SAFEHOME HotKeys] REM "D:\Safe\SteganosHotKeyService.exe"
O4 - HKLM\..\Run: [NeroCheck] REM C:\WINDOWS\XP\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [C-Media Mixer] REM Mixer.exe /startup
O4 - HKLM\..\Run: [M-Audio Taskbar Icon] REM C:\WINDOWS\XP\System32\M-AudioTaskBarIcon.exe
O4 - HKLM\..\Run: [SimpleScreenshot] REM C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE
O4 - HKCU\..\Run: [Norton Auto Protect] REM C:\Programme\Norton AntiVirus\NAVAPSVC.EXE
O4 - HKCU\..\Run: [Instant Sound Off] REM "C:\Programme\Tools&More\Instant Sound Off\Instant Sound Off.exe" /AUTOSTART
O4 - HKCU\..\Run: [SpybotSD TeaTimer] REM C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [PowerBar] REM "C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" /AtBootTime
O4 - HKCU\..\Run: [MySpaceIM] REM C:\Programme\MySpace\IM\MySpaceIM.exe
O4 - HKCU\..\Run: [MSMSGS] REM "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\XP\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\XP\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\XP\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\XP\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe (User 'SYSTEM')
O4 - S-1-5-18 Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe (User 'Default user')
O4 - .DEFAULT Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe (User 'Default user')
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\XP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\XP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\xp\system32\nwprovau.dll
O16 - DPF: {1B9935E4-8A50-4DD8-BD09-A7518723BF97} (Talisma NetAgent Customer ActiveX Control version 3) - http://etalk.epson.de/netagent/objects/custappx3.cab
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} -
O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://www.slide.com/uploader/SlideImageUploader.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123956337257
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4820/mcfscan.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\XP\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Service (NISSERV) - Symantec Corporation - C:\Programme\Norton Internet Security\NISSERV.EXE
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\XP\system32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Norton Internet Security Proxy Service (SymProxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\SymProxySvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

--
End of file - 9348 bytes

Combofix:

ComboFix 07-11-19.4B - theo 2007-11-28 12:33:27.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.78 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\theo\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\Dokumente und Einstellungen\theo\Lokale Einstellungen\Anwendungsdaten\qdoylwaepb.dat
C:\Dokumente und Einstellungen\theo\Lokale Einstellungen\Anwendungsdaten\qdoylwaepb.exe
c:\Dokumente und Einstellungen\theo\Lokale Einstellungen\Anwendungsdaten\qdoylwaepb_nav.dat
c:\Dokumente und Einstellungen\theo\Lokale Einstellungen\Anwendungsdaten\qdoylwaepb_navps.dat

.
((((((((((((((((((((((( Dateien erstellt von 2007-10-28 bis 2007-11-28 ))))))))))))))))))))))))))))))
.

2007-11-26 22:54 <DIR> d-------- C:\WINDOWS\XP\SxsCaPendDel
2007-11-25 16:02 348,160 -ra------ C:\WINDOWS\XP\system\msvcr71.dll
2007-11-25 15:43 582,656 -----c--- C:\WINDOWS\XP\system32\dllcache\rpcrt4.dll
2007-11-25 15:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Logitech
2007-11-25 15:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\LogiShrd
2007-11-25 13:00 <DIR> d-------- C:\Programme\M-Audio
2007-11-25 13:00 302,336 --a------ C:\WINDOWS\XP\system32\drivers\delta.sys
2007-11-25 12:44 1,216,512 --------- C:\WINDOWS\XP\mixer.exe
2007-11-25 12:44 1,216,512 -ra------ C:\WINDOWS\XP\Mixer.dat
2007-11-25 12:44 794,624 -ra------ C:\WINDOWS\XP\system32\Audio3D.dll
2007-11-25 12:44 765,952 -ra------ C:\WINDOWS\XP\system\crlds3d.dll
2007-11-25 12:44 280,782 -ra------ C:\WINDOWS\XP\system32\drivers\cmaudio.sys
2007-11-25 12:44 184,320 -ra------ C:\WINDOWS\XP\W2KSetup.exe
2007-11-25 12:44 122,880 -ra------ C:\WINDOWS\XP\cmuninst.exe
2007-11-25 12:44 28,672 -ra------ C:\WINDOWS\XP\system32\cmnprop.dll
2007-11-25 12:41 <DIR> d-------- C:\Programme\PCI Audio Applications
2007-11-25 12:41 194,320 --a------ C:\WINDOWS\XP\system32\qcut.dll
2007-11-25 12:41 73,728 --------- C:\WINDOWS\XP\system\CMedia.dll
2007-11-25 12:39 5,824 --a------ C:\WINDOWS\XP\system32\drivers\ASUSHWIO.SYS
2007-11-18 22:52 34,136 --a------ C:\WINDOWS\XP\system32\wucltui.dll.mui
2007-11-18 22:52 30,040 --a------ C:\WINDOWS\XP\system32\wuaucpl.cpl.mui
2007-11-18 22:52 30,040 --a------ C:\WINDOWS\XP\system32\wuapi.dll.mui
2007-11-18 22:52 20,824 --a------ C:\WINDOWS\XP\system32\wuaueng.dll.mui
2007-11-16 12:44 <DIR> d--h----- C:\WINDOWS\XP\$hf_mig$
2007-11-13 16:58 <DIR> d-------- C:\Programme\MySpace
2007-11-13 16:58 <DIR> d-------- C:\Dokumente und Einstellungen\theo\Anwendungsdaten\MySpace
2007-10-30 18:00 86,016 --a------ C:\WINDOWS\XP\unvise32.exe
2007-10-30 17:40 <DIR> d-------- C:\Programme\Audacity

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-28 10:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-11-28 10:43 --------- d-----w C:\Programme\Norton Internet Security
2007-11-28 10:41 --------- d-----w C:\Dokumente und Einstellungen\theo\Anwendungsdaten\FRITZ!
2007-11-27 21:12 --------- d-----w C:\Programme\eMule
2007-11-27 19:38 --------- d-----w C:\Programme\Logic Audio Platinum 5.30
2007-11-27 13:26 --------- d-----w C:\Programme\OnlineShop5
2007-11-27 13:21 --------- d-----w C:\Dokumente und Einstellungen\theo\Anwendungsdaten\1&1
2007-11-26 14:44 --------- d-----w C:\Programme\Tools&More
2007-11-26 14:07 --------- d-----w C:\Programme\vanBasco's Karaoke Player
2007-11-26 09:45 --------- d-----w C:\Programme\lg_fwupdate
2007-11-25 21:35 --------- d-----w C:\Programme\AceBIT
2007-11-25 18:03 --------- d-----w C:\Dokumente und Einstellungen\theo\Anwendungsdaten\Skype
2007-11-25 14:54 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-25 11:46 98,304 ----a-w C:\WINDOWS\XP\IsUninst.exe
2007-11-25 11:41 4,608 ----a-w C:\WINDOWS\XP\system32\w95inf32.dll
2007-11-25 11:01 --------- d-----w C:\Programme\No23 Recorder
2007-10-30 11:37 --------- d-----w C:\Programme\HP
2007-10-25 13:17 --------- d-----w C:\Programme\etiCAT
2007-10-25 09:10 --------- d-----w C:\Programme\Olaf Lembke
2007-10-25 08:39 --------- d-----w C:\Programme\Herma Etiketten Assistent 3.0
2007-10-25 08:39 --------- d-----w C:\Dokumente und Einstellungen\theo\Anwendungsdaten\HERMA
2007-10-25 08:33 74,752 ----a-w C:\WINDOWS\XP\ST6UNST.EXE
2007-10-25 08:33 253,952 ------w C:\WINDOWS\XP\Setup1.exe
2007-10-22 18:29 --------- d-----w C:\Programme\Terminer
2007-10-16 21:51 --------- d-----w C:\Programme\Winamp
2007-10-15 12:51 --------- d-----w C:\Dokumente und Einstellungen\theo\Anwendungsdaten\Winamp
2007-10-15 08:20 --------- d-----w C:\Programme\CoffeeCup Software
2007-10-13 08:08 --------- d-----w C:\Dokumente und Einstellungen\theo\Anwendungsdaten\AceBIT
2007-10-12 21:01 --------- d-----w C:\Programme\profiSUBMIT
2007-10-10 15:52 --------- d-----w C:\Programme\Ahead
2007-10-10 15:49 --------- d-----w C:\Programme\Gemeinsame Dateien\HP
2007-10-10 15:43 --------- d-----w C:\Programme\DivX
2007-10-10 14:41 --------- d-----w C:\Dokumente und Einstellungen\theo\Anwendungsdaten\Anvil Studio
2007-10-10 13:08 400,720 ----a-w C:\Programme\doublekiller.zip
2007-10-10 09:55 --------- d-----w C:\Programme\Diashow pro
2007-10-10 09:45 --------- d-----w C:\Programme\SSS
2007-10-10 09:45 --------- d-----w C:\Programme\Pro Tracks
2007-10-10 09:30 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-10-03 08:05 --------- d-----w C:\Dokumente und Einstellungen\theo\Anwendungsdaten\Freeware Shop
2007-10-02 17:19 --------- d-----w C:\Programme\Convar
2007-07-07 05:07 812,544 ----a-w C:\Programme\DoubleKiller.exe
2007-06-25 16:42 121,324 ----a-w C:\Dokumente und Einstellungen\theo\ffdshow.reg
2007-02-04 23:10 27,481,712 ----a-w C:\Programme\bitdefender_isecurity_v10.exe
2006-12-13 09:40 13 ---h--w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ÝÃěÒ3113›.sys
2006-06-22 14:54 10,117,864 ----a-w C:\Programme\antivir_workstation_win7u_de_h_131.exe
2006-06-13 18:31 2,995,566 ----a-w C:\Programme\dbripburn.exe
2006-06-13 17:46 2,000,324 ----a-w C:\Programme\cdex_151.exe
2006-06-13 17:43 124,568 ----a-w C:\Programme\Download_x-cd-ripper.exe
2006-06-10 16:14 4,677,596 ----a-w C:\Programme\eMule0.47a-Installer.exe
2006-05-30 10:39 414,774 ----a-w C:\Programme\ssshot.zip
2006-05-19 15:56 706,691 ----a-w C:\Programme\wecker220_setup.exe
2006-05-19 09:32 27,745,446 ----a-w C:\Programme\JahshakaSetupV2_0.exe
2006-05-18 09:17 2,652,875 ----a-w C:\Programme\instant-sound-off-setup.exe
2006-05-05 11:22 7,190,889 ----a-w C:\Programme\sdvdc.exe
2006-04-23 17:29 9,109,584 ----a-w C:\Programme\TU2006TrialDE.exe
2006-04-23 14:55 574,841 ----a-w C:\Programme\screenshot-utility.exe
2006-04-23 12:31 76,288 ----a-w C:\Programme\AnIcon32.dll
2006-04-23 12:31 21,984 ----a-w C:\Programme\Readme.rtf
2006-04-23 12:30 732,160 ----a-w C:\Programme\anote.exe
2006-03-26 20:05 301,184 ----a-w C:\Programme\remover.exe
2006-03-26 20:03 11,817,800 ----a-w C:\Programme\GoogleEarthSetup.exe
2006-03-07 12:12 5,037,072 ----a-w C:\Programme\spybotsd14.exe
2005-08-10 10:00 3,120,584 ----a-w C:\Programme\ps_radio1521.exe
2005-08-10 09:42 3,427,535 ----a-w C:\Programme\5centsms-setup.exe
2005-03-29 13:59 897 ----a-w C:\Programme\setup.ini
2005-03-29 10:31 456 ----a-w C:\Programme\layout.bin
2005-03-29 10:31 405,649 ----a-w C:\Programme\setup.boot
2005-03-29 10:31 40,850 ----a-w C:\Programme\data1.hdr
2005-03-29 10:31 190,546 ----a-w C:\Programme\setup.inx
2005-03-18 14:37 25 ----a-w C:\Programme\setup-s.bat
2004-10-29 21:09 539 ----a-w C:\Programme\setup.iss
2004-10-01 13:00 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
2002-12-05 13:16 418,296 ----a-w C:\Programme\engine32.cab
2002-12-02 14:33 107,512 ----a-w C:\Programme\setup.exe
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\XP\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\XP\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Norton Auto Protect"="REM C:\Programme\Norton AntiVirus\NAVAPSVC.EXE" []
"Instant Sound Off"="REM C:\Programme\Tools&More\Instant Sound Off\Instant Sound Off.exe" []
"SpybotSD TeaTimer"="REM C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" []
"swg"="C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2007-02-14 19:34]
"PowerBar"="REM C:\Programme\CyberLink DVD Solution\Multimedia Launcher\PowerBar.exe" []
"MySpaceIM"="REM C:\Programme\MySpace\IM\MySpaceIM.exe" []
"MSMSGS"="REM C:\Programme\Messenger\msmsgs.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iamapp"="C:\Programme\Norton Internet Security\IAMAPP.EXE" [2001-11-14 16:53]
"NAV Agent"="REM C:\PROGRA~1\NORTON~1\navapw32.exe" []
"TkBellExe"="REM C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 11:20]
"QuickTime Task"="REM C:\Programme\QuickTime\qttask.exe" []
"Sony Ericsson PC Suite"="REM C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" []
"HP Software Update"="REM C:\Programme\HP\HP Software Update\HPWuSchd2.exe" []
"TerraTec Scheduler"="REM C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe" []
"RemoteControl"="REM C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" []
"InCD"="REM C:\Programme\Ahead\InCD\InCD.exe" []
"LGODDFU"="REM C:\Programme\lg_fwupdate\fwupdate.exe" []
"SAFEHOME HotKeys"="REM D:\Safe\SteganosHotKeyService.exe" []
"NeroCheck"="REM C:\WINDOWS\XP\system32\\NeroCheck.exe" []
"C-Media Mixer"="REM Mixer.exe" []
"M-Audio Taskbar Icon"="REM C:\WINDOWS\XP\System32\M-AudioTaskBarIcon.exe" []
"SimpleScreenshot"="REM C:\PROGRA~1\SSS\SIMPLESCREENSHOT.EXE" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\XP\System32\CTFMON.EXE" [2004-08-04 08:57]
"MySpaceIM"="C:\Programme\MySpace\IM\MySpaceIM.exe" [2007-08-14 01:04]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" []

C:\Dokumente und Einstellungen\theo\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe [2005-08-09 21:26:59]
FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe [2005-08-09 21:26:59]

C:\Dokumente und Einstellungen\theo\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe [2005-08-09 21:26:59]
FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe [2005-08-09 21:26:59]

C:\Dokumente und Einstellungen\theo\Startmen\Programme\Autostart\
FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe [2005-08-09 21:26:59]
FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe [2005-08-09 21:26:59]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 04:21:22]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 nwprovau

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"FreeMEM"=REM D:\Programme\FreeMEM\FreeMEM.exe /Autorun
"StartNote"=REM "C:\Programme\anote.exe" /startnote /piano

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SiSSetCDfmt"=C:\WINDOWS\XP\System32\SetCDfmt.exe
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"TerraTec Scheduler"=C:\PROGRA~1\GEMEIN~1\TerraTec\SCHEDU~1\TTTimer.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"C-Media Mixer"=REM Mixer.exe /startup
"Spyware Stormer"=REM C:\Programme\Spyware Stormer\SpywareStormer.Exe
"UserFaultCheck"=REM %systemroot%\system32\dumprep 0 -u
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k

R0 avgntmgr;avgntmgr;C:\WINDOWS\XP\system32\drivers\avgntmgr.sys
R1 Asapi;Asapi;C:\WINDOWS\XP\system32\drivers\Asapi.sys
R1 avgntdd;avgntdd;C:\WINDOWS\XP\system32\DRIVERS\avgntdd.sys
R1 SLEE_15_DRIVER;Steganos Live Encryption Engine 15 [Driver];\??\C:\WINDOWS\XP\system32\drivers\Sleen15.sys
R2 BT848;TerraTV WDM Video Capture;C:\WINDOWS\XP\system32\drivers\BT848.SYS
R2 BTTUNER;TerraTV Tuner;C:\WINDOWS\XP\system32\drivers\BTTUNER.SYS
R2 BTXBAR;TerraTV WDM Crossbar;C:\WINDOWS\XP\system32\drivers\BTXBAR.SYS
R2 NISSERV;Norton Internet Security Service;C:\Programme\Norton Internet Security\NISSERV.EXE
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\XP\System32\svchost.exe -k netsvcs
R3 3dfxvs;3dfxvs;C:\WINDOWS\XP\system32\DRIVERS\3dfxvsm.sys
R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\XP\system32\DRIVERS\avmunet.sys
R3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\XP\system32\drivers\sis7012.sys
S3 CEUSBAUD;DigiTech USB MIDI Driver;C:\WINDOWS\XP\system32\Drivers\CEUSBAUD.sys
S3 ess;ESS Audiotreiber (WDM);C:\WINDOWS\XP\system32\drivers\ess.sys
S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);C:\WINDOWS\XP\system32\DRIVERS\SE2Ebus.sys
S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;C:\WINDOWS\XP\system32\DRIVERS\SE2Emdfl.sys
S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;C:\WINDOWS\XP\system32\DRIVERS\SE2Emdm.sys
S3 SE2Emgmt;Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM);C:\WINDOWS\XP\system32\DRIVERS\SE2Emgmt.sys
S3 se2End5;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (NDIS);C:\WINDOWS\XP\system32\DRIVERS\se2End5.sys
S3 SE2Eobex;Sony Ericsson Device 046 USB WMC OBEX Interface;C:\WINDOWS\XP\system32\DRIVERS\SE2Eobex.sys
S3 se2Eunic;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (WDM);C:\WINDOWS\XP\system32\DRIVERS\se2Eunic.sys

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{db268500-581f-11da-a5d6-93e19865f464}]
\Shell\AutoRun\command - F:\preinst.exe

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2007-11-27 13:32:22 C:\WINDOWS\XP\Tasks\Norton AntiVirus - Meinen Computer prüfen.job"
- C:\PROGRA~1\NORTON~1\NAVW32.exeG/task:C:\DOKUME~1\ALLUSE~1\ANWEND~1\Symantec\NORTON~1\Tasks\mycomp.sca
"2007-11-28 08:30:33 C:\WINDOWS\XP\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-28 12:37:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-28 12:38:46
.
--- E O F ---
Datafind:

Verzeichnis von C:\WINDOWS\XP\system32

26.11.2007 22:49 336.916 perfh009.dat
26.11.2007 22:49 51.260 perfc009.dat
26.11.2007 22:49 346.728 perfh007.dat
26.11.2007 22:49 61.978 perfc007.dat
26.11.2007 14:28 1.852 d3d9caps.dat
25.11.2007 12:42 16.832 amcompat.tlb
25.11.2007 12:42 23.392 nscompat.tlb
25.11.2007 12:41 2.272 w95inf16.dll
25.11.2007 12:41 4.608 w95inf32.dll
25.11.2007 00:21 2.206 wpa.dbl
19.11.2007 09:18 110.992 FNTCACHE.DAT
28.10.2007 14:34 938.224 PerfStringBackup.INI
18.10.2007 18:58 13 WinSys32.crc
12.10.2007 17:58 203.976 RICHTX32.OCX
27.09.2007 22:19 18.089.592 MRT.exe

Viele Grüße

The
Seitenanfang Seitenende
28.11.2007, 14:16
Member
Avatar Chris4You

Beiträge: 694
#4 Hi,

wie wäre es damit:
http://www.spywaredb.com/remove-spyware-stormer/

Ich nehme an, das REM kommt von Dir ;o)...

Zur Sicherheit scanne noch mit Dr. Web:
Anleitung von Arni:
http://board.protecus.de/t29350.htm

chris
Seitenanfang Seitenende
28.11.2007, 16:41
...neu hier

Themenstarter

Beiträge: 7
#5 Hi Chris,
der spyware stormer war gar nicht zu finden, dafür aber der spyware secure im IE. Mit REM meinst DU wohl die verhinderten Autostarts. Dann war ich das.
Jetzt bekomme ich Windows nicht mehr runtergefahren , nachdem ich den cureit im abgesicherten Modus hab laufen lassen.
Beim Wiederumstellen zu normalem Systemstart wurde behauptet ich hätte nicht die Rechte dazu.
was tun?
Vielen Dank
The
Seitenanfang Seitenende
28.11.2007, 17:38
Member
Avatar Chris4You

Beiträge: 694
#6 Hi,

hat Cureit was entfernt?
Wenn ja was war es und stelle es wieder aus der Quarantäne her!

Doch, er war da:
"Spyware Stormer"=REM C:\Programme\Spyware Stormer\SpywareStormer.Exe

Das ist mir noch nicht untergekommen, das der abgesicherte Modus geht, aber der "normale" nicht mehr. Viren machen es immer umgekehrt, verhindern den Zugang zum abgesicherten Modus.

Gibt er eine Meldung aus, wo er hängen bleibt?

Gruß,
chris
Seitenanfang Seitenende
28.11.2007, 19:10
...neu hier

Themenstarter

Beiträge: 7
#7 Hi,
der cureit war noch nicht ganz durchgelaufen.
Doch der Stormer war noch da. Hab die exe gelöscht.
Nachdem ich das Gastbenutzerkonto aktiviert habe fährt er jetzt auch wieder runter.
Die CPU ist jetzt bei 3-14%.
Sieht schon sehr gut aus.
Will mal sehen ob die Pop Ups weg sind.
Nochmals,Vielen Dank.
Das hat schon sehr geholfen.
LG
The
Seitenanfang Seitenende
28.11.2007, 19:32
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Entferne auf C:\ Qoobox-->Papierkorb leeren

CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /u OK

Du benutzt 2 Virenscanner einer zuviel !

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} –

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst
__________
MfG Argus
Seitenanfang Seitenende
28.11.2007, 19:48
...neu hier

Themenstarter

Beiträge: 7
#9 Hi Arnold,
das mit dem combifix funktioniert nicht.
Hatte Combifix in eine Ordner verstaut.
welches av Programm sollte ich denn deaktivieren?
LG
The
Dieser Beitrag wurde am 28.11.2007 um 20:02 Uhr von The editiert.
Seitenanfang Seitenende
28.11.2007, 20:03
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Antivir ist kostenfrei und fuer Norton Internet Security zahlts du?


Fuers naechste mal,wenn in eine Anleitung stet "Desktop" dann bitte auch auf den Desktop speichern ;)
__________
MfG Argus
Seitenanfang Seitenende
28.11.2007, 21:01
...neu hier

Themenstarter

Beiträge: 7
#11 Es war ja auf dem Desktop.
Nach Gebrauch wollte ich es verstauen.
Und gibt es da ein Lösung?
LG
the
Seitenanfang Seitenende
28.11.2007, 21:15
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 Verstauen?
Fast jeden Tag kommt ein Update von CF nach gebrauch also wieder entfernen
__________
MfG Argus
Seitenanfang Seitenende
30.11.2007, 14:53
...neu hier

Themenstarter

Beiträge: 7
#13 Hallo Chris4You und Arnold,

Danke für eure Hilfe!
Alles läuft bestens.
Der Rechner ist schneller als je zuvor.

Viele Grüße aus Berlin
The
Seitenanfang Seitenende