Bds/ciadoor.13.b

#1 Guten Tag!

Ich hab ein BDS/Ciadoor.13.B meine Firewall geht nicht mehr und ich weiß nicht wie ich den los werde . Danke im Vorraus

#2 Hi,

bitte das hier abarbeiten:
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles ((http://sicher-ins-netz.info/analyse/hjt.html)
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

chris

#3 ich hab den Log von dem ComboFix und das von hijackthis wie mach ich das mit datafind.bat ? Vielen Dank!

mfg Netron

#4 Hi,

Kopiere die erstellen 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Poste alle Logs...

chris

#5 Ah Okay So Nummer Eins das von Datafind.bat(6monate) :


07.12.2007 12:17 11.264 Thumbs.db
06.12.2007 16:27 160 del32.bat
06.12.2007 16:27 1.067.084 WoW-BurningCrusade-deDE-Installer-downloader.exe
06.12.2007 13:57 234.368 FNTCACHE.DAT
05.12.2007 16:53 13.312 BASSMOD.dll
05.12.2007 14:01 2.206 wpa.dbl
04.12.2007 01:00 136.704 swsc.exe
16.11.2007 21:40 103.736 PnkBstrB.exe
13.11.2007 10:54 70.944 PhysXLoader.dll
02.11.2007 08:12 18.238.072 MRT.exe
29.10.2007 16:07 373.760 xpsp3res.dll
28.10.2007 09:51 381.692 perfh009.dat
28.10.2007 09:51 53.436 perfc009.dat
28.10.2007 09:51 392.456 perfh007.dat
28.10.2007 09:51 64.406 perfc007.dat
28.10.2007 09:51 902.370 PerfStringBackup.INI
25.10.2007 17:42 8.501.248 shell32.dll
26.09.2007 18:05 1.040.384 ieframe.dll.mui
26.09.2007 18:05 12.288 advpack.dll.mui
06.09.2007 18:19 98.304 CmdLineExt.dll
01.09.2007 07:07 377.478 TZLog.log
22.08.2007 13:56 474.624 shlwapi.dll
22.08.2007 13:56 1.498.112 shdocvw.dll
22.08.2007 13:56 1.056.256 danim.dll
22.08.2007 13:56 1.022.976 browseui.dll
22.08.2007 13:56 152.064 cdfview.dll
21.08.2007 07:16 683.520 inetcomm.dll
20.08.2007 11:59 5.214 jupdate-1.6.0_02-b06.log
18.08.2007 21:25 66.872 PnkBstrA.exe
18.08.2007 15:22 9.394 KGyGaAvL.sys
18.08.2007 15:15 8 23DEB14D2B.sys
13.08.2007 18:54 3.578.368 mshtml.dll
13.08.2007 18:54 231.424 webcheck.dll
13.08.2007 18:54 6.049.280 ieframe.dll
13.08.2007 18:54 156.160 msls31.dll
13.08.2007 18:54 458.752 msfeeds.dll
13.08.2007 18:54 180.736 ieui.dll
13.08.2007 18:54 818.688 wininet.dll
13.08.2007 18:54 50.688 msfeedsbs.dll
13.08.2007 18:54 475.648 mshtmled.dll
13.08.2007 18:54 413.696 vbscript.dll
13.08.2007 18:54 131.584 extmgr.dll
13.08.2007 18:54 191.488 iepeers.dll
13.08.2007 18:54 27.136 jsproxy.dll
13.08.2007 18:54 1.162.240 urlmon.dll
13.08.2007 18:54 670.720 mstime.dll
13.08.2007 18:45 443.904 html.iec
13.08.2007 18:45 78.336 ieencode.dll
13.08.2007 18:45 206.336 WinFXDocObj.exe
13.08.2007 18:45 1.817.088 inetcpl.cpl
13.08.2007 18:44 105.984 url.dll
13.08.2007 18:44 192.000 msrating.dll
13.08.2007 18:44 40.960 licmgr10.dll
13.08.2007 18:44 101.376 occache.dll
13.08.2007 18:42 17.408 corpol.dll
13.08.2007 18:39 229.376 ieaksie.dll
13.08.2007 18:39 382.976 iedkcs32.dll
13.08.2007 18:39 152.064 ieakeng.dll
13.08.2007 18:39 71.680 admparse.dll
13.08.2007 18:39 55.296 iesetup.dll
13.08.2007 18:39 43.008 iernonce.dll
13.08.2007 18:39 13.312 ieudinit.exe
13.08.2007 18:39 54.784 ie4uinit.exe
13.08.2007 18:39 92.672 inseng.dll
13.08.2007 18:39 123.904 advpack.dll
13.08.2007 18:38 491.520 jscript.dll
13.08.2007 18:36 12.288 msfeedssync.exe
13.08.2007 18:36 61.952 icardie.dll
13.08.2007 18:36 44.544 pngfilt.dll
13.08.2007 18:36 36.352 imgutil.dll
13.08.2007 18:35 346.624 dxtmsft.dll
13.08.2007 18:35 214.528 dxtrans.dll
13.08.2007 18:34 266.752 iertutil.dll
13.08.2007 18:32 45.568 mshta.exe
13.08.2007 18:32 66.560 tdc.ocx
13.08.2007 18:06 56.700 ieuinit.inf
13.08.2007 18:01 48.128 mshtmler.dll
13.08.2007 17:56 161.792 ieakui.dll
13.08.2007 17:50 1.383.424 mshtml.tlb
30.07.2007 18:20 30.040 wuaucpl.cpl.mui
30.07.2007 18:20 30.040 wuapi.dll.mui
30.07.2007 18:19 1.712.984 wuaueng.dll
30.07.2007 18:19 549.720 wuapi.dll
30.07.2007 18:19 325.976 wucltui.dll
30.07.2007 18:19 216.408 wuaucpl.cpl
30.07.2007 18:19 203.096 wuweb.dll
30.07.2007 18:19 92.504 cdm.dll
30.07.2007 18:19 53.080 wuauclt.exe
30.07.2007 18:19 43.352 wups2.dll
30.07.2007 18:18 34.136 wucltui.dll.mui
30.07.2007 18:18 33.624 wups.dll
30.07.2007 18:18 20.824 wuaueng.dll.mui
23.07.2007 09:03 53.248 AgCPanelSpanish.dll
23.07.2007 09:03 489.000 PhysX.cpl
23.07.2007 09:03 53.248 AgCPanelSwedish.dll
23.07.2007 09:03 53.248 AgCPanelTraditionalChinese.dll
23.07.2007 09:03 53.248 AgCPanelJapanese.dll
23.07.2007 09:03 53.248 AgCPanelFrench.dll
23.07.2007 09:03 53.248 AgCPanelSimplifiedChinese.dll
23.07.2007 09:03 53.248 AgCPanelGerman.dll
23.07.2007 09:03 53.248 AgCPanelKorean.dll
23.07.2007 09:03 53.248 AgCPanelPortugese.dll
22.07.2007 18:39 279.552 swreg.exe
18.07.2007 13:42 60.416 tzchange.exe
12.07.2007 01:22 139.264 javaws.exe
12.07.2007 01:22 69.632 javacpl.cpl
12.07.2007 00:22 135.168 javaw.exe
12.07.2007 00:22 135.168 java.exe
11.07.2007 12:27 383.488 ieapfltr.dll
09.07.2007 14:11 584.192 rpcrt4.dll
29.06.2007 05:24 65.536 QuickTimeVR.qtx
29.06.2007 05:24 49.152 QuickTime.qts
26.06.2007 07:08 1.104.896 msxml3.dll
20.06.2007 18:52 4.254 jupdate-1.6.0_01-b06.log
19.06.2007 14:31 282.112 gdi32.dll
11.06.2007 22:51 10.834.944 wmp.dll

hijackthis :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:52:20, on 07.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\programme\steam\steam.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\WiFiConnector\NintendoWFCReg.exe
C:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\Xfire\xfire.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopOE.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_01\bin\jucheck.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Sascha\Desktop\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=5061101
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=47689
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\tbu14F\toolbaru.dll (file missing)
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\tbu14F\toolbaru.dll (file missing)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: (no name) - {6CD87D2F-4089-4300-8370-CD0357CA16D9} - C:\WINDOWS\system32\ntdsbdli.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\tbu14F\toolbaru.dll (file missing)
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Power Mixer] "C:\Programme\Power Mixer\pwmixer.exe" /m
O4 - HKCU\..\Run: [AdVantage] "C:\Programme\AdVantage\AdVantage.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DT 11Mbps WLAN USB Station.lnk = C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O4 - Global Startup: Registrierungsprogramm ausführen.lnk = C:\Programme\WiFiConnector\NintendoWFCReg.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?788f7237191a4fbf920b0cf8ffc92209
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?788f7237191a4fbf920b0cf8ffc92209
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: AVK Tuner Service - Unknown owner - C:\Programme\G DATA InternetSecurity TotalCare\AVKTuner\AVKTunerService.exe (file missing)
O23 - Service: GoogleDesktopManager - Unknown owner - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe

--
End of file - 10203 bytes

ComboFix:

ComboFix 07-12-07.3 - Sascha 2007-12-07 12:37:42.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.587 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Sascha\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2007-11-07 bis 2007-12-07 ))))))))))))))))))))))))))))))
.

2007-12-07 12:17 . 2007-12-07 12:17 11,264 --ahs---- C:\WINDOWS\system32\Thumbs.db
2007-12-06 21:39 . 1999-03-07 05:00 102,400 -ra--c--- C:\WINDOWS\OLDB4.tmp
2007-12-06 21:39 . 1999-03-07 07:33 87,952 -ra--c--- C:\WINDOWS\OLDB1.tmp
2007-12-06 20:20 . 2007-12-06 21:24 390 --a------ C:\WINDOWS\system32\drivers\fwdrv.err
2007-12-06 20:11 . 2007-12-06 20:11 <DIR> d-------- C:\Programme\Sunbelt Software
2007-12-06 16:54 . 2007-12-06 16:54 <DIR> d-------- C:\Programme\ANTI VIRUS!!!
2007-12-06 16:54 . 2007-12-06 16:54 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-12-06 16:42 . 2007-12-06 16:42 <DIR> d-------- C:\WINDOWS\system32\de-de
2007-12-06 16:40 . 2007-08-13 18:54 33,792 --a------ C:\WINDOWS\system32\dllcache\custsat.dll
2007-12-06 16:26 . 2007-12-06 16:27 160 --a------ C:\WINDOWS\system32\del32.bat
2007-12-06 16:25 . 2007-12-06 16:27 1,067,084 --a------ C:\WINDOWS\system32\WoW-BurningCrusade-deDE-Installer-downloader.exe
2007-12-05 21:25 . 2007-12-05 21:25 <DIR> d-------- C:\Programme\Blender Foundation
2007-12-05 18:07 . 2007-12-05 18:07 <DIR> d-------- C:\WINDOWS\system32\AGEIA
2007-12-05 18:07 . 2007-12-05 18:07 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-12-05 16:47 . 2007-12-05 20:10 <DIR> d-------- C:\Soldat
2007-12-05 16:47 . 2007-12-05 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\Sascha\Anwendungsdaten\Soldat
2007-12-05 14:34 . 2007-12-07 06:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2007-12-03 18:18 . 2007-12-05 13:58 <DIR> d-------- C:\OpenOfficePortable
2007-12-03 16:31 . 2007-12-05 13:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2007-11-23 18:26 . 2007-11-23 18:29 <DIR> d-------- C:\Programme\Dofus
2007-11-13 10:54 . 2007-11-13 10:54 70,944 --a------ C:\WINDOWS\system32\PhysXLoader.dll
2007-11-11 20:40 . 2007-11-11 20:40 <DIR> d-------- C:\Dokumente und Einstellungen\Sascha\Anwendungsdaten\Zylom
2007-11-11 20:40 . 2007-11-11 20:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
2007-11-11 20:40 . 2007-11-11 20:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sandlot Games
2007-11-11 15:01 . 2007-11-11 15:01 <DIR> d-------- C:\Dokumente und Einstellungen\Sascha\freecol
2007-11-11 14:32 . 2007-11-11 14:32 <DIR> d-------- C:\Programme\ReflexiveArcade
2007-11-10 12:51 . 2005-09-01 10:43 188,416 --a------ C:\WINDOWS\system32\kmw_a907.rra
2007-11-10 12:51 . 2005-09-01 10:43 122,880 --a------ C:\WINDOWS\system32\kmw_a8f6.rra
2007-11-10 12:51 . 2005-09-01 10:43 118,784 --a------ C:\WINDOWS\system32\kmw_a905.rra
2007-11-10 12:41 . 2007-11-10 12:41 <DIR> d-------- C:\Dokumente und Einstellungen\Sascha\Anwendungsdaten\Kensington
2007-11-10 12:39 . 2007-11-10 12:41 7,304 --a------ C:\WINDOWS\TMP0001.TMP
2007-11-10 12:38 . 2007-11-10 12:38 <DIR> d-------- C:\Programme\Kensington
2007-11-08 20:02 . 2007-11-10 12:54 <DIR> d-------- C:\Dokumente und Einstellungen\Sascha\Anwendungsdaten\.purple
2007-11-08 20:01 . 2007-11-08 20:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\GTK

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-07 11:43 --------- d-----w C:\Programme\Steam
2007-12-07 11:41 --------- d-----w C:\Dokumente und Einstellungen\Sascha\Anwendungsdaten\Orbit
2007-12-07 11:37 --------- d-----w C:\Dokumente und Einstellungen\Sascha\Anwendungsdaten\Skype
2007-12-06 19:28 --------- d-----w C:\Dokumente und Einstellungen\Sascha\Anwendungsdaten\Hamachi
2007-12-06 16:47 --------- d-----w C:\Programme\ICQ6
2007-12-05 16:11 --------- d-----w C:\Dokumente und Einstellungen\Sascha\Anwendungsdaten\gtk-2.0
2007-12-05 12:59 --------- d-----w C:\Programme\Microsoft Works
2007-12-04 14:36 --------- d-----w C:\Dokumente und Einstellungen\Sascha\Anwendungsdaten\teamspeak2
2007-11-30 13:57 --------- d-----w C:\Programme\Warcraft III
2007-11-30 13:00 --------- d-s---w C:\Programme\Xfire
2007-11-26 19:39 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-11-20 05:48 --------- d-----w C:\Dokumente und Einstellungen\Sascha\Anwendungsdaten\Xfire
2007-11-16 20:40 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-11-10 22:13 --------- d-----w C:\Programme\WarRock
2007-11-10 11:54 --------- d-----w C:\Dokumente und Einstellungen\Sascha\Anwendungsdaten\.purple
2007-11-10 11:38 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-06 14:23 --------- d-----w C:\Programme\GIMP-2.0
2007-11-03 13:27 --------- d-----w C:\Programme\RivaTuner v2.05
2007-11-03 11:27 --------- d-----w C:\Programme\Orbitdownloader
2007-10-28 15:28 --------- d-----w C:\Programme\Gemeinsame Dateien\DirectX
2007-10-28 13:06 --------- d-----w C:\Dokumente und Einstellungen\Sascha\Anwendungsdaten\uTorrent
2007-10-27 12:14 --------- d-----w C:\Programme\GUILD WARS
2007-10-16 16:47 --------- d-----w C:\Programme\Gemeinsame Dateien\AVSMedia
2007-10-16 16:47 --------- d-----w C:\Programme\AVSMedia
2007-10-16 15:52 --------- d-----w C:\Programme\CounterBase
2006-11-07 13:55 0 ----a-w C:\Dokumente und Einstellungen\Sascha\Anwendungsdaten\wklnhst.dat
2007-08-18 14:15 8 --sh--r C:\WINDOWS\system32\23DEB14D2B.sys
2006-11-08 19:33 88 --sh--r C:\WINDOWS\system32\3F93A78DEF.sys
2007-08-18 14:22 9,394 -csha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6CD87D2F-4089-4300-8370-CD0357CA16D9}]
2007-05-31 17:51 11863 --a------ C:\WINDOWS\system32\ntdsbdli.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" []
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-10 15:00]
"Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-05-31 17:51]
"Steam"="c:\programme\steam\steam.exe" [2007-11-30 14:00]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-08-06 11:43]
"Power Mixer"="C:\Programme\Power Mixer\pwmixer.exe" []
"AdVantage"="C:\Programme\AdVantage\AdVantage.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 15:01]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-03-10 09:20]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-03-10 09:16]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-10-14 14:50]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43]
"ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-06-10 11:44]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-06-10 11:44]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-09-08 06:20]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-03-10 09:16]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-06-01 15:51]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 05:24]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Generic Host Process"="C:\WINDOWS\system32\scvhost.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-10 15:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

R1 fwdrv;Firewall Driver;C:\WINDOWS\system32\drivers\fwdrv.sys
R1 khips;Kerio HIPS Driver;C:\WINDOWS\system32\drivers\khips.sys
R2 SPF4;Sunbelt Personal Firewall 4;"C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe"
R3 TS111_USB;T-Sinus 111data Driver;C:\WINDOWS\system32\DRIVERS\TS111USB.sys
S3 AVK Tuner Service;AVK Tuner Service;C:\Programme\G DATA InternetSecurity TotalCare\AVKTuner\AVKTunerService.exe
S3 RivaTuner32;RivaTuner32;\??\C:\Programme\RivaTuner v2.05\RivaTuner32.sys
S3 w32n5323;w32n5323 Protocol Driver;\??\C:\PROGRA~1\DT\DT11MB~1\INSTAL~1\WINXP\w32n5323.SYS

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\Installer.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-12-01 21:17:06 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2007-12-07 11:44:00 C:\WINDOWS\Tasks\Check Updates for Windows Live Toolbar.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-07 12:43:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-07 12:45:16 - machine was rebooted
.
--- E O F ---

#6 Hi,

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\ntdsbdli.dll
C:\WINDOWS\system32\swsc.exe
E:\Installer.exe
c:\windows\system32\nwprovau.dll

Poste das Ergebnis mit Filename!

Was hat combofix von sich gegeben?

chris

#7 Hi

Sorry kenn mich nicht so aus!

Wie meinst du das mit Filename?

hab ich das von Combofis vergessen? oder wie meinste das?

was soll ich mit dem Virustotal machen? (Die infizierte datei rein oder?)

mfg Netron

#8 Hi,

öffne die Seite von Virustotal und kopiere nacheinander die Filenamen (mit Pfad, so wie ich sie Dir angegeben habe) rein und lasse sie prüfen!
Poste dann das Ergebnis mit Filename...
(Zumindest die scvhost.exe müsste erkannt werden..)
Danach machen wir dann ein Avengerscript oder lassen einen scanner der die sachen erkennt mal los...

chris

#9 C:\WINDOWS\system32\scvhost.exe = (Beim Hochladen)0 bytes size received / Se ha recibido un archivo vacio


C:\WINDOWS\system32\ntdsbdli.dll =

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.7.1 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 ADSPY/Stud.A.43
Authentium 4.93.8 2007.12.06 -
Avast 4.7.1098.0 2007.12.06 Win32:Trojano-3384
AVG 7.5.0.503 2007.12.07 Adware Generic2.AMI
BitDefender 7.2 2007.12.07 Adware.Stud.Y
CAT-QuickHeal 9.00 2007.12.07 AdWare.Stud.a (Not a Virus)
ClamAV 0.91.2 2007.12.07 Trojan.BHO-83
DrWeb 4.44.0.09170 2007.12.07 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5359 2007.12.07 -
Ewido 4.0 2007.12.07 Adware.Stud
FileAdvisor 1 2007.12.07 -
Fortinet 3.14.0.0 2007.12.07 -
F-Prot 4.4.2.54 2007.12.06 W32/Adware.KBB
F-Secure 6.70.13030.0 2007.12.07 -
Ikarus T3.1.1.12 2007.12.07 not-a-virus:AdWare.Win32.Stud.d
Kaspersky 7.0.0.125 2007.12.07 not-a-virus:AdWare.Win32.Stud.a
McAfee 5179 2007.12.06 -
Microsoft 1.3007 2007.12.07 Trojan:Win32/Webprefix
NOD32v2 2709 2007.12.07 a variant of Win32/Adware.BHO.AA
Norman 5.80.02 2007.12.07 W32/Stud.AE
Panda 9.0.0.4 2007.12.06 -
Prevx1 V2 2007.12.07 Malware.Gen
Rising 20.21.42.00 2007.12.07 AdWare.Win32.Stud.a
Sophos 4.24.0 2007.12.07 MapKon
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.07 Adware.Webprefix
TheHacker 6.2.9.152 2007.12.07 Adware/Stud.a
VBA32 3.12.2.5 2007.12.05 suspected of Trojan-Downloader.Agent.47
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.07 Ad-Spyware.Stud.A.43

C:\WINDOWS\system32\swsc.exe =

AhnLab-V3 2007.12.7.1 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.06 -
Avast 4.7.1098.0 2007.12.06 -
AVG 7.5.0.503 2007.12.07 -
BitDefender 7.2 2007.12.07 -
CAT-QuickHeal 9.00 2007.12.07 -
ClamAV 0.91.2 2007.12.07 -
DrWeb 4.44.0.09170 2007.12.07 -
eSafe 7.0.15.0 2007.12.06 suspicious Trojan/Worm
eTrust-Vet 31.3.5359 2007.12.07 -
Ewido 4.0 2007.12.07 -
FileAdvisor 1 2007.12.07 -
Fortinet 3.14.0.0 2007.12.07 -
F-Prot 4.4.2.54 2007.12.06 -
F-Secure 6.70.13030.0 2007.12.07 -
Ikarus T3.1.1.12 2007.12.07 -
Kaspersky 7.0.0.125 2007.12.07 -
McAfee 5179 2007.12.06 -
Microsoft 1.3007 2007.12.07 -
NOD32v2 2709 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.06 -
Prevx1 V2 2007.12.07 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.07 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.07 -
TheHacker 6.2.9.152 2007.12.07 -
VBA32 3.12.2.5 2007.12.05 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.07 -


E:\Installer.exe = 0 bytes size received / Se ha recibido un archivo vacio


c:\windows\system32\nwprovau.dll =

Antivirus Version Last Update Result
AhnLab-V3 2007.12.4.0 2007.12.03 -
AntiVir 7.6.0.34 2007.12.03 -
Authentium 4.93.8 2007.12.03 -
Avast 4.7.1074.0 2007.12.03 -
AVG 7.5.0.503 2007.12.02 -
BitDefender 7.2 2007.12.03 -
CAT-QuickHeal 9.00 2007.12.03 -
ClamAV 0.91.2 2007.12.03 -
DrWeb 4.44.0.09170 2007.12.03 -
eSafe 7.0.15.0 2007.12.03 -
eTrust-Vet 31.3.5340 2007.11.30 -
Ewido 4.0 2007.12.03 -
FileAdvisor 1 2007.12.03 -
Fortinet 3.14.0.0 2007.12.03 -
F-Prot 4.4.2.54 2007.12.02 -
F-Secure 6.70.13030.0 2007.12.03 -
Ikarus T3.1.1.12 2007.12.03 -
Kaspersky 7.0.0.125 2007.12.03 -
McAfee 5176 2007.12.03 -
Microsoft 1.3007 2007.12.03 -
NOD32v2 2699 2007.12.03 -
Norman 5.80.02 2007.12.03 -
Panda 9.0.0.4 2007.12.03 -
Prevx1 V2 2007.12.03 -
Rising 20.21.02.00 2007.12.03 -
Sophos 4.23.0 2007.12.03 -
Sunbelt 2.2.907.0 2007.12.01 -
Symantec 10 2007.12.03 -
TheHacker 6.2.9.148 2007.12.03 -
VBA32 3.12.2.5 2007.12.03 -
VirusBuster 4.3.26:9 2007.12.03 -
Webwasher-Gateway 6.6.2 2007.12.03 -

#10 Hi,

erster Teil:
Also:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

registry keys to delete:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E14DCE67-8FB7-4721-8149-179BAA4D792C}

Files to delete:
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\ntdsbdli.dll
C:\WINDOWS\system32\swsc.exe
E:\Installer.exe
C:\WINDOWS\system32\del32.bat

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten



Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat

O2 - BHO: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\tbu14F\toolbaru.dll (file missing)
O2 - BHO: (no name) - {6CD87D2F-4089-4300-8370-CD0357CA16D9} - C:\WINDOWS\system32\ntdsbdli.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe

Danach neu Booten und neues HJ-Log ....
Chris

#11 Hi!

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:49:56, on 07.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\programme\steam\steam.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\Programme\WiFiConnector\NintendoWFCReg.exe
C:\Programme\Orbitdownloader\orbitnet.exe
C:\Programme\Xfire\xfire.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Sascha\Desktop\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=5061101
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=47689
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\tbu14F\toolbaru.dll (file missing)
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\tbu14F\toolbaru.dll (file missing)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Power Mixer] "C:\Programme\Power Mixer\pwmixer.exe" /m
O4 - HKCU\..\Run: [AdVantage] "C:\Programme\AdVantage\AdVantage.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Programme\Hamachi\hamachi.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: DT 11Mbps WLAN USB Station.lnk = C:\Programme\DT\DT 11Mbps Wireless USB Device\Installer\WINXP\DTUSBMonitor.exe
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O4 - Global Startup: Registrierungsprogramm ausführen.lnk = C:\Programme\WiFiConnector\NintendoWFCReg.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?788f7237191a4fbf920b0cf8ffc92209
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?788f7237191a4fbf920b0cf8ffc92209
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: AVK Tuner Service - Unknown owner - C:\Programme\G DATA InternetSecurity TotalCare\AVKTuner\AVKTunerService.exe (file missing)
O23 - Service: GoogleDesktopManager - Unknown owner - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe

--
End of file - 9667 bytes

#12 Hi,

hat Avenger oder HJ beim Fixen einen Fehler gemeldet...?

So, jetzt wird es etwas komplizierter...
Wir beseitigen jetzt die Reste...

Gehe in die Registry...

Start->Ausführen --> regedit

Navigiere zu dem Schlüssel:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)
DisableRegistryTools = "dword:00000001" --> auf 0 (oder den ganzen Schluessel loeschen)

HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD
(Ohne den Schlüssel Policies)

Wenn Du jetzt im rechten Fenster einen Wert namens DisableCMD findest, lösche ihn. Spätestens nach einem Neustart sollte die Eingabeaufforderung wieder verfügbar sein

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

scvhost

in edit und klicke "Ok".
Notepad wird sich öffnen - poste, was angezeigt wird

"Enter search strings" (reinschreiben oder reinkopieren)

Generic Host Process

in edit und klicke "Ok".
Notepad wird sich öffnen - poste, was angezeigt wird

Chris

Ps.u solltest dann Keriko und Avira neu installieren!

#13 Hey Chris danke erstmal für deine Mühen!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

Dieser Ordner enthält keine datei!?!

#14 Hi,

Okay, wie sieht es bei den anderen aus?
Speziell dem Suche dem der Keys...

chris

#15 Bei dem HKEY_CURRENT_USER\Software\Microsoft\Windows\System\DisableCMD gibts
kein DisableCMD nur CurrentControlSet