C:/Windows/System32/winsvr.exe in Autostart-Gruppe mit Trojaner infiziert

#0
02.12.2007, 19:55
Member

Beiträge: 180
#1 Bei mir ist die Datei C:/Windows/System32/winsvr.exe infiziert.

Darauf gekommen bin ich, weil sich das Game ParaWorld nicht mehr richtig starten liess.
Ich habe wichtige Dateien (Anhang) dem Kochmedia Support-Team zugestellt, welches mir geantwortet hat, dass sich der oben genannte Eintrag in der Autostart-Gruppe befände und es sich hier laut Recherchen um einen Trojaner handelt.
Mit diversen Registry Tools konnte ich Fehler aufspüren, jedoch nicht entfernen.

Wie muss ich nun vorgehen?

Ich nutze die aktuelle Version von NOD32, dieser hat keinen Trojaner angezeigt...

Seitenanfang Seitenende
02.12.2007, 20:14
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !

Erstellen eines Hijackthis-Logfiles
Als erstes mach ein neuen Ordner auf C:\ z.b. C:\HijackThis,download HijackThis.exe dahin
Download: HijackThis202
Doppelklick HijackThis.exe und installiere das Tool in C:\Programme
Am Ende steht auf dein Desktop eine verknüpfung
Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus
Seitenanfang Seitenende
02.12.2007, 20:27
Member

Themenstarter

Beiträge: 180
#3 Welches Tool soll ich denn nun installieren???
Ausserdem habe ich doch bereits Logfiles veröffentlicht?

Zitat

Arnold postete
ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Wenn dein Virenscanner meckert,ignorieren !

Erstellen eines Hijackthis-Logfiles
Als erstes mach ein neuen Ordner auf C:\ z.b. C:\HijackThis,download HijackThis.exe dahin
Download: HijackThis202
Doppelklick HijackThis.exe und installiere das Tool in C:\Programme
Am Ende steht auf dein Desktop eine verknüpfung
Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Seitenanfang Seitenende
02.12.2007, 20:34
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Deine zip-datei kann ich nicht oeffnen ;)
__________
MfG Argus
Seitenanfang Seitenende
02.12.2007, 21:01
Member

Themenstarter

Beiträge: 180
#5 Dann downloade doch die neueste Version von Winzip oder Winrar, bei mir geht's.

Zitat

Arnold postete
Deine zip-datei kann ich nicht oeffnen ;)
Seitenanfang Seitenende
02.12.2007, 23:27
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Mein Virenscanner lässt keine Zip-dateien zu! lol
__________
MfG Argus
Seitenanfang Seitenende
03.12.2007, 12:36
Member

Themenstarter

Beiträge: 180
Seitenanfang Seitenende
03.12.2007, 16:50
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

C:/Windows/System32/winsvr.exe

Stand alone DrWeb
Stand alone Kaspersky
__________
MfG Argus
Seitenanfang Seitenende
04.12.2007, 18:58
Member

Themenstarter

Beiträge: 180
#9 Weshalb muss ich die verborgenen Dateien sichtbar machen?
Seitenanfang Seitenende
07.12.2007, 20:22
Member

Themenstarter

Beiträge: 180
#10 All die vorgeschlagenen Tools verwiesen nicht auf einen Virus.

Hier noch die Logfiles...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:12:36, on 07.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Comodo\BackUp\CmdBkSvc.exe
C:\Programme\LogMeIn\x86\RaMaint.exe
C:\Programme\LogMeIn\x86\LogMeIn.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\WINDOWS\system32\WinSvr.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\LogMeIn\x86\LogMeInSystray.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\SysCtl.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\mozilla.org\SeaMonkey\seamonkey.exe
C:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [WinSvr] C:\WINDOWS\system32\WinSvr.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programme\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKCU\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [FTP Drive] "C:\Programme\Cyberlab GmbH\FTP Drive\ftp drive.exe" "1"
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129277163430
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: ComodoBackupService - COMODO - C:\Programme\Comodo\BackUp\CmdBkSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Programme\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Programme\LogMeIn\x86\LogMeIn.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 6698 bytes





ComboFix 07-12-07.3 - swadmin 2007-12-07 19:58:30.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.539 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\swadmin\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\hosts
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-07 bis 2007-12-07 ))))))))))))))))))))))))))))))
.

2007-12-07 20:04 . 2007-12-07 20:04 53,248 --a------ C:\temp\rjexejkn_BšRO.dll
2007-12-01 16:06 . 2007-12-01 16:06 23 --a------ C:\WINDOWS\system32\eabc_g.ocx
2007-12-01 16:06 . 2007-12-01 16:06 23 --ahs---- C:\WINDOWS\system32\ddcddcdc5_g.dll
2007-12-01 15:55 . 2007-12-07 19:40 <DIR> d-------- C:\Programme\Registry Easy
2007-11-28 21:20 . 2007-11-30 20:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-11-28 20:53 . 2007-11-28 20:53 <DIR> d-------- C:\Dokumente und Einstellungen\swadmin\Anwendungsdaten\Uniblue
2007-11-10 21:53 . 2007-11-23 21:27 <DIR> d-------- C:\Programme\JAP
2007-11-10 21:27 . 2007-11-10 21:27 <DIR> d-------- C:\Programme\apsec
2007-11-10 21:27 . 2007-11-10 21:27 <DIR> d-------- C:\Dokumente und Einstellungen\Mario\Anwendungsdaten\apsec

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-07 06:20 --------- d-----w C:\Programme\LogMeIn
2007-11-30 20:56 219,469 ----a-w C:\WINDOWS\SeaMonkeyUninstall.exe
2007-11-30 20:56 118,784 ----a-w C:\WINDOWS\GREUninstall.exe
2007-11-28 20:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-21 11:53 --------- d-----w C:\Programme\Delphino Quick FTP
2007-11-10 20:27 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-03 16:00 --------- d-----w C:\Dokumente und Einstellungen\Mario\Anwendungsdaten\Motive
2007-10-23 18:33 --------- d-----w C:\Programme\DataTron7
2007-10-21 16:40 --------- d-----w C:\Programme\ICQ6
2007-10-21 16:40 --------- d-----w C:\Dokumente und Einstellungen\swadmin\Anwendungsdaten\ICQ
2007-10-21 16:29 --------- d-----w C:\Dokumente und Einstellungen\swadmin\Anwendungsdaten\InstallShield
2007-10-21 10:57 --------- d-----w C:\Dokumente und Einstellungen\Mario\Anwendungsdaten\InstallShield
2007-10-20 18:54 --------- d-----w C:\Dokumente und Einstellungen\swadmin\Anwendungsdaten\FrostWire
2007-10-17 15:29 --------- d-----w C:\Dokumente und Einstellungen\HP_Besitzer\Anwendungsdaten\Motive
2007-10-13 19:53 --------- d-----w C:\Programme\Java
2007-10-08 17:11 --------- d-----w C:\Dokumente und Einstellungen\swadmin\Anwendungsdaten\Comodo
2007-10-07 20:05 --------- d-----w C:\Programme\Comodo
2007-10-07 18:33 --------- d-----w C:\Dokumente und Einstellungen\swadmin\Anwendungsdaten\SpieleEntwicklungsKombinat
2005-07-03 10:33 36 ----a-w C:\Dokumente und Einstellungen\HP_Besitzer\klextlock.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 11:35]
"FTP Drive"="C:\Programme\Cyberlab GmbH\FTP Drive\ftp drive.exe" [2006-06-13 21:14]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-08-08 16:03]
"Windows Registry Repair Pro"="C:\Programme\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 10:04]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 05:00 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2005-02-24 08:32 C:\WINDOWS\system32\nwiz.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 11:01 C:\WINDOWS\AGRSMMSG.exe]
"ISUSPM Startup"="C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-06-16 06:03]
"SoundMan"="SOUNDMAN.EXE" [2005-02-21 14:49 C:\WINDOWS\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2005-02-18 14:32 C:\WINDOWS\ALCWZRD.EXE]
"WinSvr"="C:\WINDOWS\system32\WinSvr.exe" [2004-08-04 05:00]
"nod32kui"="C:\Programme\Eset\nod32kui.exe" [2007-06-28 10:34]
"LogMeIn GUI"="C:\Programme\LogMeIn\x86\LogMeInSystray.exe" [2007-04-17 13:03]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 14:18]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 18:51]
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-02-17 12:31]
"AcronisTimounterMonitor"="C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-02-17 12:35]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2007-02-16 17:49]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableClock"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSetFolders"= 0 (0x0)
"NoMultiIE"= 0 (0x0)
"LWA"= 0 (0x0)
"LWB"= 0 (0x0)
"LWC"= 0 (0x0)
"LWD"= 0 (0x0)
"LWE"= 0 (0x0)
"LWF"= 0 (0x0)
"LWG"= 0 (0x0)
"LWH"= 0 (0x0)
"LWI"= 0 (0x0)
"LWJ"= 0 (0x0)
"LWK"= 0 (0x0)
"LWL"= 0 (0x0)
"LWM"= 0 (0x0)
"LWN"= 0 (0x0)
"LWO"= 0 (0x0)
"LWP"= 0 (0x0)
"LWQ"= 0 (0x0)
"LWR"= 0 (0x0)
"LWS"= 0 (0x0)
"LWT"= 0 (0x0)
"LWU"= 0 (0x0)
"LWV"= 0 (0x0)
"LWW"= 0 (0x0)
"LWX"= 0 (0x0)
"LWY"= 0 (0x0)
"LWZ"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
LMIinit.dll 2007-11-22 08:06 87352 C:\WINDOWS\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Home Theater SchSvr]
2004-11-05 00:26 106496 --a------ C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2004-02-12 12:38 49152 --a------ c:\Programme\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
2004-11-26 13:42 1349120 --------- C:\Programme\Ahead\InCD\InCD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe -start

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LSBWatcher]
2004-10-14 15:54 253952 --a------ c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
C:\Programme\Messenger\msmsgs.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
C:\Programme\MSN Messenger\msnmsgr.exe /background

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]
2004-11-30 11:36 1945600 --------- C:\Programme\Ahead\Nero BackItUp\NBJ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
C:\Programme\QuickTime\qttask.exe -atboottime

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2005-01-02 08:24 32881 --a------ C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Weather]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WINREMOTE]
2004-11-05 01:44 192512 --a------ C:\Programme\InterVideo\Common\Bin\WinRemote.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"InCDsrvR"=2 (0x2)
"InCDsrv"=2 (0x2)
"ImapiService"=3 (0x3)
"ERSvc"=2 (0x2)

R0 snapman;Acronis Snapshots Manager;C:\WINDOWS\system32\DRIVERS\snapman.sys
R0 timounter;Acronis True Image Backup Archive Explorer;C:\WINDOWS\system32\DRIVERS\timntr.sys
R2 ComodoBackupService;ComodoBackupService;C:\Programme\Comodo\BackUp\CmdBkSvc.exe
R2 LMIInfo;LogMeIn Kernel Information Provider;\??\C:\Programme\LogMeIn\x86\RaInfo.sys
R2 LMIRfsDriver;LogMeIn Remote File System Driver;\??\C:\WINDOWS\system32\drivers\LMIRfsDriver.sys
R2 tifsfilter;Acronis True Image FS Filter;C:\WINDOWS\system32\DRIVERS\tifsfilt.sys
R3 Cap7134;ASUS TV7134 WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys
R3 LMImirr;LMImirr;C:\WINDOWS\system32\DRIVERS\LMImirr.sys
R3 PhTVTune;ASUS WDM TV Tuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys
S2 Ndiskio;Ndiskio;\??\C:\Norman\Nse\bin\NDISKIO.SYS
S3 Boonty Games;Boonty Games;"C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe"
S3 nvcfsr;nvcfsr;\??\C:\Norman\Nvc\bin\nvcfsr.sys
S3 nvcoafl51;nvcoafl51;\??\C:\Norman\Nvc\bin\nvcoafl51.sys
S3 nvcoaft51;nvcoaft51;\??\C:\Norman\Nvc\bin\nvcoaft51.sys
S3 nvcoarc51;nvcoarc51;\??\C:\Norman\Nvc\bin\nvcoarc51.sys
S3 V0090VID;Creative WebCam Vista Plus;C:\WINDOWS\system32\DRIVERS\V0090Vid.sys
S4 nvcoas;Norman Virus Control on-access component;C:\Norman\Nvc\bin\nvcoas.exe
S4 NVCScheduler;Norman Virus Control Scheduler;C:\Norman\Nvc\BIN\NVCSCHED.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{58876c96-462d-11da-be45-0011d8dbab08}]
\Shell\AutoRun\command - J:\Setup.exe
\Shell\setup\command - J:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9597a04c-3d9f-11da-be23-0011d8dbab08}]
\Shell\AutoRun\command - L:\setup.exe
\Shell\setup\command - L:\setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b38da80e-e740-11d9-9895-806d6172696f}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

*Newly Created Service* - HTTPFILTER
.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-07 20:04:17
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-07 20:06:22 - machine was rebooted
.
--- E O F ---
Seitenanfang Seitenende
07.12.2007, 20:52
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#11 Entferne auf C:\ Qoobox-->Papierkorb leeren

Start-->Ausführen kopiere rein:
sc stop "Boonty Games"
Klicke OK
Nochmal dasselbe kopiere rein:
Start-->Ausführen kopiere rein:
sc delete "Boonty Games"
Klicke OK

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei VirusTotal oder Jotti

C:\WINDOWS\system32\SysCtl.exe
C:\temp\rjexejkn_BšRO.dll
C:\WINDOWS\system32\ddcddcdc5_g.dll

Stand alone DrWeb
Stand alone Kaspersky

Was benutzt du von Comodo,Firewall?
Es sind noch reste von Norman Virus Control auf dein Rechner
__________
MfG Argus
Seitenanfang Seitenende
07.12.2007, 22:23
Member

Themenstarter

Beiträge: 180
#12 Kein Virus gefunden!

Wie kann ich die Reste entfernen und wie ist das weitere Vorgehen?
Seitenanfang Seitenende
07.12.2007, 23:01
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#13 C:\Programme\Comodo
C:\Norman

Vielleicht solltest du dich bei http://www.para-welt.de/ mit dein spielproblem
__________
MfG Argus
Seitenanfang Seitenende
08.12.2007, 11:09
Member

Themenstarter

Beiträge: 180
#14 Aha, also ganz normal entfernen...

Im ParaWorld Forum habe ich keine Hilfe erhalten, im HijackThis Forum habe ich das Logfile gepostet. Dort hiess es, ich sei bei dir bestens aufgehoben...

Was muss ich nun tun?
Seitenanfang Seitenende
08.12.2007, 11:27
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#15 Auf eine der Foren hat man den Cache vom Spiel geleert
http://www.goneflowers.de/archive/index.php/t-11089.html
__________
MfG Argus
Seitenanfang Seitenende