Trojaner, Malware-befall, bitte mal anschauen

#0
04.01.2008, 13:37
...neu hier

Beiträge: 6
#1 Hallo,
Irgendwie hab ich mir was eingefangen und bekomme es von meinem Hauptrechner nicht mehr runter
--> keine Internetverbindung mehr möglich
--> alle Antivieren und Co. Dateien werden autom. aus dem Verzeichnis geschlöscht und können nicht installiert werden.
--> Systemwiederherstellungspunkte sind weg.

In der Hoffnung, dass mir jemand weiterhelfen kann.

Hier mein Log

Logfile of HijackThis v1.99.1
Scan saved at 19:55:46, on 03.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\Ad-Aware SE Professional\Ad-Watch.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Eumex 704PC LAN\Capictrl.exe
C:\Programme\CD DriveTool\CDTool.exe
C:\Programme\Eumex 704PC LAN\HNetCtrl.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
I:\Spyware Terminator 1.5.0.740\Files\SpywareTerminatorShield.exe
I:\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe_Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [hplampc] C:\WINDOWS\System32\hplampc.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKCU\..\Run: [AWMON] "C:\Programme\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: CD DriveTool.LNK = C:\Programme\CD DriveTool\CDTool.exe
O4 - Global Startup: HomeNet Control.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1132931647656
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - Winlogon Notify: !SASWinLogon - I:\NEUERO~1\SASWINLO.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Unknown owner - I:\AviraAntiVir7b\sched.exe (file missing)
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - I:\AviraAntiVir7b\avguard.exe (file missing)
O23 - Service: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope (HRService) - Unknown owner - C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PRTG Service - Paessler Router Traffic Grapher (PRTGService) - Unknown owner - C:\Programme\PRTG Traffic Grapher\PRTG Traffic Grapher.exe (file missing)
O23 - Service: SASDIFSV - Unknown owner - I:\NEUERO~1\sasdifsv.sys
O23 - Service: SASENUM - SuperAdBlocker, Inc. - I:\NEUERO~1\SASENUM.SYS
O23 - Service: SASKUTIL - Unknown owner - I:\NEUERO~1\SASKUTIL.SYS
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: Windows-CCHook-Service - Unknown owner - C:\WINDOWS\system32\cchservice.exe (file missing)
Seitenanfang Seitenende
04.01.2008, 13:45
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 ««
klick Start -> Ausführen>> schreibe rein: Services.msc und Klick OK!

"Eigenschaften" >> klick "Stop" >> Starttyp "deaktiviert"

Windows-CCHook-Service

---------

Start --> Ausführen --> reinkopieren

sc delete Windows-CCHook-Service

(wenn eine Fehlermeldung kommt...ignorieren) --> klicke dann O.K.

----------
«
poste die daten von datfindbat (1 Monat von jedem log reicht)
http://www.virus-protect.org/datfindbat.html

«»
poste das log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html

»»
wende sdfix im abgesicherten modus an - und poste hier den Report
http://www.virus-protect.org/artikel/tools/sdfix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
04.01.2008, 14:12
...neu hier

Themenstarter

Beiträge: 6
#3 hallo

ich komme zwar in das Auswahlmenü um den gesicherten Modus zu starten, dieser Startet aber nicht!!!

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C18-3977

Verzeichnis von C:\WINDOWS\system32

04.01.2008 13:53 436.668 perfh009.dat
04.01.2008 13:53 70.240 perfc009.dat
04.01.2008 13:53 453.470 perfh007.dat
04.01.2008 13:53 82.896 perfc007.dat
04.01.2008 13:53 1.057.934 PerfStringBackup.INI
04.01.2008 13:48 81.858 nvapps.xml
03.01.2008 18:54 749 sapi.cpl.manifest
03.01.2008 18:54 749 wuaucpl.cpl.manifest
03.01.2008 18:54 749 cdplayer.exe.manifest
03.01.2008 18:54 749 ncpa.cpl.manifest
03.01.2008 18:54 749 nwc.cpl.manifest
03.01.2008 11:46 2.262 wpa.dbl
01.01.2008 21:41 5.374 ban_list.txt
26.12.2007 20:22 153.976 FNTCACHE.DAT
21.12.2007 22:10 9.728 BASSMOD.dll
10.12.2007 17:30 2.321.408 TUKernel.exe
19.07.2007 23:57 267.112 xactengine2_9.dll
04.08.2004 00:57 198.144 certcli.dll

2497 Datei(en) 560.488.437 Bytes
0 Verzeichnis(se), 20.431.835.136 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C18-3977

Verzeichnis von C:\DOKUME~1\Matthias\LOKALE~1\Temp

04.01.2008 14:01 122.474 datfind.txt
04.01.2008 14:01 13.032 WcesView.log
04.01.2008 13:48 468 WCESCOMM.LOG
04.01.2008 13:48 117.675 WCESLog.log
04.01.2008 13:48 16.384 ~DF34A5.tmp
04.01.2008 13:48 16.384 ~DFCA90.tmp
03.01.2008 19:46 319.926 av7.jpg
03.01.2008 19:46 1.853 av7.reg
03.01.2008 14:50 0 Mah2B.tmp
03.01.2008 14:12 88.928 kl-install-2008-01-03-14-11-08.log
03.01.2008 14:11 17.109 caevents.log
03.01.2008 14:11 0 kleaner.log
03.01.2008 14:09 4.844 SAV_INST.LOG
03.01.2008 14:02 123 CFG10.tmp
01.01.2008 22:22 0 ubi1848.tmp
01.01.2008 22:20 0 ubi1846.tmp
01.01.2008 21:43 888 530e5150.avp
31.12.2007 15:23 923 TWAIN.LOG
31.12.2007 15:23 3 Twain001.Mtx
31.12.2007 15:23 156 Twunk001.MTX
31.12.2007 15:07 0 ppt4C.tmp
31.12.2007 14:36 43.888 java_install_reg.log
29.12.2007 14:24 0 6h036.tmp
29.12.2007 14:21 0 fn721.tmp
29.12.2007 14:18 0 nyn1D.tmp
29.12.2007 03:25 0 99zFC.tmp
29.12.2007 02:27 0 icg75.tmp
29.12.2007 02:20 219.061 unplug-1.6.00-fx.xpi
29.12.2007 02:19 122.496 mxg7xbd8.xpi
29.12.2007 02:14 0 nm949.tmp
27.12.2007 01:25 0 h5fCA.tmp
27.12.2007 00:47 0 azk7C.tmp
27.12.2007 00:41 0 lz861.tmp
27.12.2007 00:41 0 75q5C.tmp
27.12.2007 00:39 0 kcv52.tmp
27.12.2007 00:32 0 va830.tmp
24.12.2007 16:41 0 CacheInfo.dnl
24.12.2007 12:15 0 Twunk002.MTX
24.12.2007 11:03 3.649 i4j_nlog_2
24.12.2007 11:03 4.608 i4jdel0.exe
22.12.2007 15:32 0 u99128.tmp
22.12.2007 14:55 0 h6o11C.tmp
22.12.2007 14:52 0 r31110.tmp
22.12.2007 13:41 12.637 8h6brqd8.pdf
22.12.2007 11:08 2 MSIf5090.LOG
03.11.2007 15:00 455.600 _isA.exe
30.09.2006 08:22 121.064 set8.tmp
17.02.2006 16:55 143.360 SSUPDATE.EXE
11.04.2001 17:28 54.784 set61.tmp
11.04.2001 17:28 54.784 set62.tmp
50 Datei(en) 1.957.103 Bytes
0 Verzeichnis(se), 20.431.839.232 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C18-3977

Verzeichnis von C:\WINDOWS

04.01.2008 13:49 0 0.log
04.01.2008 13:49 159 wiadebug.log
04.01.2008 13:49 50 wiaservc.log
04.01.2008 13:48 2.048 bootstat.dat
03.01.2008 20:13 32.598 SchedLgU.Txt
03.01.2008 20:13 322.566 WindowsUpdate.log
03.01.2008 18:54 749 WindowsShell.Manifest
03.01.2008 17:39 49 NeroDigital.ini
03.01.2008 14:12 523 setupapi.log
03.01.2008 14:10 21.830 FSSFM.log
03.01.2008 14:10 23.094 FSISU.log
03.01.2008 14:10 33.381 RunSetup.log
30.12.2007 19:22 477 lexstat.ini
29.12.2007 14:24 2.040 ModemLog_Creatix V.9X DSP Data Fax Modem.txt
24.12.2007 13:01 127 blockplaner.ini
24.12.2007 13:00 0 wiso.ini
12.12.2007 19:06 54.156 QTFont.qfn
17.11.2007 14:01 787 win.ini
17.11.2007 14:00 135 asym.ini
18.10.2007 19:20 0 ROUTE
18.10.2007 19:20 0 Trip

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C18-3977

Verzeichnis von C:\WINDOWS\temp

03.01.2008 12:53 0 nsf6.tmp
03.01.2008 12:53 0 nsv5.tmp

103 Datei(en) 664 Bytes
0 Verzeichnis(se), 20.431.826.944 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0C18-3977

Verzeichnis von C:\WINDOWS\Downloaded Program Files

26.05.2005 04:19 291 wuweb.inf
12.02.2005 16:09 65 desktop.ini
25.08.2003 17:12 1.096 iuctl.inf
20.01.2000 15:25 1.162 Microsoft XML Parser for Java.osd
4 Datei(en) 2.614 Bytes
0 Verzeichnis(se), 20.431.826.944 Bytes frei
.
.
.
Seitenanfang Seitenende
04.01.2008, 15:13
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 «»
poste das log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html


«
wende sdifx im Normalmodus an - waehle Sophos - scanne mit Option 6 und poste hier den report
http://www.virus-protect.org/artikel/tools/sdfix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
04.01.2008, 16:22
...neu hier

Themenstarter

Beiträge: 6
#5 nach dem durchführen der aktionen meldet sich das system nicht mehr automatisch als systemadmin an.
Ich habe nun keine zugriff mehr auf die Systemdatein,

-> die Fehlermeldung sagt jetzt
"diese vorgang wurde aufgrund von einschränkungen abgebrochen, die für diesen computer gelten. Melden sie sich an den systemadim


zur 2)

ComboFix 08-01-04.1 - Matthias 2008-01-04 15:41:56.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.713 [GMT 1:00]
ausgeführt von:: I:\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\wanpacket.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SROSA
-------\srosa


((((((((((((((((((((((( Dateien erstellt von 2007-12-04 bis 2008-01-04 ))))))))))))))))))))))))))))))
.

2008-01-04 15:41 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-03 19:00 . 2006-10-01 01:47 <DIR> d-------- C:\WINDOWS\drivers
2008-01-03 19:00 . 2006-09-25 23:45 666,240 --a------ C:\WINDOWS\aswBoot.exe
2008-01-03 19:00 . 2004-01-09 18:13 380,928 --a------ C:\WINDOWS\actskin4.ocx
2008-01-03 19:00 . 2006-09-25 23:37 90,112 --a------ C:\WINDOWS\AVASTSS.scr
2008-01-03 18:27 . 2001-08-18 13:00 11,776 --a--c--- C:\WINDOWS\system32\dllcache\chkdsk.exe
2008-01-03 18:27 . 2001-08-18 13:00 11,776 --a------ C:\WINDOWS\system32\chkdsk.exe
2008-01-03 17:43 . 2008-01-03 18:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2008-01-03 17:43 . 2008-01-03 17:43 <DIR> d-------- C:\Documents and Settings
2008-01-03 16:49 . 2004-08-04 00:50 2,183,296 --a------ C:\WINDOWS\system32\ntoskrnl.exe
2008-01-03 16:49 . 2004-08-04 00:50 2,183,296 --a--c--- C:\WINDOWS\system32\dllcache\ntoskrnl.exe
2008-01-03 14:54 . 2008-01-03 14:54 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\SUPERAntiSpyware.com
2008-01-01 21:41 . 2008-01-01 22:01 <DIR> d-------- C:\WINDOWS\system32\drivers\down
2008-01-01 21:41 . 2004-03-16 04:06 619,576 --------- C:\WINDOWS\system32\drivers\hldrrr.exe
2007-12-31 15:59 . 2008-01-03 14:01 <DIR> d-------- C:\Programme\MosaicCreator
2007-12-31 15:36 . 2008-01-03 13:52 <DIR> d-------- C:\Programme\dm Fotowelt
2007-12-23 17:54 . 2007-12-23 17:54 <DIR> d-------- C:\Programme\Foto-Mosaik
2007-12-22 10:40 . 2007-12-24 13:00 0 --a------ C:\WINDOWS\wiso.ini
2007-12-22 10:01 . 2007-12-22 10:01 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\Buhl Data Service
2007-12-22 10:00 . 2007-12-22 10:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2007-12-21 22:16 . 2007-12-21 22:16 <DIR> d-------- C:\Programme\Duplicate MP3 Finder
2007-12-21 22:16 . 2007-12-21 22:16 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\EFSoftware
2007-12-21 22:10 . 2007-12-21 22:13 <DIR> d-------- C:\Programme\Duplicate File Remover
2007-12-14 16:03 . 2007-12-14 16:03 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\EurekaLog
2007-12-14 15:22 . 2007-12-14 16:03 <DIR> d-------- C:\Programme\MediaMonkey
2007-12-13 11:36 . 2008-01-03 14:02 <DIR> d-------- C:\Programme\MSR MapCruncher for Virtual Earth 3.2.1
2007-12-13 11:27 . 2007-12-13 11:27 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2007-12-13 11:26 . 2007-12-13 11:26 <DIR> d-------- C:\Programme\Reference Assemblies
2007-12-13 11:25 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2007-12-05 21:19 . 2007-12-05 21:19 <DIR> d-------- C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\RTPlayer

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-03 17:36 --------- d-----w C:\Programme\Sygate_SPF
2008-01-03 16:16 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-01-03 14:29 --------- d-----w C:\Programme\Spybot Search and Destroy
2008-01-03 13:03 --------- d-----w C:\Programme\Opera
2008-01-03 13:00 --------- d-----w C:\Programme\Germanys Next Topmodel
2008-01-03 12:58 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-03 12:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-01-01 19:46 --------- d-----w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\FrostWire
2007-12-24 12:23 --------- d-----w C:\Programme\Ad-Aware SE Professional
2007-12-24 12:23 --------- d-----w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\uTorrent
2007-12-24 12:01 --------- d-----w C:\Programme\AD2007
2007-12-24 11:56 --------- d-----w C:\Programme\The Print Shop 20
2007-12-24 11:48 --------- d-----w C:\Programme\regclean4_1
2007-12-24 11:44 --------- d-----w C:\Programme\PIXELA_ImageMixer
2007-12-24 11:26 --------- d-----w C:\Programme\PDF_zusammenfügen
2007-12-22 09:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2007-12-14 14:07 --------- d-----w C:\Programme\MUSICMATCH Jukebox
2007-12-05 20:18 --------- d-----w C:\Programme\myMP3 4.0
2007-12-05 20:07 --------- d-----w C:\Programme\onlineTV3
2007-12-05 20:07 --------- d-----w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\concept design
2007-12-05 19:51 --------- d-----w C:\Programme\TuneUp Utilities 2007
2007-11-24 17:06 --------- d-----w C:\Programme\CryptLoad
2007-11-17 13:00 --------- d-----w C:\Programme\CHEMIE
2007-03-23 17:11 71,708 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2007_03_23_18_05_35_small.dmp.zip
2007-03-23 17:11 68,216 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2007_03_23_18_05_49_small.dmp.zip
2006-03-10 12:12 17,544 ----a-w C:\Dokumente und Einstellungen\Matthias\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-11-19 21:15 8,192 --sha-w C:\WINDOWS\o2cLicStore.bin
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AWMON"="C:\Programme\Ad-Aware SE Professional\Ad-Watch.exe" [2005-05-25 11:12 517632]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe" [2005-11-15 19:14 1204224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [2002-02-04 22:32 53248]
"hplampc"="C:\WINDOWS\System32\hplampc.exe" [2002-01-17 17:40 40448]
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" [2005-10-25 21:48 118784]
"FreePDF Assistant"="C:\Programme\FreePDF_XP\fpassist.exe" [2005-05-27 11:24 146944]
"T-Online DSL-Manager"="C:\Programme\T-Online\DSL-Manager\TODslMgr.exe" [2005-11-01 11:31 811008]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"nwiz"="nwiz.exe" [2006-08-11 20:43 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvCplDaemon"="NvQTwk" []
"TrueImageMonitor.exe"="C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe" [ ]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [ ]
"SmcService"="C:\PROGRA~1\SYGATE~1\smc.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableClock"= 0 (0x0)
"DisableLockWorkstation"= 0 (0x0)
"NoClose"= 0 (0x0)
"DisableChangePassword"= 0 (0x0)
"NoShutDown"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLogOff"= 00000000
"NoControlPanel"= 0

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= I:\NEUERO~1\SASSEH.DLL [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
I:\NEUERO~1\SASWINLO.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 relog_ap

[color=red]SafeBoot Registrierungsschlssel muss repariert werden. Dieser PC kann nicht im abgesicherten Modus starten.[/color]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@="Driver Group"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]
@="DiskDrive"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]
@="Hdc"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]
@="Keyboard"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]
@="Mouse"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]
@="System"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]
@="Volume"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\wcescomm.exe"
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SoundMan"=SOUNDMAN.EXE
"POINTER"=point32.exe
"MMTray"=C:\Programme\MUSICMATCH Jukebox\mm_tray.exe
"Agent"=C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"FreePDF Assistant"=C:\Programme\FreePDF_XP\fpassist.exe
"SunJavaUpdateSched"=C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
"mm_server"=C:\Programme\MUSICMATCH Jukebox\mm_server.exe
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime
"SmcService"=C:\PROGRA~1\SYGATE~1\smc.exe -startgui

R1 SSHDRV86;SSHDRV86;C:\WINDOWS\system32\drivers\SSHDRV86.sys [2006-12-10 18:36]
R2 ACEDRV06;ACEDRV06;C:\WINDOWS\system32\drivers\ACEDRV06.sys [2007-04-22 16:21]
R2 CAPI20;Eumex 604PC HomeNet;C:\WINDOWS\system32\drivers\CAPI20.sys [2003-04-03 15:48]
R2 DETEWECP;Telekom CapiPort;C:\WINDOWS\system32\drivers\detewecp.sys [2003-03-19 13:36]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-07-29 13:14]
R3 dtwmnic5;Telekom Eumex 704PC LAN;C:\WINDOWS\system32\DRIVERS\dtwmnic5.sys [2002-12-20 11:04]
R3 Intels51;Creatix V.9X DSP Data Fax Modem;C:\WINDOWS\system32\DRIVERS\ctxs51.sys [2002-07-01 15:10]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-07-29 13:15]
R3 TODslService;T-Online DSL-Manager;"C:\Programme\T-Online\DSL-Manager\TODslSvc.exe" [2005-11-01 11:30]
R3 TSMPacket;T-DSL SpeedManager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys [2005-12-01 14:38]
S2 PRTGService;PRTG Service - Paessler Router Traffic Grapher;C:\Programme\PRTG Traffic Grapher\PRTG Traffic Grapher.exe []
S2 Windows-CCHook-Service;Windows-CCHook-Service;C:\WINDOWS\system32\cchservice.exe []
S3 DarkSpy;DarkSpy;C:\WINDOWS\system32\DarkSpyKernel.sys []
S3 hp4200c;%usbscan.SvcDesc%;C:\WINDOWS\system32\DRIVERS\hp4200c.sys [2001-02-19 05:39]
S3 HRService;Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope;"C:\Programme\Haufe\iDesk\iDeskService\iDeskService.exe" [2006-10-23 03:39]
S3 IIUSBISP;USB Mass Storage for USB ISP;C:\WINDOWS\system32\Drivers\iiusbisp.sys [2006-10-08 17:46]
S3 PavSRK.sys;PavSRK.sys;C:\WINDOWS\system32\PavSRK.sys []
S3 PavTPK.sys;PavTPK.sys;C:\WINDOWS\system32\PavTPK.sys []
S3 zlportio;zlportio;D:\download\Karaoke\Deluxe\zlportio.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2007-12-14 16:26:35 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-04 15:47:41
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-04 15:50:23 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-04 14:50:20
--------------------------------------------------------------------------

zur 3) die angehängten Daten
Ich komme nicht ins internet, deshalb kann auch keine Aktualisierung erfolgen.

Anhang: 3.jpg
Seitenanfang Seitenende
04.01.2008, 17:26
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#6 du hast dir den Troj/BagleDl-BU eingefangen....

««
Gehe in die Registry
suche/lösche: HKCU\Software\FirstRRRun

««
avenger
http://www.virus-protect.org/artikel/tools/avenger.html
lies dir durch, wie man den Avenger anwendet:

kopiere rein:

Zitat

registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run | hldrrr

registry keys to delete:
HKLM\SYSTEM\CurrentControlSet\Services\srosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
HKLM\SYSTEM\CurrentControlSet\Services\pci32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_PCI32
HKLM\SYSTEM\CurrentControlSet\Services\rosa
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_rosa
HKLM\SYSTEM\CurrentControlSet\Services\m_hook
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_M_HOOK

Folders to delete:
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\exefnd
C:\WINDOWS\exefld

drivers to unload:
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\drivers\srosa.sys

Files to delete:
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\pci32.sys
C:\WINDOWS\system32\drivers\hidr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\wintems.exe
C:\WINDOWS\system32\hldrrr.exe
C:\WINDOWS\system32\trusted.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\cchservice.exe
C:\Dokumente und Einstellungen\Matthias\Lokale Einstellungen\Temp\i4jdel0.exe

»»
F-Secure BlackLight
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nun findet man eine Log-Datei(txt) auf dem Desktop - poste sie hier

»»
ServiceFilter.zip
http://virus-protect.org/artikel/tools/ServiceFilter.zip

- entzippen
- doppelklick auf die datei ServiceFilter.vbs
- versions-nummer bestätigen
- scannen
- öffnen von wordpad oder editor erlauben
- POST_THIS.TXT abkopieren

«««««««««««««««««««««

«
http://www.virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

Windows-CCHook-Service


in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

DarkSpy

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
04.01.2008, 17:52
...neu hier

Themenstarter

Beiträge: 6
#7 hi,

Gehe in die Registry
suche/lösche: HKCU\Software\FirstRRRun

--> dieser Eintrag ist in der Registry nicht auffindbar

wie solls jetzt weitergehen?
Seitenanfang Seitenende
04.01.2008, 17:52
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#8 dann wende nun den Avenger an - poste das log, was nach neustart erscheint
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
04.01.2008, 19:38
...neu hier

Themenstarter

Beiträge: 6
#9 1)

01/04/08 18:36:52 [Info]: BlackLight Engine 1.0.67 initialized
01/04/08 18:36:52 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/04/08 18:36:53 [Note]: 7019 4
01/04/08 18:36:53 [Note]: 7005 0
01/04/08 18:37:00 [Note]: 7006 0
01/04/08 18:37:00 [Note]: 7011 480
01/04/08 18:37:00 [Note]: 7026 0
01/04/08 18:37:01 [Note]: 7026 0
01/04/08 18:37:04 [Note]: FSRAW library version 1.7.1024
01/04/08 18:44:44 [Note]: 2000 1012
01/04/08 18:44:44 [Note]: 2000 1012
01/04/08 18:44:44 [Note]: 2000 1012
01/04/08 18:44:44 [Note]: 2000 1012
01/04/08 18:44:44 [Note]: 2000 1012
01/04/08 18:44:44 [Note]: 2000 1012
01/04/08 18:44:44 [Note]: 2000 1012
01/04/08 18:44:44 [Note]: 2000 1012
01/04/08 18:44:44 [Note]: 2000 1012
01/04/08 18:44:44 [Note]: 2000 1012
01/04/08 18:44:44 [Note]: 2000 1012
01/04/08 18:44:44 [Note]: 2000 1012
01/04/08 18:44:44 [Note]: 2000 1012
01/04/08 18:44:44 [Note]: 2000 1012
01/04/08 18:54:35 [Note]: 7007 0









2)
The script did not recognize the services listed below.
This does not mean that they are a problem.

To copy the entire contents of this document for posting:
At the top of this window click "Edit" then "Select All"
Next click "Edit" again then "Copy"
Now right click in the forum post box then click "Paste"

########################################

ServiceFilter 1.1
by rand1038

Microsoft Windows XP Professional
Version: 5.1.2600 Service Pack 2
Jan 4, 2008 19:00:22


===> Begin Service Listing <===

Unknown Service #1
Service Name: AcrSch2Svc
Display Name: Acronis Scheduler2 Service
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\acronis\schedule2\schedul2.exe"
State: Running
Process ID: 1048
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 2
Service Name: AntiVirScheduler
Display Name: AntiVir PersonalEdition Classic Scheduler
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: i:\aviraantivir7b\sched.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 3
Service Name: AntiVirService
Display Name: AntiVir PersonalEdition Classic Guard
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: i:\aviraantivir7b\avguard.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #4
Service Name: aspnet_state
Display Name: ASP.NET State Service
Start Mode: Manual
Start Name: NT AUTHORITY\NetworkService
Description: Provides support for out-of-process session states for ASP.NET. If this service is stopped, ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\aspnet_state.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 5
Service Name: clr_optimization_v2.0.50727_32
Display Name: .NET Runtime Optimization Service v2.0.50727_X86
Start Mode: Manual
Start Name: LocalSystem
Description: Microsoft .NET Framework ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 6
Service Name: FontCache3.0.0.0
Display Name: Windows Presentation Foundation Font Cache 3.0.0.0
Start Mode: Manual
Start Name: NT AUTHORITY\LocalService
Description: Optimizes performance of Windows Presentation Foundation (WPF) applications by caching commonly ...
Service Type: Own Process
Path: c:\windows\microsoft.net\framework\v3.0\wpf\presentationfontcache.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 7
Service Name: HRService
Display Name: Haufe iDesk-Service in C:\Programme\Haufe\iDesk\iDeskService\Zope
Start Mode: Manual
Start Name: LocalSystem
Description: Datenbank-Service für Haufe iDesk-Produkte. Der Service ist über http://127.0.0.1:38184 zu ...
Service Type: Own Process
Path: "c:\programme\haufe\idesk\ideskservice\ideskservice.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 8
Service Name: IDriverT
Display Name: InstallDriver Table Manager
Start Mode: Manual
Start Name: LocalSystem
Description: Provides support for the Running Object Table for InstallShield ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\installshield\driver\1050\intel 32\idrivert.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 9
Service Name: idsvc
Display Name: Windows CardSpace
Start Mode: Manual
Start Name: LocalSystem
Description: Securely enables the creation, management, and disclosure of digital ...
Service Type: Share Process
Path: "c:\windows\microsoft.net\framework\v3.0\windows communication foundation\infocard.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 10
Service Name: NetTcpPortSharing
Display Name: Net.Tcp Port Sharing Service
Start Mode: Disabled
Start Name: NT AUTHORITY\LocalService
Description: Provides ability to share TCP ports over the net.tcp ...
Service Type: Share Process
Path: "c:\windows\microsoft.net\framework\v3.0\windows communication foundation\smsvchost.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #11
Service Name: ose
Display Name: Office Source Engine
Start Mode: Manual
Start Name: LocalSystem
Description: Speichert Installationsdateien, die für Updates und Reparieren verwendet werden, und ist für den ...
Service Type: Own Process
Path: "c:\programme\gemeinsame dateien\microsoft shared\source engine\ose.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 12
Service Name: PRTGService
Display Name: PRTG Service - Paessler Router Traffic Grapher
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\prtg traffic grapher\prtg traffic grapher.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 13
Service Name: SASDIFSV
Display Name: SASDIFSV
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: i:\neuero~1\sasdifsv.sys
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 14
Service Name: SASENUM
Display Name: SASENUM
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: i:\neuero~1\sasenum.sys
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 15
Service Name: SASKUTIL
Display Name: SASKUTIL
Start Mode: Auto
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: i:\neuero~1\saskutil.sys
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #16
Service Name: SmcService
Display Name: Sygate Personal Firewall
Start Mode: Disabled
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: c:\programme\sygate_spf\smc.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service #17
Service Name: SwPrv
Display Name: MS Software Shadow Copy Provider
Start Mode: Manual
Start Name: LocalSystem
Description: Verwaltet Software-basierte Schattenkopien des Volumeschattenkopie-Dienstes. Software-basierte ...
Service Type: Own Process
Path: c:\windows\system32\dllhost.exe /processid:{f29a73e7-8502-452d-a36d-e59ac6230745}
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 18
Service Name: TODslService
Display Name: T-Online DSL-Manager
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\t-online\dsl-manager\todslsvc.exe"
State: Running
Process ID: 3172
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 19
Service Name: TSMService
Display Name: T-DSL SpeedManager
Start Mode: Manual
Start Name: LocalSystem
Description: ...
Service Type: Own Process
Path: "c:\programme\t-dsl speedmanager\tsmsvc.exe"
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 1077
Accept Pause: Falsch
Accept Stop: Falsch

Unknown Service # 20
Service Name: UxTuneUp
Display Name: TuneUp Designerweiterung
Start Mode: Auto
Start Name: LocalSystem
Description: Erlaubt die Verwendung visueller Stile ohne ...
Service Type: Share Process
Path: c:\windows\system32\svchost.exe -k netsvcs
State: Running
Process ID: 1696
Started: Wahr
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Wahr

Unknown Service # 21
Service Name: Windows-CCHook-Service
Display Name: Windows-CCHook-Service
Start Mode: Auto
Start Name: LocalSystem
Description: Ermöglicht die erweiterte Überwachung der Salfeld Security ...
Service Type: Own Process
Path: c:\windows\system32\cchservice.exe
State: Stopped
Process ID: 0
Started: Falsch
Exit Code: 0
Accept Pause: Falsch
Accept Stop: Falsch

---> End Service Listing <---

There are 102 Win32 services on this machine.
21 were unrecognized.

Script Execution Time: 1,375 seconds.







3)

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 04.01.2008 19:35:23 for strings:
; 'windows-cchook-service'
; Strings excluded from search:
; 'darkspy'
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000]
"Service"="Windows-CCHook-Service"
"DeviceDesc"="Windows-CCHook-Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows-CCHook-Service]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows-CCHook-Service]
"DisplayName"="Windows-CCHook-Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows-CCHook-Service\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows-CCHook-Service\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Windows-CCHook-Service\Enum]
"0"="Root\\LEGACY_WINDOWS-CCHOOK-SERVICE\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000]
"Service"="Windows-CCHook-Service"
"DeviceDesc"="Windows-CCHook-Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows-CCHook-Service]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows-CCHook-Service]
"DisplayName"="Windows-CCHook-Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Windows-CCHook-Service\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000]
"Service"="Windows-CCHook-Service"
"DeviceDesc"="Windows-CCHook-Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Windows-CCHook-Service]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Windows-CCHook-Service]
"DisplayName"="Windows-CCHook-Service"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\Windows-CCHook-Service\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000]
"Service"="Windows-CCHook-Service"
"DeviceDesc"="Windows-CCHook-Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows-CCHook-Service]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows-CCHook-Service]
"DisplayName"="Windows-CCHook-Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows-CCHook-Service\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows-CCHook-Service\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Windows-CCHook-Service\Enum]
"0"="Root\\LEGACY_WINDOWS-CCHOOK-SERVICE\\0000"

; End Of The Log...





so das wäre soweit geschafft, wie gehts weiter?
Seitenanfang Seitenende
04.01.2008, 22:25
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#10 kopiere in den avenger:

Zitat

registry keys to delete:
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE
HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000
HKLM\SYSTEM\ControlSet002\Services\Windows-CCHook-Service
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE
HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000
HKLM\SYSTEM\ControlSet003\Services\Windows-CCHook-Service
HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE
HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000
HKLM\SYSTEM\ControlSet004\Services\Windows-CCHook-Service
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINDOWS-CCHOOK-SERVICE\0000
HKLM\SYSTEM\CurrentControlSet\Services\Windows-CCHook-Service
wenn der Rechner hochfaehrt, erscheint ein Log vom Avenger - ich moechte , dass du mir dieses und auch das vorige log hier postest, damit ich sehen kann, was geloescht wurde und was nicht....

»
bringe den dr.web auf den rechner - scanne + poste den report hier
http://virus-protect.org/cureit.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
07.01.2008, 08:53
...neu hier

Themenstarter

Beiträge: 6
#11 Hallo Pinguin,

danke für deine Bemühungen mir aus der Misere zu helfen.
Ich habe mich jetzt für die Lösung --> Format C:\ entschieden, in der Hoffnung damit die aktuellen Probleme zu lösen.
So etwas in dieser Art ist mir zum ersten Mal passiert, und dass immerhin nach vielen Jahren PC Umgang. Kannst du mir noch eine Hilfestellung in der Art geben, wie ich zukünftig so etwas vermeiden kann.

Danke
Seitenanfang Seitenende
07.01.2008, 13:05
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#12 sweeter

ich hab mich mal schlau gemacht, wie man sich den Virus einfangen kann, auf einer spanischen Seite stand - über fileshare, also man denkt , z.b. Video Edit Magic Express 4.11.exe oder Alt-TabReplacement1.0.exe zu laden - und holt sich damit den Virus auf den Rechner..... ;)

Hast du am 1.Januar irgendein Proggie auf diese Weise geladen ?

2008-01-01 21:41
. 2008-01-01 22:01 <DIR> d-------- C:\WINDOWS\system32\drivers\down
2008-01-01 21:41 . 2004-03-16 04:06 619,576 --------- C:\WINDOWS\system32\drivers\hldrrr.exe


Zitat

http://www.sophos.de/security/analyses/trojbagledldb.html
Troj/BagleDI-DB enthält Funktionen zum Zugriff auf das Internet und zur Kommunikation mit Remote-Servern über HTTP.

Troj/BagleDl-DB versucht, Dateien von bestimmten URLs herunterzuladen, als Datei <Windows folder\exefld\<beliebige Zahl>.exe abzuspeichern und auszuführen.

Troj/BagleDl-DB kopiert sich nach <Windows system folder>\drivers\hidr2.exe und legt folgende Datei an: <Windows system folder>\drivers\srosa.sys.
Die Datei wird auch als Troj/BagleDl-DB erkannt.

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: