Problem mit Worm/Warezov.XJ

#31 Hallo Mi.b

wende cll an
http://www.virus-protect.org/ccleaner.html

wende bitte datfindbat an + poste alle logs hier
http://www.virus-protect.org/datfindbat.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#32 Hallo Pinguin

hier die logs der letzten 3 monate von datfindbat

Verzeichnis von c:\

08.03.2008 11:18 0 dirdat.txt
08.03.2008 11:02 805.306.368 pagefile.sys
07.03.2008 16:25 105.139 DSYS32.txt
07.03.2008 16:24 11.212 OW.txt
07.03.2008 16:24 14.133 DW.txt
07.03.2008 16:24 3.333 OP.txt
07.03.2008 16:24 272 DP.txt
07.03.2008 16:23 959 OC.txt
07.03.2008 16:22 1.934 DC.txt
07.03.2008 02:43 488 hpfr5550.xml

Verzeichnis von C:\WINDOWS\system32

06.03.2008 17:52 92.680 execvsut.exe
06.03.2008 16:09 92.520 pngfuxth.exe
01.03.2008 15:49 4 execvsut.dat
29.02.2008 19:56 24.576 vct3ntsh.exe
29.02.2008 19:56 32.768 samlkbdn.VIR
29.02.2008 19:32 4 pngfuxth.dat
28.01.2008 17:22 2.206 wpa.dbl
11.01.2008 15:12 9.216 e1.dll
11.01.2008 15:12 24.576 jobemnmd.exe
11.01.2008 15:12 32.768 s11twsht.dll
02.01.2008 19:21 17.642.616 MRT.exe

Verzeichnis von C:\WINDOWS

08.03.2008 11:03 157 wiadebug.log
08.03.2008 11:03 50 wiaservc.log
08.03.2008 11:02 2.048 bootstat.dat
07.03.2008 17:55 32.622 SchedLgU.Txt
06.03.2008 20:10 54.156 QTFont.qfn
29.02.2008 19:59 15.040 gonz.wax
29.02.2008 19:56 0 gonz.z
29.02.2008 19:55 16 gonz.dat
21.02.2008 16:21 870 win.ini
19.02.2008 20:23 3.840 ModemLog_Nokia N73 USB Modem #2.txt
19.02.2008 19:20 1.409 QTFont.for
15.02.2008 18:12 16 elsdw.dat
14.02.2008 16:33 1.537.288 CISUnins.exe
14.02.2008 16:33 1.537.288 CICUnins.exe
18.01.2008 16:47 72 MediaManager.INI

Verzeichnis von C:\DOKUME~1\MICHAE~1.JOS\LOKALE~1\Temp

08.03.2008 11:16 11 ad.list.tmp
08.03.2008 11:16 7.614 jusched.log
10.02.2008 11:19 4.200 java_install_reg.log
18.01.2008 17:01 87 setup.log
18.01.2008 16:59 73.728 unwise.exe

#33 Hallo Mi.b

lade Avenger
http://www.virus-protect.org/artikel/tools/avenger.html

kopiere in das weisse Fenster: (ohne "Zitat" )

Zitat

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Registry keys to delete:
HKLM\SOFTWARE\Microsoft\execvsut
HKLM\SOFTWARE\Microsoft\pngfuxth
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\execvsut
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pngfuxth

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|elsdw
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|gonz

Files to delete:
C:\WINDOWS\gonz.wax
C:\WINDOWS\gonz.z
C:\WINDOWS\gonz.dat
C:\WINDOWS\elsdw.dat
C:\WINDOWS\system32\execvsut.exe
C:\WINDOWS\system32\pngfuxth.exe
C:\WINDOWS\system32\execvsut.dat
C:\WINDOWS\system32\vct3ntsh.exe
C:\WINDOWS\system32\samlkbdn.VIR
C:\WINDOWS\system32\pngfuxth.dat
C:\WINDOWS\system32\e1.dll
C:\WINDOWS\system32\jobemnmd.exe
C:\WINDOWS\system32\s11twsht.dll

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)
Klicke: Execute
bestätige, dass der Rechner neu gestartet wird - klicke "yes"

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

___________

poste bitte das Log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#34 Hier das Log vom Avenger

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\gonz.wax" deleted successfully.
File "C:\WINDOWS\gonz.z" deleted successfully.
File "C:\WINDOWS\gonz.dat" deleted successfully.
File "C:\WINDOWS\elsdw.dat" deleted successfully.
File "C:\WINDOWS\system32\execvsut.exe" deleted successfully.
File "C:\WINDOWS\system32\pngfuxth.exe" deleted successfully.
File "C:\WINDOWS\system32\execvsut.dat" deleted successfully.
File "C:\WINDOWS\system32\vct3ntsh.exe" deleted successfully.
File "C:\WINDOWS\system32\samlkbdn.VIR" deleted successfully.
File "C:\WINDOWS\system32\pngfuxth.dat" deleted successfully.
File "C:\WINDOWS\system32\e1.dll" deleted successfully.
File "C:\WINDOWS\system32\jobemnmd.exe" deleted successfully.
File "C:\WINDOWS\system32\s11twsht.dll" deleted successfully.
Registry value "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.
Registry key "HKLM\SOFTWARE\Microsoft\execvsut" deleted successfully.
Registry key "HKLM\SOFTWARE\Microsoft\pngfuxth" deleted successfully.
Registry key "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\execvsut" deleted successfully.
Registry key "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\pngfuxth" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|elsdw" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|gonz" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

--------------------


und hier das Log vom Combofix

ComboFix 08-03-07.4 - Michael 2008-03-08 12:08:38.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.283 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Michael.JOSEF\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\buttons\503_button_1b_def.bmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\buttons\503_button_1b_over.bmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\buttons\512_button_1b_def.bmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\buttons\512_button_1b_over.bmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\buttons\513_button_1b_def.bmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\buttons\513_button_1b_over.bmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\buttons\Button_60.bmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\buttons\Button_70.bmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\buttons\Button_80.bmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\buttons\FindIt.bmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\buttons\FindItHot.bmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\buttons\findithotxp.png
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\buttons\finditxp.png
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\buttons\logo.bmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\buttons\logoxp.bmp
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\contexts\error.xml
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\contexts\Related.xml
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\contexts\Travel.xml
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\SimpleUpdate\ProductMessagingConfig.xml
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\SimpleUpdate\ProductMessagingConfig.xml.backup
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\SimpleUpdate\SimpleUpdateConfig.xml
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\SimpleUpdate\SimpleUpdateConfig.xml.backup
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\SimpleUpdate\TimerManagerConfig.xml
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Starware368\SimpleUpdate\TimerManagerConfig.xml.backup
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\BrowserSearch\BrowserSearch.xml
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\BrowserSearch\BrowserSearch.xml.backup
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Button_6\Button_6Options.xml
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Button_6\Button_6Options.xml.backup
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Button_7\Button_7Options.xml
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Button_7\Button_7Options.xml.backup
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Button_8\Button_8Options.xml
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Button_8\Button_8Options.xml.backup
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Configurator\Configurator.xml
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Configurator\Configurator.xml.backup
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Download\DownloadOptions.xml
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Download\DownloadOptions.xml.backup
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\ErrorSearch\ErrorSearchOptions.xml
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\ErrorSearch\ErrorSearchOptions.xml.backup
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Layouts\ToolbarLayout.xml
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Layouts\ToolbarLayout.xml.backup
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Lyrics\LyricsOptions.xml
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Lyrics\LyricsOptions.xml.backup
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Manager\ManagerOptions.xml
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Manager\ManagerOptions.xml.backup
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Music_Search\Music_SearchOptions.xml
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Music_Search\Music_SearchOptions.xml.backup
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Radio_UK\Radio_UKOptions.xml
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Radio_UK\Radio_UKOptions.xml.backup
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\RelatedSearch\RelatedSearchOptions.xml
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\RelatedSearch\RelatedSearchOptions.xml.backup
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Toolbar\TBProductsOptions.xml
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\Toolbar\TBProductsOptions.xml.backup
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\ToolbarLogo\ToolbarLogoOptions.xml
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\ToolbarLogo\ToolbarLogoOptions.xml.backup
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\ToolbarSearch\ToolbarSearchOptions.xml
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\ToolbarSearch\ToolbarSearchOptions.xml.backup
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\TravelSearch\TravelSearchOptions.xml
C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Starware368\TravelSearch\TravelSearchOptions.xml.backup
C:\Programme\Starware368
C:\Programme\Starware368\bin\Starware368.dll
C:\Programme\Starware368\brand.bmp
C:\Programme\Starware368\icons\star_16.ico
C:\Programme\Starware368\icons\Thumbs.db
C:\Programme\Starware368\Starware368Config.xml
C:\Programme\Starware368\Starware368Uninstall.exe
C:\WINDOWS\system32\Cfx32.lic
C:\WINDOWS\system32\cfx32.ocx

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-08 bis 2008-03-08 ))))))))))))))))))))))))))))))
.

2008-03-07 16:51 . 2008-03-07 16:51 <DIR> d-------- C:\Programme\CCleaner
2008-02-22 14:50 . 2008-02-22 14:50 <DIR> d-------- C:\Programme\Tobit ClipInc
2008-02-22 14:50 . 2008-02-22 14:50 <DIR> d-------- C:\Programme\Recordings
2008-02-16 14:13 . 2008-02-16 14:13 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-07 15:21 --------- d-----w C:\Programme\ICQToolbar
2008-02-29 19:00 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-02-21 22:50 --------- d-----w C:\Programme\ICQ6
2008-02-14 15:33 1,537,288 ----a-w C:\WINDOWS\CISUnins.exe
2008-02-14 15:33 1,537,288 ----a-w C:\WINDOWS\CICUnins.exe
2008-02-03 18:08 --------- d-----w C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Tobit
2008-02-02 10:04 --------- d-----w C:\Programme\Gemeinsame Dateien\Tobit
2008-01-19 13:57 --------- d-----w C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\AdobeUM
2008-01-19 13:42 --------- d-----w C:\Programme\Google
2008-01-18 16:50 --------- d-----w C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Nokia Multimedia Player
2008-01-18 16:01 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-01-18 16:00 --------- d-----w C:\Programme\CyberLink DVD Solution
2008-01-18 15:59 --------- d-----w C:\Programme\Java
2008-01-17 15:50 --------- d-----w C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\ICQ
2008-01-17 15:10 --------- d-----w C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Teleca
2008-01-17 15:10 --------- d-----w C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\Sony Ericsson
2008-01-17 15:10 --------- d-----w C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\ICQ Toolbar
2008-01-17 15:09 --------- d-----w C:\Dokumente und Einstellungen\Michael.JOSEF\Anwendungsdaten\PC Suite
2008-01-11 14:56 --------- d-----w C:\Programme\PokerStars.NET
2004-12-29 18:00 171 ---ha-w C:\Dokumente und Einstellungen\All Users\hpothb07.dat
2004-12-29 17:52 0 ---ha-w C:\Dokumente und Einstellungen\Josef Burke\hpothb07.dat
2004-03-11 12:27 40,960 ----a-w C:\Programme\Uninstall_CDS.exe
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-17 20:21 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-05-15 21:10 339968]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-03-06 14:18 249896]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [ ]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [ ]
"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.exe" [2006-06-15 12:36 229376]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 03:00 132496]
"ClipIncSrvTray"="D:\Tobit ClipInc\Player\ClipIncTray.exe" [2008-01-10 18:42 434176]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\Josef Burke\Startmen�\Programme\Autostart\
GENO lite ZV F„lligkeiten.lnk - C:\WINLITE\ZAWF.EXE [2006-09-18 06:17:01 156944]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
CAPI Tray.lnk - C:\Programme\ISDN Utilities\ccmon.exe [2004-11-28 15:53:11 155648]
hp psc 2000 Series.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe [2003-04-06 00:37:10 323646]
hpoddt01.exe.lnk - C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-04-06 01:06:58 28672]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
-ra------ 2001-07-09 11:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power2GoExpress]
--------- 2004-05-04 10:22 839770 C:\Programme\CyberLink DVD Solution\Power2Go\Power2GoExpress.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2003-10-31 19:42 32768 C:\Programme\CyberLink DVD Solution\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Anno 1701\\Anno1701.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"D:\\Tobit ClipInc\\Player\\ClipInc-Player.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-07-18 14:22]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-08-09 13:04]
R1 SSHDRV62;SSHDRV62;C:\WINDOWS\system32\drivers\SSHDRV62.sys [2005-10-11 19:23]
R2 CAPI;CAPI 2.0 Service;C:\WINDOWS\system32\DRIVERS\capi.sys [2003-10-23 08:01]
R2 ClipInc001;ClipInc 001;D:\Tobit ClipInc\Server\ClipInc-Server.exe 001 []
R2 InterBaseGuardian;InterBase Guardian;C:\Programme\Borland\InterBase\bin\ibguard.exe [2001-03-06 07:01]
R2 NDISCAPI;NDIS CAPI Service;C:\WINDOWS\system32\DRIVERS\ndiscapi.sys [2003-10-23 08:15]
R3 colmpa;PCI ISDN Card NDIS WAN Driver;C:\WINDOWS\system32\DRIVERS\colmpa.sys [2003-12-04 03:50]
R3 InterBaseServer;InterBase Server;C:\Programme\Borland\InterBase\bin\ibserver.exe [2001-03-06 07:01]
S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k510bus.sys [2006-02-17 21:34]
S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k510mdfl.sys [2006-02-17 21:34]
S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\k510mdm.sys [2006-02-17 21:34]
S3 w200bus;Sony Ericsson W200 driver (WDM);C:\WINDOWS\system32\DRIVERS\w200bus.sys [2006-11-07 09:42]
S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w200mdfl.sys [2006-11-07 09:42]
S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w200mdm.sys [2006-11-07 09:42]
S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\w200mgmt.sys [2006-11-07 09:42]
S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\w200obex.sys [2006-11-07 09:42]

.
Inhalt des "geplante Tasks" Ordners
"2006-05-16 22:25:33 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2170 series#1100990614.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-08 12:11:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-08 12:13:05
ComboFix-quarantined-files.txt 2008-03-08 11:12:57
.
2008-01-09 20:23:05 --- E O F ---

#35 Hallo Mi.b

««
Gehe in die Registry
Start - Ausführen - regedit

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001 - in 0 ändern

««
Falls es noch vorhanden ist:

mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://as.starware.com/dp/search?product=ssearch&src_id=368&client_id=6173684001C
7DF6600285987&version=
4.5.4.0&it=1187200916&loc=&qry=&url=http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome (obfuscated)

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://127.0.0.1:4664/&s=5BTuEx8HDJmg_dvnqO7yot7gHDo

O2 - BHO: (no name) - {5f90c0e3-4c0a-4d54-a8ac-5afe6163a99e} - C:\Programme\Starware368\bin\Starware368.dll

O3 - Toolbar: Starware Music UK Toolbar - {1962c5bc-e475-465b-823b-133e711bceb9} - C:\Programme\Starware368\bin\Starware368.dll

2.
gehe zur Systemsteuerung --> Internetoptionen --> auf dem Reiter Allgemein bei Temporäre Internetdateien klickst du Dateien löschen --> auch bei Alle Offlineinhalte löschen das Häkchen setzen und mit OK bestätigen --> Auf den Reiter Programme gehen und dort auf Webeinstellungen zurücksetzen klicken, mit Ja bestätigen, fall Nachfrage kommt --> auf Übernehmen und abschließend auf OK klicken und stelle eine neue Startseite ein

3.
schau, ob die Windowsupdates funktionieren - berichte

4.
poste ein neues Log vom HijackThis
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#36 Windows Updates funktionieren nicht. Automatische Updates lassen sich nicht aktivieren, bei Schnellsuche bzw. benutzerdefinierter Suche erscheint folgendes fenster:


[Fehlernummer: 0x80070424]
Die gewünschte Seite kann nicht angezeigt werden, da auf der Website ein Problem aufgetreten ist. Mit den folgenden Optionen kann das Problem möglicherweise behoben werden.
Optionen zur Selbsthilfe:

Häufig gestellte Fragen
Lösungen suchen
Windows Update-Newsgroup
Optionen für technischen Support:
Microsoft-Onlinesupportunterstützung (für Windows Update-Probleme kostenlos)


------------------

Hier das neue Log von Hijack This


Logfile of HijackThis v1.99.1
Scan saved at 19:25:39, on 08.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Tobit ClipInc\Server\ClipInc-Server.exe
C:\Programme\Borland\InterBase\bin\ibguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Borland\InterBase\bin\ibserver.exe
C:\Programme\WinRAR\WinRAR.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\DOKUME~1\MICHAE~1.JOS\LOKALE~1\Temp\Rar$EX08.219\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schwatzgelb.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [ClipIncSrvTray] "D:\Tobit ClipInc\Player\ClipIncTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Global Startup: CAPI Tray.lnk = C:\Programme\ISDN Utilities\ccmon.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3994715A-234C-4772-BEC3-2E0FA641EFC5}: NameServer = 212.6.108.130 212.6.108.131
O17 - HKLM\System\CS3\Services\Tcpip\..\{3994715A-234C-4772-BEC3-2E0FA641EFC5}: NameServer = 212.6.108.130 212.6.108.131
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - D:\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\Programme\Borland\InterBase\bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\Programme\Borland\InterBase\bin\ibserver.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe



Gruss Mi.B

#37 Hallo Mi.b

wende dial_a_fix an
http://www.virus-protect.org/artikel/tools/dial_a_fix.html

- dann PC neustarten + schauen, wie es mit den Windowsupdates klappt + berichten
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#38 Hallo Pinguin

Die Windowsupdates funktionieren jetzt wieder.

Gruss Mi.B

#39 Mi.B

dann ist alles wieder in Ordnung . Pass auf, was du so alles anklickst und lädst, nicht alles ist koscher.

Systemwiederherstellung deaktivieren/dann wieder aktivieren
http://www.virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#40 Ja, ich werd versuchen in Zukunft besser aufzupassen.

Naja, aber dann bedank ich mich mal ganz herzlich bei dir, dass du mir geholfen hast den ganzen Schei... von meinem PC zu bekommen.
Danke.

Gruss Mi.B