Bitte um Hijack-Auswertung - Spyware Doctor entfernt Malware nicht

#0
01.01.2008, 14:58
Member

Beiträge: 26
#1 Liebe Forum-Mitglieder,

die Software "Spyware Doctor" identifiziert bei mir Infektionen, schafft es aber nicht, diese dauerhaft zu löschen.

Zur Zeit ist mein Rechner infiziert mit Trojan-PWS.Tanspy (stiehlt Passwörter) & Trojan Generic (Allg. Trojanerkomponente). Eine Säuberung im abgesicherten Modus mit "SmitfraufFix" und "Spybot - Search and Destroy" habe ich bereits gemacht, sowie ein Scan mit ComboFix.

Hier mein Hijackthis Log - danke schon mal:

===
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:57:29, on 01.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Olympus\DeviceDetector\DM1Service.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\WEBDE\SmartSurfer3.0\SmurfService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\avmclient\bluefritz.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\avmclient\AvmObex.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;
192.168.178.1;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NoteBurner] C:\Programme\NoteBurner\VTBurnerGUI.exe /silence
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Device Detector 2.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {6F74F92E-8DD8-4DDE-8FB8-CBB882A68048} (Microsoft Office XP Professional Step by Step Interactive) - file://C:\Programme\Microsoft Interactive Training\O10C\mitm0026.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0C2F6D4-0813-48C5-A43B-B19064B2DF02}: NameServer = 195.182.110.132,62.134.11.4
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: DM1Service - OLYMPUS OPTICAL CO.,LTD - C:\Programme\Olympus\DeviceDetector\DM1Service.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SmartSurfer Manager (SmartSurferManager) - United Internet AG - C:\Programme\WEBDE\SmartSurfer3.0\SmurfService.exe

--
End of file - 9755 bytes
Seitenanfang Seitenende
01.01.2008, 15:42
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 Hallo Higgi

kannst du ein log vom Spyware-Doktor erstellen und es hier posten ?
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.01.2008, 16:40
Member

Themenstarter

Beiträge: 26
#3 Hier ein ausführliches Spyware Doctor Log. Wie erkennbar, kämpfe ich schon eine ganze Weile mit dem Malware-Befall.

===


25.12.2007 15:38:15:498 Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - AntiVirus Detected Files
Typ - File
Risiko-Stufe - Hoch
Infektion - Trojan.DL.Zlob.DHV gefunden in C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP203\A0074000.exe

25.12.2007 15:39:18:729 Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Trojan.Popuper
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, some

25.12.2007 15:39:26:561 Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Trojan.Popuper
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_USERS\S-1-5-21-3689853989-2437969446-162025716-1008\Software\Online Add-on, 65005

25.12.2007 15:39:26:571 Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Trojan.Popuper
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_USERS\S-1-5-21-3689853989-2437969446-162025716-1008\Software\Online Add-on, 65007

25.12.2007 15:39:27:592 Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Trojan.Popuper
Typ - Registry Key
Risiko-Stufe - Hoch
Infektion - HKEY_USERS\S-1-5-21-3689853989-2437969446-162025716-1008\Software\Online Add-on

25.12.2007 15:39:40:80 Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - RogueAntiSpyware.SpyAxe
Typ - Registry Value
Risiko-Stufe - Erhöht
Infektion - HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D66C22B6-2217-4D1A-9A90-1A54DE1FC706}\InProcServer32, (Default)

25.12.2007 15:39:40:80 Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - RogueAntiSpyware.SpyAxe
Typ - Registry Value
Risiko-Stufe - Erhöht
Infektion - HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D66C22B6-2217-4D1A-9A90-1A54DE1FC706}\InProcServer32, ThreadingModel

25.12.2007 15:39:40:90 Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - RogueAntiSpyware.SpyAxe
Typ - Registry Key
Risiko-Stufe - Erhöht
Infektion - HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D66C22B6-2217-4D1A-9A90-1A54DE1FC706}\InProcServer32

25.12.2007 15:39:40:90 Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - RogueAntiSpyware.SpyAxe
Typ - Registry Key
Risiko-Stufe - Erhöht
Infektion - HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D66C22B6-2217-4D1A-9A90-1A54DE1FC706}

25.12.2007 15:39:48:372 Scan beendet
Scan-Art - Vollständiger Scan
Bearbeitete Elemente - 265068
Gefundene Bedrohungen - 3
Gefundene Infektionen - 9
Übergangene Infektionen - 0

25.12.2007 15:40:35:209 Infektion gesperrt
Name der Bedrohung - AntiVirus Detected Files
Typ - File
Risiko-Stufe - Hoch
Infektion - Trojan.DL.Zlob.DHV gefunden in C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP203\A0074000.exe

25.12.2007 15:40:35:329 Infektion gelöscht
Name der Bedrohung - AntiVirus Detected Files
Typ - File
Risiko-Stufe - Hoch
Infektion - Trojan.DL.Zlob.DHV gefunden in C:\System Volume Information\_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}\RP203\A0074000.exe

25.12.2007 15:40:35:570 Infektion gesperrt
Name der Bedrohung - Trojan.Popuper
Typ - Registry Key
Risiko-Stufe - Hoch
Infektion - HKEY_USERS\S-1-5-21-3689853989-2437969446-162025716-1008\Software\Online Add-on

25.12.2007 15:40:35:570 Infektion gesperrt
Name der Bedrohung - Trojan.Popuper
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_USERS\S-1-5-21-3689853989-2437969446-162025716-1008\Software\Online Add-on, 65007

25.12.2007 15:40:35:580 Infektion gesperrt
Name der Bedrohung - Trojan.Popuper
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_USERS\S-1-5-21-3689853989-2437969446-162025716-1008\Software\Online Add-on, 65005

25.12.2007 15:40:35:610 Infektion gesperrt
Name der Bedrohung - Trojan.Popuper
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, some

25.12.2007 15:40:35:770 Infektion gelöscht
Name der Bedrohung - Trojan.Popuper
Typ - Registry Key
Risiko-Stufe - Hoch
Infektion - HKEY_USERS\S-1-5-21-3689853989-2437969446-162025716-1008\Software\Online Add-on

25.12.2007 15:40:35:770 Infektion gelöscht
Name der Bedrohung - Trojan.Popuper
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_USERS\S-1-5-21-3689853989-2437969446-162025716-1008\Software\Online Add-on, 65007

25.12.2007 15:40:35:770 Infektion gelöscht
Name der Bedrohung - Trojan.Popuper
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_USERS\S-1-5-21-3689853989-2437969446-162025716-1008\Software\Online Add-on, 65005

25.12.2007 15:40:35:790 Infektion gelöscht
Name der Bedrohung - Trojan.Popuper
Typ - Registry Value
Risiko-Stufe - Hoch
Infektion - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run, some

25.12.2007 15:40:36:80 Infektion gesperrt
Name der Bedrohung - RogueAntiSpyware.SpyAxe
Typ - Registry Key
Risiko-Stufe - Erhöht
Infektion - HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D66C22B6-2217-4D1A-9A90-1A54DE1FC706}

25.12.2007 15:40:36:90 Infektion gesperrt
Name der Bedrohung - RogueAntiSpyware.SpyAxe
Typ - Registry Key
Risiko-Stufe - Erhöht
Infektion - HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D66C22B6-2217-4D1A-9A90-1A54DE1FC706}\InProcServer32

25.12.2007 15:40:36:90 Infektion gesperrt
Name der Bedrohung - RogueAntiSpyware.SpyAxe
Typ - Registry Value
Risiko-Stufe - Erhöht
Infektion - HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D66C22B6-2217-4D1A-9A90-1A54DE1FC706}\InProcServer32, ThreadingModel

25.12.2007 15:40:36:101 Infektion gesperrt
Name der Bedrohung - RogueAntiSpyware.SpyAxe
Typ - Registry Value
Risiko-Stufe - Erhöht
Infektion - HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D66C22B6-2217-4D1A-9A90-1A54DE1FC706}\InProcServer32, (Default)

25.12.2007 15:40:36:431 Infektion gelöscht
Name der Bedrohung - RogueAntiSpyware.SpyAxe
Typ - Registry Key
Risiko-Stufe - Erhöht
Infektion - HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D66C22B6-2217-4D1A-9A90-1A54DE1FC706}

25.12.2007 15:40:36:431 Infektion gelöscht
Name der Bedrohung - RogueAntiSpyware.SpyAxe
Typ - Registry Key
Risiko-Stufe - Erhöht
Infektion - HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D66C22B6-2217-4D1A-9A90-1A54DE1FC706}\InProcServer32

25.12.2007 15:40:36:431 Infektion gelöscht
Name der Bedrohung - RogueAntiSpyware.SpyAxe
Typ - Registry Value
Risiko-Stufe - Erhöht
Infektion - HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D66C22B6-2217-4D1A-9A90-1A54DE1FC706}\InProcServer32, ThreadingModel

25.12.2007 15:40:36:431 Infektion gelöscht
Name der Bedrohung - RogueAntiSpyware.SpyAxe
Typ - Registry Value
Risiko-Stufe - Erhöht
Infektion - HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D66C22B6-2217-4D1A-9A90-1A54DE1FC706}\InProcServer32, (Default)


26.12.2007 00:13:55:548 Infektion gesperrt
Name der Bedrohung - AntiVirus Detected Files
Typ - File
Risiko-Stufe - Hoch
Infektion - C:\Programme\Video Add-on\isfmdl.dll

««
Seitenanfang Seitenende
01.01.2008, 17:37
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 poste bitte dieses log
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.01.2008, 18:38
Member

Themenstarter

Beiträge: 26
#5 Hallo Pinguin,

hier das combofix log:

===
ComboFix 07-12-31.4 - heike 2008-01-01 18:26:54.3 - [color=red]FAT32[/color]x86
ausgeführt von:: C:\Dokumente und Einstellungen\heike\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0L5H2RO5\ComboFix[1].exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\_install.exe nicht gefunden

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-01 bis 2008-01-01 ))))))))))))))))))))))))))))))
.

2008-01-01 02:24 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-12-31 15:40 . 2007-12-31 15:40 <DIR> d-------- C:\SmartSurfer
2007-12-31 15:08 . 2007-12-31 15:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-12-31 14:22 . 2007-07-09 14:11 584,192 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-12-31 14:12 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2007-12-31 14:12 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2007-12-31 14:12 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2007-12-31 14:12 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2007-12-31 12:00 . 2007-12-31 12:00 0 --a------ C:\WINDOWS\autorun.INI
2007-12-31 11:23 . 2007-12-31 11:23 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-31 11:23 . 2007-12-31 11:23 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-30 21:11 . 2008-01-01 01:26 3,696 --a------ C:\WINDOWS\system32\tmp.reg
2007-12-30 18:53 . 2007-12-30 18:53 <DIR> d-------- C:\Programme\Trend Micro
2007-12-30 18:43 . 2007-12-30 18:43 <DIR> d-------- C:\Neuer Ordner
2007-12-30 18:33 . 2007-12-30 18:32 812,344 --a------ C:\Programme\HJT.com
2007-12-30 18:32 . 2007-12-30 18:32 812,344 --a------ C:\Programme\HJTInstall.exe
2007-12-26 14:03 . 2007-12-26 14:03 <DIR> d-------- C:\tmp
2007-12-09 16:52 . 2004-08-04 00:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2007-12-09 16:52 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2007-12-09 16:52 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\dllcache\usbscan.sys
2007-12-09 16:52 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2007-12-04 22:58 . 2007-12-04 22:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2007-12-03 01:02 . 2007-12-03 01:02 <DIR> d--h----- C:\Dokumente und Einstellungen\LocalService\Netzwerkumgebung
2007-12-03 01:02 . 2007-12-03 01:02 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2007-12-03 01:02 . 2007-12-03 01:02 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2007-12-03 00:03 . 2007-12-03 00:03 <DIR> d-------- C:\Programme\Spyware Doctor
2007-12-03 00:03 . 2007-12-03 00:03 <DIR> d-------- C:\Dokumente und Einstellungen\heike\Anwendungsdaten\PC Tools
2007-12-03 00:03 . 2007-12-25 21:51 74,240 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2007-12-03 00:03 . 2007-12-25 21:51 56,832 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2007-12-03 00:03 . 2007-10-18 00:14 41,288 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2007-12-03 00:03 . 2007-10-18 00:16 29,000 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2007-12-03 00:02 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-14 07:26 450,560 ------w C:\WINDOWS\system32\dllcache\jscript.dll
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-30 10:15 3,079,680 ------w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-29 22:42 1,293,312 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2007-10-25 16:55 8,495,616 ------w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-25 09:01 2,109,440 ------w C:\WINDOWS\system32\dllcache\wmvcore.dll
2007-10-25 09:00 230,912 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-25 09:00 230,912 ------w C:\WINDOWS\system32\dllcache\wmasf.dll
2007-10-11 06:12 96,768 ------w C:\WINDOWS\system32\dllcache\inseng.dll
2007-10-11 06:12 665,088 ------w C:\WINDOWS\system32\dllcache\wininet.dll
2007-10-11 06:12 617,472 ------w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-10-11 06:12 55,808 ------w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-10-11 06:12 532,480 ------w C:\WINDOWS\system32\dllcache\mstime.dll
2007-10-11 06:12 474,624 ------w C:\WINDOWS\system32\dllcache\shlwapi.dll
2007-10-11 06:12 449,024 ------w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-10-11 06:12 39,424 ------w C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-10-11 06:12 357,888 ------w C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-10-11 06:12 251,392 ------w C:\WINDOWS\system32\dllcache\iepeers.dll
2007-10-11 06:12 205,312 ------w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-10-11 06:12 16,384 ------w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-10-11 06:12 152,064 ------w C:\WINDOWS\system32\dllcache\cdfview.dll
2007-10-11 06:12 146,432 ------w C:\WINDOWS\system32\dllcache\msrating.dll
2007-10-11 06:12 1,494,528 ------w C:\WINDOWS\system32\dllcache\shdocvw.dll
2007-10-11 06:12 1,056,256 ------w C:\WINDOWS\system32\dllcache\danim.dll
2007-10-11 06:12 1,023,488 ------w C:\WINDOWS\system32\dllcache\browseui.dll
2007-10-10 11:16 18,432 ------w C:\WINDOWS\system32\dllcache\iedw.exe
2007-08-14 22:06 6,081,532 ----a-w C:\Programme\pmconverter.exe
2007-07-11 20:00 2,011,439 ----a-w C:\Programme\noteburner-glc.exe
2007-07-08 17:29 110,400 ----a-w C:\Dokumente und Einstellungen\heike\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-01-31 22:00 4,938,277 ----a-w C:\Programme\selfhtml-update-81-zu-811.zip
2006-01-31 21:44 8,222,185 ----a-w C:\Programme\selfhtml811.zip
2006-01-31 21:13 892,928 ----a-w C:\Programme\HTML Editor hesetup52.exe
2006-01-08 17:07 1,386,122 ----a-w C:\Programme\Oleco netlcr_classic_setup.exe
2005-11-22 22:43 9,751 ----a-w C:\Programme\index.htm
2003-01-21 02:00 13,095,560 ----a-r C:\WINDOWS\system32\config\systemprofile\MpSetup.exe
2003-01-21 02:00 13,095,560 ----a-r C:\Dokumente und Einstellungen\iao\MpSetup.exe
2003-01-21 02:00 13,095,560 ----a-r C:\Dokumente und Einstellungen\heike\MpSetup.exe
2003-01-21 02:00 13,095,560 ----a-r C:\Dokumente und Einstellungen\Default User\MpSetup.exe
.

((((((((((((((((((((((((((((( snapshot_2008-01-01_ 2.39.01.49 )))))))))))))))))))))))))))))))))))))))))
.
+ 2000-08-31 07:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\F3M\ERDNT.EXE
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" []
"ATIModeChange"="Ati2mdxx.exe" [2001-09-04 16:24 28672 C:\WINDOWS\system32\Ati2mdxx.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-03-22 21:10 335872]
"SoundMan"="SOUNDMAN.EXE" [2003-12-19 17:53 65024 C:\WINDOWS\SOUNDMAN.EXE]
"LManager"="C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE" [2003-12-15 17:30 262144]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-21 11:52 40960]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2004-01-09 14:09 98304]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-01-09 14:09 491520]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe" [2003-08-19 17:23 32873]
"AVMBlueClient"="C:\Programme\avmclient\bluefritz.exe" [2004-05-27 01:00 1482752]
"AVMBLUEOBEX"="C:\Programme\avmclient\AvmObex.exe" [2004-05-27 01:00 352256]
"AGRSMMSG"="AGRSMMSG.exe" [2003-07-25 05:22 88363 C:\WINDOWS\AGRSMMSG.exe]
"LtMoh"="C:\Programme\ltmoh\Ltmoh.exe" [2003-04-28 09:08 184320]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-06-07 23:06 180269]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [ ]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2006-11-08 10:22 696320]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-04-27 09:41 282624]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-06-01 16:51 257088]
"NoteBurner"="C:\Programme\NoteBurner\VTBurnerGUI.exe" [ ]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:58 110592 C:\WINDOWS\system32\bthprops.cpl]
"SDTray"="C:\Programme\Spyware Doctor\SDTrayApp.exe" [2007-11-02 17:24 1065800]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
"ALUAlert"="C:\Programme\Symantec\LiveUpdate\ALUNotify.exe" [ ]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]
WinZip Quick Pick.lnk - C:\Programme\WinZip\WZQKPICK.EXE [2005-09-24 20:55:19]
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 01:19:50]
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-04-02 17:13:03]
Device Detector 2.lnk - C:\Programme\Olympus\DeviceDetector\DevDtct2.exe [2006-04-27 23:09:10]
Office-Bibliothek-Direktsuche.lnk - C:\Programme\Office-Bibliothek\PCLib.exe [2006-12-17 23:37:43]
Bluetooth Manager.lnk - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2004-12-21 20:42:32]
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2007-12-04 22:58:42]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

R2 AVM BT Connection Service;AVM BT Connection Service;C:\Programme\avmclient\avmbtservice.exe [2004-05-27 01:00]
R2 AVM BT PAN Service;AVM BT PAN Service;C:\Programme\avmclient\panapp.exe [2004-05-27 01:00]
R2 AvmObexService;AVM BT OBEX Service;C:\Programme\avmclient\AvmObexService.exe [2004-05-27 01:00]
R2 SmartSurferManager;SmartSurfer Manager;C:\Programme\WEBDE\SmartSurfer3.0\SmurfService.exe [2007-09-10 16:47]
R3 AVMBTPARALLEL;AVM Bluetooth Druckeranschluss;C:\WINDOWS\system32\DRIVERS\avmbtpar.sys [2005-06-23 02:00]
R3 AVMBTSERIAL;AVM Bluetooth Kommunikationsanschluss;C:\WINDOWS\system32\DRIVERS\avmbtser.sys [2004-05-27 01:00]
R3 AVMBTSND;AVM Bluetooth Audio Driver;C:\WINDOWS\system32\drivers\avmbtsnd.sys [2005-06-23 02:00]
R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2005-06-23 02:00]
R3 BFHU_CFG;AVM BlueFRITZ!USB 2.0 HCI Config Switch Driver;C:\WINDOWS\system32\DRIVERS\bfhu_cfg.sys [2005-06-23 02:00]
R3 CAPI_CIP;AVM Bluetooth CAPI-Controller;C:\WINDOWS\system32\DRIVERS\capi_cip.sys [2004-05-27 01:00]
R3 DKbFltr;Dritek HotKey Keyboard Filter Driver;C:\WINDOWS\system32\Drivers\DKbFltr.sys [2003-11-19 14:11]
S0 ntcdrdrv;ntcdrdrv;C:\WINDOWS\system32\DRIVERS\ntcdrdrv.sys []
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" []
S3 AX88172;ASIX AX88172 USB2 to Fast Ethernet Adapter;C:\WINDOWS\system32\DRIVERS\ax88172.sys [2002-08-20 07:40]
S3 bfhubase;BlueFRITZ! USB 2.5(WinXP/2000);C:\WINDOWS\system32\DRIVERS\bfhubase.sys [2004-05-27 02:00]
S3 bfubase;BlueFRITZ! USB (WinXP/2000);C:\WINDOWS\system32\DRIVERS\bfubase.sys [2004-05-27 01:00]
S3 DSSUSB1;DSSUSB1 Device;C:\WINDOWS\system32\DRIVERS\DSSUSB1.sys [2001-01-29 14:32]
S3 NETBFPAN;AVM Bluetooth Netzwerkadapter;C:\WINDOWS\system32\DRIVERS\netbfpan.sys [2005-06-23 02:00]
S3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS []
S3 Wdm1;USB Bridge Cable Driver;C:\WINDOWS\system32\Drivers\usbbc.sys [2001-01-08 02:53]

.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-01 18:31:05
Windows 5.1.2600 Service Pack 2 FAT NTAPI

detected NTDLL code modification:
ZwClose

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-01 18:32:12
C:\qoobox\ComboFix-quarantined-files.txt 2008-01-01 17:32:08
C:\qoobox\ComboFix2.txt 2008-01-01 01:40:42
.
2007-12-31 14:29:45 --- E O F ---
Seitenanfang Seitenende
01.01.2008, 18:42
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#6 Hallo,

es sind hautpsächlich Cookies und Registryeinträge, man kommt da nur schwer ran, da sie nicht immer spezifiziert sind. (

Lade Counterspy, ist 2 Wochen frei und scanne - poste das log
http://www.virus-protect.org/counterspy1.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.01.2008, 23:34
Member

Themenstarter

Beiträge: 26
#7 Hallo Pinguin,

ich habe Counterspy gemäß Anweisung zum Scan und Clean genutzt. Der Rechner ist jetzt schneller, allerdings hatte ich diesen (vorübergehenden) Effekt auch schon nach einer Verwendung von SmitFraudfix.

Was evtl. auch gegen eine endgültige Beseitigung des Problems spricht, ist, dass der Rechner immer noch Schwierigkeiten beim Hochfahren macht (stoppt den Hochfahrprozess mittendrin, fährt nach manuellem Ausschalten dann nur hoch nach dem Windows-Scan).

Das Log von Counterspy habe ich nicht gefunden, aber hier die notierten Ergebnisse:

===
1 Registry-Eintrag: Bifrost Backdoor
HKEY_USERS\S-1-5-21-3689853989-2437969446-162025716-1008\SOFTWARE\WGET

4 Cookie-Einträge: Tracking Cookies Cookie
- c:/dokumente und einstellungen\heike\cookies\heike@atdmt[1].txt
- c:/dokumente und einstellungen\heike\cookies\heike@revsci[2].txt
- c:/dokumente und einstellungen\heike\cookies\heike@servlet[1].txt
- c:/dokumente und einstellungen\heike\cookies\heike@shareit[2].txt
Dieser Beitrag wurde am 02.01.2008 um 09:16 Uhr von Higgi editiert.
Seitenanfang Seitenende
02.01.2008, 12:38
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#8 Hallo Higgi

Probleme beim Booten haben nicht unbedingt etwas mit Viren zu tun - es kann ein Hardware-Problem sein, oder eine falsche Einstellung - ich kann das von hier aus nicht beurteilen.
Der Registry-Eintrag mit dem Backdoor allerdings ist nicht sehr angenehm.
wende sdix im abgesicherten Modus an - poste hier das Log
http://www.virus-protect.org/artikel/tools/sdfix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
02.01.2008, 23:51
Member

Themenstarter

Beiträge: 26
#9 Hallo Pinguin,

die Probleme beim Booten existieren seit dem Malwarebefall, daher vermute ich einen Zusammenhang.

Anyway: Hier das log von sdix - wie zu sehen, erfolgte ein Teil der Prozesse nach Neustart im Normalmode. Soll ich den Vorgang wiederholen?

====

SDFix: Version 1.122

Run by heike on 02.01.2008 at 23:10

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...


Normal Mode:
Checking Files:

No Trojan Files Found





Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.



Final Check:

catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-02 23:18:46
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services:
------------------



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:
---------------


Files with Hidden Attributes:

Mon 1 Mar 2004 1,024 ...HR --- "C:\WINDOWS\system32\NTIMPEG2.dll"
Mon 1 Mar 2004 1,024 ...HR --- "C:\WINDOWS\system32\NTICDMK32.dll"
Tue 29 Mar 2005 7,318 A..H. --- "C:\Dokumente und Einstellungen\heike\Anwendungsdaten\Microsoft\Office\Shortcut Bar\Off4.tmp"


Finished!
Dieser Beitrag wurde am 02.01.2008 um 23:56 Uhr von Higgi editiert.
Seitenanfang Seitenende
03.01.2008, 00:07
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#10 Hallo Higgi

wenn du weisst, wann die Probleme begonnen haben - dann ist es das beste, wenn du es mit einer Systemwiederherstellung versuchst - so weit als möglich zurück im Datum.

XP-Wiederherstellung
Start -> Hilfe und Support -> zur Option "Computeränderungen mit der Systemwiederherstellung rückgängig machen"
Dort wählt man: "Computer zu einem früheren Zeitpunkt wiederherstellen" -> Weiter
Die fett angezeigten Daten im Kalender zeigen die gesetzten Wiederherstellungspunkte.

berichte dann, ob es was gebracht hat....
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
03.01.2008, 00:28
Member

Themenstarter

Beiträge: 26
#11 Hallo Pinguin,

danke für den Tipp! Was meinst Du denn zu meinem SDFix-log?

Grüße!
Seitenanfang Seitenende
03.01.2008, 10:03
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#12

Zitat

Higgi postete
Hallo Pinguin,

danke für den Tipp! Was meinst Du denn zu meinem SDFix-log?

Grüße!
das ist in Ordnung , wenn nicht, hätte ich was dazu geschrieben ;)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
03.01.2008, 22:21
Member

Themenstarter

Beiträge: 26
#13 Hallo Pinguin,

die Systemwiederherstellung hat den gewünschten Effekt nicht gebracht.

Auch in Sachen Malware geht es weiter wie gehabt: Spyware Doctor hat mir das Cookie "Adware.Advertising" gemeldet. Dieses Cookie war schon mehrmals auf meinem Rechner seit der Infizierungswelle. Ich befürchte eine never ending story, denn nach der Entfernung ist es beim nächsten Hochfahren wieder da.

Hier das Hijackthis-log und Spyware-log:

===
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:18:12, on 03.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Olympus\DeviceDetector\DM1Service.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\WEBDE\SmartSurfer3.0\SmurfService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\AvmObex.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;
192.168.178.1;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NoteBurner] C:\Programme\NoteBurner\VTBurnerGUI.exe /silence
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Device Detector 2.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {6F74F92E-8DD8-4DDE-8FB8-CBB882A68048} (Microsoft Office XP Professional Step by Step Interactive) - file://C:\Programme\Microsoft Interactive Training\O10C\mitm0026.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0C2F6D4-0813-48C5-A43B-B19064B2DF02}: NameServer = 195.182.110.132,62.134.11.4
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: DM1Service - OLYMPUS OPTICAL CO.,LTD - C:\Programme\Olympus\DeviceDetector\DM1Service.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SmartSurfer Manager (SmartSurferManager) - United Internet AG - C:\Programme\WEBDE\SmartSurfer3.0\SmurfService.exe

--
End of file - 9523 bytes

===
PC Tools Spyware Doctor
Date Status
01.01.2008 17:52:03:898 Scan gestartet
Scan-Art - Vollständiger Scan

01.01.2008 18:24:54:181 OnGuard-Status
Alle OnGuards (dauerhaft) deaktiviert
01.01.2008 18:24:56:865 Immunizer-Ergebnisse
ActiveX-Abschnitt wurde ent-immunisiert. 4082 Objekte bearbeitet.
01.01.2008 18:25:03:965 Immunizer-Ergebnisse
Unvollständige Immunisierung.
01.01.2008 18:25:04:246 Immunizer-Ergebnisse
ActiveX-Abschnitt wurde ent-immunisiert. 769 Objekte bearbeitet.
01.01.2008 21:32:27:304 AntiVirus Engine
Engine initialized or reloaded successfully.
01.01.2008 21:32:27:775 Service gestartet
Serviceanwendung von Spyware Doctor gestartet
01.01.2008 22:51:46:758 Service angehalten
Serviceanwendung von Spyware Doctor angehalten
01.01.2008 22:59:17:86 AntiVirus Engine
Engine initialized or reloaded successfully.
01.01.2008 22:59:17:506 Service gestartet
Serviceanwendung von Spyware Doctor gestartet
02.01.2008 00:04:28:603 Service angehalten
Serviceanwendung von Spyware Doctor angehalten
02.01.2008 22:20:24:362 AntiVirus Engine
Engine initialized or reloaded successfully.
02.01.2008 22:20:24:772 Service gestartet
Serviceanwendung von Spyware Doctor gestartet
02.01.2008 22:38:56:331 Service angehalten
Serviceanwendung von Spyware Doctor angehalten
02.01.2008 22:59:51:792 AntiVirus Engine
Engine initialized or reloaded successfully.
02.01.2008 22:59:52:223 Service gestartet
Serviceanwendung von Spyware Doctor gestartet
02.01.2008 23:04:37:643 Service angehalten
Serviceanwendung von Spyware Doctor angehalten
02.01.2008 23:41:08:831 AntiVirus Engine
Engine initialized or reloaded successfully.
02.01.2008 23:41:09:252 Service gestartet
Serviceanwendung von Spyware Doctor gestartet
02.01.2008 23:56:50:585 Service angehalten
Serviceanwendung von Spyware Doctor angehalten
03.01.2008 00:24:10:733 AntiVirus Engine
Engine initialized or reloaded successfully.
03.01.2008 00:24:11:183 Service gestartet
Serviceanwendung von Spyware Doctor gestartet
03.01.2008 00:38:41:785 Service angehalten
Serviceanwendung von Spyware Doctor angehalten
03.01.2008 20:06:30:945 AntiVirus Engine
Engine initialized or reloaded successfully.
03.01.2008 20:06:31:396 Service gestartet
Serviceanwendung von Spyware Doctor gestartet
03.01.2008 20:19:41:843 AntiVirus-Motor
Motor erfolgreich initialisiert oder geladen.
03.01.2008 20:22:28:432 Scan gestartet
Scan-Art - Vollständiger Scan

03.01.2008 20:22:47:149 Infektion wurde auf diesem Computer gefunden
Name der Bedrohung - Adware.Advertising
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - atdmt.com/ atdmt.com

03.01.2008 21:13:02:505 Scan beendet
Scan-Art - Vollständiger Scan
Bearbeitete Elemente - 256571
Gefundene Bedrohungen - 1
Gefundene Infektionen - 1
Übergangene Infektionen - 0

03.01.2008 22:23:13:9 Infektion gesperrt
Name der Bedrohung - Adware.Advertising
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - atdmt.com/ atdmt.com

03.01.2008 22:23:13:140 Infektion gelöscht
Name der Bedrohung - Adware.Advertising
Typ - Cookie
Risiko-Stufe - Niedrig
Infektion - atdmt.com/ atdmt.com

03.01.2008 22:23:15:333 Zusammenfassung der Infektionen in Quarantäne/ Beseitigte
In Quarantäne verlegt - 1
Quarantäne fehlgeschlagen - 0
Beseitigt - 1
Beseitigung fehlgeschlagen - 0
Dieser Beitrag wurde am 03.01.2008 um 23:54 Uhr von Higgi editiert.
Seitenanfang Seitenende
04.01.2008, 10:50
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#14 nun, ein Cookie ist kein Weltuntergang - dumm ist nur, dass der Rechner nicht mehr arbeitet, wie er soll, meine Hoffnung war, dass die Systemwiederherstellung zu einem früheren Zeitpunkt das Problem löst...

«
wende smitfraudfix an
http://www.virus-protect.org/artikel/tools/smitfrautfix.html

+
deinstalliere Counterspy und deaktiviere den Spywaredoktor - nimm ihn vorher aus dem Autostart, indem du ihn mit HijackThis fixst.

Setze ein Häckchen in das Kästchen vor den genannten Eintrag und wähle fix checked. + starte den Rechner neu.

O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"

----------------

Start - Einstellungen - Systemsteuerung - Verwaltung - Computerverwaltung - und dann den Eintrag "Dienste" auswählen

alles von Spyware-Doctor auf manuell stellen. + Rechner neustarten

+
dann berichte, wie es mit dem Booten klappt.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
04.01.2008, 22:33
Member

Themenstarter

Beiträge: 26
#15 Hallo Pinguin,

das Booten ist nicht besser geworden. Allerdings:

1) konnte ich SmitFraudFix nicht im abgesicherten Modus anwenden (Boot-Probleme),

2) habe ich aus Versehen alle Einträge im Hijackthis-Log, in denen Spyware Doctor enthalten war, gefixed (schlimm?)

3) wusste ich nicht, was unter Computerverwaltung - Dienste zu tun ist (evtl. Zusammenhang mit Punkt zwei?)

Außerdem werden inzwischen Adware.Advertising und Application.TrackingCookies als Bedrohung gemeldet. So weit war ich schon mal?!

Hier das aktuelle Hijackthis-log

===
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:24:49, on 04.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Olympus\DeviceDetector\DM1Service.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\Programme\WEBDE\SmartSurfer3.0\SmurfService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\AvmObex.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;
192.168.178.1;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NoteBurner] C:\Programme\NoteBurner\VTBurnerGUI.exe /silence
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Device Detector 2.lnk = C:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {6F74F92E-8DD8-4DDE-8FB8-CBB882A68048} (Microsoft Office XP Professional Step by Step Interactive) - file://C:\Programme\Microsoft Interactive Training\O10C\mitm0026.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D0C2F6D4-0813-48C5-A43B-B19064B2DF02}: NameServer = 195.182.110.132,62.134.11.4
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: DM1Service - OLYMPUS OPTICAL CO.,LTD - C:\Programme\Olympus\DeviceDetector\DM1Service.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SmartSurfer Manager (SmartSurferManager) - United Internet AG - C:\Programme\WEBDE\SmartSurfer3.0\SmurfService.exe

--
End of file - 9060 bytes
Dieser Beitrag wurde am 04.01.2008 um 23:00 Uhr von Higgi editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: