win32.agent.qt kommt immer wieder :(

#0
07.02.2008, 22:00
...neu hier

Beiträge: 7
#1 Hallo!

Ich habe ein Problem mit einem ziemlich nervigen Trojaner den Spybot als win32.agent.qt identifiziert. Ich hab ihn auch schon mehrmals mit Spybot zu entfernen versucht was immer mit einer Erfolgsmeldung endete. Wenn ich PC dann aber reboote ist er wieder da! Ich weiß nicht wie ich das Teil los werde.

HijakThis produzierte folgendes Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 21:22:06, on 07.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Ad-Aware 2007\aawservice.exe
C:\Programme\Avast4\aswUpdSv.exe
C:\Programme\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Apoint\Apoint.exe
C:\Programme\Avast4\ashMaiSv.exe
C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_Task.exe
C:\Programme\Avast4\ashWebSv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\sony\isb utility\ISBMgr.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\Thomas\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.com/de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\sony\isb utility\ISBMgr.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu572.exe 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [Drmupgds] C:\Programme\Drmupgds\Drmupgds.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.club-vaio.com
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe


Kann mir bitte jemand helfen?! Ich bin am verzweifeln.

Tom
Seitenanfang Seitenende
07.02.2008, 22:58
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Bitte poste einmal den Rest Reporte aus diesem Thread. http://board.protecus.de/t23187.htm
__________
MfG Argus
Seitenanfang Seitenende
08.02.2008, 10:05
...neu hier

Themenstarter

Beiträge: 7
#3 Hallo!

Erst mal vielen Dank für deine Hilfe!!!
Ich hab alles genauso gemacht wie verlangt

Ich beziehe mich jetzt auf den von dir angegebenen Thread!

ad 1.)
Erledigt!

ad 2.)
Erledigt! Hier der Log von Combofix:

Code



ComboFix 08-02.05.3 - Thomas 2008-02-08  9:41:17.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.198 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Thomas\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Temporary
C:\Programme\Temporary\kernInst.exe
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\b122.exe
C:\WINDOWS\mrofinu1000106.exe
C:\WINDOWS\mrofinu572.exe
C:\WINDOWS\system32\pac.txt

.
(((((((((((((((((((((((   Dateien erstellt von 2008-01-08 bis 2008-02-08  ))))))))))))))))))))))))))))))
.

2008-02-08 09:05 . 2006-02-28 13:00    73,728    --a------    C:\WINDOWS\system32\tasklist.exe
2008-02-07 18:23 . 2008-02-07 19:45    <DIR>    d--------    C:\VundoFix Backups
2008-02-07 09:09 . 2004-08-19 10:04    <DIR>    d--h-----    C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-02-07 09:09 . 2004-08-19 11:00    <DIR>    dr-------    C:\Dokumente und Einstellungen\Administrator\Startmen
2008-02-07 09:09 . 2004-08-19 11:00    <DIR>    d--h-----    C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-02-07 09:09 . 2004-08-19 11:00    <DIR>    d--h-----    C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-02-07 09:09 . 2004-09-01 11:08    <DIR>    dr-------    C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-02-07 09:09 . 2004-08-19 11:09    <DIR>    dr-------    C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-02-07 09:09 . 2004-08-19 11:00    <DIR>    d--h-----    C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-02-07 09:09 . 2004-08-19 11:32    <DIR>    d--------    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec
2008-02-07 09:09 . 2004-08-19 11:56    <DIR>    d--------    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sony Corporation
2008-02-07 09:09 . 2004-08-19 11:42    <DIR>    dr-h-----    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-02-06 00:56 . 2008-02-07 10:34    415    --a------    C:\WINDOWS\wininit.ini
2008-02-05 23:40 . 2008-02-05 23:40    <DIR>    d--------    C:\WINDOWS\system32\nGpxx01
2008-02-05 23:40 . 2008-02-06 18:54    <DIR>    d--------    C:\WINDOWS\system32\feq9
2008-02-05 23:40 . 2008-02-05 23:40    <DIR>    d--------    C:\WINDOWS\system32\dp1
2008-02-05 23:40 . 2008-02-05 23:40    <DIR>    d--------    C:\temp\isgTi19
2008-02-05 23:40 . 2008-02-05 23:40    36,864    --a------    C:\WINDOWS\mrofinu572.exe.tmp
2008-01-26 14:51 . 2008-01-26 14:51    54,156    --ah-----    C:\WINDOWS\QTFont.qfn
2008-01-26 14:51 . 2008-01-26 14:51    1,409    --a------    C:\WINDOWS\QTFont.for
2008-01-18 18:31 . 2008-02-01 14:19    <DIR>    d--------    C:\temp\z39
2008-01-18 18:31 . 2008-02-08 09:41    <DIR>    d--------    C:\temp
2008-01-18 18:25 . 2008-01-31 11:20    <DIR>    d--------    C:\Dokumente und Einstellungen\Thomas\EurekaLog
2008-01-15 19:35 . 2008-01-15 19:35    <DIR>    d--------    C:\Programme\Apple Software Update
2008-01-15 19:35 . 2008-01-15 19:35    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-01-10 00:00 . 2006-11-12 11:39    483,328    --a------    C:\WINDOWS\system32\actskn45.ocx

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-08 08:45    ---------    d-----w    C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Skype
2008-02-05 23:02    ---------    d-----w    C:\Programme\Avast4
2008-02-05 21:54    ---------    d-----w    C:\Programme\Mozilla Thunderbird
2008-02-04 21:56    ---------    d-----w    C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\MiniLyrics
2008-02-01 11:57    ---------    d-----w    C:\Programme\Bibliographix6
2008-02-01 10:41    ---------    d-----w    C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\FileZilla
2008-01-25 17:46    ---------    d-----w    C:\Programme\Ad-Aware 2007
2008-01-21 21:42    ---------    d-----w    C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\MyPhoneExplorer
2008-01-18 17:25    ---------    d-----w    C:\Programme\MediaMonkey
2008-01-15 18:43    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-10 08:18    ---------    d-----w    C:\Programme\Shareaza
2007-12-29 12:47    ---------    d-----w    C:\Programme\MSN Messenger
2007-12-27 23:47    720,896    ----a-w    C:\WINDOWS\iun6002.exe
2007-12-25 15:11    ---------    d-----w    C:\Programme\MindSoft Utilities XP 8
2007-12-23 19:29    ---------    d-----w    C:\Programme\CONEXANT
2007-12-19 18:35    ---------    d-----w    C:\Programme\[url="http://www.ccleaner.de"]CCleaner[/url]
2007-12-10 18:36    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2007-12-10 17:34    ---------    d-----w    C:\Programme\MyPhoneExplorer
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-09-13 12:31 22880040]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]
"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [2007-02-20 16:18 983040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2003-11-07 18:21 114688]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-07-10 20:10 339968]
"HKSERV.EXE"="C:\Programme\Sony\HotKey Utility\HKserv.exe" [2004-06-29 13:49 122880]
"Switcher.exe"="C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe" [2004-01-19 09:49 290816]
"Hcontrol"="C:\WINDOWS\ATK0100\Hcontrol.exe" [2003-09-19 18:42 61440]
"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 15:46 45056 C:\WINDOWS\system32\ico.exe]
"ISBMgr.exe"="C:\Programme\sony\isb utility\ISBMgr.exe" [2004-02-20 13:12 32768]
"SonyPowerCfg"="C:\Programme\sony\vaio power management\SPMgr.exe" [2004-06-29 20:45 180224]
"avast!"="C:\PROGRA~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 15:17 159744]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"SoundMan"=SOUNDMAN.EXE
"CARPService"=carpserv.exe
"<NO NAME>"=

R3 SPI;Sony Programmable I/O Control Device;C:\WINDOWS\system32\DRIVERS\SonyPI.sys [2002-08-20 12:59]
S3 pelmouse;Mouse Suite Driver;C:\WINDOWS\system32\DRIVERS\pelmouse.sys [2002-06-28 17:21]
S3 pelusblf;USB Mouse Low Filter Driver;C:\WINDOWS\system32\DRIVERS\pelusblf.sys [2001-07-24 09:34]
S3 StickCap;Digital TV DVB-T USB Stick adapter service;C:\WINDOWS\system32\Drivers\stickcap.sys [2005-06-21 05:33]
S3 stickload;Digital TV stick firmware loader service;C:\WINDOWS\system32\DRIVERS\stickload.sys [2005-06-21 06:23]
S3 V0260VID;Live! Cam Vista IM;C:\WINDOWS\system32\DRIVERS\V0260Vid.sys [2006-11-03 23:45]

.
Inhalt des "geplante Tasks" Ordners
"2008-01-25 20:58:12 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-02-08 08:44:48 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDetect.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-08 09:45:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Ad-Aware 2007\aawservice.exe
C:\Programme\Avast4\aswUpdSv.exe
C:\Programme\Avast4\ashServ.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_Task.exe
C:\Programme\Avast4\ashMaiSv.exe
C:\Programme\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\System32\rundll32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-08  9:46:38 - machine was rebooted
ComboFix-quarantined-files.txt  2008-02-08 08:46:34
.
2008-01-09 17:42:46    --- E O F ---  



ad 3a/b.)
Erledigt! Hier zuerst der Log von Hijackthis und anschließend die UninstallListe

Code



Logfile of HijackThis v1.99.1
Scan saved at 09:33:26, on 08.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Ad-Aware 2007\aawservice.exe
C:\Programme\Avast4\aswUpdSv.exe
C:\Programme\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_Task.exe
C:\Programme\Avast4\ashMaiSv.exe
C:\Programme\Avast4\ashWebSv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Apoint\Apoint.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\WINDOWS\ATK0100\Hcontrol.exe
C:\WINDOWS\system32\ICO.EXE
C:\Programme\sony\isb utility\ISBMgr.exe
C:\Programme\sony\vaio power management\SPMgr.exe
C:\PROGRA~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Apoint\Apntex.exe
C:\WINDOWS\ATK0100\ATKOSD.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Dokumente und Einstellungen\Thomas\Desktop\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.com/de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe
O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\sony\isb utility\ISBMgr.exe
O4 - HKLM\..\Run: [SonyPowerCfg] C:\Programme\sony\vaio power management\SPMgr.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.club-vaio.com
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Ad-Aware 2007\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: VAIO Cooporated Initialisation (VCI) - Sony Corporation - C:\Programme\Sony\VAIO Cooperated Initialisation\VCI_SVC.exe





Ad-Aware 2007
Adobe Flash Player Plugin
Adobe Photoshop Elements 2.0
Adobe Reader 8.1.1 - Deutsch
AnyDVD
Apple Software Update
ATI - Dienstprogramm zur Deinstallation der Software
ATI Control Panel
ATI Display Driver
ATK0100 ACPI UTILITY
Audacity 1.2.2
Autodesk MapGuide Viewer Plug-In
avast! Antivirus
Benutzerhandbuch für Creative Live! Cam Vista IM (Deutsch)
Bibliographix 6
Bibliographix 6.2.00
CCleaner (remove only)
CIB pdf brewer 2.2.4
Click to DVD 2.0.01 Menüdaten
Click to DVD 2.3.03
CloneDVD2
Creative Live! Cam Center
Creative Live! Cam Vista IM Driver (1.01.03.1104)
Creative Software AutoUpdate
Creative WebCam Center
Creative-Systeminformationen
Digital TV Stick
FileZilla Client 3.0.4.1
Google Earth
HijackThis 1.99.1
Hotfix for Windows Media Format 11 SDK (KB929399)
Hotfix for Windows XP (KB915865)
Hotfix for Windows XP (KB926239)
Hotfix für Windows Media Player 11 (KB939683)
HotKey Utility
Intel(R) PRO Network Adapters and Drivers
Intel(R) PROSet/Wireless Software
InterVideo WinDVD 5 for VAIO
InterVideo WinDVDX
Java 2 Runtime Environment, SE v1.4.2_05
LiveReg (Symantec Corporation)
Macromedia Dreamweaver 8
Macromedia Extension Manager
Macromedia Flash Player
mCore
mDriver
MediaMonkey 3.0
Memory Stick Formatter
Microsoft Compression Client Pack 1.0 for Windows XP
Microsoft Internationalized Domain Names Mitigation APIs
Microsoft National Language Support Downlevel APIs
Microsoft Office Access MUI (German) 2007
Microsoft Office Enterprise 2007
Microsoft Office Enterprise 2007
Microsoft Office Excel MUI (German) 2007
Microsoft Office Groove MUI (German) 2007
Microsoft Office InfoPath MUI (German) 2007
Microsoft Office OneNote MUI (German) 2007
Microsoft Office Outlook MUI (German) 2007
Microsoft Office PowerPoint MUI (German) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (French) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Italian) 2007
Microsoft Office Proofing (German) 2007
Microsoft Office Publisher MUI (German) 2007
Microsoft Office Shared MUI (German) 2007
Microsoft Office Word MUI (German) 2007
Microsoft Office XP Professional mit FrontPage
Microsoft User-Mode Driver Framework Feature Pack 1.0
Microsoft Windows-Journal-Viewer
MindSoft Utilities XP 8
Minilyrics(remove only)
mMHouse
Mozilla Firefox (2.0.0.11)
Mozilla Thunderbird (2.0.0.9)
mPfMgr
mProSafe
MSXML 4.0 SP2 (KB936181)
mWlsSafe
mXML
MyPhoneExplorer
Nero 6 Ultra Edition
Norton AntiSpam
Norton AntiSpam
Norton Internet Security
Norton Internet Security
OLYMPUS CAMEDIA Master 4.1
OpenMG Limited Patch 4.0-04-07-14-01
OpenMG Secure Module 4.0.00
QuickTime
RealPlayer
Realtek AC'97 Audio
Shareaza 2.3.1.0
Skype™ 3.5
SoftK56 Data Fax CARP
SoftV92 Data Fax Modem
Sony Ericsson PC Suite 1.20.173
Sony MPEG2-TS Splitter 1.0
Sony Notebook Setup
Sony USB Mouse
Sony Utilities DLL
Sony Video Shared Library
Spybot - Search & Destroy 1.4
VAIO GrandBlue Wallpaper
VAIO Power Management
VAIO SLIT Pattern Wallpaper
VAIO SLIT Scene Wallpaper
VAIO SLIT-A Screen Saver
VAIO SLIT-B Screen Saver
VAIO SLIT-C Screen Saver
VAIO Update 3
VideoLAN VLC media player 0.8.6c
Windows Installer 3.1 (KB893803)
Windows Internet Explorer 7
Windows Live Messenger
Windows Media Format 11 runtime
WinRAR archiver
Wireless Switch Setting Utility
x-black LCD
Xleaner SE Personal v2.1.0.4
Xvid 1.1.3 final uninstall



ad 4.)
Erledigt! Hier der Log von von der datfind.bat (zurück bis ca. Oktober 07)



.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 0855-FD4B

Verzeichnis von C:\WINDOWS\system32

06.02.2008 00:10 2.993 CONFIG.NT
15.01.2008 19:42 12.632 lsdelete.exe
13.01.2008 23:29 1.158 wpa.dbl
02.01.2008 19:21 17.642.616 MRT.exe
12.12.2007 17:52 387.268 TZLog.log
11.12.2007 09:22 282.928 FNTCACHE.DAT
04.12.2007 14:04 837.496 aswBoot.exe
04.12.2007 13:54 95.608 AvastSS.scr
13.11.2007 12:31 60.416 tzchange.exe
08.11.2007 10:18 203.776 clrviddc.dll
07.11.2007 10:27 729.600 lsasrv.dll
31.10.2007 00:19 3.590.656 mshtml.dll


2115 Datei(en) 456.597.574 Bytes
0 Verzeichnis(se), 17.969.532.928 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 0855-FD4B

Verzeichnis von C:\DOKUME~1\Thomas\LOKALE~1\Temp

08.02.2008 09:37 103.646 datfind.txt
07.02.2008 19:49 16.384 ~DFE9A6.tmp
07.02.2008 19:45 32.768 ~DF2C13.tmp
07.02.2008 18:23 32.768 ~DF2F2B.tmp
4 Datei(en) 185.566 Bytes
0 Verzeichnis(se), 17.969.557.504 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 0855-FD4B

Verzeichnis von C:\WINDOWS

08.02.2008 09:29 60 setupact.log
08.02.2008 09:29 0 setuperr.log
08.02.2008 09:24 32.402 SchedLgU.Txt
08.02.2008 08:43 1.891.370 WindowsUpdate.log
08.02.2008 08:42 0 0.log
08.02.2008 08:42 2.048 bootstat.dat
07.02.2008 21:22 4.753 setupapi.log
07.02.2008 10:34 415 wininit.ini
05.02.2008 23:43 36.864 mrofinu572.exe
05.02.2008 23:41 36.864 mrofinu1000106.exe
05.02.2008 23:40 36.864 mrofinu572.exe.tmp

05.02.2008 23:33 116 NeroDigital.ini
04.02.2008 15:13 54.272 b122.exe
26.01.2008 14:51 54.156 QTFont.qfn
26.01.2008 14:51 1.409 QTFont.for
07.01.2008 19:51 512 ODBC.INI
28.12.2007 00:47 720.896 iun6002.exe
27.12.2007 17:41 38.282 ModemLog_CXT AC-Link Modem for Intel.txt
04.12.2007 20:17 1.280 ultima_prog2.bin
04.12.2007 20:17 528 ultima_prog2.nfo
04.12.2007 20:17 0 capture.mpg
29.10.2007 19:17 920 CDPlayer.ini
13.10.2007 19:20 501 win.ini
09.09.2007 15:01 0 mngui.INI
16.08.2007 17:35 3 ultima_lang.nfo
14.08.2007 17:39 0 VAIOUpdt.INI
14.08.2007 17:30 0 nsreg.dat
14.08.2007 17:20 107.132 UninstallThunderbird.exe

.
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 0855-FD4B

Verzeichnis von C:\WINDOWS\temp

08.02.2008 08:42 16.384 Perflib_Perfdata_708.dat
08.02.2008 08:42 16.384 Perflib_Perfdata_284.dat
07.02.2008 19:53 16.384 Perflib_Perfdata_590.dat
07.02.2008 19:48 16.384 Perflib_Perfdata_438.dat
07.02.2008 19:03 16.384 Perflib_Perfdata_27c.dat
07.02.2008 00:16 16.384 Perflib_Perfdata_24b8.dat
06.02.2008 23:35 16.384 Perflib_Perfdata_754.dat
06.02.2008 08:03 16.384 Perflib_Perfdata_2b4.dat
06.02.2008 08:03 16.384 Perflib_Perfdata_728.dat
9 Datei(en) 147.456 Bytes
0 Verzeichnis(se), 17.969.549.312 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist VAIO
Volumeseriennummer: 0855-FD4B

Verzeichnis von C:\WINDOWS\Downloaded Program Files

19.08.2004 10:06 65 desktop.ini
1 Datei(en) 65 Bytes
0 Verzeichnis(se), 17.969.549.312 Bytes frei
.
.
.

ad 5.)
Wie gesagt Spypot erkennt das Teil als Win32.Agent.qt. Und es lässt sich auch damit entfernen, erscheint aber kurzdarauf wieder. Spybot erkennt das Ding als "Registrierungsdatenbank-Wert" und gibt folgenden Pfad an:
HKEY_USERS\S-1-5-21-2415682206-914002717-4149115087-1005\Software\Microsoft\Internet Explorer\New Windows\Allow\*.starsdoor.com

Ich hoffe ich hab alles so gemacht wie's da drin stand!
Danke nochmals für die Hilfe!

Gruß

Tom
Seitenanfang Seitenende
08.02.2008, 12:22
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 Hallo thobi2001

1.
lade bitte diese exe hoch - lasse sie prüfen + poste hier die Reporte
http://www.virustotal.com/de/

C:\WINDOWS\system32\tasklist.exe
C:\WINDOWS\mrofinu572.exe
C:\WINDOWS\mrofinu1000106.exe
C:\WINDOWS\b122.exe

2.
klicke: C:\WINDOWS\wininit.ini mit Rechtsklick (mit Texteditor öffnen) - poste, was da steht

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme\Temporary" >>files.txt
dir "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten" >>files.txt
dir "C:\WINDOWS\system32\nGpxx01" >>files.txt
dir "C:\WINDOWS\system32\feq9" >>files.txt
dir "C:\WINDOWS\system32\dp1" >>files.txt
dir "C:\Temp\1cb" >>files.txt
dir "C:\temp" >>files.txt
notepad files.txt

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
08.02.2008, 17:36
...neu hier

Themenstarter

Beiträge: 7
#5 Hallo Pinguin!

Danke für deine Hilfe!
Hab alles gemacht wie gefordert:

ad 1.)
Die files
C:\WINDOWS\mrofinu572.exe
C:\WINDOWS\mrofinu1000106.exe
C:\WINDOWS\b122.exe
waren nicht zu finden. (Vielleicht hat die der "AVG Anti-Spyware" gelöscht den ich runergeladen und drüber laufen lassen hab)

Der Report zur "C:\WINDOWS\system32\tasklist.exe" ist folgender:

Code



Antivirus      Version      letzte aktualisierung      Ergebnis
AhnLab-V3    2008.2.6.10    2008.02.05    -
AntiVir    7.6.0.62    2008.02.08    -
Authentium    4.93.8    2008.02.08    -
Avast    4.7.1098.0    2008.02.07    -
AVG    7.5.0.516    2008.02.08    -
BitDefender    7.2    2008.02.08    -
CAT-QuickHeal    None    2008.02.08    -
ClamAV    0.92    2008.02.08    -
DrWeb    4.44.0.09170    2008.02.08    -
eSafe    7.0.15.0    2008.01.28    -
eTrust-Vet    31.3.5521    2008.02.08    -
Ewido    4.0    2008.02.08    -
FileAdvisor    1    2008.02.08    -
Fortinet    3.14.0.0    2008.02.08    -
F-Prot    4.4.2.54    2008.02.07    -
F-Secure    6.70.13260.0    2008.02.08    -
Ikarus    T3.1.1.20    2008.02.08    -
Kaspersky    7.0.0.125    2008.02.08    -
McAfee    5225    2008.02.07    -
Microsoft    1.3204    2008.02.08    -
NOD32v2    2860    2008.02.08    -
Norman    5.80.02    2008.02.08    -
Panda    9.0.0.4    2008.02.07    -
Rising    20.29.22.00    2008.01.30    -
Sophos    4.26.0    2008.02.08    -
Sunbelt    2.2.907.0    2008.02.08    -
Symantec    10    2008.02.08    -
TheHacker    6.2.9.212    2008.02.07    -
VBA32    3.12.6.0    2008.02.07    -
VirusBuster    4.3.26:9    2008.02.08    -
Webwasher-Gateway    6.6.2    2008.02.08    -
weitere Informationen
File size: 73728 bytes
MD5: 5613c74181a9d4fab1c72abba71ca6b2
SHA1: 1b65aa9850b3f824713eea12a94d0d9794378369
PEiD: -



ad 2.)
Erledigt! Der Log folgt:

Code



[rename]
c:\tempjunk9384.tmp=C:\WINDOWS\system32\nnnol.dll_tobedeleted
nul=c:\tempjunk2036.tmp
c:\tempjunk7782.tmp=C:\WINDOWS\system32\nnnol.dll_tobedeleted
c:\tempjunk9112.tmp=C:\WINDOWS\system32\nnnol.dll_tobedeleted
c:\tempjunk5059.tmp=C:\WINDOWS\system32\nnnol.dll_tobedeleted
c:\tempjunk8657.tmp=C:\WINDOWS\system32\nnnol.dll_tobedeleted
c:\tempjunk2036.tmp=C:\WINDOWS\system32\nnnol.dll_tobedeleted



ad 3.)
Erledigt! Der log ist folgender:

Code



Datenträger in Laufwerk C: ist VAIO
Volumeseriennummer: 0855-FD4B

Verzeichnis von C:\Programme

Datenträger in Laufwerk C: ist VAIO
Volumeseriennummer: 0855-FD4B

Verzeichnis von C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten

19.08.2004  10:08    <DIR>          Identities
19.08.2004  11:56    <DIR>          Sony Corporation
19.08.2004  11:42    <DIR>          Sun
19.08.2004  11:32    <DIR>          Symantec
               0 Datei(en)              0 Bytes
               4 Verzeichnis(se), 17.739.878.400 Bytes frei
Datenträger in Laufwerk C: ist VAIO
Volumeseriennummer: 0855-FD4B

Verzeichnis von C:\WINDOWS\system32\nGpxx01

05.02.2008  23:40    <DIR>          .
05.02.2008  23:40    <DIR>          ..
20.01.2008  17:14            32.768 nGpxx011065.exe
               1 Datei(en)         32.768 Bytes
               2 Verzeichnis(se), 17.739.874.304 Bytes frei
Datenträger in Laufwerk C: ist VAIO
Volumeseriennummer: 0855-FD4B

Verzeichnis von C:\WINDOWS\system32\feq9

06.02.2008  18:54    <DIR>          .
06.02.2008  18:54    <DIR>          ..
               0 Datei(en)              0 Bytes
               2 Verzeichnis(se), 17.739.874.304 Bytes frei
Datenträger in Laufwerk C: ist VAIO
Volumeseriennummer: 0855-FD4B

Verzeichnis von C:\WINDOWS\system32\dp1

05.02.2008  23:40    <DIR>          .
05.02.2008  23:40    <DIR>          ..
               0 Datei(en)              0 Bytes
               2 Verzeichnis(se), 17.739.874.304 Bytes frei
Datenträger in Laufwerk C: ist VAIO
Volumeseriennummer: 0855-FD4B

Verzeichnis von C:\Temp

Datenträger in Laufwerk C: ist VAIO
Volumeseriennummer: 0855-FD4B

Verzeichnis von C:\temp

08.02.2008  09:41    <DIR>          .
08.02.2008  09:41    <DIR>          ..
05.02.2008  23:40    <DIR>          isgTi19
01.02.2008  14:19    <DIR>          z39
               0 Datei(en)              0 Bytes
               4 Verzeichnis(se), 17.739.874.304 Bytes frei



Ich hoffe du kanns damit was anfangen!

Dank dir!

Lg,

Tom
Seitenanfang Seitenende
08.02.2008, 20:32
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Entferne auf C:\ Qoobox-->Papierkorb leeren

RVAXO
Download: RVAXO by Smeenk,zum Desktop
Danach doppelklicken
Öffne die Datei RVAXO und doppelklick “RVAXO.cmd”
Moeglich startet der Uninstaller von ein Roquescanner schliesse es nicht ab aber lass es seine Arbeit tun
Dein Rechner wird neu gestartet,wenn nicht
Rechner neu starten und nochmals “RVAXO.cmd” doppelklicken
Poste nachher den logfile C:\ RVAXO-results.log in dein folgender Bericht
__________
MfG Argus
Seitenanfang Seitenende
08.02.2008, 22:48
...neu hier

Themenstarter

Beiträge: 7
#7 Alles erledigt wie angewiesen!

Es folgt das Logfile von RVAXO-results.log:

Code



---RVAXO.exe Updated: [b]2008-02-08[/b]---first run---
[b]Files found:[/b]
C:\WINDOWS\system32\actskn45.ocx

[b]Uninstallers:[/b]


[b]Folders Found:[/b]

C:\WINDOWS\system32\nGpxx01

Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

[b]Files found:[/b]

[b]Folders Found:[/b]

--------------RVAXO.exe finished----------------

Seitenanfang Seitenende
08.02.2008, 22:52
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Oeffne die Datei RVAXO auf dein Desktop
Doppleklick Uninstall.cmd um alles von RVAXO zu entfernen

Und poste wieder ein log von Combofix im thread
__________
MfG Argus
Seitenanfang Seitenende
08.02.2008, 23:53
...neu hier

Themenstarter

Beiträge: 7
#9 Erledigt!

Es folgt das logfile von Combofix:

Code



ComboFix 08-02.05.3 - Thomas 2008-02-08 23:46:09.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.321 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Thomas\Desktop\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((   Dateien erstellt von 2008-01-08 bis 2008-02-08  ))))))))))))))))))))))))))))))
.

2008-02-08 22:54 . 2008-02-08 23:41    <DIR>    d--------    C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Comodo
2008-02-08 19:45 . 2008-02-08 19:45    <DIR>    d--------    C:\WINDOWS\system32\Kaspersky Lab
2008-02-08 19:45 . 2008-02-08 19:45    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-02-08 19:39 . 2008-02-08 19:39    <DIR>    d--------    C:\WINDOWS\Sun
2008-02-08 19:39 . 2007-09-24 23:31    69,632    --a------    C:\WINDOWS\system32\javacpl.cpl
2008-02-08 19:38 . 2008-02-08 19:39    <DIR>    d--------    C:\Programme\Java
2008-02-08 19:37 . 2008-02-08 19:37    <DIR>    d--------    C:\Programme\Gemeinsame Dateien\Java
2008-02-08 11:35 . 2005-01-14 04:41    11,254    --a------    C:\WINDOWS\system32\locate.com
2008-02-08 11:34 . 2008-02-08 11:35    <DIR>    d--------    C:\MGtools
2008-02-08 11:34 . 2008-02-08 11:35    45,395    --a------    C:\MGlogs.zip
2008-02-08 11:33 . 2008-02-08 11:33    <DIR>    d--------    C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Grisoft
2008-02-08 11:30 . 2008-02-08 11:38    <DIR>    d--------    C:\Programme\AVG Anti-Spyware 7.5
2008-02-08 11:30 . 2008-02-08 11:30    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-02-08 11:30 . 2007-05-30 13:10    10,872    --a------    C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-02-08 11:28 . 2008-02-05 12:11    1,238,736    --a------    C:\MGtools.exe
2008-02-08 09:40 . 2004-08-03 23:57    401,408    --a------    C:\kmd.exe
2008-02-08 09:05 . 2006-02-28 13:00    73,728    --a------    C:\WINDOWS\system32\tasklist.exe
2008-02-07 09:09 . 2004-08-19 10:04    <DIR>    d--h-----    C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-02-07 09:09 . 2004-08-19 11:00    <DIR>    dr-------    C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-02-07 09:09 . 2004-08-19 11:00    <DIR>    d--h-----    C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-02-07 09:09 . 2008-02-08 09:46    <DIR>    d--h-----    C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-02-07 09:09 . 2004-09-01 11:08    <DIR>    dr-------    C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-02-07 09:09 . 2004-08-19 11:09    <DIR>    dr-------    C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-02-07 09:09 . 2004-08-19 11:00    <DIR>    d--h-----    C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-02-07 09:09 . 2004-08-19 11:32    <DIR>    d--------    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec
2008-02-07 09:09 . 2004-08-19 11:56    <DIR>    d--------    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sony Corporation
2008-02-07 09:09 . 2008-02-08 19:27    <DIR>    dr-h-----    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-02-06 00:56 . 2008-02-07 10:34    415    --a------    C:\WINDOWS\wininit.ini
2008-02-05 23:40 . 2008-02-06 18:54    <DIR>    d--------    C:\WINDOWS\system32\feq9
2008-02-05 23:40 . 2008-02-05 23:40    <DIR>    d--------    C:\WINDOWS\system32\dp1
2008-02-05 23:40 . 2008-02-05 23:40    <DIR>    d--------    C:\temp\isgTi19
2008-01-26 14:51 . 2008-01-26 14:51    54,156    --ah-----    C:\WINDOWS\QTFont.qfn
2008-01-26 14:51 . 2008-01-26 14:51    1,409    --a------    C:\WINDOWS\QTFont.for
2008-01-18 18:31 . 2008-02-01 14:19    <DIR>    d--------    C:\temp\z39
2008-01-18 18:31 . 2008-02-08 09:41    <DIR>    d--------    C:\temp
2008-01-18 18:25 . 2008-01-31 11:20    <DIR>    d--------    C:\Dokumente und Einstellungen\Thomas\EurekaLog
2008-01-15 19:35 . 2008-01-15 19:35    <DIR>    d--------    C:\Programme\Apple Software Update
2008-01-15 19:35 . 2008-01-15 19:35    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-08 22:43    ---------    d-----w    C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Skype
2008-02-08 21:29    ---------    d-----w    C:\Programme\Mozilla Thunderbird
2008-02-08 19:09    ---------    d-----w    C:\Programme\MSN Messenger
2008-02-08 18:43    ---------    d-----w    C:\Programme\Gemeinsame Dateien\Adobe
2008-02-08 14:36    ---------    d-----w    C:\Programme\Bibliographix6
2008-02-05 23:02    ---------    d-----w    C:\Programme\Avast4
2008-02-04 21:56    ---------    d-----w    C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\MiniLyrics
2008-02-01 10:41    ---------    d-----w    C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\FileZilla
2008-01-25 17:46    ---------    d-----w    C:\Programme\Ad-Aware 2007
2008-01-21 21:42    ---------    d-----w    C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\MyPhoneExplorer
2008-01-18 17:25    ---------    d-----w    C:\Programme\MediaMonkey
2008-01-15 18:43    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-15 18:42    12,632    ----a-w    C:\WINDOWS\system32\lsdelete.exe
2008-01-10 08:18    ---------    d-----w    C:\Programme\Shareaza
2007-12-27 23:47    720,896    ----a-w    C:\WINDOWS\iun6002.exe
2007-12-25 15:11    ---------    d-----w    C:\Programme\MindSoft Utilities XP 8
2007-12-23 19:29    ---------    d-----w    C:\Programme\CONEXANT
2007-12-19 18:35    ---------    d-----w    C:\Programme\[url="http://www.ccleaner.de"]CCleaner[/url]
2007-12-10 18:36    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2007-12-10 17:34    ---------    d-----w    C:\Programme\MyPhoneExplorer
2007-12-04 13:04    837,496    ----a-w    C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54    95,608    -c--a-w    C:\WINDOWS\system32\AvastSS.scr
2007-11-08 09:18    203,776    -c--a-w    C:\WINDOWS\system32\clrviddc.dll
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-09-13 12:31 22880040]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2003-11-07 18:21 114688]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-07-10 20:10 339968]
"HKSERV.EXE"="C:\Programme\Sony\HotKey Utility\HKserv.exe" [2004-06-29 13:49 122880]
"Switcher.exe"="C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe" [2004-01-19 09:49 290816]
"Hcontrol"="C:\WINDOWS\ATK0100\Hcontrol.exe" [2003-09-19 18:42 61440]
"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 15:46 45056 C:\WINDOWS\system32\ico.exe]
"ISBMgr.exe"="C:\Programme\sony\isb utility\ISBMgr.exe" [2004-02-20 13:12 32768]
"SonyPowerCfg"="C:\Programme\sony\vaio power management\SPMgr.exe" [2004-06-29 20:45 180224]
"avast!"="C:\PROGRA~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AnyDVD"=C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"SoundMan"=SOUNDMAN.EXE
"CARPService"=carpserv.exe
"<NO NAME>"=
"!AVG Anti-Spyware"="C:\Programme\AVG Anti-Spyware 7.5\avgas.exe" /minimized
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

R3 SPI;Sony Programmable I/O Control Device;C:\WINDOWS\system32\DRIVERS\SonyPI.sys [2002-08-20 12:59]
S3 pelmouse;Mouse Suite Driver;C:\WINDOWS\system32\DRIVERS\pelmouse.sys [2002-06-28 17:21]
S3 pelusblf;USB Mouse Low Filter Driver;C:\WINDOWS\system32\DRIVERS\pelusblf.sys [2001-07-24 09:34]
S3 StickCap;Digital TV DVB-T USB Stick adapter service;C:\WINDOWS\system32\Drivers\stickcap.sys [2005-06-21 05:33]
S3 stickload;Digital TV stick firmware loader service;C:\WINDOWS\system32\DRIVERS\stickload.sys [2005-06-21 06:23]
S3 V0260VID;Live! Cam Vista IM;C:\WINDOWS\system32\DRIVERS\V0260Vid.sys [2006-11-03 23:45]

.
Inhalt des "geplante Tasks" Ordners
"2008-02-08 20:58:28 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-02-08 22:44:00 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDetect.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-08 23:47:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-08 23:48:26
ComboFix2.txt  2008-02-08 08:46:38
.
2008-01-09 17:42:46    --- E O F ---  

Seitenanfang Seitenende
09.02.2008, 00:32
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 wende GV-Killer an:
http://virus-protect.org/artikel/tools/gvkiller.html
kopiere rein

Zitat

C:\WINDOWS\system32\nnnol.dll_tobedeleted
c:\tempjunk9384.tmp
C:\WINDOWS\wininit.ini
C:\VundoFix Backups
C:\WINDOWS\system32\feq9
C:\WINDOWS\system32\dp1
C:\temp\isgTi19
C:\temp\z39
-

poste dann das Löschlog, nach neustart
__________
MfG Argus
Seitenanfang Seitenende
09.02.2008, 08:43
...neu hier

Themenstarter

Beiträge: 7
#11 Erledigt!

Hier der Löschlog!

Code



Logfile GV_Killer_01.txt v7.0.6 - Copyright © GV_Soft Guido Vaesen
Rapport datum: 09.02.2008 08:40:33    log van Thomas , Beheerder van deze computer
Platform: Windows XP Home SP2 DEU Normale modus

BEGIN Geplande taken-----------------------------------------------------------------
C:\WINDOWS\tasks\AppleSoftwareUpdate.job
C:\WINDOWS\tasks\Symantec NetDetect.job
EINDE Geplande taken-----------------------------------------------------------------


Lijst Notify keys--------------------------------------------------------------------
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify
AtiExtEvent        Ati2evxx.dll
Einde Notify keys--------------------------------------------------------------------

Verklaring Errorcodes----------------------------------------------------------------
code 00 : Bestand is verwijderd.
code 53 : Bestand of map werd niet gevonden op uw PC.
code 70 : Bestand was in gebruik.
code 75 : Services zijn nog geladen of bestand in gebruik.
code M0 : Map is verwijderd.
code ML : Map is volledig leeg gemaakt.
code MN : Map werd niet gevonden op uw PC, is niet leeg gemaakt.
code MV : Map werd niet gevonden op uw PC, is niet verwijderd.
code K0 : Register key is verwijderd.
Einde  Errorcodes--------------------------------------------------------------------

BEGIN Inhoud van Input.txt-----------------------------------------------------------
C:\WINDOWS\system32\nnnol.dll_tobedeleted
c:\tempjunk9384.tmp
C:\WINDOWS\wininit.ini
C:\VundoFix Backups
C:\WINDOWS\system32\feq9
C:\WINDOWS\system32\dp1
C:\temp\isgTi19
C:\temp\z39
EINDE Inhoud van Input.txt-----------------------------------------------------------

53   C:\WINDOWS\system32\nnnol.dll_tobedeleted
53   c:\tempjunk9384.tmp
00   C:\WINDOWS\wininit.ini
53   C:\VundoFix Backups
M0   C:\WINDOWS\system32\feq9
M0   C:\WINDOWS\system32\dp1
M0   C:\temp\isgTi19
M0   C:\temp\z39

;3355372-OEM-0011903-00110=5LY6TVZ740

;EINDE GV_Killer ---------------------------------------------------------------------

Seitenanfang Seitenende
09.02.2008, 09:12
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#12 CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /U OK

OTMoveIt.exe
Download OTMoveIt2 zum Desktop
Und druecke die “CleanUp” Taste
Im naeschten Fenster “Begin cleanup process?” klicke Yes
Im naechsten Fenster “Do you want to reboot?” klicke Yes

Benutze CCleaner (register cleaning)
__________
MfG Argus
Seitenanfang Seitenende
09.02.2008, 09:28
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#13 Hallo ;)

nachdem Combofix entfernt ist, lade bitte neu + poste das neue log
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
09.02.2008, 09:35
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#14 Wer geistert hier rum ;)
__________
MfG Argus
Seitenanfang Seitenende
09.02.2008, 10:16
...neu hier

Themenstarter

Beiträge: 7
#15 Alles erledigt!

Hier das neue Combofix-Log:

Code

ComboFix 08-02.05.3 - Thomas 2008-02-09 10:11:34.3 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.49.1031.18.225 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Thomas\Desktop\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((   Dateien erstellt von 2008-01-09 bis 2008-02-09  ))))))))))))))))))))))))))))))
.

2008-02-09 08:35 . 2008-02-09 08:35    <DIR>    d--------    C:\Programme\GV_Killer
2008-02-09 08:35 . 2001-09-07 11:00    59,904    --a------    C:\WINDOWS\system32\wbemdisp.tlb
2008-02-08 23:18 . 2004-08-03 23:57    401,408    --a------    C:\kmd.exe
2008-02-08 22:54 . 2008-02-08 23:41    <DIR>    d--------    C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Comodo
2008-02-08 19:45 . 2008-02-08 19:45    <DIR>    d--------    C:\WINDOWS\system32\Kaspersky Lab
2008-02-08 19:45 . 2008-02-08 19:45    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-02-08 19:39 . 2008-02-08 19:39    <DIR>    d--------    C:\WINDOWS\Sun
2008-02-08 19:39 . 2007-09-24 23:31    69,632    --a------    C:\WINDOWS\system32\javacpl.cpl
2008-02-08 19:38 . 2008-02-08 19:39    <DIR>    d--------    C:\Programme\Java
2008-02-08 19:37 . 2008-02-08 19:37    <DIR>    d--------    C:\Programme\Gemeinsame Dateien\Java
2008-02-08 11:35 . 2005-01-14 04:41    11,254    --a------    C:\WINDOWS\system32\locate.com
2008-02-08 11:33 . 2008-02-08 11:33    <DIR>    d--------    C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Grisoft
2008-02-08 11:30 . 2008-02-08 11:38    <DIR>    d--------    C:\Programme\AVG Anti-Spyware 7.5
2008-02-08 11:30 . 2008-02-08 11:30    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-02-08 11:30 . 2007-05-30 13:10    10,872    --a------    C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-02-08 09:05 . 2006-02-28 13:00    73,728    --a------    C:\WINDOWS\system32\tasklist.exe
2008-02-07 09:09 . 2004-08-19 10:04    <DIR>    d--h-----    C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-02-07 09:09 . 2004-08-19 11:00    <DIR>    dr-------    C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-02-07 09:09 . 2004-08-19 11:00    <DIR>    d--h-----    C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-02-07 09:09 . 2008-02-08 23:48    <DIR>    d--h-----    C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-02-07 09:09 . 2004-09-01 11:08    <DIR>    dr-------    C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-02-07 09:09 . 2004-08-19 11:09    <DIR>    dr-------    C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-02-07 09:09 . 2004-08-19 11:00    <DIR>    d--h-----    C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-02-07 09:09 . 2004-08-19 11:32    <DIR>    d--------    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Symantec
2008-02-07 09:09 . 2004-08-19 11:56    <DIR>    d--------    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Sony Corporation
2008-02-07 09:09 . 2008-02-08 19:27    <DIR>    dr-h-----    C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-26 14:51 . 2008-01-26 14:51    54,156    --ah-----    C:\WINDOWS\QTFont.qfn
2008-01-26 14:51 . 2008-01-26 14:51    1,409    --a------    C:\WINDOWS\QTFont.for
2008-01-18 18:31 . 2008-02-09 08:40    <DIR>    d--------    C:\temp
2008-01-18 18:25 . 2008-01-31 11:20    <DIR>    d--------    C:\Dokumente und Einstellungen\Thomas\EurekaLog
2008-01-15 19:35 . 2008-01-15 19:35    <DIR>    d--------    C:\Programme\Apple Software Update
2008-01-15 19:35 . 2008-01-15 19:35    <DIR>    d--------    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-09 09:08    ---------    d-----w    C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Skype
2008-02-09 08:39    ---------    d-----w    C:\Programme\Mozilla Thunderbird
2008-02-08 19:09    ---------    d-----w    C:\Programme\MSN Messenger
2008-02-08 18:43    ---------    d-----w    C:\Programme\Gemeinsame Dateien\Adobe
2008-02-08 14:36    ---------    d-----w    C:\Programme\Bibliographix6
2008-02-05 23:02    ---------    d-----w    C:\Programme\Avast4
2008-02-04 21:56    ---------    d-----w    C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\MiniLyrics
2008-02-01 10:41    ---------    d-----w    C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\FileZilla
2008-01-25 17:46    ---------    d-----w    C:\Programme\Ad-Aware 2007
2008-01-21 21:42    ---------    d-----w    C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\MyPhoneExplorer
2008-01-18 17:25    ---------    d-----w    C:\Programme\MediaMonkey
2008-01-15 18:43    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-15 18:42    12,632    ----a-w    C:\WINDOWS\system32\lsdelete.exe
2008-01-10 08:18    ---------    d-----w    C:\Programme\Shareaza
2007-12-27 23:47    720,896    ----a-w    C:\WINDOWS\iun6002.exe
2007-12-25 15:11    ---------    d-----w    C:\Programme\MindSoft Utilities XP 8
2007-12-23 19:29    ---------    d-----w    C:\Programme\CONEXANT
2007-12-19 18:35    ---------    d-----w    C:\Programme\[url="http://www.ccleaner.de"]CCleaner[/url]
2007-12-10 18:36    ---------    d-----w    C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2007-12-10 17:34    ---------    d-----w    C:\Programme\MyPhoneExplorer
2007-12-04 13:04    837,496    ----a-w    C:\WINDOWS\system32\aswBoot.exe
2007-12-04 12:54    95,608    -c--a-w    C:\WINDOWS\system32\AvastSS.scr
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-09-13 12:31 22880040]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2003-11-07 18:21 114688]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-07-10 20:10 339968]
"HKSERV.EXE"="C:\Programme\Sony\HotKey Utility\HKserv.exe" [2004-06-29 13:49 122880]
"Switcher.exe"="C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe" [2004-01-19 09:49 290816]
"Hcontrol"="C:\WINDOWS\ATK0100\Hcontrol.exe" [2003-09-19 18:42 61440]
"Mouse Suite 98 Daemon"="ICO.EXE" [2002-03-14 15:46 45056 C:\WINDOWS\system32\ico.exe]
"ISBMgr.exe"="C:\Programme\sony\isb utility\ISBMgr.exe" [2004-02-20 13:12 32768]
"SonyPowerCfg"="C:\Programme\sony\vaio power management\SPMgr.exe" [2004-06-29 20:45 180224]
"avast!"="C:\PROGRA~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AnyDVD"=C:\Programme\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"BluetoothAuthenticationAgent"=rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
"SoundMan"=SOUNDMAN.EXE
"CARPService"=carpserv.exe
"<NO NAME>"=
"!AVG Anti-Spyware"="C:\Programme\AVG Anti-Spyware 7.5\avgas.exe" /minimized
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

R3 SPI;Sony Programmable I/O Control Device;C:\WINDOWS\system32\DRIVERS\SonyPI.sys [2002-08-20 12:59]
S3 pelmouse;Mouse Suite Driver;C:\WINDOWS\system32\DRIVERS\pelmouse.sys [2002-06-28 17:21]
S3 pelusblf;USB Mouse Low Filter Driver;C:\WINDOWS\system32\DRIVERS\pelusblf.sys [2001-07-24 09:34]
S3 StickCap;Digital TV DVB-T USB Stick adapter service;C:\WINDOWS\system32\Drivers\stickcap.sys [2005-06-21 05:33]
S3 stickload;Digital TV stick firmware loader service;C:\WINDOWS\system32\DRIVERS\stickload.sys [2005-06-21 06:23]
S3 V0260VID;Live! Cam Vista IM;C:\WINDOWS\system32\DRIVERS\V0260Vid.sys [2006-11-03 23:45]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-09 10:12:58
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-09 10:13:31
.
2008-01-09 17:42:46    --- E O F ---  

Seitenanfang Seitenende