Fehlermeldung bei Start: activexdebugger32.exe

#46 das ist eh klar... solange es nicht irgendwelche schwerwiegenden Schädlinge sind sondern nur kleine Infektionen die leicht zu löschen sind ist das kein Problem.
Mal schauen...

#47 fertig ? poste den report.................
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#48 -----------------------------SCAN REPORT-----------------------------
F-PROT Antivirus for Windows

Antivirus Scanning Engine version number: 4.4.2
Virus signature file from: 2008-01-25, 18:27

Scan name: [My Computer]
Path to scan: [My Computer]

Normal scan
Also scan: Inside subfolders, Compressed files, Streams

Scan started: 2008-01-26, 13:14
---------------------------------------------------------------------

[Warning] <Could not open file> C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Dr Watson\user.dmp
[Unscannable] <File is encrypted> C:\Dokumente und Einstellungen\g***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine\Quarantine - 01-23-2008 - 10-15-02.SBU->{00D0986E-5477-4985-BF8F-D882AB08A2B3}
[Unscannable] <File is encrypted> C:\Dokumente und Einstellungen\g***\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\Quarantine\Quarantine
[Unscannable] <File is encrypted> C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\Clone_DVD_4.01.2516_ZTF-pirati-eucaffe.com.rar->Clone DVD 4.01.2516\Clone DVD 4.01.2516.exe
[Unscannable] <File is encrypted> C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\Clone_DVD_4.01.2516_ZTF-pirati-eucaffe.com.rar->Clone DVD 4.01.2516\serialll\seriall.txt
[Unscannable] <File is damaged> C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\directx_jun2007_redist.exe->(CAB)->APR2007_d3dx9_33_x86.cab
[Unscannable] <File is damaged> C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\directx_jun2007_redist.exe->(CAB)->BDANT.cab
[Unscannable] <File is damaged> C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\directx_jun2007_redist.exe->(CAB)->DEC2006_d3dx10_00_x86.cab
[Unscannable] <File is damaged> C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\directx_jun2007_redist.exe->(CAB)->JUN2006_XACT_x64.cab
[Unscannable] <File is damaged> C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\directx_jun2007_redist.exe->(CAB)->JUN2007_d3dx9_34_x86.cab
[Found possible security risk] <W32/Heuristic-162!Eldorado (not disinfectable)> C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\No23Recorder.exe->(RAR)->No23Recorder.exe->(Aspack)->(PEBundle)->(PEBundle)->(PEBundle)->(PEBundle)->(PEBundle)
[Contains infected objects] C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\No23Recorder.exe
[Quarantined] C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\No23Recorder.exe->(RAR)->No23Recorder.exe->(Aspack)->(PEBundle)->(PEBundle)->(PEBundle)->(PEBundle)->(PEBundle)
[Found possible virus] <W32/NewMalware-Rootkit-PX-based!Maximus (not disinfectable)> C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\Sicherheit\escan.exe->(RAR)->Getvlist.exe->(UPX)
[Contains infected objects] C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\Sicherheit\escan.exe
[Quarantined] C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\Sicherheit\escan.exe->(RAR)->zcompare.ppl
[Found downloader] <W32/Downldr2.ATQP (exact, not disinfectable)> C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\Sicherheit\reanimator(gegen trojans).zip->reanimator.exe->(rsrcPE)
[Contains infected objects] C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\Sicherheit\reanimator(gegen trojans).zip
[Quarantined] C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\Sicherheit\reanimator(gegen trojans).zip->RootkitNO.exe->(UPX)
[Unscannable] <File is damaged> C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\WindowsXP-KB835935-SP2-DEU.exe->(CAB)->i386\root\cmpnents\mediactr\i386\medcthlp.cab
[Unscannable] <File is damaged> C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\WindowsXP-KB835935-SP2-DEU.exe->(CAB)->i386\root\cmpnents\netfx\i386\netfx.cab
[Unscannable] <File is damaged> C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\WindowsXP-KB835935-SP2-DEU.exe->(CAB)->i386\sp2.cab
[Unscannable] <File is encrypted> C:\Dokumente und Einstellungen\g***\Eigene Dateien\Anwendungen & Programme\wz90gev.exe->(ZIP)->SETUP.WZ->WINZIP32.EX_
[Warning] <Could not open file> C:\Dokumente und Einstellungen\g***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[Warning] <Could not open file> C:\Dokumente und Einstellungen\g***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[Warning] <Could not open file> C:\Dokumente und Einstellungen\g***\ntuser.dat
[Warning] <Could not open file> C:\Dokumente und Einstellungen\g***\ntuser.dat.LOG
[Found downloader] <W32/Downldr2.ATQP (exact)> C:\Dokumente und Einstellungen\g*** h***\Desktop\reanimator.exe->(rsrcPE)
[Deleted] C:\Dokumente und Einstellungen\g*** h***\Desktop\reanimator.exe->(rsrcPE)
[Warning] <Could not open file> C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[Warning] <Could not open file> C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[Warning] <Could not open file> C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[Warning] <Could not open file> C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[Warning] <Could not open file> C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[Warning] <Could not open file> C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[Warning] <Could not open file> C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[Warning] <Could not open file> C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[Unscannable] <File is damaged> C:\MSOCache\All Users\{90120000-0018-0407-0000-0000000FF1CE}-C\PptLR.cab->PITCHBK.POT_1031->ppt/embeddings/Microsoft_Office_Excel_Worksheet2.xlsx
[Unscannable] <File is damaged> C:\Programme\BearShare\Temp\TMPBattlefield 1942(3).rar->Setup.exe
[Found possible virus] <W32/CodeCru-based!Maximus (not disinfectable)> C:\Programme\BearShare\Temp\TMPfifa 07(1).zip->Setup.exe
[Unscannable] <File is encrypted> C:\Programme\BearShare\Temp\TMPMicrosoft Office 2007 Ultimate Edition (Multi Language Pack (WORKING Activation & Updates).rar->Microsoft Office 2007 Ultimate Edition (Multi Language Pack (WORKING Activation & Updates)\Microsoft Office 2007 Ultimate Edition (Multi Language Pack (WORKING Activation & Updates).rar
[Unscannable] <File is damaged> C:\Programme\Microsoft Office\Templates\1031\Pitchbook.potx->ppt/embeddings/Microsoft_Office_Excel_Worksheet2.xlsx
[Found exploit] <CVE-2006-1309 (not disinfectable)> C:\Programme\Microsoft Works\1031\Wizards\vehmcDE.wws
[Quarantined] C:\Programme\Microsoft Works\1031\Wizards\vehmcDE.wws
[Unscannable] <File is encrypted> C:\Programme\San Andreas Mod Installer\AutoPlay\sami.cdd->_detect.dat
[Unscannable] <File is encrypted> C:\Programme\San Andreas Mod Installer\AutoPlay\sami.cdd->_proj.dat
[Unscannable] <File is encrypted> C:\Programme\San Andreas Mod Installer\AutoPlay\sami.cdd->_fonts.dat
[Found exploit] <CVE-2006-1309 (not disinfectable)> C:\SWSetup\MSWorks\GR\PFiles\MSWorks\1031\Wizards\vehmcDE.wws
[Quarantined] C:\SWSetup\MSWorks\GR\PFiles\MSWorks\1031\Wizards\vehmcDE.wws
[Unscannable] <Unknown format or compression method> C:\SWSetup\MSWorks\GR\Redist\IE6\hhupd.cab
[Unscannable] <File is damaged> C:\SWSetup\MSWorks\GR\Redist\IE6\ient_s2.cab->IENT_2.CAB
[Unscannable] <File is damaged> C:\SWSetup\MSWorks\GR\Redist\IE6\ient_s3.cab->IENT_3.CAB
[Unscannable] <File is damaged> C:\SWSetup\MSWorks\GR\Redist\IE6\ient_s4.cab->IENT_4.CAB
[Unscannable] <File is damaged> C:\SWSetup\MSWorks\GR\Redist\IE6\ient_s5.cab->IENT_5.CAB
[Unscannable] <File is damaged> C:\SWSetup\MSWorks\GR\Redist\IE6\ient_s6.cab->IENT_6.CAB
[Unscannable] <File is damaged> C:\SWSetup\MSWorks\GR\Redist\IE6\ie_s2.cab->IE_2.CAB
[Unscannable] <File is damaged> C:\SWSetup\MSWorks\GR\Redist\IE6\ie_s3.cab->IE_3.CAB
[Unscannable] <File is damaged> C:\SWSetup\MSWorks\GR\Redist\IE6\ie_s4.cab->IE_4.CAB
[Unscannable] <File is damaged> C:\SWSetup\MSWorks\GR\Redist\IE6\ie_s5.cab->IE_5.CAB
[Unscannable] <File is damaged> C:\SWSetup\MSWorks\GR\Redist\IE6\ie_s6.cab->IE_6.CAB
[Warning] <Could not open file> C:\WINDOWS\system32\config\default
[Warning] <Could not open file> C:\WINDOWS\system32\config\default.LOG
[Warning] <Could not open file> C:\WINDOWS\system32\config\SAM
[Warning] <Could not open file> C:\WINDOWS\system32\config\SAM.LOG
[Warning] <Could not open file> C:\WINDOWS\system32\config\SECURITY
[Warning] <Could not open file> C:\WINDOWS\system32\config\SECURITY.LOG
[Warning] <Could not open file> C:\WINDOWS\system32\config\software
[Warning] <Could not open file> C:\WINDOWS\system32\config\software.LOG
[Warning] <Could not open file> C:\WINDOWS\system32\config\system
[Warning] <Could not open file> C:\WINDOWS\system32\config\system.LOG
[Warning] <Could not open file> C:\WINDOWS\temp\FPRE.tmp

---------------------------------------------------------------------
Scan ended: 2008-01-26, 14:33
Duration: 01:18

Scan result:

Scanned files: 142090
Infected objects: 7
Disinfected objects: 1
Quarantined files: 5
---------------------------------------------------------------------

#49 ««
Programme\No23Recorder - was ist das für ein Proggie ?

««
C:\Programme\BearShare - verabschiede dich davon...
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#50 sollte nichts bösartiges sein...
lediglich ein voice recording program (also zur Aufnahme)

was ist eigentlich mit den Daten die bei SUPERAntiSpyware in Quarantäne sind...?

okay, kein bearshare mehr...

#51 «
Schau, wer den Stick alles in Benutzung hatte ...deren PCs sind alle verseucht.

«
SUPERAntiSpyware
Die Quarantänen kannst du lassen, kein Problem...
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#52 okay, also die restlichen Meldungen von FPROT sind in Ordnung...!?

#53 ja, alles in Ordnung - der Scanner hat noch mal tüchtig aufgeräumt

PC + Sticks sind als geheilt entlassen.
wenn es noch Probleme geben sollte, melde dich .
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#54 alles klar, vielen herzlichen Dank für deine umfangreiche Hilfe und Ausdauer!!!

#55 hi

ich hab das selbige problem wie "ghoefner", aber habe den thread schon ne weile mitverfolgt und ein bisschen vorarbeit schon mal gemacht.
hier meine auswertung:


COMBOFIX

ComboFix 08-01-23.1C - Familie 2008-01-25 19:17:47.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\Familie\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\FunWebProducts
C:\Programme\MyWebSearch
C:\Programme\MyWebSearch\bar\History\search2
C:\Programme\MyWebSearch\bar\Settings\prevcfg2.htm
C:\Programme\MyWebSearch\bar\Settings\s_pid.dat
C:\Programme\MyWebSearch\bar\Settings\setting2.htm
C:\Programme\MyWebSearch\bar\Settings\settings.dat
C:\Programme\winantispyware 2006 free
C:\Programme\WinAntiSpyware 2006 Free\database\AutoProcess.dat
C:\Programme\winantispyware 2006 free\database\monstate.dat
C:\Programme\winantispyware 2006 free\database\quaratine.dat
C:\Programme\winantispyware 2006 free\database\RTMonitor.dat
C:\Programme\winantispyware 2006 free\database\Summary.dat
C:\Programme\WinAntiSpyware 2006 Free\database\tasks.dat
C:\Programme\winantispyware 2006 free\database\threatnet.dat
C:\Programme\winantispyware 2006 free\scanlog.xml
C:\sys.txt
C:\WINDOWS\system32\mzoeut.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-25 bis 2008-01-25 ))))))))))))))))))))))))))))))
.

2008-01-25 19:16 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-17 15:33 . 2002-11-20 21:16 180,224 --a------ C:\WINDOWS\system32\Ijl11.dll
2008-01-17 15:33 . 2004-03-09 00:00 124,688 --a------ C:\WINDOWS\system32\MSWINSCK.OCX
2008-01-17 15:33 . 2007-04-15 19:45 53,248 --a------ C:\WINDOWS\system32\KMON.OCX
2008-01-17 15:33 . 2001-11-22 15:00 24,626 --a------ C:\WINDOWS\system32\scrrntr.dll
2008-01-17 15:33 . 2007-03-27 15:25 20,480 --a------ C:\WINDOWS\system32\PAC.EXE
2008-01-17 15:33 . 2008-01-25 18:43 52 --a------ C:\WINDOWS\system\ACD2.CMD
2008-01-17 15:33 . 2008-01-25 18:43 52 --a------ C:\WINDOWS\system\ACD.CMD

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-23 13:42 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-01-22 13:49 --------- d-----w C:\Programme\No23 Recorder
2007-12-10 13:25 --------- d-----w C:\Programme\3D-Fahrschule
2007-12-09 19:43 --------- d-----w C:\Programme\DivX
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-01-08 19:37 359,112 ----a-w C:\Programme\LimeWireWin.exe
2007-01-06 19:59 14,994,392 ----a-w C:\Programme\GoogleEarthWin.exe
2006-11-07 12:58 14,862,640 ----a-w C:\Programme\IE7-WindowsXP-x86-deu.exe
2006-02-19 06:26 4,123 ----a-w C:\Programme\uninstal.log
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{f7d40011-29bb-43eb-9c97-875ce89e9e36}]
C:\WINDOWS\system32\hp100.tmp

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"sirenacm"="C:\WINDOWS\system32\sirenacm.exe" [2006-12-15 18:00 0]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 15:45 313472]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 21:05 344064]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2006-03-30 14:46 71304]
"Symantec NetDriver Monitor"="C:\PROGRA~1\SYMNET~1\SNDMon.exe" [2006-03-27 08:11 100056]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"SsAAD.exe"="C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe" [2005-01-24 19:58 81920]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 02:43 83608]
"SoundMan"="SOUNDMAN.EXE" [2005-10-24 13:45 90112 C:\WINDOWS\soundman.exe]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-05-24 19:23 282624]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2006-02-23 15:45 278528]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-29 13:21 327720]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-04-24 17:55 185896]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2006-12-10 21:52 49152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, zwebauth.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-05-07 17:49 3139164 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Power2GoExpress]
--a------ 2006-05-07 17:49 3139164 C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"SSScsiSV"=3 (0x3)
"iPodService"=3 (0x3)

R3 AR5523;NETGEAR WG111T USB2.0 Wireless Card Service;C:\WINDOWS\system32\DRIVERS\WG11TND5.sys [2005-09-05 10:21]
R3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\DNINDIS5.SYS [2003-07-24 11:10]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{64f40c50-c8df-11dc-9152-00184dd51683}]
\Shell\Auto\command - I:\activexdebugger32.exe f
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL activexdebugger32.exe f
\Shell\explore\Command - I:\activexdebugger32.exe f
\Shell\open\Command - I:\activexdebugger32.exe f

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a77baa72-c500-11dc-9144-00184dd51683}]
\Shell\Auto\command - I:\activexdebugger32.exe f
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL activexdebugger32.exe f
\Shell\explore\Command - I:\activexdebugger32.exe f
\Shell\open\Command - I:\activexdebugger32.exe f

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
"2007-11-30 19:01:18 C:\WINDOWS\Tasks\Norton AntiVirus - Meinen Computer prüfen.job"



HIJACKTHIS

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:47, on 2008-01-25
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\NETGEAR\WG111T\wlan111t.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\Familie\Desktop\sicherheit\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: HP Smart Web Printing 1.0 - {AE84A6AA-A333-4B92-B276-C11E2212E4FE} - C:\Programme\HP\Smart Web Printing\SmartWebPrinting.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O2 - BHO: (no name) - {f7d40011-29bb-43eb-9c97-875ce89e9e36} - C:\WINDOWS\system32\hp100.tmp (file missing)
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [sirenacm] C:\WINDOWS\system32\sirenacm.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: auto-bit.lnk = C:\SYSPREP\bit\bit.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (VideoEgg ActiveX Loader) - http://update.videoegg.com/Install/Windows/Initial/VideoEggPublisher.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} - http://fdl.msn.com/zone/datafiles/heartbeat.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: cholecyst - {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - (no file)
O22 - SharedTaskScheduler: {ee2975b6-e8d5-405e-8448-8fe9590f6cfb} - cholecyst - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\navapsvc.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

--
End of file - 10270 bytes



DATFIND

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 34B7-E5D5

Verzeichnis von C:\WINDOWS\system32

2008-01-25 19:39 12,598 wpa.dbl
2008-01-12 11:40 204,120 FNTCACHE.DAT
2008-01-02 19:21 17,642,616 MRT.exe
2007-12-12 16:55 509,324 TZLog.log
2007-11-14 08:26 450,560 jscript.dll
2007-11-13 12:31 60,416 tzchange.exe
2007-11-07 10:27 729,600 lsasrv.dll
2007-10-30 11:15 3,079,680 mshtml.dll
2007-10-29 23:42 1,293,312 quartz.dll
2007-10-29 16:35 123,904 xpsp3res.dll
2007-10-28 13:09 398,180 perfh009.dat
2007-10-28 13:09 60,448 perfc009.dat

2008-01-25 19:49 101,581 datfind.txt
2008-01-25 19:43 173 jusched.log
2008-01-25 19:39 123 STS132.tmp
2008-01-25 19:39 32,768 ~DF7209.tmp
2008-01-25 19:39 307 hpqddusr.log
2008-01-25 19:39 1,285 MAR12D.tmp


2008-01-25 19:38 0 0.log
2008-01-25 19:38 1,654,476 WindowsUpdate.log
2008-01-25 19:38 50 wiaservc.log
2008-01-25 19:38 159 wiadebug.log
2008-01-25 19:38 32,570 SchedLgU.Txt
2008-01-25 19:37 2,048 bootstat.dat
2008-01-25 19:29 227 system.ini
2008-01-24 10:13 44,144 setupapi.log
2008-01-22 14:26 180,858 wmsetup.log
2008-01-19 14:18 4,642 ULEAD32.INI
2008-01-09 12:02 166,440 iis6.log
2008-01-09 12:02 358,606 comsetup.log
2008-01-09 12:02 216,104 ntdtcsetup.log
2008-01-09 12:02 407,981 tsoc.log
2008-01-09 12:02 58,468 ocmsn.log
2008-01-09 12:02 1,355 imsins.log
2008-01-09 12:02 13,594 KB941644.log
2008-01-09 12:02 507,386 ocgen.log
2008-01-09 12:02 52,953 msgsocm.log
2008-01-09 12:02 1,050,863 FaxSetup.log
2008-01-09 12:01 1,355 imsins.BAK
2008-01-09 12:01 11,601 KB943485.log
2007-12-21 13:38 6,251 KB946627.log


Verzeichnis von C:\WINDOWS\temp

2008-01-25 19:44 2,465 hpqddsvc.log
2008-01-25 19:39 409 WGANotify.settings
2008-01-25 19:38 255 WGAErrLog.txt
3 Datei(en) 3,129 Bytes
0 Verzeichnis(se), 38,645,571,584 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 34B7-E5D5

Verzeichnis von C:\WINDOWS\Downloaded Program Files

2007-10-18 01:02 214 DivXPlugin.inf
2007-02-09 07:15 175,968 IEAWSDC.DLL
2006-09-27 20:58 452 ieawsdc.inf
2006-03-02 14:40 1,271 erma.inf
2006-02-19 06:52 65 desktop.ini
2005-12-02 10:55 5,101 swflash.inf
2005-08-13 23:26 113,664 MsnMessengerSetupDownloader.ocx
2005-07-14 16:28 365 f3initialsetup1.0.0.15.inf
2005-06-30 14:19 227 MsnMessengerSetupDownloader.inf
2005-01-31 22:26 117,800 ZIntro.ocx
2004-07-26 19:37 325 heartbeat.inf
2004-07-26 19:36 134,747 zsetup.exe
2002-08-02 09:26 126,976 gsda.dll
13 Datei(en) 677,175 Bytes
0 Verzeichnis(se), 38,645,571,584 Bytes frei
.
.
.


---------

schon mal im vorhinein vielen dank für eure hilfe
lg, david

#56 @ghoefner
Aendere bitte al deine Passwoerter
__________
MfG Argus

#57 David101

zuerst den Stick reinigen,

««
den Stick formatieren:
* Die einfachste Methode benutzt das Kontextmenü des Windows Explorers: USB-Stick (Wechseldatenträger) markieren, rechte Maustaste drücken, "Formatieren" wählen. (Vollständig)

««
wende Flash_Disinfector an - der Stick muss eingestöpselt sein - in deinem Fall, beide infizierte Sticks mit Flash Des. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

««
C:\WINDOWS\system32\activexdebugger32.exe - suchen / löschen (vorher im Taskamanger dekativieren)

««
Combofix
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Du solltest jetzt auf dem Desktop diese Datei cfscript.txt finden.

Zitat

KILLALL::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a77baa72-c500-11dc-9144-00184dd51683}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{64f40c50-c8df-11dc-9152-00184dd51683}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{f7d40011-29bb-43eb-9c97-875ce89e9e36}]

File::
C:\WINDOWS\system32\hp100.tmp
C:\Dokumente und Einstellungen\Familie\Lokale Einstellungen\Temp\NESNELER.EXE
C:\WINDOWS\system32\activexdebugger32.exe
C:\WINDOWS\system32\Ijl11.dll
C:\WINDOWS\system32\KMON.OCX
C:\WINDOWS\system32\scrrntr.dll
C:\WINDOWS\system32\PAC.EXE
C:\WINDOWS\system\ACD2.CMD
C:\WINDOWS\system\ACD.CMD

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
«
wende combofix noch mal an - tippe 1

-----------------

PC neustarten

««
Prüfe den stick + berichte

-------------

««
CCLeaner anwenden
http://www.virus-protect.org/ccleaner.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#58 hi.
danke erstmal für deine hilfe. leider kann ich erst am montag meine ergebnisse posten, da ich erst dann wieder an den pc zurück kann.

lg, david

#59 nun denn ...bis Montag - und viel Erfolg beim Reinigen...
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#60 hi

bin nach der anleitung für ghoefner vorgegangen.
hab jetzt meine usb-sticks, sowie das C:laufwerk gereinigt.
combofix ist wieder deinstalliert.
nun werde ich noch FPROT ausführen und den report senden sobald dieser fertig ist.

lg, david