TR/StartPage.BK.4 l鋝st sich nicht l鰏chen.....

#0
01.02.2008, 10:03
Member

Beiträge: 19
#1 Hallo liebe Leute...
seit ein paar tagen findet antivir immer wieder den gleichen trojaner TR/StartPage.BK.4, und ich kann ihn nicht l鰏chen. ist wohl irgendwie in der systemwiederherstellung...aber da ich nicht so die ahnung hab, hoffe ich auf baldige hilfe von den netten profis :-)
hier schon mal das hijackthis logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:45:17, on 01.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\dvd43\dvd43_tray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.exe
C:\Programme\OpenOffice.org 2.1\program\soffice.BIN
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [dvd43] C:\Programme\dvd43\dvd43_tray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Internet.lnk = C:\Programme\FRITZ!DSL\FritzDsl.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Startup: OpenOffice.org 2.1.lnk = C:\Programme\OpenOffice.org 2.1\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\npjpi150_11.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe

--
End of file - 6304 bytes

ok, bis dann, david
Seitenanfang Seitenende
01.02.2008, 10:15
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

das HJ-Log sieht sauber aus, bitte den Rest abarbeiten:
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles ((http://sicher-ins-netz.info/analyse/hjt.html)
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

Zus鋞zlich:
SilentRunner
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" ausw鋒len.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

Prevx
http://www.prevx.com/freescan.asp
Poste die Funde von PrevX;

Systemwiederherstellung l鰏chen
http://www.bsi.bund.de/av/texte/wiederher.htm
Wenn der Rechner einwandfrei l鋟ft abschlie遝nd alle Systemwiederherstellungspunkte l鰏chen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zur點k gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> 躡ernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das H鋕chen entfernen (dann l鋟ft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubeh鰎->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

chris
Seitenanfang Seitenende
01.02.2008, 11:32
Member

Themenstarter

Beiträge: 19
#3 ok...hier ist alles....


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 54FF-FBF7

Verzeichnis von C:\WINDOWS\system32

28.01.2008 11:15 2.206 wpa.dbl
12.12.2007 21:14 387.268 TZLog.log
12.12.2007 21:14 1.679 lvcoinst.log
03.12.2007 16:55 103.032 FNTCACHE.DAT
01.12.2007 14:31 380.350 perfh009.dat
01.12.2007 14:31 63.580 perfc007.dat
01.12.2007 14:31 52.764 perfc009.dat
01.12.2007 14:31 391.000 perfh007.dat
01.12.2007 14:31 872.024 PerfStringBackup.INI
14.11.2007 08:26 450.560 jscript.dll
13.11.2007 12:31 60.416 tzchange.exe


und combo fix

ComboFix 08-02.01.5 - Besitzer 2008-02-01 10:39:21.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.198 [GMT 1:00]
ausgef黨rt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L鰏chungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\All Users\Desktop\UUSEE~1.LNK
C:\Dokumente und Einstellungen\All Users\Startmen黒Programme\2556~1
C:\Dokumente und Einstellungen\All Users\Startmen黒Programme\2556~1\垃圾清理.url
C:\Dokumente und Einstellungen\All Users\Startmen黒Programme\2556~1\广告拦截.url
C:\Dokumente und Einstellungen\All Users\Startmen黒Programme\2556~1\帮助指南.url
C:\Dokumente und Einstellungen\All Users\Startmen黒Programme\2556~1\伴侣导航.url
C:\Dokumente und Einstellungen\All Users\Startmen黒Programme\2556~1\系统加速.url
C:\Dokumente und Einstellungen\All Users\Startmen黒Programme\2556~1\屏蔽列表.url
C:\Dokumente und Einstellungen\All Users\Startmen黒Programme\2556~1\修复功能.url
C:\Dokumente und Einstellungen\All Users\Startmen黒Programme\2556~1\隐私保护.url
C:\Dokumente und Einstellungen\All Users\Startmen黒Programme\2556~1\自定义按钮.url
C:\Dokumente und Einstellungen\All Users\Startmen黒UUSEE~1.LNK
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\inst.exe
C:\Programme\baidu
C:\Programme\baidu\bar\baidubar.dat
C:\Programme\baidu\bar\BaiduBar.dll
C:\Programme\baidu\bar\BDBar_tmp\BaiduBar.dll
C:\Programme\baidu\bar\img\imglist.bmp
C:\Programme\baidu\bar\img\logo.bmp
C:\Programme\uusee
C:\Programme\uusee\AD\1\000\index_new.html
C:\Programme\uusee\AD\1\000\uue_new.jpg
C:\Programme\uusee\AD\1\001\index_new.html
C:\Programme\uusee\AD\1\001\uue_new.jpg
C:\Programme\uusee\AD\1\cy\cy.html
C:\Programme\uusee\AD\1\dm\dm.html
C:\Programme\uusee\AD\1\dsj\dsj.html
C:\Programme\uusee\AD\1\dst\dst.html
C:\Programme\uusee\AD\1\dy\dy.html
C:\Programme\uusee\AD\1\jk\jk.html
C:\Programme\uusee\AD\1\ty\ty.html
C:\Programme\uusee\AD\1\uu\uu.html
C:\Programme\uusee\AD\1\zx\zx.html
C:\Programme\uusee\AD\2\100\index.html
C:\Programme\uusee\AD\2\200\index.html
C:\Programme\uusee\AD\2\300\index.html
C:\Programme\uusee\AD\UUAD_Banner_1.html
C:\Programme\uusee\AD\UUAD_Banner_3.html
C:\Programme\uusee\AD\UUAD_Buffering.html
C:\Programme\uusee\AD\UUAD_Buffering.jpg
C:\Programme\uusee\AD\UUAD_TextLink_0.xml
C:\Programme\uusee\bass-plugins.exe
C:\Programme\uusee\skins\UUPlayer\About.bmp
C:\Programme\uusee\skins\UUPlayer\Control_Button_Compact_1.bmp
C:\Programme\uusee\skins\UUPlayer\Control_Button_Compact_2.bmp
C:\Programme\uusee\skins\UUPlayer\Control_Button_Compact_3.bmp
C:\Programme\uusee\skins\UUPlayer\Control_Button_FullScreen_1.bmp
C:\Programme\uusee\skins\UUPlayer\Control_Button_FullScreen_2.bmp
C:\Programme\uusee\skins\UUPlayer\Control_Button_FullScreen_3.bmp
C:\Programme\uusee\skins\UUPlayer\Control_Button_pause_1.bmp
C:\Programme\uusee\skins\UUPlayer\Control_Button_pause_2.bmp
C:\Programme\uusee\skins\UUPlayer\Control_Button_pause_3.bmp
C:\Programme\uusee\skins\UUPlayer\Control_Button_pause_4.bmp
C:\Programme\uusee\skins\UUPlayer\Control_Button_Recording_1.bmp
C:\Programme\uusee\skins\UUPlayer\Control_Button_Recording_2.bmp
C:\Programme\uusee\skins\UUPlayer\Control_Button_Recording_3.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_CheckBox_1.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_CheckBox_2.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_CheckBox_3.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_CheckBox_4.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_CheckBox_C1.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_CheckBox_C2.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_CheckBox_C3.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_CheckBox_C4.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_ComboBox_1.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_ComboBox_2.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_ComboBox_3.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_ComboBox_4.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_Edit_1.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_Edit_4.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_PushButton_1.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_PushButton_2.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_PushButton_3.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_PushButton_4.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_RadioButton_1.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_RadioButton_2.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_RadioButton_3.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_RadioButton_4.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_RadioButton_C1.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_RadioButton_C2.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_RadioButton_C3.bmp
C:\Programme\uusee\skins\UUPlayer\Ctrl_RadioButton_C4.bmp
C:\Programme\uusee\skins\UUPlayer\Dlg_Back.bmp
C:\Programme\uusee\skins\UUPlayer\Dlg_Detect.bmp
C:\Programme\uusee\skins\UUPlayer\Dlg_Frame_1.bmp
C:\Programme\uusee\skins\UUPlayer\Dlg_Frame_2.bmp
C:\Programme\uusee\skins\UUPlayer\Dlg_Frame_3.bmp
C:\Programme\uusee\skins\UUPlayer\Dlg_Record_Task_1.bmp
C:\Programme\uusee\skins\UUPlayer\Icon_Information.bmp
C:\Programme\uusee\skins\UUPlayer\Icon_Question.bmp
C:\Programme\uusee\skins\UUPlayer\Icon_Stop.bmp
C:\Programme\uusee\skins\UUPlayer\ListHeader_1.bmp
C:\Programme\uusee\skins\UUPlayer\ListHeader_2.bmp
C:\Programme\uusee\skins\UUPlayer\ListHeader_3.bmp
C:\Programme\uusee\skins\UUPlayer\ListHeader_ArrowD.bmp
C:\Programme\uusee\skins\UUPlayer\ListHeader_ArrowU.bmp
C:\Programme\uusee\skins\UUPlayer\ListHeader_SP.bmp
C:\Programme\uusee\skins\UUPlayer\Play_Window_Rec_icon.bmp
C:\Programme\uusee\skins\UUPlayer\Progressbar_Block_1.bmp
C:\Programme\uusee\skins\UUPlayer\Progressbar_Block_2.bmp
C:\Programme\uusee\skins\UUPlayer\Progressbar_Block_3.bmp
C:\Programme\uusee\skins\UUPlayer\Progressbar_Block_4.bmp
C:\Programme\uusee\skins\UUPlayer\Progressbar_BM_0.bmp
C:\Programme\uusee\skins\UUPlayer\Progressbar_BM_1.bmp
C:\Programme\uusee\skins\UUPlayer\Progressbar_BM_2.bmp
C:\Programme\uusee\skins\UUPlayer\Progressbar_BM_3.bmp
C:\Programme\uusee\skins\UUPlayer\Progressbar_BM_4.bmp
C:\Programme\uusee\skins\UUPlayer\Progressbar_BM_5.bmp
C:\Programme\uusee\skins\UUPlayer\Progressbar_BM_6.bmp
C:\Programme\uusee\skins\UUPlayer\Progressbar_BM_7.bmp
C:\Programme\uusee\skins\UUPlayer\Resource.h
C:\Programme\uusee\skins\UUPlayer\Setting_Group_1_1.bmp
C:\Programme\uusee\skins\UUPlayer\Setting_Group_1_2.bmp
C:\Programme\uusee\skins\UUPlayer\Setting_Group_1_3.bmp
C:\Programme\uusee\skins\UUPlayer\Setting_Group_2_1.bmp
C:\Programme\uusee\skins\UUPlayer\Setting_Group_2_2.bmp
C:\Programme\uusee\skins\UUPlayer\Setting_Group_2_3.bmp
C:\Programme\uusee\skins\UUPlayer\Setting_Group_3_1.bmp
C:\Programme\uusee\skins\UUPlayer\Setting_Group_3_2.bmp
C:\Programme\uusee\skins\UUPlayer\Setting_Group_3_3.bmp
C:\Programme\uusee\skins\UUPlayer\Sidebar_Button_1_1.bmp
C:\Programme\uusee\skins\UUPlayer\Sidebar_Button_1_2.bmp
C:\Programme\uusee\skins\UUPlayer\Sidebar_Button_1_3.bmp
C:\Programme\uusee\skins\UUPlayer\Sidebar_Group_1.bmp
C:\Programme\uusee\skins\UUPlayer\Sidebar_Group_2.bmp
C:\Programme\uusee\skins\UUPlayer\Sidebar_Group_3.bmp
C:\Programme\uusee\skins\UUPlayer\Sidebar_Group_x1.bmp
C:\Programme\uusee\skins\UUPlayer\Sidebar_Group_x2.bmp
C:\Programme\uusee\skins\UUPlayer\Sidebar_Group_x3.bmp
C:\Programme\uusee\skins\UUPlayer\Thumbs.db
C:\Programme\uusee\skins\UUPlayer\Titlebar_button_Res_1.bmp
C:\Programme\uusee\skins\UUPlayer\Titlebar_button_Res_2.bmp
C:\Programme\uusee\skins\UUPlayer\Titlebar_button_Res_3.bmp
C:\Programme\uusee\skins\UUPlayer\Toolbar_Button_Compact_1.bmp
C:\Programme\uusee\skins\UUPlayer\Toolbar_Button_Compact_2.bmp
C:\Programme\uusee\skins\UUPlayer\Toolbar_Button_Compact_3.bmp
C:\Programme\uusee\skins\UUPlayer\Toolbar_Button_FullScreen_1.bmp
C:\Programme\uusee\skins\UUPlayer\Toolbar_Button_FullScreen_2.bmp
C:\Programme\uusee\skins\UUPlayer\Toolbar_Button_FullScreen_3.bmp
C:\Programme\uusee\skins\UUPlayer\Toolbar_Button_TopMost_1.bmp
C:\Programme\uusee\skins\UUPlayer\Toolbar_Button_TopMost_2.bmp
C:\Programme\uusee\skins\UUPlayer\Toolbar_Button_TopMost_3.bmp
C:\Programme\uusee\skins\UUPlayer\TopTab_Browse.bmp
C:\Programme\uusee\skins\UUPlayer\TopTab_Browse1.bmp
C:\Programme\uusee\skins\UUPlayer\TopTab_Play.bmp
C:\Programme\uusee\skins\UUPlayer\TopTab_Play1.bmp
C:\Programme\uusee\skins\UUPlayer\TopTab_Record.bmp
C:\Programme\uusee\skins\UUPlayer\TopTab_Record1.bmp
C:\Programme\uusee\skins\UUPlayer\Tree_Arrow.bmp
C:\Programme\uusee\skins\UUPlayer\Tree_Collapse.bmp
C:\Programme\uusee\skins\UUPlayer\Tree_Expand.bmp
C:\Programme\uusee\skins\UUPlayer\Tree_Header.bmp
C:\Programme\uusee\skins\UUPlayer\Tree_ScrollBar_D.bmp
C:\Programme\uusee\skins\UUPlayer\Tree_ScrollBar_H.bmp
C:\Programme\uusee\skins\UUPlayer\Tree_ScrollBar_N.bmp
C:\Programme\uusee\skins\UUPlayer\Tree_ScrollBar_S.bmp
C:\Programme\uusee\skins\UUPlayer\Tree_ScrollBarThumb_D.bmp
C:\Programme\uusee\skins\UUPlayer\Tree_ScrollBarThumb_H.bmp
C:\Programme\uusee\skins\UUPlayer\Tree_ScrollBarThumb_N.bmp
C:\Programme\uusee\skins\UUPlayer\Tree_ScrollBarThumb_S.bmp
C:\Programme\uusee\skins\UUPlayer\Tree_SortIconDown.bmp
C:\Programme\uusee\skins\UUPlayer\Tree_SortIconUp.bmp
C:\Programme\uusee\skins\UUPlayer\UUSEE.ui
C:\Programme\uusee\skins\UUPlayer\Volume_Bar_Block_1.bmp
C:\Programme\uusee\skins\UUPlayer\Volume_Bar_Block_2.bmp
C:\Programme\uusee\skins\UUPlayer\Volume_Bar_Block_3.bmp
C:\Programme\uusee\skins\UUPlayer\Volume_Button_2_1.bmp
C:\Programme\uusee\skins\UUPlayer\Volume_Button_2_2.bmp
C:\Programme\uusee\skins\UUPlayer\Volume_Button_2_3.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Browser_1.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Browser_2.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Browser_3.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_ChannelInfo.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_ChannelInfo_5.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Control_1.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Control_2.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Control_3.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Control_4.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Info.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Main_1.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Main_2.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Main_3.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Main_5.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Play_1.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Play_2.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Play_5.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Record_1.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Record_2.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Record_3.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Record_4.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Setting_1.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Setting_2.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Setting_3.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Side_1.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Side_2.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Side_3.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Toolbar_1.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Toolbar_2.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Toolbar_3.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Toolbar_4.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Top_1.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Top_2.bmp
C:\Programme\uusee\skins\UUPlayer\Wnd_Top_3.bmp
C:\Programme\uusee\uninstuusee.exe
C:\Programme\uusee\UUPlayer.dll
C:\Programme\uusee\UUPlayer_update.ini
C:\Programme\uusee\UUSee.url
C:\Programme\uusee\UUSeePlayer.exe
C:\Programme\uusee\UUTV_UUPlayer.xml
C:\WINDOWS\system32\comcs32m.dll
C:\WINDOWS\system32\comcs32u.dll
C:\WINDOWS\system32\dsuiexq.dll
C:\WINDOWS\system32\micr0st.dll

----- BITS: Possible infected sites -----

hxxp://au.download.windowsupdate.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-01-01 bis 2008-02-01 ))))))))))))))))))))))))))))))
.

2008-02-01 08:44 . 2008-02-01 08:44 <DIR> d-------- C:\Programme\Trend Micro
2008-01-30 20:28 . 2008-01-30 20:28 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\skypePM
2008-01-30 20:28 . 2008-01-30 20:28 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-01-16 19:24 . 2008-01-16 19:24 <DIR> d-------- C:\Programme\DVDFab Platinum 4
2008-01-16 19:24 . 2008-01-16 19:24 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Vso
2008-01-16 19:24 . 2008-01-16 19:24 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-01-16 19:24 . 2008-01-16 19:24 47,360 --a------ C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\pcouffin.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-01 07:43 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org2
2008-01-31 20:21 --------- d-----w C:\Programme\DC++
2008-01-31 20:21 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\FRITZ!
2008-01-31 20:02 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Skype
2008-01-28 13:41 --------- d-----w C:\Programme\Winamp
2008-01-21 17:41 --------- d-----w C:\Programme\PPMate
2008-01-21 14:36 --------- d-----w C:\Programme\EA SPORTS
2007-12-31 08:15 --------- d-----w C:\Programme\Skype
2007-12-31 08:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-12-31 08:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2007-12-15 14:48 --------- d-----w C:\Programme\MSN Messenger
2007-12-15 14:48 --------- d-----w C:\Programme\Gemeinsame Dateien\uusee
2007-12-15 14:44 --------- d-----w C:\Programme\TVUPlayer
2007-12-15 14:43 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\TVU Networks
2007-12-15 13:20 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ppStream
2007-12-08 14:50 --------- d-----w C:\Programme\Magical Glass
2007-12-08 14:50 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\FreeStone Group
2007-12-08 14:26 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\PPMate
2007-12-07 17:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2007-12-02 15:41 --------- d-----w C:\Programme\TVAnts
2007-12-02 14:28 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\SopCast
2007-12-02 11:36 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Apple Computer
2007-12-02 11:32 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Teleca
2007-12-02 11:30 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sony Ericsson
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-11-03 15:48 127,034 ------r C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 13:00 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [ ]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04 1415824]
"NCLaunch"="C:\WINDOWS\NCLAUNCH.EXe" [2007-05-23 13:15 69632]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-03 23:29 165784]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 11:08 249896]
"Cmaudio"="cmicnfg.cpl" []
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-25 14:30 335872]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-02-08 01:12 488984]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam10\QuickCam10.exe" [2007-02-08 01:13 774168]
"dvd43"="C:\Programme\dvd43\dvd43_tray.exe" [2006-05-22 13:26 694272]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 13:00 15360]

C:\Dokumente und Einstellungen\Besitzer\Startmen乗Programme\Autostart\
FRITZ!DSL Internet.lnk - C:\Programme\FRITZ!DSL\FritzDsl.exe [2007-02-13 16:58:25 864256]
FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe [2007-02-13 16:58:23 913408]
FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe [2007-02-13 16:58:23 651264]
OpenOffice.org 2.1.lnk - C:\Programme\OpenOffice.org 2.1\program\quickstart.exe [2006-11-27 16:45:48 393216]

C:\Dokumente und Einstellungen\All Users\Startmen乗Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 01:48:20 40048]
Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 00:01:50 734872]
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-11-03 16:48:13 67128]

R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-05-22 02:00]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-01 10:42:31
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr鋑e...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-01 10:43:16
ComboFix-quarantined-files.txt 2008-02-01 09:42:53
.
2008-01-09 06:12:45 --- E O F ---

silenrunner:

"Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"" [file not found]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"NCLaunch" = "C:\WINDOWS\NCLAUNCH.EXe" ["Northcode Inc."]
"DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]
"MsnMsgr" = ""C:\Programme\MSN Messenger\MsnMsgr.Exe" /background" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"LogitechCommunicationsManager" = ""C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"" ["Logitech Inc."]
"LogitechQuickCamRibbon" = ""C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide" ["Logitech Inc."]
"dvd43" = "C:\Programme\dvd43\dvd43_tray.exe" [empty string]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung f黵 Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung f黵 Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung f黵 HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{63542C48-9552-494A-84F7-73AA6A7C99C1}" = "OpenOffice.org Property Sheet Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.1\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"

so, ich hoffe alles richtig gemacht zu haben...

Anhang: prevx.doc
Seitenanfang Seitenende
01.02.2008, 12:54
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 dehf

1.
l鰏che :
C:\Programme\Gemeinsame Dateien\uusee

2.
ComboFix entfernen
Start - Ausf黨ren - Kopiere rein: Combofix /U - klicke "OK"

3.
scane mit Bitdefender + poste den report
http://virus-protect.org/onlinescan.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.02.2008, 15:52
Member

Themenstarter

Beiträge: 19
#5 hallo...
habe gescannt, hier ist das ergebniss.



Scanned File


Status

C:\DCdownloads\Super DVD Ripper v1.90\keygen(Crack)\Patcher.exe


Detected with: Application.Tool.Tpatch.AW

C:\DCdownloads\Super DVD Ripper v1.90\keygen(Crack)\Patcher.exe


Deleted

C:\Dokumente und Einstellungen\Besitzer\Desktop\ppmate-2.3.1.70_by_Myp2p.eu.exe=>(NSIS o)=>lzma_solid_nsis0043


Detected with: Adware.Adhelper.CJ

C:\Dokumente und Einstellungen\Besitzer\Desktop\ppmate-2.3.1.70_by_Myp2p.eu.exe=>(NSIS o)=>lzma_solid_nsis0043


Deleted

C:\Dokumente und Einstellungen\Besitzer\Desktop\ppmate-2.3.1.70_by_Myp2p.eu.exe=>(NSIS o)


Update failed

C:\System Volume Information\_restore{10E56CDB-1542-4584-90BF-2B7C67F189A4}\RP4\A0000150.exe


Detected with: Application.Tool.Tpatch.AW

C:\System Volume Information\_restore{10E56CDB-1542-4584-90BF-2B7C67F189A4}\RP4\A0000150.exe


Deleted

Seitenanfang Seitenende
01.02.2008, 16:09
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#6 1.
ComboFix entfernen
Start - Ausf黨ren - Kopiere rein: Combofix /U - klicke "OK"

2.
lade combofix neu + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.02.2008, 16:48
Member

Themenstarter

Beiträge: 19
#7 so...
combofix erneut....
ComboFix 08-02.01.6 - Besitzer 2008-02-01 16:44:08.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.186 [GMT 1:00]
ausgef黨rt von:: C:\Dokumente und Einstellungen\Besitzer\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-01 bis 2008-02-01 ))))))))))))))))))))))))))))))
.

2008-02-01 14:07 . 2008-02-01 14:07 <DIR> d-------- C:\WINDOWS\LastGood
2008-02-01 14:07 . 2008-02-01 15:51 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-02-01 12:32 . 2008-02-01 12:34 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Winamp
2008-02-01 12:06 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-02-01 11:21 . 2008-02-01 11:21 10,624 --a------ C:\WINDOWS\system32\drivers\pxark.sys
2008-02-01 11:20 . 2008-02-01 11:20 <DIR> d-------- C:\Programme\PrevxCSI
2008-02-01 11:15 . 2008-02-01 11:21 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\PrevxCSI
2008-02-01 11:15 . 2008-02-01 11:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prevx
2008-02-01 08:44 . 2008-02-01 08:44 <DIR> d-------- C:\Programme\Trend Micro
2008-01-30 20:28 . 2008-01-30 20:28 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\skypePM
2008-01-30 20:28 . 2008-01-30 20:28 32 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-01-16 19:24 . 2008-01-16 19:24 <DIR> d-------- C:\Programme\DVDFab Platinum 4
2008-01-16 19:24 . 2008-01-16 19:24 <DIR> d-------- C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Vso
2008-01-16 19:24 . 2008-01-16 19:24 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2008-01-16 19:24 . 2008-01-16 19:24 47,360 --a------ C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\pcouffin.sys
2008-01-09 15:01 . 2008-01-09 15:01 53,248 --a------ C:\WINDOWS\bdoscandel.exe
2008-01-09 15:01 . 2008-01-09 15:01 453 --a------ C:\WINDOWS\bdoscandellang.ini

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-01 11:32 --------- d-----w C:\Programme\Winamp
2008-02-01 11:06 --------- d-----w C:\Programme\Java
2008-02-01 10:38 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org2
2008-02-01 10:35 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\FRITZ!
2008-01-31 20:21 --------- d-----w C:\Programme\DC++
2008-01-31 20:02 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Skype
2008-01-21 17:41 --------- d-----w C:\Programme\PPMate
2008-01-21 14:36 --------- d-----w C:\Programme\EA SPORTS
2007-12-31 08:15 --------- d-----w C:\Programme\Skype
2007-12-31 08:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-12-31 08:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2007-12-15 14:48 --------- d-----w C:\Programme\MSN Messenger
2007-12-15 14:44 --------- d-----w C:\Programme\TVUPlayer
2007-12-15 14:43 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\TVU Networks
2007-12-15 13:20 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\ppStream
2007-12-08 14:50 --------- d-----w C:\Programme\Magical Glass
2007-12-08 14:50 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\FreeStone Group
2007-12-08 14:26 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\PPMate
2007-12-07 17:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Teleca Shared
2007-12-02 15:41 --------- d-----w C:\Programme\TVAnts
2007-12-02 14:28 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\SopCast
2007-12-02 11:36 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Apple Computer
2007-12-02 11:32 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Teleca
2007-12-02 11:30 --------- d-----w C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Sony Ericsson
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-11-03 15:48 127,034 ------r C:\WINDOWS\bwUnin-8.1.1.50-8876480SL.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-11-11 13:00 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [ ]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04 1415824]
"NCLaunch"="C:\WINDOWS\NCLAUNCH.EXe" [2007-05-23 13:15 69632]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-04-03 23:29 165784]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 11:08 249896]
"Cmaudio"="cmicnfg.cpl" []
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24 32768]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-06-25 14:30 335872]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2007-02-08 01:12 488984]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam10\QuickCam10.exe" [2007-02-08 01:13 774168]
"dvd43"="C:\Programme\dvd43\dvd43_tray.exe" [2006-05-22 13:26 694272]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-11-11 13:00 15360]

C:\Dokumente und Einstellungen\Besitzer\Startmen乗Programme\Autostart\
FRITZ!DSL Internet.lnk - C:\Programme\FRITZ!DSL\FritzDsl.exe [2007-02-13 16:58:25 864256]
FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe [2007-02-13 16:58:23 913408]
FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe [2007-02-13 16:58:23 651264]
OpenOffice.org 2.1.lnk - C:\Programme\OpenOffice.org 2.1\program\quickstart.exe [2006-11-27 16:45:48 393216]

C:\Dokumente und Einstellungen\All Users\Startmen乗Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 01:48:20 40048]
Adobe Reader Synchronizer.lnk - C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 00:01:50 734872]
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2007-11-03 16:48:13 67128]

R3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2005-05-22 02:00]
S3 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-02-01 11:21]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-01 16:46:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr鋑e...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-01 16:47:06
ComboFix2.txt 2008-02-01 09:43:17
.
2008-01-09 06:12:45 --- E O F ---
Seitenanfang Seitenende
01.02.2008, 17:32
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#8
lade die sys hoch, (kannst du von hier aus abkopieren) lasse sie pr黤en - poste den report
http://www.virustotal.com/de/

C:\WINDOWS\system32\drivers\pxark.sys
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.02.2008, 17:42
Member

Themenstarter

Beiträge: 19
#9 weiter gehts:

MD5: d2b5e899d78c0fb0dd290d62b36f333e
Datum 2008.01.25 20:41:05 (CET) [>6D]
Ergebnisse 0/32
Permalink: analisis/e26e382e02e56accd7f6804910da38b3
Seitenanfang Seitenende
01.02.2008, 17:43
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#10 istr das der Report ??? - die sys kann wohl nicht geprueft werden ?
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.02.2008, 18:05
Member

Themenstarter

Beiträge: 19
#11 fertig, aber mit der sys kann er nix anfangen, kann sie nicht analysieren...
Dieser Beitrag wurde am 01.02.2008 um 18:37 Uhr von dehf editiert.
Seitenanfang Seitenende
01.02.2008, 18:35
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#12 und denk mal nach, was du
S3 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-02-01 11:21] - hier installiert hast ;)
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.02.2008, 18:39
Member

Themenstarter

Beiträge: 19
#13 das sagt mir gar nix....ich kan nichts damit anfangen...?
hast du irgendeinen plan? ist dat denn "b鰏e"?
aber die antivir warnung bleibt inzwischen auch aus, und etwas anderes findet er auch nicht.
auch S&D findet nix....
scheint alles in ordnung zu sein...
habe aber das hier gefunden....
pxark.sys
PXARK.SYS is related to Prevx CSI Rootkit Detection and Removal Engine.
Manufacturer: Prevx CSI


ach so...oh mann, ich steh heute echt aufm schlauch....
ok, danke!!
Dieser Beitrag wurde am 01.02.2008 um 19:21 Uhr von dehf editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
  • »
  • »
  • »
  • »
  • »