vundo Probleme ohne Ende...

#1 Hallo,

ich bin schon kurz davor meinen PC aus dem Fenster zu kippen. Ich bekomme mit VundoFix und Spybot meine Trojaner nicht los. Trotz Teatimer haben sich immer wieder irgendwelche dlls wie zb urqonlm.dll in den System32 Ordner gesetzt. Wenn ich den Rechner im abgesichterten Modus einigermassen sauber zu glauben meine, ist der nach wenigen Minuten im Normalmodus wieder verseucht.

Vielelicht bekomme ich das System ja doch noch wieder hin?

\so long
Tom

Hier mein HiJackThis logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:11:19, on 16.02.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
F:\Programme\TechniSat DVB\bin\Server4PC.exe
F:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe
F:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
F:\Programme\Ahead\InCD\InCDsrv.exe
F:\Programme\Analog Devices\SoundMAX\SMAgent.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\internet explorer\iexplore.exe
F:\Programme\internet explorer\iexplore.exe
F:\Dokumente und Einstellungen\sysop\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [SoundMAXPnP] F:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "F:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] F:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] F:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [IAAnotif] F:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [ATICCC] "F:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Sonic CinePlayer Quick Launch.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = F:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Server4PC.lnk = F:\Programme\TechniSat DVB\bin\Server4PC.exe
O13 - Gopher Prefix:
O23 - Service: Gatewaydienst auf Anwendungsebene (ALG) - Unknown owner - F:\WINDOWS\System32\alg.exe (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - F:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - F:\WINDOWS\system32\ati2sgag.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel - F:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - F:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - F:\Programme\WinPcap\rpcapd.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - F:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 3611 bytes

#2 Hallo

wende Combofix an + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 Hallo,

hier das was Combofix erstellt hat. Das war gar nicht so leicht, denn wenn ich den Link aufrief wurde der Internet Explorer mit einer Fehlermeldung geschlossen. Ich lud das Programm mit einem anderen Computer runter und schickte es als Email an mich selbst.

Während Combofix lief, musste ich übruigens nicht "1" drücken. Außerdem war öfter die Meldung zu sehen " der Befehl 'lösche' ist entweder falsch geschrieben oder konnte nicht gefunden werden". Vielleicht ist das wichtig zu wissen?

Wie soll ich weitermachen?

\so long
Tom


ComboFix 08-02-19.2 - sysop 2008-02-16 22:44:47.6 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.760 [GMT 1:00]
ausgeführt von:: F:\Dokumente und Einstellungen\sysop\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\WINDOWS\System32\geede.dll
F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
F:\WINDOWS\msettings.ini
F:\WINDOWS\system32\004HlLdy.dll
F:\WINDOWS\system32\00eQD3oL.dll
F:\WINDOWS\system32\0265dadU.dll
F:\WINDOWS\system32\06757D28.dll
F:\WINDOWS\system32\0dPdAa3d.dll
F:\WINDOWS\system32\0dX5Mthy.dll
F:\WINDOWS\system32\0K828e7G.dll
F:\WINDOWS\system32\0m3wC570.dll
F:\WINDOWS\system32\0R3xC1I2.dll
F:\WINDOWS\system32\16v58L8T.dll
F:\WINDOWS\system32\1jKOoc3p.dll
F:\WINDOWS\system32\1pV43YK6.dll
F:\WINDOWS\system32\1w2p35JY.dll
F:\WINDOWS\system32\1YoArr4t.dll
F:\WINDOWS\system32\25CNw8x6.dll
F:\WINDOWS\system32\25Ndi436.dll
F:\WINDOWS\system32\3232.dll
F:\WINDOWS\system32\34xD6c3T.dll
F:\WINDOWS\system32\3CX423Q5.dll
F:\WINDOWS\system32\3G7eB5L8.dll
F:\WINDOWS\system32\3m5708j2.dll
F:\WINDOWS\system32\3Mc2gF8M.dll
F:\WINDOWS\system32\3pa2O4F1.dll
F:\WINDOWS\system32\3Yt2HU5m.dll
F:\WINDOWS\system32\40LgT6aR.dll
F:\WINDOWS\system32\4671RQlk.dll
F:\WINDOWS\system32\46m11DSa.dll
F:\WINDOWS\system32\4cMLhxE7.dll
F:\WINDOWS\system32\4iX7sVgt.dll
F:\WINDOWS\system32\4JJ43TE3.dll
F:\WINDOWS\system32\4M0y30V7.dll
F:\WINDOWS\system32\4mWqm2N4.dll
F:\WINDOWS\system32\4Y7H46T1.dll
F:\WINDOWS\system32\5BWCDTOQ.dll
F:\WINDOWS\system32\5ovUKAEL.dll
F:\WINDOWS\system32\5qNc7C1v.dll
F:\WINDOWS\system32\5R2jejV4.dll
F:\WINDOWS\system32\5SDCG4Am.dll
F:\WINDOWS\system32\606fMJAc.dll
F:\WINDOWS\system32\6464.dll
F:\WINDOWS\system32\64Hb8Uyr.dll
F:\WINDOWS\system32\65iMHj0T.dll
F:\WINDOWS\system32\6bj56c1b.dll
F:\WINDOWS\system32\6hc2GSYe.dll
F:\WINDOWS\system32\6mhmjPWh.dll
F:\WINDOWS\system32\6w5fNP7O.dll
F:\WINDOWS\system32\7eMWTE8r.dll
F:\WINDOWS\system32\7EN32XVX.dll
F:\WINDOWS\system32\7F10Tn8F.dll
F:\WINDOWS\system32\7h5FXG7P.dll
F:\WINDOWS\system32\7MY4EFCy.dll
F:\WINDOWS\system32\7wfO2sBP.dll
F:\WINDOWS\system32\80w8RgJd.dll
F:\WINDOWS\system32\87lVh46v.dll
F:\WINDOWS\system32\8B322i3Ii.1
F:\WINDOWS\system32\8B322i3Ii.dll . . . . Nicht in der Lage zu löschen
F:\WINDOWS\system32\8ri8IxxH.dll
F:\WINDOWS\system32\abbnccvf.ini
F:\WINDOWS\system32\aC7a7g1O.dll
F:\WINDOWS\system32\aibfchmh.ini
F:\WINDOWS\system32\aipffefq.ini
F:\WINDOWS\system32\aO88kqt6.dll
F:\WINDOWS\system32\aQLvs2F5.dll
F:\WINDOWS\system32\B5IQDR85.dll
F:\WINDOWS\system32\BaFxhEAq.dll
F:\WINDOWS\system32\bBG2Ne3M.dll
F:\WINDOWS\system32\BEQ863np.dll
F:\WINDOWS\system32\bfyxhkhl.ini
F:\WINDOWS\system32\BopcE21R.dll
F:\WINDOWS\system32\c3S8veq1.dll
F:\WINDOWS\system32\CCC7lw2R.dll
F:\WINDOWS\system32\cdaorggw.ini
F:\WINDOWS\system32\cK088g2v.dll
F:\WINDOWS\system32\dH36OGy0.dll
F:\WINDOWS\system32\diH5s011.dll
F:\WINDOWS\system32\dMD4W414.dll
F:\WINDOWS\system32\DTtVypMo.dll
F:\WINDOWS\system32\e8d3RC20.dll
F:\WINDOWS\system32\edeeg.ini
F:\WINDOWS\system32\edeeg.ini2
F:\WINDOWS\system32\ejfklkdk.ini
F:\WINDOWS\system32\FFlLA7B5.dll
F:\WINDOWS\system32\Fko7sHUU.dll
F:\WINDOWS\system32\fxfqwqxy.ini
F:\WINDOWS\system32\g53OtHt6.dll
F:\WINDOWS\system32\geede.dll
F:\WINDOWS\system32\gpbsbeib.ini
F:\WINDOWS\system32\GyX0t0Ku.dll
F:\WINDOWS\system32\H3748Yu8.dll
F:\WINDOWS\system32\H3e7B0s4.dll
F:\WINDOWS\system32\h754FnhC.dll
F:\WINDOWS\system32\hbhefcfi.ini
F:\WINDOWS\system32\HDwdIK7b.dll
F:\WINDOWS\system32\i0LTPflV.dll
F:\WINDOWS\system32\ip453HGQ.dll
F:\WINDOWS\system32\J102G333.dll
F:\WINDOWS\system32\j47q6LyE.dll
F:\WINDOWS\system32\J8pSqb50.dll
F:\WINDOWS\system32\Jb5ie2Gv.dll
F:\WINDOWS\system32\jVyqySAU.dll
F:\WINDOWS\system32\k3q2HtX4.dll
F:\WINDOWS\system32\k6Eiflf7.dll
F:\WINDOWS\system32\kD6UU373.dll
F:\WINDOWS\system32\kv10Sjw6.dll
F:\WINDOWS\system32\kwfteejw.ini
F:\WINDOWS\system32\KWsrW8uc.dll
F:\WINDOWS\system32\l1N4oG8T.dll
F:\WINDOWS\system32\L533t4g2.dll
F:\WINDOWS\system32\l5T3e75a.dll
F:\WINDOWS\system32\laTa2Obe.dll
F:\WINDOWS\system32\lhnngxim.ini
F:\WINDOWS\system32\M6vX3BtR.dll
F:\WINDOWS\system32\M81Q5q2U.dll
F:\WINDOWS\system32\mGqIeAHo.dll
F:\WINDOWS\system32\mO0R4HFW.dll
F:\WINDOWS\system32\ms32.dll
F:\WINDOWS\system32\N156Pp8h.dll
F:\WINDOWS\system32\nfEFm240.dll
F:\WINDOWS\system32\nO0xgTny.dll
F:\WINDOWS\system32\Nv1OEQHc.dll
F:\WINDOWS\system32\OlLPYfp3.dll
F:\WINDOWS\system32\oMHdC66B.dll
F:\WINDOWS\system32\OP6ej2et.dll
F:\WINDOWS\system32\p28K54UJ.dll
F:\WINDOWS\system32\p5pW6t44.dll
F:\WINDOWS\system32\P6OT1or7.dll
F:\WINDOWS\system32\PGT51gbv.dll
F:\WINDOWS\system32\PIKxh4ri.dll
F:\WINDOWS\system32\PJr7k0HC.dll
F:\WINDOWS\system32\PqWU012M.dll
F:\WINDOWS\system32\q05xTWNR.dll
F:\WINDOWS\system32\QB1T10tA.dll
F:\WINDOWS\system32\qfetsqvc.ini
F:\WINDOWS\system32\qiSUvF4C.dll
F:\WINDOWS\system32\qkxahysk.ini
F:\WINDOWS\system32\QOE0Qc2J.dll
F:\WINDOWS\system32\QqabxPIv.dll
F:\WINDOWS\system32\QweFa8fF.dll
F:\WINDOWS\system32\QYb0cjK7.dll
F:\WINDOWS\system32\Rc8lVS83.dll
F:\WINDOWS\system32\rMn41JbC.dll
F:\WINDOWS\system32\s06LMU6m.dll
F:\WINDOWS\system32\s1lAR2J1.dll
F:\WINDOWS\system32\s77r06de.dll
F:\WINDOWS\system32\SGX12uxm.dll
F:\WINDOWS\system32\sr48M71e.dll
F:\WINDOWS\system32\StFn4MUx.dll
F:\WINDOWS\system32\stJHI1X7.dll
F:\WINDOWS\system32\taLK7u2i.dll
F:\WINDOWS\system32\tQ87is01.dll
F:\WINDOWS\system32\trduvewm.ini
F:\WINDOWS\system32\TVkrEcnO.dll
F:\WINDOWS\system32\U16L6FVY.dll
F:\WINDOWS\system32\u1v1a0YK.dll
F:\WINDOWS\system32\U4qlQ8m6.dll
F:\WINDOWS\system32\U7bi7gHm.dll
F:\WINDOWS\system32\uLE3GOet.dll
F:\WINDOWS\system32\ulgynslo.ini
F:\WINDOWS\system32\ulwejfyo.ini
F:\WINDOWS\system32\usr32.dll
F:\WINDOWS\system32\usr64.dll
F:\WINDOWS\system32\UtcoNr82.dll
F:\WINDOWS\system32\VI2Ow851.dll
F:\WINDOWS\system32\vjmcroao.ini
F:\WINDOWS\system32\vokodvkm.ini
F:\WINDOWS\system32\vYLHEWN6.dll
F:\WINDOWS\system32\W0pshiSu.dll
F:\WINDOWS\system32\W31nuEsO.dll
F:\WINDOWS\system32\whU7q5OW.dll
F:\WINDOWS\system32\wJs1H0J4.dll
F:\WINDOWS\system32\wOC1U8Qh.dll
F:\WINDOWS\system32\wxakuxms.ini
F:\WINDOWS\system32\xE611e3K.dll
F:\WINDOWS\system32\xnhGqwcK.dll
F:\WINDOWS\system32\Yi4XDGD3.dll
F:\WINDOWS\system32\ykbtnpbx.ini
F:\WINDOWS\system32\8B322i3Ii.dll . . . . Nicht in der Lage zu löschen

----- BITS: Possible infected sites -----

hxxp://scarddlg.com
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_MICROSOFT_INET_SERVICE


((((((((((((((((((((((( Dateien erstellt von 2008-01-19 bis 2008-02-19 ))))))))))))))))))))))))))))))
.

2008-02-16 23:05 . 2008-02-16 22:41 <DIR> d-------- F:\VundoFix Backups
2008-02-04 23:03 . 2008-02-16 22:45 729,088 --a------ F:\WINDOWS\GPInstall.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-04 22:47 --------- d---a-w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-04 21:58 --------- d-----w F:\Programme\Registry System Wizard
2008-02-04 21:47 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-04 21:46 --------- d-----w F:\Programme\Spybot - Search & Destroy
2008-01-06 04:06 --------- d-----w F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\Move Networks
.

------- Sigcheck -------

"F:\WINDOWS\system32\svchost.exe"
----a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\svchost.exe
-c--a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\svchost.exe

"F:\WINDOWS\system32\user32.dll"
----a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\user32.dll
-c--a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\user32.dll

"F:\WINDOWS\system32\ws2_32.dll"
----a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\ws2_32.dll
-c--a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ws2_32.dll

"F:\WINDOWS\system32\wininet.dll"
----a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\wininet.dll
-c--a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\wininet.dll

"F:\WINDOWS\system32\drivers\tcpip.sys"
-c--a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\tcpip.sys
----a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\tcpip.sys

"F:\WINDOWS\system32\winlogon.exe"
----a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\winlogon.exe
-c--a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\winlogon.exe

"F:\WINDOWS\system32\drivers\ndis.sys"
-c--a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ndis.sys
----a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\ndis.sys

"F:\WINDOWS\system32\ntkrnlpa.exe"
----a-w 1,872,384 2001-08-18 12:00:00 F:\WINDOWS\system32\ntkrnlpa.exe

"F:\WINDOWS\system32\ntoskrnl.exe"
----a-w 1,900,544 2001-08-18 12:00:00 F:\WINDOWS\system32\ntoskrnl.exe

"F:\WINDOWS\explorer.exe"
----a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\explorer.exe
-c--a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 1,228,850 2003-10-14 15:18:04 F:\Programme\Ahead\InCD\bak\InCD.exe
----a-w 36,610 2007-03-06 21:17:52 F:\Programme\Ahead\InCD\InCD.exe

----a-w 585,728 2003-05-30 07:42:22 F:\Programme\Analog Devices\SoundMAX\bak\Smax4.exe
----a-w 36,610 2007-03-06 21:17:52 F:\Programme\Analog Devices\SoundMAX\Smax4.exe

----a-w 790,528 2003-05-29 14:28:32 F:\Programme\Analog Devices\SoundMAX\bak\SMax4PNP.exe
----a-w 36,610 2007-03-06 21:17:52 F:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe

----a-w 61,440 2005-08-05 23:07:30 F:\Programme\ATI Technologies\ATI.ACE\bak\cli.exe
----a-w 36,610 2007-03-06 21:17:52 F:\Programme\ATI Technologies\ATI.ACE\cli.exe

----a-w 126,976 2003-07-02 22:00:00 F:\Programme\Intel\Intel Application Accelerator\bak\iaanotif.exe
----a-w 36,610 2007-03-06 21:17:52 F:\Programme\Intel\Intel Application Accelerator\iaanotif.exe

----a-w 282,624 2006-06-04 19:49:02 F:\Programme\QuickTime\bak\qttask.exe

----a-w 1,415,824 2005-05-31 00:04:00 F:\Programme\Spybot - Search & Destroy\bak\TeaTimer.exe
--sha-r 2,097,488 2008-01-28 10:43:40 F:\Programme\Spybot - Search & Destroy\TeaTimer.exe

----a-w 13,312 2001-08-18 12:00:00 F:\WINDOWS\system32\bak\ctfmon.exe
----a-w 36,610 2007-03-06 21:17:52 F:\WINDOWS\system32\ctfmon.exe

----a-w 36,610 2007-03-01 23:05:26 F:\WINDOWS\system32\bak\lsasss.exe

----a-r 155,648 2001-07-09 09:50:42 F:\WINDOWS\system32\bak\NeroCheck.exe
----a-w 36,610 2007-03-06 21:17:52 F:\WINDOWS\system32\NeroCheck.exe

.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22e88050-7be3-47f3-837b-c4a65f5f8c14}]
F:\WINDOWS\System32\hudhsikk.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AB25544B-4715-4E06-BB75-A1ADFFA172EA}]
2007-11-16 00:00 84480 --a------ f:\windows\system32\dpcdllt.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AE629598-F5BC-4B4B-BE36-2BFF0D1332E5}]
2007-09-21 01:13 110020 --a------ F:\WINDOWS\System32\8B322i3Ii.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9dd3566-0282-476f-9921-13e67c8ea41a}]
F:\WINDOWS\system32\msac_32.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\ctfmon.exe" [2007-03-06 22:17 36610]
"NvMediaCenter"="F:\WINDOWS\System32\NVMCTRAY.DLL" [2003-05-26 04:18 49152]
"MSMSGS"="F:\Programme\Messenger\msmsgs.exe" [2001-08-02 06:14 1077277]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="F:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2007-03-06 22:17 36610]
"SoundMAX"="F:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2007-03-06 22:17 36610]
"NvCplDaemon"="F:\WINDOWS\System32\NvCpl.dll" [2003-05-26 04:18 4640768]
"NeroFilterCheck"="F:\WINDOWS\system32\NeroCheck.exe" [2007-03-06 22:17 36610]
"InCD"="F:\Programme\Ahead\InCD\InCD.exe" [2007-03-06 22:17 36610]
"IAAnotif"="F:\Programme\Intel\Intel Application Accelerator\iaanotif.exe" [2007-03-06 22:17 36610]
"ATICCC"="F:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2007-03-06 22:17 36610]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2007-03-06 22:17 36610]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tt]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
F:\Programme\MSN Messenger\MsnMsgr.exe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]
appsecdll REG_EXPAND_SZ F:\WINDOWS\System32\AppCert\wsil32.dll

R0 wepvtkts;wepvtkts;F:\WINDOWS\System32\drivers\ntcuicir.dat []
R1 Cinemsup;Cinemsup;F:\WINDOWS\System32\drivers\Cinemsup.sys [2002-07-19 07:10]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;F:\WINDOWS\System32\DRIVERS\SkyNET.SYS [2005-09-29 11:28]
R3 vidcap;vidcap;F:\WINDOWS\System32\DRIVERS\vidcap.sys [2006-12-27 15:47]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-19 22:46:12
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: F:\WINDOWS\system32\winlogon.exe
-> F:\WINDOWS\System32\AppCert\ywb11.dll
.
------------------------ Other Running Processes ------------------------
.
F:\WINDOWS\System32\Ati2evxx.exe
F:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
F:\Programme\Ahead\InCD\InCDsrv.exe
F:\Programme\Analog Devices\SoundMAX\SMAgent.exe
F:\WINDOWS\System32\wdfmgr.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
f:\programme\internet explorer\iexplore.exe
F:\Programme\TechniSat DVB\bin\Server4PC.exe
F:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-19 22:47:19 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-19 21:47:16

#4 kruemel_bs

1.
awf
http://virus-protect.org/artikel/tools/findawf.html

erster Schritt:
Doppelklick auf FindAWF.exe - und schreibe : 1 [Scan for bak folders] + klicke Enter
es wird ein Log (awf.txt) erstellt - kopiere es hier

2.
wende das an + poste das komplette Log
http://virus-protect.org/datfindcompl.html

3.
CCLean. anwenden
http://www.ccleaner.de/?protecus.de

4.
wende das an + poste das log hier
http://virus-protect.org/artikel/tools/tempfiles_bat.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 Hallo,

hier die gewünschten logs. Ich bedanke mich übrigens dafür dass ihr mir helft!!!

zwei Sachen:
1.
Beim CCleaner kam am Ende der Ausführung unten in der Windows Statusleiste die Meldung, dass eine Datei im Zusammenhang mit CCleaner beschädigt sei, eventuell eine Datei auf die CCleaner zugreifen will?? Ich versuchte das mit der MAus zu grabben, aber die Textmeldung verschwindet, wenn man mit der Maus drüber geht.
2.
tempfiles.bat konnte den Pfand nicht finden. Ich hatte danach alles auf F geändert und bekam ein leeres Editorfenster.

Außerdem gibt es bei mir unter Start->Programme->Zubehör keinen Editor. Ich habe dann Wordpad benutzt. Das ist doch okay, oder?

\Tom

--snip

Find AWF report by noahdfear ©2006
Version 1.40



bak folders found
~~~~~~~~~~~

Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\MESSEN~1\BAK

0 Datei(en) 0 Bytes
2 Verzeichnis(se), 6.091.440.128 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\QUICKT~1\BAK

04.06.2006 20:49 282.624 qttask.exe
1 Datei(en) 282.624 Bytes
2 Verzeichnis(se), 6.091.440.128 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\SPYBOT~1\BAK

31.05.2005 01:04 1.415.824 TeaTimer.exe
1 Datei(en) 1.415.824 Bytes
2 Verzeichnis(se), 6.091.436.032 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\WINDOWS\SYSTEM32\BAK

18.08.2001 13:00 13.312 ctfmon.exe
02.03.2007 00:05 36.610 lsasss.exe
09.07.2001 10:50 155.648 NeroCheck.exe
3 Datei(en) 205.570 Bytes
2 Verzeichnis(se), 6.091.436.032 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\AHEAD\INCD\BAK

14.10.2003 16:18 1.228.850 InCD.exe
1 Datei(en) 1.228.850 Bytes
2 Verzeichnis(se), 6.091.436.032 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\ANALOG~1\SOUNDMAX\BAK

30.05.2003 08:42 585.728 Smax4.exe
29.05.2003 15:28 790.528 SMax4PNP.exe
2 Datei(en) 1.376.256 Bytes
2 Verzeichnis(se), 6.091.436.032 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\ATITEC~1\ATI.ACE\BAK

06.08.2005 00:07 61.440 cli.exe
1 Datei(en) 61.440 Bytes
2 Verzeichnis(se), 6.091.436.032 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\INTEL\INTELA~1\BAK

02.07.2003 23:00 126.976 iaanotif.exe
1 Datei(en) 126.976 Bytes
2 Verzeichnis(se), 6.091.436.032 Bytes frei


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

282624 4 Jun 2006 F:\PROGRA~1\QUICKT~1\BAK\QTTASK.EXE
2097488 28 Jan 2008 F:\PROGRA~1\SPYBOT~1\TEATIMER.EXE
1415824 31 May 2005 F:\PROGRA~1\SPYBOT~1\BAK\TEATIMER.EXE
36610 6 Mar 2007 F:\WINDOWS\SYSTEM32\CTFMON.EXE
13312 18 Aug 2001 F:\WINDOWS\SYSTEM32\BAK\CTFMON.EXE
36610 2 Mar 2007 F:\WINDOWS\SYSTEM32\BAK\LSASSS.EXE
36610 6 Mar 2007 F:\WINDOWS\SYSTEM32\NEROCH~1.EXE
155648 9 Jul 2001 F:\WINDOWS\SYSTEM32\BAK\NEROCH~1.EXE
36610 6 Mar 2007 F:\PROGRA~1\AHEAD\INCD\INCD.EXE
1228850 14 Oct 2003 F:\PROGRA~1\AHEAD\INCD\BAK\INCD.EXE
36610 6 Mar 2007 F:\PROGRA~1\ANALOG~1\SOUNDMAX\SMAX4.EXE
585728 30 May 2003 F:\PROGRA~1\ANALOG~1\SOUNDMAX\BAK\SMAX4.EXE
36610 6 Mar 2007 F:\PROGRA~1\ANALOG~1\SOUNDMAX\SMAX4PNP.EXE
790528 29 May 2003 F:\PROGRA~1\ANALOG~1\SOUNDMAX\BAK\SMAX4PNP.EXE
36610 6 Mar 2007 F:\PROGRA~1\ATITEC~1\ATI.ACE\CLI.EXE
61440 6 Aug 2005 F:\PROGRA~1\ATITEC~1\ATI.ACE\BAK\CLI.EXE
36610 6 Mar 2007 F:\PROGRA~1\INTEL\INTELA~1\IAANOTIF.EXE
126976 2 Jul 2003 F:\PROGRA~1\INTEL\INTELA~1\BAK\IAANOTIF.EXE


end of report

--

Code

 
                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 
                        º                                    º 
                                    hjtscanlist v2.0              
                        º                                    º 
                        $$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$$ 

Microsoft Windows XP [Version 5.1.2600]
 
 
F:

  19.02.2008 19:53      F:\VundoFix.txt --------- 186 
  19.02.2008 19:48      F:\VundoFix Backups --------- 0 
  19.02.2008 19:47      F:\WINDOWS --------- 0 
  19.02.2008 19:46      F:\Programme --------- 0 
        F:\pagefile.sys ---------  
  19.02.2008 19:35      F:\System Volume Information --------- 0 
  04.02.2008 23:25      F:\RECYCLER --------- 0 
  13.01.2008 21:33      F:\bilder --------- 0 
  07.03.2007 00:26      F:\Dokumente und Einstellungen --------- 0 
  29.01.2007 01:01      F:\KPCMS --------- 0 
  22.05.2006 16:51      F:\boot.ini --------- 193 
  18.08.2001 13:00      F:\bootfont.bin --------- 4952 
  18.08.2001 13:00      F:\NTDETECT.COM --------- 45124 
  18.08.2001 13:00      F:\ntldr --------- 224032 
----------------------------------------

 
F:\WINDOWS

  19.02.2008 22:46     F:\WINDOWS\system.ini --------- 227 
  19.02.2008 20:09     F:\WINDOWS\SchedLgU.Txt --------- 32632 
  19.02.2008 19:39     F:\WINDOWS\wiadebug.log --------- 159 
  19.02.2008 19:39     F:\WINDOWS\wiaservc.log --------- 50 
  19.02.2008 19:39     F:\WINDOWS\bootstat.dat --------- 2048 
  16.02.2008 22:45     F:\WINDOWS\GPInstall.exe --------- 729088 
  20.12.2007 21:26     F:\WINDOWS\wininit.ini --------- 1003 
  29.04.2007 20:38     F:\WINDOWS\Recode.INI --------- 26 
  13.04.2007 00:16     F:\WINDOWS\win.ini --------- 599 
  12.03.2007 01:26     F:\WINDOWS\Sven97.ini --------- 71 
  29.01.2007 01:01     F:\WINDOWS\KPCMS.INI --------- 149 
  20.11.2006 20:02     F:\WINDOWS\PROTOCOL.INI --------- 0 
  28.07.2006 18:25     F:\WINDOWS\guide7.INI --------- 0 
  06.07.2006 21:11     F:\WINDOWS\Setup1.exe --------- 286720 
  06.07.2006 21:11     F:\WINDOWS\ST6UNST.EXE --------- 73216 
  05.07.2006 20:45     F:\WINDOWS\WMSysPr9.prx --------- 316640 
  04.07.2006 13:18     F:\WINDOWS\VMailP.exe --------- 147456 
  04.07.2006 00:16     F:\WINDOWS\Ascd_tmp.ini --------- 3738 
  22.05.2006 15:55     F:\WINDOWS\Sti_Trace.log --------- 0 
  22.05.2006 15:48     F:\WINDOWS\WMSysPrx.prx --------- 299552 
  22.05.2006 15:44     F:\WINDOWS\ODBC.INI --------- 403 
  22.05.2006 15:44     F:\WINDOWS\vbaddin.ini --------- 59 
  22.05.2006 15:15     F:\WINDOWS\REGLOCS.OLD --------- 8192 
  22.05.2006 15:11     F:\WINDOWS\control.ini --------- 0 
  22.05.2006 15:11     F:\WINDOWS\ODBCINST.INI --------- 4161 
  22.05.2006 15:10     F:\WINDOWS\WindowsShell.Manifest --------- 749 
  22.05.2006 15:08     F:\WINDOWS\vb.ini --------- 36 
  21.10.2003 16:44     F:\WINDOWS\NuNinst.cfg --------- 45971 
  21.10.2003 16:44     F:\WINDOWS\UNNeroVision.cfg --------- 89885 
  13.10.2003 10:56     F:\WINDOWS\UNNeroVision.exe --------- 1302528 
  13.10.2003 10:56     F:\WINDOWS\NuNinst.exe --------- 1302528 
  21.11.2001 10:17     F:\WINDOWS\Regctdn.exe --------- 135168 
  18.08.2001 13:00     F:\WINDOWS\Granit.bmp --------- 26582 
  18.08.2001 13:00     F:\WINDOWS\Fächer.bmp --------- 26680 
  18.08.2001 13:00     F:\WINDOWS\regedit.exe --------- 141312 
  18.08.2001 13:00     F:\WINDOWS\Präriewind.bmp --------- 65954 
  18.08.2001 13:00     F:\WINDOWS\Rhododendron.bmp --------- 17362 
  18.08.2001 13:00     F:\WINDOWS\Santa Fe-Stuck.bmp --------- 65832 
  18.08.2001 13:00     F:\WINDOWS\Angler.bmp --------- 17336 
  18.08.2001 13:00     F:\WINDOWS\hh.exe --------- 26647 
  18.08.2001 13:00     F:\WINDOWS\SET3.tmp --------- 1085913 
  18.08.2001 13:00     F:\WINDOWS\SET7.tmp --------- 13898 
  18.08.2001 13:00     F:\WINDOWS\Feder.bmp --------- 16730 
  18.08.2001 13:00     F:\WINDOWS\winhlp32.exe --------- 271872 
  18.08.2001 13:00     F:\WINDOWS\explorer.scf --------- 80 
  18.08.2001 13:00     F:\WINDOWS\Zapotek.bmp --------- 9522 
  18.08.2001 13:00     F:\WINDOWS\explorer.exe --------- 1004032 
  18.08.2001 13:00     F:\WINDOWS\Blaue Spitzen 16.bmp --------- 1272 
  18.08.2001 13:00     F:\WINDOWS\TASKMAN.EXE --------- 15872 
  18.08.2001 13:00     F:\WINDOWS\twain.dll --------- 94800 
  18.08.2001 13:00     F:\WINDOWS\twain_32.dll --------- 46592 
  18.08.2001 13:00     F:\WINDOWS\twunk_16.exe --------- 49680 
  18.08.2001 13:00     F:\WINDOWS\twunk_32.exe --------- 25600 
  18.08.2001 13:00     F:\WINDOWS\winhelp.exe --------- 257568 
  18.08.2001 13:00     F:\WINDOWS\NOTEPAD.EXE --------- 67072 
  18.08.2001 13:00     F:\WINDOWS\msdfmap.ini --------- 1405 
  18.08.2001 13:00     F:\WINDOWS\winnt.bmp --------- 48680 
  18.08.2001 13:00     F:\WINDOWS\desktop.ini --------- 2 
  18.08.2001 13:00     F:\WINDOWS\winnt256.bmp --------- 48680 
  18.08.2001 13:00     F:\WINDOWS\wmprfDEU.prx --------- 34818 
  18.08.2001 13:00     F:\WINDOWS\Seifenblase.bmp --------- 65978 
  18.08.2001 13:00     F:\WINDOWS\vmmreg32.dll --------- 18944 
  18.08.2001 13:00     F:\WINDOWS\Kaffeetasse.bmp --------- 17062 
  18.08.2001 13:00     F:\WINDOWS\clock.avi --------- 82944 
  18.08.2001 13:00     F:\WINDOWS\_default.pif --------- 707 
  14.12.2000 19:05     F:\WINDOWS\uninst.exe --------- 299520 
  17.12.1999 09:13     F:\WINDOWS\unvise32.exe --------- 86016 
  05.06.1998 11:42     F:\WINDOWS\kpcp32.dll --------- 197120 
  25.04.1998 05:26     F:\WINDOWS\kpsys32.dll --------- 37376 
  25.04.1998 05:26     F:\WINDOWS\pfpick.dll --------- 58368 
  25.04.1998 05:26     F:\WINDOWS\icccodes.dll --------- 20992 
  25.04.1998 05:26     F:\WINDOWS\KPAPI32.DLL --------- 132096 
  25.04.1998 05:26     F:\WINDOWS\iccsigs.dat --------- 40129 
  20.01.1998 09:12     F:\WINDOWS\sprof32.dll --------- 133120 
  15.08.1997 13:20     F:\WINDOWS\unin0407.exe --------- 299008 
  29.05.1997 15:31     F:\WINDOWS\IsUn041d.exe --------- 314880 
----------------------------------------

 
F:\WINDOWS\System

 19.09.2001 12:47    F:\WINDOWS\System\crlds3d.dll --------- 765952 
 18.08.2001 13:00    F:\WINDOWS\System\COMMDLG.DLL --------- 33744 
 18.08.2001 13:00    F:\WINDOWS\System\AVIFILE.DLL --------- 109504 
 18.08.2001 13:00    F:\WINDOWS\System\AVICAP.DLL --------- 70368 
 18.08.2001 13:00    F:\WINDOWS\System\KEYBOARD.DRV --------- 2000 
 18.08.2001 13:00    F:\WINDOWS\System\LZEXPAND.DLL --------- 9936 
 18.08.2001 13:00    F:\WINDOWS\System\MCIAVI.DRV --------- 73760 
 18.08.2001 13:00    F:\WINDOWS\System\MCISEQ.DRV --------- 25296 
 18.08.2001 13:00    F:\WINDOWS\System\MCIWAVE.DRV --------- 28160 
 18.08.2001 13:00    F:\WINDOWS\System\MMSYSTEM.DLL --------- 69792 
 18.08.2001 13:00    F:\WINDOWS\System\MMTASK.TSK --------- 1152 
 18.08.2001 13:00    F:\WINDOWS\System\MOUSE.DRV --------- 2032 
 18.08.2001 13:00    F:\WINDOWS\System\MSVIDEO.DLL --------- 127104 
 18.08.2001 13:00    F:\WINDOWS\System\OLECLI.DLL --------- 82944 
 18.08.2001 13:00    F:\WINDOWS\System\OLESVR.DLL --------- 24064 
 18.08.2001 13:00    F:\WINDOWS\System\setup.inf --------- 59167 
 18.08.2001 13:00    F:\WINDOWS\System\SHELL.DLL --------- 5120 
 18.08.2001 13:00    F:\WINDOWS\System\SOUND.DRV --------- 1744 
 18.08.2001 13:00    F:\WINDOWS\System\stdole.tlb --------- 5532 
 18.08.2001 13:00    F:\WINDOWS\System\SYSTEM.DRV --------- 3360 
 18.08.2001 13:00    F:\WINDOWS\System\TAPI.DLL --------- 19200 
 18.08.2001 13:00    F:\WINDOWS\System\TIMER.DRV --------- 4048 
 18.08.2001 13:00    F:\WINDOWS\System\VER.DLL --------- 9200 
 18.08.2001 13:00    F:\WINDOWS\System\VGA.DRV --------- 2176 
 18.08.2001 13:00    F:\WINDOWS\System\WFWNET.DRV --------- 13600 
 18.08.2001 13:00    F:\WINDOWS\System\WINSPOOL.DRV --------- 132096 
----------------------------------------

 
F:\WINDOWS\System32

 19.02.2008 22:47     F:\WINDOWS\system32\drivers --------- 0 
 19.02.2008 22:46     F:\WINDOWS\system32\config --------- 0 
 19.02.2008 19:37     F:\WINDOWS\system32\CatRoot2 --------- 0 
 19.02.2008 19:35     F:\WINDOWS\system32\Restore --------- 0 
 19.02.2008 19:34     F:\WINDOWS\system32\wpa.dbl --------- 2184 
 20.12.2007 22:10     F:\WINDOWS\system32\msnvdrv.dll --------- 31744 
 20.12.2007 22:10     F:\WINDOWS\system32\commusr.dll --------- 30208 
 20.12.2007 22:09     F:\WINDOWS\system32\drvdlgdiag.dll --------- 31744 
 20.12.2007 22:01     F:\WINDOWS\system32\nvcomm.dll --------- 30208 
 20.12.2007 22:01     F:\WINDOWS\system32\commnet.dll --------- 31744 
 20.12.2007 22:00     F:\WINDOWS\system32\net64diagms.dll --------- 31744 
 20.12.2007 22:00     F:\WINDOWS\system32\msnv32usr.dll --------- 30208 
 20.12.2007 21:59     F:\WINDOWS\system32\msmsdrv32.dll --------- 31744 
 20.12.2007 21:59     F:\WINDOWS\system32\dlgdiag32usr.dll --------- 30208 
 20.12.2007 21:51     F:\WINDOWS\system32\netcommnv.dll --------- 31744 
 20.12.2007 21:51     F:\WINDOWS\system32\diagnet32.dll --------- 31744 
 20.12.2007 21:51     F:\WINDOWS\system32\diagcommdlg.dll --------- 30208 
 20.12.2007 21:51     F:\WINDOWS\system32\nvnetdlg.dll --------- 31744 
 20.12.2007 21:50     F:\WINDOWS\system32\commnetusr.dll --------- 30208 
 20.12.2007 21:50     F:\WINDOWS\system32\ms64commusr.dll --------- 30208 
 20.12.2007 21:49     F:\WINDOWS\system32\netcomm.dll --------- 31744 
 20.12.2007 21:49     F:\WINDOWS\system32\diag32.dll --------- 30208 
 20.12.2007 21:41     F:\WINDOWS\system32\netdrvdrvcomm.dll --------- 30208 
 20.12.2007 21:40     F:\WINDOWS\system32\nvdrvcommusr.dll --------- 31744 
 20.12.2007 21:40     F:\WINDOWS\system32\commdrvnv.dll --------- 30208 
 20.12.2007 21:40     F:\WINDOWS\system32\netdiag.dll --------- 31744 
 20.12.2007 21:39     F:\WINDOWS\system32\drvdrvdiagdiag.dll --------- 31744 
 20.12.2007 21:39     F:\WINDOWS\system32\64drvnet.dll --------- 30208 
 20.12.2007 21:34     F:\WINDOWS\system32\64diagnetdrv.dll --------- 30208 
 20.12.2007 21:33     F:\WINDOWS\system32\commcommusr.dll --------- 31744 
 20.12.2007 21:33     F:\WINDOWS\system32\dlg32.dll --------- 30208 
 20.12.2007 21:33     F:\WINDOWS\system32\netusrmscomm.dll --------- 31744 
 20.12.2007 21:33     F:\WINDOWS\system32\msdiag6464.dll --------- 31744 
 20.12.2007 21:33     F:\WINDOWS\system32\nvdiag3232.dll --------- 30208 
 20.12.2007 21:32     F:\WINDOWS\system32\nv3264drv.dll --------- 31744 
 20.12.2007 21:32     F:\WINDOWS\system32\commnvdrvms.dll --------- 30208 
 20.12.2007 21:32     F:\WINDOWS\system32\commdrvmsnv.dll --------- 31744 
 20.12.2007 21:32     F:\WINDOWS\system32\dlg643264.dll --------- 31744 
 20.12.2007 21:32     F:\WINDOWS\system32\usrnvnvcomm.dll --------- 30208 
 20.12.2007 21:32     F:\WINDOWS\system32\usr6432.dll --------- 30208 
 20.12.2007 21:25     F:\WINDOWS\system32\64commcommnet.dll --------- 31744 
 20.12.2007 21:25     F:\WINDOWS\system32\32net64nv.dll --------- 30208 
 20.12.2007 21:24     F:\WINDOWS\system32\drvcommms.dll --------- 31744 
 20.12.2007 21:24     F:\WINDOWS\system32\dlgusrusr.dll --------- 30208 
 20.12.2007 21:23     F:\WINDOWS\system32\netusrusrusr.dll --------- 31744 
 20.12.2007 21:23     F:\WINDOWS\system32\msdiagcommnet.dll --------- 30208 
 20.12.2007 21:23     F:\WINDOWS\system32\commcomm64drv.dll --------- 30208 
 20.12.2007 21:22     F:\WINDOWS\system32\netnet.dll --------- 30208 
 20.12.2007 21:22     F:\WINDOWS\system32\commdiagnetdlg.dll --------- 30208 
 20.12.2007 21:15     F:\WINDOWS\system32\dlgnet.dll --------- 31744 
 20.12.2007 21:15     F:\WINDOWS\system32\drvdrv.dll --------- 30208 
 20.12.2007 21:14     F:\WINDOWS\system32\nvnvdrv.dll --------- 31744 
 20.12.2007 21:14     F:\WINDOWS\system32\commusrnv.dll --------- 30208 
 20.12.2007 21:14     F:\WINDOWS\system32\netdrvnv32.dll --------- 31744 
 20.12.2007 21:14     F:\WINDOWS\system32\msnet64nv.dll --------- 31744 
 20.12.2007 21:14     F:\WINDOWS\system32\commcommcomm64.dll --------- 30208 
 20.12.2007 21:13     F:\WINDOWS\system32\64nvdlg.dll --------- 31744 
 20.12.2007 21:13     F:\WINDOWS\system32\32netdrv.dll --------- 31744 
 20.12.2007 21:13     F:\WINDOWS\system32\6464usr.dll --------- 30208 
 20.12.2007 21:12     F:\WINDOWS\system32\usrdrvusrdrv.dll --------- 31744 
 20.12.2007 21:12     F:\WINDOWS\system32\64drv32dlg.dll --------- 30208 
 20.12.2007 21:12     F:\WINDOWS\system32\diagmsms.dll --------- 31744 
 20.12.2007 21:05     F:\WINDOWS\system32\mscomdiag32.dll --------- 36864 
 20.12.2007 21:04     F:\WINDOWS\system32\diagnvmsusr.dll --------- 31744 
 20.12.2007 21:04     F:\WINDOWS\system32\nvusrusrnv.dll --------- 30208 
 20.12.2007 21:04     F:\WINDOWS\system32\64drv.dll --------- 31744 
 20.12.2007 21:04     F:\WINDOWS\system32\netdlg32diag.dll --------- 30208 
 20.12.2007 21:04     F:\WINDOWS\system32\ms64dlgusr.dll --------- 30208 
 20.12.2007 21:03     F:\WINDOWS\system32\netms.dll --------- 30208 
 20.12.2007 21:03     F:\WINDOWS\system32\dlg64msnet.dll --------- 31744 
 20.12.2007 21:03     F:\WINDOWS\system32\drvnvdrvnv.dll --------- 31744 
 20.12.2007 21:03     F:\WINDOWS\system32\3264diag.dll --------- 30208 
 20.12.2007 21:02     F:\WINDOWS\system32\commdrv.dll --------- 31744 
 20.12.2007 21:02     F:\WINDOWS\system32\usrdrvmsusr.dll --------- 30208 
 20.12.2007 21:02     F:\WINDOWS\system32\nvnvcomm.dll --------- 31744 
 20.12.2007 21:02     F:\WINDOWS\system32\diagcommcomm32.dll --------- 31744 
 20.12.2007 21:02     F:\WINDOWS\system32\net3264comm.dll --------- 31744 
 20.12.2007 21:02     F:\WINDOWS\system32\msnvnv.dll --------- 30208 
 20.12.2007 20:55     F:\WINDOWS\system32\msmsusr.dll --------- 31744 
 20.12.2007 20:55     F:\WINDOWS\system32\commdlgnv.dll --------- 30208 
 20.12.2007 20:54     F:\WINDOWS\system32\32dlg.dll --------- 31744 
 20.12.2007 20:54     F:\WINDOWS\system32\64dlg.dll --------- 30208 
 20.12.2007 20:54     F:\WINDOWS\system32\usrdrvnet.dll --------- 31744 
 20.12.2007 20:53     F:\WINDOWS\system32\usr32usrdiag.dll --------- 31744 
 20.12.2007 20:53     F:\WINDOWS\system32\drvmsmsdrv.dll --------- 30208 
 20.12.2007 20:53     F:\WINDOWS\system32\3232drv.dll --------- 30208 
 20.12.2007 20:53     F:\WINDOWS\system32\commdlg.dll --------- 30208 
 20.12.2007 20:52     F:\WINDOWS\system32\msmsnet.dll --------- 31744 
 20.12.2007 20:52     F:\WINDOWS\system32\nvmsnet.dll --------- 30208 
 20.12.2007 20:52     F:\WINDOWS\system32\ms64diag64.dll --------- 31744 
 20.12.2007 20:52     F:\WINDOWS\system32\diagdlgdrvcomm.dll --------- 31744 
 20.12.2007 20:52     F:\WINDOWS\system32\nv64diag.dll --------- 30208 
 20.12.2007 20:52     F:\WINDOWS\system32\32net.dll --------- 30208 
 20.12.2007 20:45     F:\WINDOWS\system32\64comm.dll --------- 31744 
 20.12.2007 20:45     F:\WINDOWS\system32\mscomm32dlg.dll --------- 30208 
 20.12.2007 20:44     F:\WINDOWS\system32\commdiagnetusr.dll --------- 31744 
 20.12.2007 20:44     F:\WINDOWS\system32\usrdiag64.dll --------- 30208 
 20.12.2007 20:44     F:\WINDOWS\system32\dlgmsdrv64.dll --------- 31744 
 20.12.2007 20:44     F:\WINDOWS\system32\usr32mscomm.dll --------- 31744 
 20.12.2007 20:44     F:\WINDOWS\system32\drvmsusr64.dll --------- 30208 
----------------------------------------

 
F:\WINDOWS\Prefetch

 19.02.2008 20:10     F:\WINDOWS\Prefetch\layout.ini --------- 125588 
 19.02.2008 19:49     F:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf --------- 5168 
 19.02.2008 19:48     F:\WINDOWS\Prefetch\WINRAR.EXE-3588DFE8.pf --------- 26214 
 19.02.2008 19:48     F:\WINDOWS\Prefetch\[url="http://www.ccleaner.de"]CCleaner[/url].EXE-065E2F3F.pf --------- 13210 
 19.02.2008 19:46     F:\WINDOWS\Prefetch\CCSETUP203_SLIM.EXE-12B46B43.pf --------- 12152 
 19.02.2008 19:44     F:\WINDOWS\Prefetch\FINDAWF.EXE-0F8DE686.pf --------- 7094 
 19.02.2008 19:44     F:\WINDOWS\Prefetch\FIND.EXE-0EC32F1E.pf --------- 4386 
 19.02.2008 19:42     F:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf --------- 9218 
 19.02.2008 19:41     F:\WINDOWS\Prefetch\FINDSTR.EXE-0CA6274B.pf --------- 4912 
 19.02.2008 19:41     F:\WINDOWS\Prefetch\NTVDM.EXE-1A10A423.pf --------- 48318 
----------------------------------------

 
F:\WINDOWS\Tasks

 19.02.2008 19:39     F:\WINDOWS\Tasks\SA.DAT --------- 6 
 18.08.2001 13:00     F:\WINDOWS\Tasks\desktop.ini --------- 65 
----------------------------------------

 
F:\WINDOWS\Temp

----------------------------------------

 
F:\DOKUME~1\sysop\LOKALE~1\Temp

 19.02.2008 19:42      F:\DOKUME~1\sysop\LOKALE~1\Temp\JET1.tmp --------- 0 
 19.02.2008 19:42      F:\DOKUME~1\sysop\LOKALE~1\Temp\JETFE66.tmp --------- 0 
----------------------------------------

 
F:\Programme

 19.02.2008 19:46     F:\Programme\[url="http://www.ccleaner.de"]CCleaner[/url] --------- 0 
 04.02.2008 22:58     F:\Programme\Registry System Wizard --------- 0 
 04.02.2008 22:46     F:\Programme\Spybot - Search & Destroy --------- 0 
 19.12.2007 00:01     F:\Programme\InstallShield Installation Information --------- 0 
 30.11.2007 00:00     F:\Programme\Axis Communications --------- 0 
 23.11.2007 19:54     F:\Programme\f-prot --------- 0 
 19.11.2007 21:56     F:\Programme\duden --------- 0 
 16.11.2007 12:00     F:\Programme\NCH Swift Sound --------- 0 
 18.10.2007 16:20     F:\Programme\WinRAR --------- 0 
 30.07.2007 12:32     F:\Programme\Celemony --------- 0 
 28.07.2007 16:10     F:\Programme\Internet Explorer --------- 0 
 25.06.2007 16:55     F:\Programme\ZD Soft --------- 0 
 12.04.2007 22:21     F:\Programme\Yahoo --------- 0 
 02.04.2007 13:23     F:\Programme\Java --------- 0 
 02.04.2007 13:22     F:\Programme\Gemeinsame Dateien --------- 0 
 02.04.2007 00:16     F:\Programme\WinPcap --------- 0 
 02.04.2007 00:14     F:\Programme\HiNetRecorder --------- 0 
 24.03.2007 21:41     F:\Programme\MeeSoft --------- 0 
 24.03.2007 21:38     F:\Programme\RedEye --------- 0 
 24.03.2007 20:48     F:\Programme\Canon --------- 0 
 23.03.2007 00:07     F:\Programme\Free RAW Viewer --------- 0 
 12.03.2007 01:25     F:\Programme\Ontrack --------- 0 
 07.03.2007 12:14     F:\Programme\Messenger --------- 0 
 24.02.2007 01:25     F:\Programme\QuickTime --------- 0 
 23.02.2007 09:17     F:\Programme\Apple Software Update --------- 0 
 12.02.2007 23:16     F:\Programme\Maris Technologies --------- 0 
 11.02.2007 01:00     F:\Programme\PC Inspector File Recovery --------- 0 
 29.01.2007 01:27     F:\Programme\Blender Foundation --------- 0 
 29.01.2007 01:01     F:\Programme\Adobe --------- 0 
 09.01.2007 22:08     F:\Programme\VideoLAN --------- 0 
 31.10.2006 18:22     F:\Programme\RegiStax4 --------- 0 
 29.10.2006 12:31     F:\Programme\Diffraction Limited --------- 0 
 17.08.2006 21:56     F:\Programme\TPB Reader --------- 0 
 25.07.2006 00:01     F:\Programme\ProjectX_0.90.4.00 --------- 0 
 05.07.2006 20:45     F:\Programme\Windows Media Player --------- 0 
 05.07.2006 15:42     F:\Programme\DVBViewerTE --------- 0 
 05.07.2006 15:29     F:\Programme\TechniSat DVB --------- 0 
 05.07.2006 15:16     F:\Programme\TechniSat DVB2 --------- 0 
 04.07.2006 16:01     F:\Programme\Electronic-Design GmbH --------- 0 
 04.07.2006 00:38     F:\Programme\ATI Technologies --------- 0 
 03.07.2006 13:10     F:\Programme\Intel --------- 0 
 22.05.2006 15:59     F:\Programme\Ahead --------- 0 
 22.05.2006 15:49     F:\Programme\Cleaner 5 EZ --------- 0 
 22.05.2006 15:48     F:\Programme\Windows Media Components --------- 0 
 22.05.2006 15:48     F:\Programme\directx --------- 0 
 22.05.2006 15:43     F:\Programme\Microsoft Visual Studio --------- 0 
 22.05.2006 15:41     F:\Programme\Microsoft Office --------- 0 
 22.05.2006 15:41     F:\Programme\microsoft frontpage --------- 0 
 22.05.2006 15:26     F:\Programme\Marvell --------- 0 
 22.05.2006 15:19     F:\Programme\Analog Devices --------- 0 
 22.05.2006 15:16     F:\Programme\Uninstall Information --------- 0 
 22.05.2006 15:15     F:\Programme\WindowsUpdate --------- 0 
 22.05.2006 15:12     F:\Programme\xerox --------- 0 
 22.05.2006 15:10     F:\Programme\Online-Dienste --------- 0 
 22.05.2006 15:10     F:\Programme\Movie Maker --------- 0 
 22.05.2006 15:09     F:\Programme\NetMeeting --------- 0 
 22.05.2006 15:09     F:\Programme\Outlook Express --------- 0 
 22.05.2006 15:08     F:\Programme\ComPlus Applications --------- 0 
 22.05.2006 15:08     F:\Programme\MSN Gaming Zone --------- 0 
 22.05.2006 15:08     F:\Programme\Windows NT --------- 0 
----------------------------------------

 
F:\Dokumente und Einstellungen\All Users\.. 

sysop    
Default User    
kr    
Administrator    
LocalService    
NetworkService    
All Users    
----------------------------------------

 
F:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1       localhost

----------------------------------------

 

Abbildname                  PID Sitzungsname      Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process           0 Console                   0            20 K
System                        4 Console                   0           216 K
smss.exe                    796 Console                   0           364 K
csrss.exe                   904 Console                   0         3.900 K
winlogon.exe                932 Console                   0         6.448 K
services.exe                980 Console                   0         2.832 K
lsass.exe                   992 Console                   0         1.224 K
ati2evxx.exe               1180 Console                   0         1.780 K
svchost.exe                1240 Console                   0         4.012 K
svchost.exe                1568 Console                   0        13.976 K
svchost.exe                1720 Console                   0         3.144 K
svchost.exe                1760 Console                   0         3.600 K
spoolsv.exe                1824 Console                   0         4.208 K
IAANTmon.exe                128 Console                   0           872 K
incdsrv.exe                 164 Console                   0         2.556 K
SMAgent.exe                 560 Console                   0         1.468 K
svchost.exe                 712 Console                   0         2.364 K
wdfmgr.exe                  768 Console                   0         1.328 K
ati2evxx.exe                536 Console                   0         2.160 K
explorer.exe                636 Console                   0        18.708 K
Smax4.exe                  1348 Console                   0         3.308 K
Server4PC.exe              1480 Console                   0        11.644 K
cinetray.exe               1488 Console                   0         2.116 K
cmd.exe                    1636 Console                   0         1.724 K
tasklist.exe               1608 Console                   0         2.348 K
wmiprvse.exe               1204 Console                   0         3.620 K

 
***** Ende des Scans 19.02.2008 um 19:50:30,54 ***  
 

 

#6 heute abend erstelle ich weitere Anweisungen... im moment ...keine Zeit
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#7 okay. Ich habe übrigens beim ersten Programm nur die Stufe "1" ausgeführt, nicht "2", also nur den scan. War das richtig?

Nach dem Starten des Computers war das RAID System nicht mehr ansprechbar, wurde aber nach erneutem Start wieder sichtbar.

\Tom

#8 natürlich solltest du nur 1 anwenden - nun kommt nr.2 ... und wenn ich das log habe, kommt nummer 3

1.
Doppelklick auf FindAWF.exe - und schreibe: 2 [Restore files from bak folders] + klicke "Enter - eine files.txt wird sich öffnen.

(kopiere in die Textdatei - rechter Mausklick auf die vom Moderator angegebenen Daten - kopieren, dann Einfügen)

Zitat

"F:\Programme\Ahead\InCD\bak\InCD.exe"
"F:\Programme\Analog Devices\SoundMAX\bak\Smax4.exe"
"F:\Programme\Analog Devices\SoundMAX\bak\SMax4PNP.exe"
"F:\Programme\ATI Technologies\ATI.ACE\bak\cli.exe"
"F:\Programme\Intel\Intel Application Accelerator\bak\iaanotif.exe"
"F:\Programme\QuickTime\bak\qttask.exe"
"F:\Programme\Spybot - Search & Destroy\bak\TeaTimer.exe"
"F:\WINDOWS\system32\bak\ctfmon.exe"
"F:\WINDOWS\system32\bak\lsasss.exe"
"F:\WINDOWS\system32\bak\NeroCheck.exe"

klicke oben links auf: Datei - "Speichern unter" - und bestätige mit "ja"
es geschieht folgendes:

* It attempts to terminate the process represented by each filename on the list (if running).
* Deletes the rogue file from the parent folder (if present).
* Copies the original file to the parent folder.

kopiere das automatisch erscheinende neue Log - awf.txt ins Sicherheitsforum
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#9 kopiere das automatisch erscheinende neue Log - awf.txt ins Sicherheitsforum ....hiermit geschehen.

Hallo!

ich hoffe das ist jetzt das was Du lesen willst? Riskiere ich eigentlich, mein RAID Datenlaufwerk H zu verlieren?

\so long
Tom

--snip

Find AWF report by noahdfear ©2006
Version 1.40
Option 2 run successfully



bak folders found
~~~~~~~~~~~

Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\MESSEN~1\BAK

0 Datei(en) 0 Bytes
2 Verzeichnis(se), 6.119.489.536 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\QUICKT~1\BAK

04.06.2006 20:49 282.624 qttask.exe
1 Datei(en) 282.624 Bytes
2 Verzeichnis(se), 6.119.489.536 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\SPYBOT~1\BAK

31.05.2005 01:04 1.415.824 TeaTimer.exe
1 Datei(en) 1.415.824 Bytes
2 Verzeichnis(se), 6.119.485.440 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\WINDOWS\SYSTEM32\BAK

18.08.2001 13:00 13.312 ctfmon.exe
02.03.2007 00:05 36.610 lsasss.exe
09.07.2001 10:50 155.648 NeroCheck.exe
3 Datei(en) 205.570 Bytes
2 Verzeichnis(se), 6.119.485.440 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\AHEAD\INCD\BAK

14.10.2003 16:18 1.228.850 InCD.exe
1 Datei(en) 1.228.850 Bytes
2 Verzeichnis(se), 6.119.485.440 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\ANALOG~1\SOUNDMAX\BAK

30.05.2003 08:42 585.728 Smax4.exe
29.05.2003 15:28 790.528 SMax4PNP.exe
2 Datei(en) 1.376.256 Bytes
2 Verzeichnis(se), 6.119.485.440 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\ATITEC~1\ATI.ACE\BAK

06.08.2005 00:07 61.440 cli.exe
1 Datei(en) 61.440 Bytes
2 Verzeichnis(se), 6.119.485.440 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\INTEL\INTELA~1\BAK

02.07.2003 23:00 126.976 iaanotif.exe
1 Datei(en) 126.976 Bytes
2 Verzeichnis(se), 6.119.485.440 Bytes frei


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

282624 4 Jun 2006 F:\PROGRA~1\QUICKT~1\BAK\QTTASK.EXE
2097488 28 Jan 2008 F:\PROGRA~1\SPYBOT~1\TEATIMER.EXE
1415824 31 May 2005 F:\PROGRA~1\SPYBOT~1\BAK\TEATIMER.EXE
36610 6 Mar 2007 F:\WINDOWS\SYSTEM32\CTFMON.EXE
13312 18 Aug 2001 F:\WINDOWS\SYSTEM32\BAK\CTFMON.EXE
36610 2 Mar 2007 F:\WINDOWS\SYSTEM32\BAK\LSASSS.EXE
36610 6 Mar 2007 F:\WINDOWS\SYSTEM32\NEROCH~1.EXE
155648 9 Jul 2001 F:\WINDOWS\SYSTEM32\BAK\NEROCH~1.EXE
36610 6 Mar 2007 F:\PROGRA~1\AHEAD\INCD\INCD.EXE
1228850 14 Oct 2003 F:\PROGRA~1\AHEAD\INCD\BAK\INCD.EXE
36610 6 Mar 2007 F:\PROGRA~1\ANALOG~1\SOUNDMAX\SMAX4.EXE
585728 30 May 2003 F:\PROGRA~1\ANALOG~1\SOUNDMAX\BAK\SMAX4.EXE
36610 6 Mar 2007 F:\PROGRA~1\ANALOG~1\SOUNDMAX\SMAX4PNP.EXE
790528 29 May 2003 F:\PROGRA~1\ANALOG~1\SOUNDMAX\BAK\SMAX4PNP.EXE
36610 6 Mar 2007 F:\PROGRA~1\ATITEC~1\ATI.ACE\CLI.EXE
61440 6 Aug 2005 F:\PROGRA~1\ATITEC~1\ATI.ACE\BAK\CLI.EXE
36610 6 Mar 2007 F:\PROGRA~1\INTEL\INTELA~1\IAANOTIF.EXE
126976 2 Jul 2003 F:\PROGRA~1\INTEL\INTELA~1\BAK\IAANOTIF.EXE


end of report

#10 1. datei mit rechts anklicken - mit Texteditor oeffnen

F:\WINDOWS\wininit.ini

poste, was dort steht

---------------------------------

NEU
kopiere das in den Texteditor - abspeichern als look32.bat (unter alle Dateien abspeichern) und auf dem Desktop abspeichern - klicke die bat doppelt, poste, was im Texteditor erscheint

Zitat

cd\
cd %windir%\system32\AppCert
dir /a:-d /o:-d > %systemdrive%\look32.txt
start %systemdrive%\look32.txt
cls
exit

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Driver::
wepvtkts

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tt]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AppCert]
"Path"=-
"CurrentState"="stop"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls]
"AppSecDll"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]
"appsecdll"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\AppCert]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls]
[-HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22e88050-7be3-47f3-837b-c4a65f5f8c14}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AB25544B-4715-4E06-BB75-A1ADFFA172EA}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AE629598-F5BC-4B4B-BE36-2BFF0D1332E5}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9dd3566-0282-476f-9921-13e67c8ea41a}]

File::
F:\DOKUME~1\sysop\LOKALE~1\Temp\JET1.tmp
F:\DOKUME~1\sysop\LOKALE~1\Temp\JETFE66.tmp
F:\WINDOWS\Temp\JET1.tmp
F:\WINDOWS\Temp\JETFE66.tmp
F:\WINDOWS\System32\AppCert\ywb11.dll
F:\WINDOWS\System32\AppCert\wsil32.dll
F:\WINDOWS\system32\ntos.exe_tobedeleted
F:\WINDOWS\wininit.ini
F:\WINDOWS\System32\drivers\ntcuicir.dat
f:\windows\system32\dpcdllt.dll
F:\WINDOWS\System32\8B322i3Ii.dll
F:\WINDOWS\system32\msac_32.dll
F:\WINDOWS\System32\hudhsikk.dll

Folder::
F:\windows\System32\AppCert
F:\WINDOWS\system32\wsnpoem

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.


boote in den abgesicherten modus

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen - Combofix wieder anwenden - tippe 1




PC wieder neustarten

3.
Doppelklick FindAWF.exe
http://virus-protect.org/artikel/tools/findawf.html
- und schreibe: 3 - + klicke "Enter - eine files.txt wird sich öffnen.

Zitat

F:\WINDOWS\SYSTEM32\BAK
F:\Programme\Ahead\InCD\bak
F:\Programme\Analog Devices\SoundMAX\bak
F:\Programme\Analog Devices\SoundMAX\bak
F:\Programme\ATI Technologies\ATI.ACE\bak
F:\Programme\Intel\Intel Application Accelerator\bak
F:\Programme\QuickTime\bak
F:\Programme\Spybot - Search & Destroy\bak

klicke oben links auf: Datei - "Speichern unter" - und bestätige mit "ja"
kopiere das Log, welches erscheint ins Sicherheitsforum

««««««««««

4.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

5.
lade combofix neu, poste das neue log
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#11 Hallo,

Punkt 1 poste ich schon einmal hier unten.
Bei Punkt zwei will ich vorher nochmal fragen:

wenn ich das textfile auf das Combofix ziehe, dann wende ich es doch auch an, nicht wahr? Weil Du schreibst: [...]-combofix anwenden - [...]
also meinst Du es EINMAL anwenden an dieser Stelle, ja?

Danach steht: PC wieder neustarten

Soll das wieder im abgesicherten Modus geschehen?

\Tom

--snip
[rename]
c:\tempjunk8274.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted
nul=c:\tempjunk6150.tmp
c:\tempjunk6870.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted
c:\tempjunk8782.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted
c:\tempjunk2164.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted
c:\tempjunk6135.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted
c:\tempjunk6504.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted
c:\tempjunk4725.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted
c:\tempjunk7375.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted
c:\tempjunk7040.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted
c:\tempjunk3285.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted
c:\tempjunk1467.tmp=F:\WINDOWS\system32\ntos.exe_tobedeleted
c:\tempjunk4922.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted
c:\tempjunk9797.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted
c:\tempjunk6150.tmp=F:\WINDOWS\system32\mscomm.dll

#12 erstelle bitte die cfscript.txt-Datei neu, ich hab was im Script geaendert........

führe bitte das im abgesicherten Modus durch: - (F8 drücken, wenn der Rechner hochfährt.)
du ziehst die txt-Datei auf das combofix-Symbol.
dannach klickst du das Combofix-Symbol an, schreibst in das Fenster, was sich oeffnet : 1
dann loescht die Combofix, was ich ins Script geschrieben habe

-------

dann:
lasse überprüfen:
http://www.virustotal.com/de/

F:\WINDOWS\system32\msnvdrv.dll
F:\WINDOWS\system32\commusr.dll

poste hier die Reporte
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#13 Hallo,
hier jetzt alle logs. Ich hoffe, ich habe alles richtig gemacht. Dieses VirusTotal ist ja auch eine tolle Sache!!
Danke. Was soll ich jetzt tun?

\Tom


--snip
[rename]
c:\tempjunk8274.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted
nul=c:\tempjunk6150.tmp
c:\tempjunk6870.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted
c:\tempjunk8782.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted
c:\tempjunk2164.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted
c:\tempjunk6135.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted
c:\tempjunk6504.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted
c:\tempjunk4725.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted
c:\tempjunk7375.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted
c:\tempjunk7040.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted
c:\tempjunk3285.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted
c:\tempjunk1467.tmp=F:\WINDOWS\system32\ntos.exe_tobedeleted
c:\tempjunk4922.tmp=F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted
c:\tempjunk9797.tmp=F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted
c:\tempjunk6150.tmp=F:\WINDOWS\system32\mscomm.dll

--
look32.bat:

--snip

Datentr„ger in Laufwerk F: ist BOOT-System
Volumeseriennummer: EC20-F9A1

Verzeichnis von F:\WINDOWS\system32\AppCert

13.11.2007 15:13 81.920 ywb11.dll
09.11.2007 19:09 81.920 wby10.dll
17.10.2007 14:38 81.920 ywb10.dll
17.10.2007 14:29 24 filter.drv
18.08.2001 13:00 24.576 wsil32.dll
18.08.2001 13:00 54.684 wnl32.dll
6 Datei(en) 325.044 Bytes
0 Verzeichnis(se), 6.105.772.032 Bytes frei
--
jetzt hier das combofix log, im abgesicherten modus ausgefuehrt. Eine 1 bracuhte ich nicht tippen, dafuer musste ich aber am ende
das Programm abwuergen, denn combofix wollte ein reboot durchfzehren
und windows ließ es nicht.

danach habe ich den rechner noch ein zweites mal booten lassen da ich
nach dem reboot nur ein schwarzes fenster uebrig hatte und das log nicht
irgendwo reinkopieren konnte. Und genau da befinde ich mich:

Ich nehme jetzt das log aus F\: und kopiere es hier rein.

--snip

ComboFix 08-02-19.2 - Administrator 2008-02-19 20:59:54.7 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.852 [GMT 1:00]
ausgeführt von:: F:\Dokumente und Einstellungen\sysop\Desktop\ComboFix.exe
Command switches used :: F:\Dokumente und Einstellungen\sysop\Desktop\cfscript.txt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
F:\DOKUME~1\sysop\LOKALE~1\Temp\JET1.tmp
F:\DOKUME~1\sysop\LOKALE~1\Temp\JETFE66.tmp
F:\WINDOWS\System32\8B322i3Ii.dll
F:\WINDOWS\System32\AppCert\wsil32.dll
F:\WINDOWS\System32\AppCert\ywb11.dll
f:\windows\system32\dpcdllt.dll
F:\WINDOWS\System32\drivers\ntcuicir.dat
F:\WINDOWS\System32\hudhsikk.dll
F:\WINDOWS\system32\msac_32.dll
F:\WINDOWS\system32\ntos.exe_tobedeleted
F:\WINDOWS\Temp\JET1.tmp
F:\WINDOWS\Temp\JETFE66.tmp
F:\WINDOWS\wininit.ini
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\WINDOWS\system32\8B322i3Ii.dll
F:\windows\System32\AppCert
F:\windows\System32\AppCert\filter.drv
F:\windows\System32\AppCert\wby10.dll
F:\windows\System32\AppCert\wnl32.dll
F:\WINDOWS\System32\AppCert\wsil32.dll
F:\windows\System32\AppCert\ywb10.dll
F:\windows\System32\AppCert\ywb11.dll
f:\windows\system32\dpcdllt.dll
F:\WINDOWS\System32\drivers\ntcuicir.dat
F:\WINDOWS\wininit.ini

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_WEPVTKTS
-------\wepvtkts


((((((((((((((((((((((( Dateien erstellt von 2008-01-19 bis 2008-02-19 ))))))))))))))))))))))))))))))
.

2008-02-19 20:47 . 2008-02-19 20:47 <DIR> d-------- F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\vlc

2008-02-19 19:48 . 2008-02-19 19:48 <DIR> d-------- F:\VundoFix Backups
2008-02-19 19:46 . 2008-02-19 19:46 <DIR> d-------- F:\Programme\CCleaner
2008-02-04 23:03 . 2008-02-16 22:45 729,088 --a------ F:\WINDOWS\GPInstall.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-04 22:47 --------- d---a-w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-04 21:58 --------- d-----w F:\Programme\Registry System Wizard
2008-02-04 21:47 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-04 21:46 --------- d-----w F:\Programme\Spybot - Search & Destroy
2008-01-06 04:06 --------- d-----w F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\Move Networks
.

------- Sigcheck -------

"F:\WINDOWS\system32\svchost.exe"
----a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\svchost.exe
-c--a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\svchost.exe

"F:\WINDOWS\system32\user32.dll"
----a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\user32.dll
-c--a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\user32.dll

"F:\WINDOWS\system32\ws2_32.dll"
----a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\ws2_32.dll
-c--a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ws2_32.dll

"F:\WINDOWS\system32\wininet.dll"
----a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\wininet.dll
-c--a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\wininet.dll

"F:\WINDOWS\system32\drivers\tcpip.sys"
-c--a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\tcpip.sys
----a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\tcpip.sys

"F:\WINDOWS\system32\winlogon.exe"
----a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\winlogon.exe
-c--a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\winlogon.exe

"F:\WINDOWS\system32\drivers\ndis.sys"
-c--a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ndis.sys
----a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\ndis.sys

"F:\WINDOWS\system32\ntkrnlpa.exe"
----a-w 1,872,384 2001-08-18 12:00:00 F:\WINDOWS\system32\ntkrnlpa.exe

"F:\WINDOWS\system32\ntoskrnl.exe"
----a-w 1,900,544 2001-08-18 12:00:00 F:\WINDOWS\system32\ntoskrnl.exe

"F:\WINDOWS\explorer.exe"
----a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\explorer.exe
-c--a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 1,228,850 2003-10-14 15:18:04 F:\Programme\Ahead\InCD\bak\InCD.exe
----a-w 36,610 2007-03-06 21:17:52 F:\Programme\Ahead\InCD\InCD.exe

----a-w 585,728 2003-05-30 07:42:22 F:\Programme\Analog Devices\SoundMAX\bak\Smax4.exe
----a-w 36,610 2007-03-06 21:17:52 F:\Programme\Analog Devices\SoundMAX\Smax4.exe

----a-w 790,528 2003-05-29 14:28:32 F:\Programme\Analog Devices\SoundMAX\bak\SMax4PNP.exe
----a-w 36,610 2007-03-06 21:17:52 F:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe

----a-w 61,440 2005-08-05 23:07:30 F:\Programme\ATI Technologies\ATI.ACE\bak\cli.exe
----a-w 36,610 2007-03-06 21:17:52 F:\Programme\ATI Technologies\ATI.ACE\cli.exe

----a-w 126,976 2003-07-02 22:00:00 F:\Programme\Intel\Intel Application Accelerator\bak\iaanotif.exe
----a-w 36,610 2007-03-06 21:17:52 F:\Programme\Intel\Intel Application Accelerator\iaanotif.exe

----a-w 282,624 2006-06-04 19:49:02 F:\Programme\QuickTime\bak\qttask.exe

----a-w 1,415,824 2005-05-31 00:04:00 F:\Programme\Spybot - Search & Destroy\bak\TeaTimer.exe
--sha-r 2,097,488 2008-01-28 10:43:40 F:\Programme\Spybot - Search & Destroy\TeaTimer.exe

----a-w 13,312 2001-08-18 12:00:00 F:\WINDOWS\system32\bak\ctfmon.exe
----a-w 36,610 2007-03-06 21:17:52 F:\WINDOWS\system32\ctfmon.exe

----a-w 36,610 2007-03-01 23:05:26 F:\WINDOWS\system32\bak\lsasss.exe

----a-r 155,648 2001-07-09 09:50:42 F:\WINDOWS\system32\bak\NeroCheck.exe
----a-w 36,610 2007-03-06 21:17:52 F:\WINDOWS\system32\NeroCheck.exe

.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2007-03-06 22:17 36610]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB6515"="command /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
"SpybotDeletingD9545"="cmd /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
"SpybotDeletingB8170"="command /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ]
"SpybotDeletingD6195"="cmd /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ]
"SpybotDeletingB8650"="command /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
"SpybotDeletingD5103"="cmd /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
"SpybotDeletingB9572"="command /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ]
"SpybotDeletingD5403"="cmd /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ]
"SpybotDeletingB7474"="command /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
"SpybotDeletingD7139"="cmd /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
"SpybotDeletingB5029"="command /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ]
"SpybotDeletingD499"="cmd /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="F:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2007-03-06 22:17 36610]
"SoundMAX"="F:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2007-03-06 22:17 36610]
"NvCplDaemon"="F:\WINDOWS\System32\NvCpl.dll" [2003-05-26 04:18 4640768]
"NeroFilterCheck"="F:\WINDOWS\system32\NeroCheck.exe" [2007-03-06 22:17 36610]
"InCD"="F:\Programme\Ahead\InCD\InCD.exe" [2007-03-06 22:17 36610]
"IAAnotif"="F:\Programme\Intel\Intel Application Accelerator\iaanotif.exe" [2007-03-06 22:17 36610]
"ATICCC"="F:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2007-03-06 22:17 36610]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2007-03-06 22:17 36610]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
F:\Programme\MSN Messenger\MsnMsgr.exe

S1 Cinemsup;Cinemsup;F:\WINDOWS\System32\drivers\Cinemsup.sys [2002-07-19 07:10]
S3 SKYNET;TechniSat DVB-PC TV Star PCI;F:\WINDOWS\System32\DRIVERS\SkyNET.SYS [2005-09-29 11:28]
S3 vidcap;vidcap;F:\WINDOWS\System32\DRIVERS\vidcap.sys [2006-12-27 15:47]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-19 20:33:54
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-19 20:35:44 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-19 19:35:40


--

und nun mache ich den nächsten schritt: findawf (immer noch im abgesicherten modus)

--snip

Find AWF report by noahdfear ©2006
Version 1.40
Option 3 run successfully



bak folders found
~~~~~~~~~~~

Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\MESSEN~1\BAK

0 Datei(en) 0 Bytes
2 Verzeichnis(se), 6.039.789.568 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\SPYBOT~1\BAK

31.05.2005 01:04 1.415.824 TeaTimer.exe
1 Datei(en) 1.415.824 Bytes
2 Verzeichnis(se), 6.039.789.568 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\WINDOWS\SYSTEM32\BAK

09.07.2001 10:50 155.648 NeroCheck.exe
1 Datei(en) 155.648 Bytes
2 Verzeichnis(se), 6.039.785.472 Bytes frei


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

2097488 28 Jan 2008 F:\PROGRA~1\SPYBOT~1\TEATIMER.EXE
1415824 31 May 2005 F:\PROGRA~1\SPYBOT~1\BAK\TEATIMER.EXE
36610 6 Mar 2007 F:\WINDOWS\SYSTEM32\NEROCH~1.EXE
155648 9 Jul 2001 F:\WINDOWS\SYSTEM32\BAK\NEROCH~1.EXE


end of report

--
...und noch einmal Combofix



--snip



ComboFix 08-02-19.2 - Administrator 2008-02-19 20:53:12.8 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.845 [GMT 1:00]
ausgeführt von:: F:\Dokumente und Einstellungen\sysop\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-19 bis 2008-02-19 ))))))))))))))))))))))))))))))
.

2008-02-19 20:47 . 2008-02-19 20:47 <DIR> d-------- F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\vlc
2008-02-19 19:46 . 2008-02-19 19:46 <DIR> d-------- F:\Programme\CCleaner
2008-02-04 23:03 . 2008-02-16 22:45 729,088 --a------ F:\WINDOWS\GPInstall.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-19 19:49 --------- d-----w F:\Programme\QuickTime
2008-02-04 22:47 --------- d---a-w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-04 21:58 --------- d-----w F:\Programme\Registry System Wizard
2008-02-04 21:47 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-04 21:46 --------- d-----w F:\Programme\Spybot - Search & Destroy
2008-01-06 04:06 --------- d-----w F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\Move Networks
2007-12-20 21:10 31,744 ----a-w F:\WINDOWS\system32\msnvdrv.dll
2007-12-20 21:10 30,208 ----a-w F:\WINDOWS\system32\commusr.dll
2007-12-20 21:09 31,744 ----a-w F:\WINDOWS\system32\drvdlgdiag.dll
2007-12-20 21:01 31,744 ----a-w F:\WINDOWS\system32\commnet.dll
2007-12-20 21:01 30,208 ----a-w F:\WINDOWS\system32\nvcomm.dll
2007-12-20 21:00 31,744 ----a-w F:\WINDOWS\system32\net64diagms.dll
2007-12-20 21:00 30,208 ----a-w F:\WINDOWS\system32\msnv32usr.dll
2007-12-20 20:59 31,744 ----a-w F:\WINDOWS\system32\msmsdrv32.dll
2007-12-20 20:59 30,208 ----a-w F:\WINDOWS\system32\dlgdiag32usr.dll
2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\nvnetdlg.dll
2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\netcommnv.dll
2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\diagnet32.dll
2007-12-20 20:51 30,208 ----a-w F:\WINDOWS\system32\diagcommdlg.dll
2007-12-20 20:50 30,208 ----a-w F:\WINDOWS\system32\ms64commusr.dll
2007-12-20 20:50 30,208 ----a-w F:\WINDOWS\system32\commnetusr.dll
2007-12-20 20:49 31,744 ----a-w F:\WINDOWS\system32\netcomm.dll
2007-12-20 20:49 30,208 ----a-w F:\WINDOWS\system32\diag32.dll
2007-12-20 20:41 30,208 ----a-w F:\WINDOWS\system32\netdrvdrvcomm.dll
2007-12-20 20:40 31,744 ----a-w F:\WINDOWS\system32\nvdrvcommusr.dll
2007-12-20 20:40 31,744 ----a-w F:\WINDOWS\system32\netdiag.dll
2007-12-20 20:40 30,208 ----a-w F:\WINDOWS\system32\commdrvnv.dll
2007-12-20 20:39 31,744 ----a-w F:\WINDOWS\system32\drvdrvdiagdiag.dll
2007-12-20 20:39 30,208 ----a-w F:\WINDOWS\system32\64drvnet.dll
2007-12-20 20:34 30,208 ----a-w F:\WINDOWS\system32\64diagnetdrv.dll
2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\netusrmscomm.dll
2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\msdiag6464.dll
2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\commcommusr.dll
2007-12-20 20:33 30,208 ----a-w F:\WINDOWS\system32\nvdiag3232.dll
2007-12-20 20:33 30,208 ----a-w F:\WINDOWS\system32\dlg32.dll
2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\nv3264drv.dll
2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\dlg643264.dll
2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\commdrvmsnv.dll
2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\usrnvnvcomm.dll
2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\usr6432.dll
2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\commnvdrvms.dll
2007-12-20 20:25 31,744 ----a-w F:\WINDOWS\system32\64commcommnet.dll
2007-12-20 20:25 30,208 ----a-w F:\WINDOWS\system32\32net64nv.dll
2007-12-20 20:24 31,744 ----a-w F:\WINDOWS\system32\drvcommms.dll
2007-12-20 20:24 30,208 ----a-w F:\WINDOWS\system32\dlgusrusr.dll
2007-12-20 20:23 31,744 ----a-w F:\WINDOWS\system32\netusrusrusr.dll
2007-12-20 20:23 30,208 ----a-w F:\WINDOWS\system32\msdiagcommnet.dll
2007-12-20 20:23 30,208 ----a-w F:\WINDOWS\system32\commcomm64drv.dll
2007-12-20 20:22 30,208 ----a-w F:\WINDOWS\system32\netnet.dll
2007-12-20 20:22 30,208 ----a-w F:\WINDOWS\system32\commdiagnetdlg.dll
2007-12-20 20:15 31,744 ----a-w F:\WINDOWS\system32\dlgnet.dll
2007-12-20 20:15 30,208 ----a-w F:\WINDOWS\system32\drvdrv.dll
2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\nvnvdrv.dll
2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\netdrvnv32.dll
2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\msnet64nv.dll
2007-12-20 20:14 30,208 ----a-w F:\WINDOWS\system32\commusrnv.dll
2007-12-20 20:14 30,208 ----a-w F:\WINDOWS\system32\commcommcomm64.dll
2007-12-20 20:13 31,744 ----a-w F:\WINDOWS\system32\64nvdlg.dll
2007-12-20 20:13 31,744 ----a-w F:\WINDOWS\system32\32netdrv.dll
2007-12-20 20:13 30,208 ----a-w F:\WINDOWS\system32\6464usr.dll
2007-12-20 20:12 31,744 ----a-w F:\WINDOWS\system32\usrdrvusrdrv.dll
2007-12-20 20:12 31,744 ----a-w F:\WINDOWS\system32\diagmsms.dll
2007-12-20 20:12 30,208 ----a-w F:\WINDOWS\system32\64drv32dlg.dll
2007-12-20 20:05 36,864 ----a-w F:\WINDOWS\system32\mscomdiag32.dll
2007-12-20 20:04 31,744 ----a-w F:\WINDOWS\system32\diagnvmsusr.dll
2007-12-20 20:04 31,744 ----a-w F:\WINDOWS\system32\64drv.dll
2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\nvusrusrnv.dll
2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\netdlg32diag.dll
2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\ms64dlgusr.dll
2007-12-20 20:03 31,744 ----a-w F:\WINDOWS\system32\drvnvdrvnv.dll
2007-12-20 20:03 31,744 ----a-w F:\WINDOWS\system32\dlg64msnet.dll
2007-12-20 20:03 30,208 ----a-w F:\WINDOWS\system32\netms.dll
2007-12-20 20:03 30,208 ----a-w F:\WINDOWS\system32\3264diag.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\nvnvcomm.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\net3264comm.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\diagcommcomm32.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\commdrv.dll
2007-12-20 20:02 30,208 ----a-w F:\WINDOWS\system32\usrdrvmsusr.dll
2007-12-20 20:02 30,208 ----a-w F:\WINDOWS\system32\msnvnv.dll
2007-12-20 19:55 31,744 ----a-w F:\WINDOWS\system32\msmsusr.dll
2007-12-20 19:55 30,208 ----a-w F:\WINDOWS\system32\commdlgnv.dll
2007-12-20 19:54 31,744 ----a-w F:\WINDOWS\system32\usrdrvnet.dll
2007-12-20 19:54 31,744 ----a-w F:\WINDOWS\system32\32dlg.dll
2007-12-20 19:54 30,208 ----a-w F:\WINDOWS\system32\64dlg.dll
2007-12-20 19:53 31,744 ----a-w F:\WINDOWS\system32\usr32usrdiag.dll
2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\drvmsmsdrv.dll
2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\commdlg.dll
2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\3232drv.dll
2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\msmsnet.dll
2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\ms64diag64.dll
2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\diagdlgdrvcomm.dll
2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\nvmsnet.dll
2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\nv64diag.dll
2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\32net.dll
2007-12-20 19:45 31,744 ----a-w F:\WINDOWS\system32\64comm.dll
2007-12-20 19:45 30,208 ----a-w F:\WINDOWS\system32\mscomm32dlg.dll
2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\usr32mscomm.dll
2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\dlgmsdrv64.dll
2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\commdiagnetusr.dll
2007-12-20 19:44 30,208 ----a-w F:\WINDOWS\system32\usrdiag64.dll
.

------- Sigcheck -------

"F:\WINDOWS\system32\svchost.exe"
----a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\svchost.exe
-c--a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\svchost.exe

"F:\WINDOWS\system32\user32.dll"
----a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\user32.dll
-c--a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\user32.dll

"F:\WINDOWS\system32\ws2_32.dll"
----a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\ws2_32.dll
-c--a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ws2_32.dll

"F:\WINDOWS\system32\wininet.dll"
----a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\wininet.dll
-c--a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\wininet.dll

"F:\WINDOWS\system32\drivers\tcpip.sys"
-c--a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\tcpip.sys
----a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\tcpip.sys

"F:\WINDOWS\system32\winlogon.exe"
----a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\winlogon.exe
-c--a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\winlogon.exe

"F:\WINDOWS\system32\drivers\ndis.sys"
-c--a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ndis.sys
----a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\ndis.sys

"F:\WINDOWS\system32\ntkrnlpa.exe"
----a-w 1,872,384 2001-08-18 12:00:00 F:\WINDOWS\system32\ntkrnlpa.exe

"F:\WINDOWS\system32\ntoskrnl.exe"
----a-w 1,900,544 2001-08-18 12:00:00 F:\WINDOWS\system32\ntoskrnl.exe

"F:\WINDOWS\explorer.exe"
----a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\explorer.exe
-c--a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 1,415,824 2005-05-31 00:04:00 F:\Programme\Spybot - Search & Destroy\bak\TeaTimer.exe
--sha-r 2,097,488 2008-01-28 10:43:40 F:\Programme\Spybot - Search & Destroy\TeaTimer.exe

----a-r 155,648 2001-07-09 09:50:42 F:\WINDOWS\system32\bak\NeroCheck.exe
----a-w 36,610 2007-03-06 21:17:52 F:\WINDOWS\system32\NeroCheck.exe

.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2007-03-06 22:17 36610]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB6515"="command /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
"SpybotDeletingD9545"="cmd /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
"SpybotDeletingB8170"="command /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ]
"SpybotDeletingD6195"="cmd /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ]
"SpybotDeletingB8650"="command /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
"SpybotDeletingD5103"="cmd /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
"SpybotDeletingB9572"="command /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ]
"SpybotDeletingD5403"="cmd /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ]
"SpybotDeletingB7474"="command /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
"SpybotDeletingD7139"="cmd /c del F:\WINDOWS\system32\wsnpoem\video.dll_tobedeleted" [ ]
"SpybotDeletingB5029"="command /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ]
"SpybotDeletingD499"="cmd /c del F:\WINDOWS\system32\wsnpoem\audio.dll_tobedeleted" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="F:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2007-03-06 22:17 36610]
"SoundMAX"="F:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2007-03-06 22:17 36610]
"NvCplDaemon"="F:\WINDOWS\System32\NvCpl.dll" [2003-05-26 04:18 4640768]
"NeroFilterCheck"="F:\WINDOWS\system32\NeroCheck.exe" [2007-03-06 22:17 36610]
"InCD"="F:\Programme\Ahead\InCD\InCD.exe" [2007-03-06 22:17 36610]
"IAAnotif"="F:\Programme\Intel\Intel Application Accelerator\iaanotif.exe" [2007-03-06 22:17 36610]
"ATICCC"="F:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2007-03-06 22:17 36610]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2007-03-06 22:17 36610]

F:\Dokumente und Einstellungen\sysop\Startmen�\Programme\Autostart\
Sonic CinePlayer Quick Launch.lnk - F:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe [2002-09-18 13:16:30 98304]

F:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
ATI CATALYST-Infobereich.lnk - F:\Programme\ATI Technologies\ATI.ACE\CLI.exe [2005-08-06 00:07:30 36610]
Server4PC.lnk - F:\Programme\TechniSat DVB\bin\Server4PC.exe [2006-07-04 16:24:02 368640]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
F:\Programme\MSN Messenger\MsnMsgr.exe

S1 Cinemsup;Cinemsup;F:\WINDOWS\System32\drivers\Cinemsup.sys [2002-07-19 07:10]
S3 SKYNET;TechniSat DVB-PC TV Star PCI;F:\WINDOWS\System32\DRIVERS\SkyNET.SYS [2005-09-29 11:28]
S3 vidcap;vidcap;F:\WINDOWS\System32\DRIVERS\vidcap.sys [2006-12-27 15:47]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-19 20:54:07
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-19 20:54:56
ComboFix2.txt 2008-02-19 19:35:45

--

ueberpruefungen:
Datei msnvdrv.dll empfangen 2008.02.24 12:00:30 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 6.
Geschätzte Startzeit is zwischen 54 und 77 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.22.0 2008.02.22 -
AntiVir 7.6.0.67 2008.02.22 -
Authentium 4.93.8 2008.02.24 -
Avast 4.7.1098.0 2008.02.23 -
AVG 7.5.0.516 2008.02.24 -
BitDefender 7.2 2008.02.24 -
CAT-QuickHeal 9.50 2008.02.22 -
ClamAV 0.92.1 2008.02.24 -
DrWeb 4.44.0.09170 2008.02.24 -
eSafe 7.0.15.0 2008.02.21 -
eTrust-Vet 31.3.5557 2008.02.23 -
Ewido 4.0 2008.02.24 -
FileAdvisor 1 2008.02.24 -
Fortinet 3.14.0.0 2008.02.24 -
F-Prot 4.4.2.54 2008.02.23 -
F-Secure 6.70.13260.0 2008.02.23 -
Ikarus T3.1.1.20 2008.02.24 -
Kaspersky 7.0.0.125 2008.02.24 -
McAfee 5236 2008.02.22 -
Microsoft 1.3204 2008.02.24 -
NOD32v2 2898 2008.02.23 -
Norman 5.80.02 2008.02.22 -
Panda 9.0.0.4 2008.02.24 -
Prevx1 V2 2008.02.24 -
Rising 20.32.62.00 2008.02.24 -
Sophos 4.26.0 2008.02.24 -
Sunbelt 3.0.893.0 2008.02.23 -
Symantec 10 2008.02.24 -
TheHacker 6.2.9.228 2008.02.23 -
VBA32 3.12.6.1 2008.02.21 -
VirusBuster 4.3.26:9 2008.02.23 -
Webwasher-Gateway 6.6.2 2008.02.23 -
weitere Informationen
File size: 31744 bytes
MD5: 083aa6e15dc2eac3f93d5e20f9337061
SHA1: 27e1262c8e1dc428104b9b0c5d311e658f0a8db4
PEiD: -

--
Datei commusr.dll empfangen 2008.02.24 12:07:13 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 6.
Geschätzte Startzeit is zwischen 54 und 77 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.22.0 2008.02.22 -
AntiVir 7.6.0.67 2008.02.22 -
Authentium 4.93.8 2008.02.24 -
Avast 4.7.1098.0 2008.02.23 -
AVG 7.5.0.516 2008.02.24 -
BitDefender 7.2 2008.02.24 -
CAT-QuickHeal 9.50 2008.02.22 -
ClamAV 0.92.1 2008.02.24 -
DrWeb 4.44.0.09170 2008.02.24 -
eSafe 7.0.15.0 2008.02.21 -
eTrust-Vet 31.3.5557 2008.02.23 -
Ewido 4.0 2008.02.24 -
FileAdvisor 1 2008.02.24 -
Fortinet 3.14.0.0 2008.02.24 -
F-Prot 4.4.2.54 2008.02.23 -
F-Secure 6.70.13260.0 2008.02.23 -
Ikarus T3.1.1.20 2008.02.24 -
Kaspersky 7.0.0.125 2008.02.24 -
McAfee 5236 2008.02.22 -
Microsoft 1.3204 2008.02.24 -
NOD32v2 2898 2008.02.23 -
Norman 5.80.02 2008.02.22 -
Panda 9.0.0.4 2008.02.24 -
Prevx1 V2 2008.02.24 -
Rising 20.32.62.00 2008.02.24 -
Sophos 4.26.0 2008.02.24 -
Sunbelt 3.0.893.0 2008.02.23 -
Symantec 10 2008.02.24 -
TheHacker 6.2.9.228 2008.02.23 -
VBA32 3.12.6.1 2008.02.21 -
VirusBuster 4.3.26:9 2008.02.23 -
Webwasher-Gateway 6.6.2 2008.02.23 -
weitere Informationen
File size: 30208 bytes
MD5: 24d8f11386ec6d76d7aababf520a7809
SHA1: 69cb7247ed8d02b0420ce9a7cd7a7bbb0aa1e30c
PEiD: -

#14 Hallo,

1.
Doppelklick auf FindAWF.exe - und schreibe: 2 [Restore files from bak folders] + klicke "Enter - eine files.txt wird sich öffnen.

(kopiere in die Textdatei - rechter Mausklick auf die vom Moderator angegebenen Daten - kopieren, dann Einfügen)

Zitat

"F:\Programme\Spybot - Search & Destroy\bak\TeaTimer.exe"
"F:\WINDOWS\system32\bak\NeroCheck.exe"

klicke oben links auf: Datei - "Speichern unter" - und bestätige mit "ja"
es geschieht folgendes:

* It attempts to terminate the process represented by each filename on the list (if running).
* Deletes the rogue file from the parent folder (if present).
* Copies the original file to the parent folder.

kopiere das automatisch erscheinende neue Log - awf.txt ins Sicherheitsforum

----------------------------------------------------------------

2.
erstelle eine neue cfscript.txt (laut Anleitung) - ziehe sie wieder auf das Combofixsymbol + Combofix wieder anwenden (im normalmodus)

Zitat

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SpybotDeletingB6515"=-
"SpybotDeletingD9545"=-
"SpybotDeletingB8170"=-
"SpybotDeletingD6195"=-
"SpybotDeletingB8650"=-
"SpybotDeletingD5103"=-
"SpybotDeletingB9572"=-
"SpybotDeletingD5403"=-
"SpybotDeletingB7474"=-
"SpybotDeletingD7139"=-
"SpybotDeletingB5029"=-
"SpybotDeletingD499"=-

PC neustarten
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#15 Hallo,

hier die logs nach:
FindAWF

und nach (Normalmodus)
Combofix mit "2"


\so long
Tom
--

Find AWF report by noahdfear ©2006
Version 1.40
Option 2 run successfully



bak folders found
~~~~~~~~~~~

Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\MESSEN~1\BAK

0 Datei(en) 0 Bytes
2 Verzeichnis(se), 6.182.916.096 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\PROGRA~1\SPYBOT~1\BAK

31.05.2005 01:04 1.415.824 TeaTimer.exe
1 Datei(en) 1.415.824 Bytes
2 Verzeichnis(se), 6.182.916.096 Bytes frei
Datentr„ger in Laufwerk F: ist BOOT-System

Verzeichnis von F:\WINDOWS\SYSTEM32\BAK

09.07.2001 10:50 155.648 NeroCheck.exe
1 Datei(en) 155.648 Bytes
2 Verzeichnis(se), 6.182.912.000 Bytes frei


Duplicate files of bak directory contents
~~~~~~~~~~~~~~~~~~~~~~~

2097488 28 Jan 2008 F:\PROGRA~1\SPYBOT~1\TEATIMER.EXE
1415824 31 May 2005 F:\PROGRA~1\SPYBOT~1\BAK\TEATIMER.EXE
36610 6 Mar 2007 F:\WINDOWS\SYSTEM32\NEROCH~1.EXE
155648 9 Jul 2001 F:\WINDOWS\SYSTEM32\BAK\NEROCH~1.EXE


end of report

--snip

ComboFix 08-02-19.2 - sysop 2008-02-19 20:41:28.9 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.721 [GMT 1:00]
ausgeführt von:: F:\Dokumente und Einstellungen\sysop\Desktop\ComboFix.exe
Command switches used :: F:\Dokumente und Einstellungen\sysop\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-19 bis 2008-02-19 ))))))))))))))))))))))))))))))
.

2008-02-19 20:47 . 2008-02-19 20:47 <DIR> d-------- F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\vlc
2008-02-19 19:46 . 2008-02-19 19:46 <DIR> d-------- F:\Programme\CCleaner
2008-02-04 23:03 . 2008-02-16 22:45 729,088 --a------ F:\WINDOWS\GPInstall.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-19 19:49 --------- d-----w F:\Programme\QuickTime
2008-02-04 22:47 --------- d---a-w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-04 21:58 --------- d-----w F:\Programme\Registry System Wizard
2008-02-04 21:47 --------- d-----w F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-04 21:46 --------- d-----w F:\Programme\Spybot - Search & Destroy
2008-01-06 04:06 --------- d-----w F:\Dokumente und Einstellungen\sysop\Anwendungsdaten\Move Networks
2007-12-20 21:10 31,744 ----a-w F:\WINDOWS\system32\msnvdrv.dll
2007-12-20 21:10 30,208 ----a-w F:\WINDOWS\system32\commusr.dll
2007-12-20 21:09 31,744 ----a-w F:\WINDOWS\system32\drvdlgdiag.dll
2007-12-20 21:01 31,744 ----a-w F:\WINDOWS\system32\commnet.dll
2007-12-20 21:01 30,208 ----a-w F:\WINDOWS\system32\nvcomm.dll
2007-12-20 21:00 31,744 ----a-w F:\WINDOWS\system32\net64diagms.dll
2007-12-20 21:00 30,208 ----a-w F:\WINDOWS\system32\msnv32usr.dll
2007-12-20 20:59 31,744 ----a-w F:\WINDOWS\system32\msmsdrv32.dll
2007-12-20 20:59 30,208 ----a-w F:\WINDOWS\system32\dlgdiag32usr.dll
2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\nvnetdlg.dll
2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\netcommnv.dll
2007-12-20 20:51 31,744 ----a-w F:\WINDOWS\system32\diagnet32.dll
2007-12-20 20:51 30,208 ----a-w F:\WINDOWS\system32\diagcommdlg.dll
2007-12-20 20:50 30,208 ----a-w F:\WINDOWS\system32\ms64commusr.dll
2007-12-20 20:50 30,208 ----a-w F:\WINDOWS\system32\commnetusr.dll
2007-12-20 20:49 31,744 ----a-w F:\WINDOWS\system32\netcomm.dll
2007-12-20 20:49 30,208 ----a-w F:\WINDOWS\system32\diag32.dll
2007-12-20 20:41 30,208 ----a-w F:\WINDOWS\system32\netdrvdrvcomm.dll
2007-12-20 20:40 31,744 ----a-w F:\WINDOWS\system32\nvdrvcommusr.dll
2007-12-20 20:40 31,744 ----a-w F:\WINDOWS\system32\netdiag.dll
2007-12-20 20:40 30,208 ----a-w F:\WINDOWS\system32\commdrvnv.dll
2007-12-20 20:39 31,744 ----a-w F:\WINDOWS\system32\drvdrvdiagdiag.dll
2007-12-20 20:39 30,208 ----a-w F:\WINDOWS\system32\64drvnet.dll
2007-12-20 20:34 30,208 ----a-w F:\WINDOWS\system32\64diagnetdrv.dll
2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\netusrmscomm.dll
2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\msdiag6464.dll
2007-12-20 20:33 31,744 ----a-w F:\WINDOWS\system32\commcommusr.dll
2007-12-20 20:33 30,208 ----a-w F:\WINDOWS\system32\nvdiag3232.dll
2007-12-20 20:33 30,208 ----a-w F:\WINDOWS\system32\dlg32.dll
2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\nv3264drv.dll
2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\dlg643264.dll
2007-12-20 20:32 31,744 ----a-w F:\WINDOWS\system32\commdrvmsnv.dll
2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\usrnvnvcomm.dll
2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\usr6432.dll
2007-12-20 20:32 30,208 ----a-w F:\WINDOWS\system32\commnvdrvms.dll
2007-12-20 20:25 31,744 ----a-w F:\WINDOWS\system32\64commcommnet.dll
2007-12-20 20:25 30,208 ----a-w F:\WINDOWS\system32\32net64nv.dll
2007-12-20 20:24 31,744 ----a-w F:\WINDOWS\system32\drvcommms.dll
2007-12-20 20:24 30,208 ----a-w F:\WINDOWS\system32\dlgusrusr.dll
2007-12-20 20:23 31,744 ----a-w F:\WINDOWS\system32\netusrusrusr.dll
2007-12-20 20:23 30,208 ----a-w F:\WINDOWS\system32\msdiagcommnet.dll
2007-12-20 20:23 30,208 ----a-w F:\WINDOWS\system32\commcomm64drv.dll
2007-12-20 20:22 30,208 ----a-w F:\WINDOWS\system32\netnet.dll
2007-12-20 20:22 30,208 ----a-w F:\WINDOWS\system32\commdiagnetdlg.dll
2007-12-20 20:15 31,744 ----a-w F:\WINDOWS\system32\dlgnet.dll
2007-12-20 20:15 30,208 ----a-w F:\WINDOWS\system32\drvdrv.dll
2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\nvnvdrv.dll
2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\netdrvnv32.dll
2007-12-20 20:14 31,744 ----a-w F:\WINDOWS\system32\msnet64nv.dll
2007-12-20 20:14 30,208 ----a-w F:\WINDOWS\system32\commusrnv.dll
2007-12-20 20:14 30,208 ----a-w F:\WINDOWS\system32\commcommcomm64.dll
2007-12-20 20:13 31,744 ----a-w F:\WINDOWS\system32\64nvdlg.dll
2007-12-20 20:13 31,744 ----a-w F:\WINDOWS\system32\32netdrv.dll
2007-12-20 20:13 30,208 ----a-w F:\WINDOWS\system32\6464usr.dll
2007-12-20 20:12 31,744 ----a-w F:\WINDOWS\system32\usrdrvusrdrv.dll
2007-12-20 20:12 31,744 ----a-w F:\WINDOWS\system32\diagmsms.dll
2007-12-20 20:12 30,208 ----a-w F:\WINDOWS\system32\64drv32dlg.dll
2007-12-20 20:05 36,864 ----a-w F:\WINDOWS\system32\mscomdiag32.dll
2007-12-20 20:04 31,744 ----a-w F:\WINDOWS\system32\diagnvmsusr.dll
2007-12-20 20:04 31,744 ----a-w F:\WINDOWS\system32\64drv.dll
2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\nvusrusrnv.dll
2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\netdlg32diag.dll
2007-12-20 20:04 30,208 ----a-w F:\WINDOWS\system32\ms64dlgusr.dll
2007-12-20 20:03 31,744 ----a-w F:\WINDOWS\system32\drvnvdrvnv.dll
2007-12-20 20:03 31,744 ----a-w F:\WINDOWS\system32\dlg64msnet.dll
2007-12-20 20:03 30,208 ----a-w F:\WINDOWS\system32\netms.dll
2007-12-20 20:03 30,208 ----a-w F:\WINDOWS\system32\3264diag.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\nvnvcomm.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\net3264comm.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\diagcommcomm32.dll
2007-12-20 20:02 31,744 ----a-w F:\WINDOWS\system32\commdrv.dll
2007-12-20 20:02 30,208 ----a-w F:\WINDOWS\system32\usrdrvmsusr.dll
2007-12-20 20:02 30,208 ----a-w F:\WINDOWS\system32\msnvnv.dll
2007-12-20 19:55 31,744 ----a-w F:\WINDOWS\system32\msmsusr.dll
2007-12-20 19:55 30,208 ----a-w F:\WINDOWS\system32\commdlgnv.dll
2007-12-20 19:54 31,744 ----a-w F:\WINDOWS\system32\usrdrvnet.dll
2007-12-20 19:54 31,744 ----a-w F:\WINDOWS\system32\32dlg.dll
2007-12-20 19:54 30,208 ----a-w F:\WINDOWS\system32\64dlg.dll
2007-12-20 19:53 31,744 ----a-w F:\WINDOWS\system32\usr32usrdiag.dll
2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\drvmsmsdrv.dll
2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\commdlg.dll
2007-12-20 19:53 30,208 ----a-w F:\WINDOWS\system32\3232drv.dll
2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\msmsnet.dll
2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\ms64diag64.dll
2007-12-20 19:52 31,744 ----a-w F:\WINDOWS\system32\diagdlgdrvcomm.dll
2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\nvmsnet.dll
2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\nv64diag.dll
2007-12-20 19:52 30,208 ----a-w F:\WINDOWS\system32\32net.dll
2007-12-20 19:45 31,744 ----a-w F:\WINDOWS\system32\64comm.dll
2007-12-20 19:45 30,208 ----a-w F:\WINDOWS\system32\mscomm32dlg.dll
2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\usr32mscomm.dll
2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\dlgmsdrv64.dll
2007-12-20 19:44 31,744 ----a-w F:\WINDOWS\system32\commdiagnetusr.dll
2007-12-20 19:44 30,208 ----a-w F:\WINDOWS\system32\usrdiag64.dll
.

------- Sigcheck -------

"F:\WINDOWS\system32\svchost.exe"
----a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\svchost.exe
-c--a-w 12,800 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\svchost.exe

"F:\WINDOWS\system32\user32.dll"
----a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\user32.dll
-c--a-w 562,688 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\user32.dll

"F:\WINDOWS\system32\ws2_32.dll"
----a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\ws2_32.dll
-c--a-w 75,264 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ws2_32.dll

"F:\WINDOWS\system32\wininet.dll"
----a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\wininet.dll
-c--a-w 599,552 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\wininet.dll

"F:\WINDOWS\system32\drivers\tcpip.sys"
-c--a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\tcpip.sys
----a-w 327,168 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\tcpip.sys

"F:\WINDOWS\system32\winlogon.exe"
----a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\winlogon.exe
-c--a-w 435,200 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\winlogon.exe

"F:\WINDOWS\system32\drivers\ndis.sys"
-c--a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\ndis.sys
----a-w 161,536 2001-08-18 12:00:00 F:\WINDOWS\system32\drivers\ndis.sys

"F:\WINDOWS\system32\ntkrnlpa.exe"
----a-w 1,872,384 2001-08-18 12:00:00 F:\WINDOWS\system32\ntkrnlpa.exe

"F:\WINDOWS\system32\ntoskrnl.exe"
----a-w 1,900,544 2001-08-18 12:00:00 F:\WINDOWS\system32\ntoskrnl.exe

"F:\WINDOWS\explorer.exe"
----a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\explorer.exe
-c--a-w 1,004,032 2001-08-18 12:00:00 F:\WINDOWS\system32\dllcache\explorer.exe
.
((((((((((((((((((((((((((((((((((((((((((((( AWF ))))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
----a-w 1,415,824 2005-05-31 00:04:00 F:\Programme\Spybot - Search & Destroy\bak\TeaTimer.exe
--sha-r 2,097,488 2008-01-28 10:43:40 F:\Programme\Spybot - Search & Destroy\TeaTimer.exe

----a-r 155,648 2001-07-09 09:50:42 F:\WINDOWS\system32\bak\NeroCheck.exe
----a-w 36,610 2007-03-06 21:17:52 F:\WINDOWS\system32\NeroCheck.exe

.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{10EF016D-D1E0-4684-918D-418DB861D0B6}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{22e88050-7be3-47f3-837b-c4a65f5f8c14}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{23C5E2EE-10D4-42F6-89F7-0EE385F19025}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3CFAC24F-9108-439D-9D77-C5C6C5870401}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{41EBD9AA-25B7-4CC7-B330-ACCAB8BC98A9}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5EBBB409-F530-49EE-9C36-7914449A3B2A}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AB25544B-4715-4E06-BB75-A1ADFFA172EA}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AE629598-F5BC-4B4B-BE36-2BFF0D1332E5}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{C0BEAB76-E67F-4BA6-9896-16F2F8AB686C}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E6FBC0B9-5C02-4E94-998E-DE42ADA7A2AB}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{e9dd3566-0282-476f-9921-13e67c8ea41a}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\ctfmon.exe" [2007-03-06 22:17 36610]
"NvMediaCenter"="F:\WINDOWS\System32\NVMCTRAY.DLL" [2003-05-26 04:18 49152]
"MSMSGS"="F:\Programme\Messenger\msmsgs.exe" [2001-08-02 06:14 1077277]
"SpybotSD TeaTimer"="F:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="F:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2007-03-06 22:17 36610]
"SoundMAX"="F:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2007-03-06 22:17 36610]
"NvCplDaemon"="F:\WINDOWS\System32\NvCpl.dll" [2003-05-26 04:18 4640768]
"NeroFilterCheck"="F:\WINDOWS\system32\NeroCheck.exe" [2007-03-06 22:17 36610]
"InCD"="F:\Programme\Ahead\InCD\InCD.exe" [2007-03-06 22:17 36610]
"IAAnotif"="F:\Programme\Intel\Intel Application Accelerator\iaanotif.exe" [2007-03-06 22:17 36610]
"ATICCC"="F:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2007-03-06 22:17 36610]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2007-03-06 22:17 36610]

F:\Dokumente und Einstellungen\sysop\Startmen�\Programme\Autostart\
Sonic CinePlayer Quick Launch.lnk - F:\Programme\Gemeinsame Dateien\Sonic Shared\cinetray.exe [2002-09-18 13:16:30 98304]

F:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - F:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
ATI CATALYST-Infobereich.lnk - F:\Programme\ATI Technologies\ATI.ACE\CLI.exe [2005-08-06 00:07:30 36610]
Server4PC.lnk - F:\Programme\TechniSat DVB\bin\Server4PC.exe [2006-07-04 16:24:02 368640]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoAutoUpdate"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tt]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
F:\Programme\MSN Messenger\MsnMsgr.exe

R1 Cinemsup;Cinemsup;F:\WINDOWS\System32\drivers\Cinemsup.sys [2002-07-19 07:10]
R3 SKYNET;TechniSat DVB-PC TV Star PCI;F:\WINDOWS\System32\DRIVERS\SkyNET.SYS [2005-09-29 11:28]
R3 vidcap;vidcap;F:\WINDOWS\System32\DRIVERS\vidcap.sys [2006-12-27 15:47]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-19 20:42:02
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-19 20:42:29
ComboFix2.txt 2008-02-19 19:54:57