Winampa: Regestrieeintrag erstellt sich nach Neustart immer wieder

#0
17.02.2008, 14:18
...neu hier

Beiträge: 5
#1 Moin moin,

Windows XP

ich bin nun dabei meinen Rechner seit ein paar Stunden zu entseuchen. Dazu habe ich hauptsächlich HijackThis und den Spybot benutzt. Weiterhin habe ich mir über die Ausführung der msconfoig mal alle Programme im Systemstart angeguckt und über die Seite http://www.lafn.org/webconnect/mentor/startup/PENINDEX.HTM
gecheckt.

Unter anderem habe ich den Start von Winampa.exe und nerocheck.exe dabei deaktiviert und die Files gelöscht. Die Files bleiben auch gelöscht, aber kurz nach Systemstart springt mein Spybot an und berichtet mir, dass die entsprechenden Einträge in der Regestrie wieder hergestellt werden. Wenn ich das zulasse sind die Häkchen im Systemstart anschließend alle wieder gesetzt. Wenn ich das nicht zulasse passiert beim nächsten Neustart das gleiche.

Wie komme ich dem Verursacher auf die Spur?

Danke.
Dieser Beitrag wurde am 17.02.2008 um 14:21 Uhr von DN.Grand editiert.
Seitenanfang Seitenende
17.02.2008, 16:06
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#2 Hallo,

solange, wie du die Proggies (die übrigens nix mit "Entseuchen" zu tun haben..auf dem Rechner installiert hast, werden sie auch in der Registry vorhanden sein.
Nero und winampa sind keine Malware.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
17.02.2008, 16:49
...neu hier

Themenstarter

Beiträge: 5
#3 Ämmm ja nun bin ich schlauer. ???

Also evtl. hab ich mich nicht klar genug geäußert. Die beiden Dateien (Winampa.exe und Nerocheck.exe) haben lt. der von mir verlinkten Seite nichts mit den Programmen Winamp und/oder Nero zu tun. Dort steht:

Winampa.exe:

Program Name: Taskmon driver

Executable Name: winampa.exe

Required: NO!! Virus, spyware, or resource hog

Comments: Added by the LOONY-I TROJAN! Note - this is NOT associated with the popular Winamp media player. The valid file for the Winamp Agent resides in a "Winamp" subdirectory of the Program Files directory whereas this file is located in the System (9x/Me) or System32 (NT/2K/XP) folder


NeroCheck.exe:

Program Name: Nero Checker

Executable Name: nerocheck.exe

Required: NO!! Virus, spyware, or resource hog

Comments: Added by the PROXY-X TROJAN! Note - this is not related to "Nero Burning Rom" CD writing software



Von daher der Zusammenhang zum "entseuchen". Also wie verhindere ich die Wiederherstellung des Reg-Eintrages und damit die Aufnahme in den Systemstart?
Seitenanfang Seitenende
17.02.2008, 17:10
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 ach sooo, nun denn:
poste bitte das Log von Combofix
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
17.02.2008, 17:50
...neu hier

Themenstarter

Beiträge: 5
#5 ComboFix 08-02-17.2 - Chrischi 2008-02-17 17:36:33.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.1679 [GMT 1:00]
ausgeführt von:: D:\Dokumente und Einstellungen\Chrischi.GRAND\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
ADS - svchost.exe: deleted 68 bytes in 1 streams.
ADS - ntoskrnl.exe: deleted 68 bytes in 1 streams.
ADS - explorer.exe: deleted 132 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\WINDOWS\absolute key logger.lnk
D:\WINDOWS\aconti.exe
D:\WINDOWS\aconti.log
D:\WINDOWS\acontidialer.txt
D:\WINDOWS\adbar.dll
D:\WINDOWS\cbinst$.exe
D:\WINDOWS\daxtime.dll
D:\WINDOWS\default.htm
D:\WINDOWS\dp0.dll
D:\WINDOWS\eventlowg.dll
D:\WINDOWS\fhfmm-Uninstaller.exe
D:\WINDOWS\fhfmm.exe
D:\WINDOWS\hotporn.exe
D:\WINDOWS\ie_32.exe
D:\WINDOWS\jd2002.dll
D:\WINDOWS\kkcomp$.exe
D:\WINDOWS\kkcomp.dll
D:\WINDOWS\kkcomp.exe
D:\WINDOWS\liqad$.exe
D:\WINDOWS\liqad.dll
D:\WINDOWS\liqad.exe
D:\WINDOWS\liqui-Uninstaller.exe
D:\WINDOWS\liqui.dll
D:\WINDOWS\liqui.exe
D:\WINDOWS\ngd.dll
D:\WINDOWS\pbar.dll
D:\WINDOWS\spredirect.dll
D:\WINDOWS\system32\acespy
D:\WINDOWS\system32\acespy\__acelog.ndx
D:\WINDOWS\system32\acespy\systune.exe
D:\WINDOWS\system32\ESHOPEE.exe
D:\WINDOWS\wml.exe
D:\WINDOWS\xadbrk.dll
D:\WINDOWS\xadbrk.exe
D:\WINDOWS\xadbrk_.exe
D:\WINDOWS\xxxvideo.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_NTLOAD
-------\nm
-------\NTLOAD


((((((((((((((((((((((( Dateien erstellt von 2008-01-17 bis 2008-02-17 ))))))))))))))))))))))))))))))
.

2008-02-17 12:33 . 2008-02-17 12:33 <DIR> d-------- D:\Programme\Spybot - Search & Destroy
2008-02-17 12:33 . 2008-02-17 12:36 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-17 11:54 . 2008-02-17 11:59 <DIR> d-------- D:\WINDOWS\NV32003212.TMP
2008-02-17 11:54 . 2008-02-17 11:54 <DIR> d-------- D:\WINDOWS\LastGood
2008-02-17 11:42 . 2007-02-06 13:08 1,953,792 -r------- D:\WINDOWS\system32\JMRaidSetup.exe
2008-02-17 11:42 . 2007-02-06 13:04 143,360 -r------- D:\WINDOWS\system32\JMRaidAPI.dll
2008-02-17 11:40 . 2008-02-17 11:40 <DIR> d-------- D:\WINDOWS\OPTIONS
2008-02-17 11:40 . 2006-05-04 09:26 2,808,832 -r------- D:\WINDOWS\alcwzrd.exe
2008-02-17 11:40 . 2005-09-21 03:25 299,008 -r------- D:\WINDOWS\system32\ALSndMgr.cpl
2008-02-17 11:40 . 2007-03-01 09:05 90,496 -ra------ D:\WINDOWS\system32\drivers\Rtenicxp.sys
2008-02-17 11:40 . 2005-05-03 11:43 69,632 -r------- D:\WINDOWS\Alcmtr.exe
2008-02-17 11:30 . 2008-02-17 11:42 <DIR> d-------- D:\WINDOWS\LastGood.Tmp
2008-02-17 11:30 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\atapi.sys
2008-02-17 11:19 . 2008-02-17 11:19 1,753 --a------ D:\WINDOWS\Status.mif
2008-02-17 11:18 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET47.tmp
2008-02-17 11:18 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET43.tmp
2008-02-17 11:18 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET3F.tmp
2008-02-17 11:18 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET3B.tmp
2008-02-17 11:18 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET37.tmp
2008-02-17 11:18 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET2E.tmp
2008-02-17 11:17 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET8.tmp
2008-02-17 11:17 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET4.tmp
2008-02-17 11:17 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET2A.tmp
2008-02-17 11:17 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET22.tmp
2008-02-17 11:17 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET18.tmp
2008-02-17 11:17 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET12.tmp
2008-02-17 11:11 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET77.tmp
2008-02-17 11:11 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET73.tmp
2008-02-17 11:11 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET6F.tmp
2008-02-17 11:11 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET6B.tmp
2008-02-17 11:11 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET67.tmp
2008-02-17 11:11 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET63.tmp
2008-02-17 11:05 . 2002-08-29 01:32 57,856 --a------ D:\WINDOWS\system32\drivers\drmk(2).sys
2008-02-17 11:05 . 2002-08-29 01:32 57,856 --a--c--- D:\WINDOWS\system32\dllcache\drmk(2).sys
2008-02-17 11:01 . 2008-02-17 11:25 <DIR> d-------- D:\WINDOWS\LastGood(2)
2008-02-17 11:01 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SETD.tmp
2008-02-17 11:01 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET9.tmp
2008-02-17 11:01 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET2D.tmp
2008-02-17 11:01 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET29.tmp
2008-02-17 11:01 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET25.tmp
2008-02-17 11:01 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET20.tmp
2008-02-17 11:01 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET1A.tmp
2008-02-17 11:01 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET15.tmp
2008-02-17 11:01 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET11.tmp
2008-02-17 10:58 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SETF.tmp
2008-02-17 10:58 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET30.tmp
2008-02-17 10:58 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET2C.tmp
2008-02-17 10:58 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET28.tmp
2008-02-17 10:58 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET24.tmp
2008-02-17 10:58 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET1F.tmp
2008-02-17 10:58 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET1B.tmp
2008-02-17 10:58 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET17.tmp
2008-02-17 10:58 . 2002-08-29 01:27 86,912 --a------ D:\WINDOWS\system32\drivers\SET13.tmp
2008-02-17 10:05 . 2008-02-17 10:05 <DIR> d-------- D:\WINDOWS\ServicePackFiles
2008-02-17 10:04 . 2004-08-03 22:42 20,480 --a------ D:\WINDOWS\system32\sprecovr.exe
2008-02-16 07:51 . 2008-02-16 07:51 <DIR> d-------- D:\Dokumente und Einstellungen\Chrischi.GRAND\WINDOWS
2008-02-16 07:51 . 2008-02-16 07:51 <DIR> d---s---- D:\Dokumente und Einstellungen\Chrischi.GRAND\UserData
2008-02-16 07:45 . 2008-02-16 07:45 <DIR> d-------- D:\Dokumente und Einstellungen\Chrischi.GRAND\Anwendungsdaten\Ulead Systems
2008-02-16 07:45 . 2008-02-16 07:45 <DIR> d-------- D:\Dokumente und Einstellungen\Chrischi.GRAND\Anwendungsdaten\Skype
2008-02-16 07:45 . 2008-02-16 07:45 <DIR> d-------- D:\Dokumente und Einstellungen\Chrischi.GRAND\Anwendungsdaten\Sereniti
2008-02-16 07:45 . 2008-02-16 07:45 <DIR> d-------- D:\Dokumente und Einstellungen\Chrischi.GRAND\Anwendungsdaten\My Games
2008-02-16 07:45 . 2008-02-16 07:45 <DIR> d-------- D:\Dokumente und Einstellungen\Chrischi.GRAND\Anwendungsdaten\Meine Die Schlacht um Mittelerde-Dateien
2008-02-16 07:45 . 2008-02-16 07:45 <DIR> d-------- D:\Dokumente und Einstellungen\Chrischi.GRAND\Anwendungsdaten\InstallShield
2008-02-16 07:45 . 2008-02-16 07:45 <DIR> d-------- D:\Dokumente und Einstellungen\Chrischi.GRAND\Anwendungsdaten\ICQLite
2008-02-16 07:45 . 2008-02-16 07:45 <DIR> d-------- D:\Dokumente und Einstellungen\Chrischi.GRAND\Anwendungsdaten\CyberLink
2008-02-16 07:45 . 2008-02-16 07:45 <DIR> d-------- D:\Dokumente und Einstellungen\Chrischi.GRAND\Anwendungsdaten\ChessBase
2008-02-16 07:45 . 2008-02-16 18:26 <DIR> d-------- D:\Dokumente und Einstellungen\Chrischi.GRAND\Anwendungsdaten\Azureus
2008-02-16 07:45 . 2008-02-16 07:45 <DIR> d-------- D:\Dokumente und Einstellungen\Chrischi.GRAND\Anwendungsdaten\Apple Computer
2008-02-16 07:45 . 2008-02-16 07:45 <DIR> d-------- D:\Dokumente und Einstellungen\Chrischi.GRAND\Anwendungsdaten\Ahead
2008-02-16 07:45 . 2008-02-16 07:45 <DIR> d-------- D:\Dokumente und Einstellungen\Chrischi.GRAND\Anwendungsdaten\AdobeUM
2008-02-16 07:41 . 2008-02-16 07:41 <DIR> d-------- D:\Dokumente und Einstellungen\Chrischi.GRAND\Anwendungsdaten\ATI
2008-02-16 07:40 . 2008-02-16 07:48 <DIR> dr------- D:\Dokumente und Einstellungen\Chrischi.GRAND\Eigene Dateien
2008-02-16 07:39 . 2005-01-01 16:42 <DIR> d--h----- D:\Dokumente und Einstellungen\Chrischi.GRAND\Vorlagen
2008-02-16 07:39 . 2008-02-16 07:51 <DIR> dr------- D:\Dokumente und Einstellungen\Chrischi.GRAND\Startmen
2008-02-16 07:39 . 2008-02-16 07:51 <DIR> d--h----- D:\Dokumente und Einstellungen\Chrischi.GRAND\Netzwerkumgebung
2008-02-16 07:39 . 2008-02-16 07:49 <DIR> d--h----- D:\Dokumente und Einstellungen\Chrischi.GRAND\Lokale Einstellungen
2008-02-16 07:39 . 2008-02-16 07:49 <DIR> dr------- D:\Dokumente und Einstellungen\Chrischi.GRAND\Favoriten
2008-02-16 07:39 . 2005-01-01 16:23 <DIR> d--h----- D:\Dokumente und Einstellungen\Chrischi.GRAND\Druckumgebung
2008-02-16 07:39 . 2008-02-16 07:45 <DIR> dr-h----- D:\Dokumente und Einstellungen\Chrischi.GRAND\Anwendungsdaten
2008-02-16 07:37 . 2008-02-16 07:37 <DIR> d-------- D:\Dokumente und Einstellungen\Chrischi\WINDOWS
2008-02-16 07:37 . 2008-02-16 07:37 <DIR> d--h----- D:\Dokumente und Einstellungen\Chrischi\Vorlagen
2008-02-16 07:37 . 2008-02-16 07:37 <DIR> d---s---- D:\Dokumente und Einstellungen\Chrischi\UserData
2008-02-16 07:37 . 2008-02-16 07:37 <DIR> dr------- D:\Dokumente und Einstellungen\Chrischi\Startmen
2008-02-16 07:37 . 2008-02-16 07:37 <DIR> d--h----- D:\Dokumente und Einstellungen\Chrischi\Netzwerkumgebung
2008-02-16 07:33 . 2008-02-16 07:36 <DIR> d--h----- D:\Dokumente und Einstellungen\Chrischi\Lokale Einstellungen
2008-02-16 07:33 . 2008-02-16 07:33 <DIR> dr------- D:\Dokumente und Einstellungen\Chrischi\Favoriten
2008-02-16 07:33 . 2008-02-16 07:33 <DIR> d--h----- D:\Dokumente und Einstellungen\Chrischi\Druckumgebung
2008-02-16 07:32 . 2008-02-16 07:32 <DIR> dr------- D:\Dokumente und Einstellungen\Chrischi\Eigene Dateien
2008-02-16 07:31 . 2008-02-16 07:32 <DIR> dr-h----- D:\Dokumente und Einstellungen\Chrischi\Anwendungsdaten
2008-02-16 07:03 . 2008-02-16 07:03 <DIR> d-------- D:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\AdobeUM
2008-02-16 07:01 . 2008-02-16 07:01 <DIR> d-------- D:\Dokumente und Einstellungen\TEMP\Anwendungsdaten\ATI
2008-02-16 06:59 . 2005-01-01 16:42 <DIR> d--h----- D:\Dokumente und Einstellungen\TEMP\Vorlagen
2008-02-16 06:59 . 2005-01-01 16:23 <DIR> dr------- D:\Dokumente und Einstellungen\TEMP\Startmen
2008-02-16 06:59 . 2005-01-01 16:23 <DIR> d--h----- D:\Dokumente und Einstellungen\TEMP\Netzwerkumgebung
2008-02-16 06:59 . 2005-01-01 16:23 <DIR> d--h----- D:\Dokumente und Einstellungen\TEMP\Lokale Einstellungen
2008-02-16 06:59 . 2008-02-16 07:00 <DIR> dr------- D:\Dokumente und Einstellungen\TEMP\Favoriten
2008-02-16 06:59 . 2008-02-16 07:03 <DIR> dr------- D:\Dokumente und Einstellungen\TEMP\Eigene Dateien
2008-02-16 06:59 . 2005-01-01 16:23 <DIR> d--h----- D:\Dokumente und Einstellungen\TEMP\Druckumgebung
2008-02-16 06:59 . 2008-02-16 07:03 <DIR> dr-h----- D:\Dokumente und Einstellungen\TEMP\Anwendungsdaten
2008-02-13 20:14 . 2008-02-13 20:14 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Azureus

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-17 11:50 --------- d-----w D:\Programme\BulletProofSoft.com
2008-02-17 10:42 --------- d--h--w D:\Programme\InstallShield Installation Information
2008-02-17 10:41 --------- d-----w D:\Programme\Realtek
2008-02-17 10:38 15,600 ----a-w D:\WINDOWS\gdrv.sys
2008-02-17 09:53 90,240 ----a-w D:\WINDOWS\system32\drivers\sptd3661.sys
2008-02-17 08:50 --------- d-----w D:\Programme\Winamp
2008-02-17 08:10 --------- d-----w D:\Programme\TVAnts
2008-02-17 08:10 --------- d-----w D:\Programme\Gemeinsame Dateien\NSV
2008-02-13 19:15 --------- d-----w D:\Programme\Azureus
2007-12-31 10:19 --------- d-----w D:\Programme\BSW
2003-03-21 11:45 250,544 ----a-w D:\Programme\Gemeinsame Dateien\keyhelp.ocx
2005-01-01 18:33 952 --sha-w D:\WINDOWS\system32\KGyGaAvL.sys
2005-02-14 21:25 528,384 --sha-r D:\WINDOWS\system32\sp2protect.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\System32\ctfmon.exe" [2002-08-29 04:43 13312]
"SpybotSD TeaTimer"="D:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-05-03 21:05 344064]
"iTunesHelper"="D:\Programme\iTunes\iTunesHelper.exe" [2005-10-06 18:03 278528]
"DAEMON Tools"="D:\Programme\DAEMON Tools\daemon.exe" [2005-12-10 15:57 133016]
"avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-13 12:14 249896]
"NvCplDaemon"="D:\WINDOWS\System32\NvCpl.dll" [2007-02-23 04:25 7774208]
"nwiz"="nwiz.exe" [2007-02-23 04:25 1622016 D:\WINDOWS\system32\nwiz.exe]
"ATICCC"="D:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 14:43 45056]
"JMB36X IDE Setup"="D:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 13:44 36864]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 10:33 16132608 D:\WINDOWS\RTHDCPL.exe]
"NvMediaCenter"="D:\WINDOWS\System32\NvMcTray.dll" [2007-02-23 04:25 81920]
"MSConfig"="D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2002-08-29 04:43 147968]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [2002-08-29 04:43 13312]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ :\WINDOW

R1 avgntdd;avgntdd;D:\WINDOWS\System32\DRIVERS\avgntdd.sys [2007-08-09 12:04]
R1 fwdrv;Kerio Personal Firewall Driver;D:\WINDOWS\System32\Drivers\fwdrv.sys [2002-04-15 12:18]
S3 gdrv;gdrv;D:\WINDOWS\gdrv.sys [2008-02-17 11:38]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-17 17:43:13
Windows 5.1.2600 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 3

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\System32\nvsvc32.exe
D:\Programme\Kerio\Personal Firewall\persfw.exe
D:\WINDOWS\System32\wdfmgr.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\System32\wbem\wmiapsrv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-02-17 17:45:24 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-17 16:45:21
Seitenanfang Seitenende
17.02.2008, 18:28
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#6 ««
lade die sys und die exe und die tmp hoch, lasse sie prüfen + poste hier das Ergebnis
http://www.virustotal.com/de/

D:\WINDOWS\gdrv.sys

D:\WINDOWS\alcwzrd.exe

D:\WINDOWS\system32\drivers\SETD.tmp


__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
17.02.2008, 18:56
...neu hier

Themenstarter

Beiträge: 5
#7 3xnix

gdrv.sys

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.16.10 2008.02.15 -
AntiVir 7.6.0.67 2008.02.15 -
Authentium 4.93.8 2008.02.17 -
Avast 4.7.1098.0 2008.02.16 -
AVG 7.5.0.516 2008.02.17 -
BitDefender 7.2 2008.02.17 -
CAT-QuickHeal None 2008.02.16 -
ClamAV 0.92.1 2008.02.17 -
DrWeb 4.44.0.09170 2008.02.17 -
eSafe 7.0.15.0 2008.02.17 -
eTrust-Vet 31.3.5541 2008.02.15 -
Ewido 4.0 2008.02.17 -
FileAdvisor 1 2008.02.17 -
Fortinet 3.14.0.0 2008.02.17 -
F-Prot 4.4.2.54 2008.02.17 -
F-Secure 6.70.13260.0 2008.02.17 -
Ikarus T3.1.1.20 2008.02.17 -
Kaspersky 7.0.0.125 2008.02.17 -
McAfee 5231 2008.02.15 -
Microsoft 1.3204 2008.02.17 -
NOD32v2 2881 2008.02.17 -
Norman 5.80.02 2008.02.15 -
Panda 9.0.0.4 2008.02.17 -
Prevx1 V2 2008.02.17 -
Rising 20.31.50.00 2008.02.16 -
Sophos 4.26.0 2008.02.17 -
Sunbelt 2.2.907.0 2008.02.16 -
Symantec 10 2008.02.17 -
TheHacker 6.2.9.222 2008.02.16 -
VBA32 3.12.6.1 2008.02.17 -
VirusBuster 4.3.26:9 2008.02.17 -
Webwasher-Gateway 6.6.2 2008.02.15 -
weitere Informationen
File size: 15600 bytes
MD5: 54789f9ba0d59072cdd4e7c200e122c4
SHA1: b6dcd6266b6438934acebc1af82cde318c43cbd5
PEiD: -

D:\WINDOWS\alcwzrd.exe

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.16.10 2008.02.15 -
AntiVir 7.6.0.67 2008.02.15 -
Authentium 4.93.8 2008.02.17 -
Avast 4.7.1098.0 2008.02.16 -
AVG 7.5.0.516 2008.02.17 -
BitDefender 7.2 2008.02.17 -
CAT-QuickHeal None 2008.02.16 -
ClamAV 0.92.1 2008.02.17 -
DrWeb 4.44.0.09170 2008.02.17 -
eSafe 7.0.15.0 2008.02.17 -
eTrust-Vet 31.3.5541 2008.02.15 -
Ewido 4.0 2008.02.17 -
FileAdvisor 1 2008.02.17 -
Fortinet 3.14.0.0 2008.02.17 -
F-Prot 4.4.2.54 2008.02.17 -
F-Secure 6.70.13260.0 2008.02.17 -
Ikarus T3.1.1.20 2008.02.17 -
Kaspersky 7.0.0.125 2008.02.17 -
McAfee 5231 2008.02.15 -
Microsoft 1.3204 2008.02.17 -
NOD32v2 2881 2008.02.17 -
Norman 5.80.02 2008.02.15 -
Panda 9.0.0.4 2008.02.17 -
Prevx1 V2 2008.02.17 -
Rising 20.31.50.00 2008.02.16 -
Sophos 4.26.0 2008.02.17 -
Sunbelt 2.2.907.0 2008.02.16 -
Symantec 10 2008.02.17 -
TheHacker 6.2.9.222 2008.02.16 -
VBA32 3.12.6.1 2008.02.17 -
VirusBuster 4.3.26:9 2008.02.17 -
Webwasher-Gateway 6.6.2 2008.02.15 -
weitere Informationen
File size: 2808832 bytes
MD5: ec05e964058693d1f71d1b5506b5cf09
SHA1: 015c2f0f39130c2139dc9520158ea14019c9d510
PEiD: -

D:\WINDOWS\system32\drivers\SETD.tmp


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.16.10 2008.02.15 -
AntiVir 7.6.0.67 2008.02.15 -
Authentium 4.93.8 2008.02.17 -
Avast 4.7.1098.0 2008.02.16 -
AVG 7.5.0.516 2008.02.17 -
BitDefender 7.2 2008.02.17 -
CAT-QuickHeal None 2008.02.16 -
ClamAV 0.92.1 2008.02.17 -
DrWeb 4.44.0.09170 2008.02.17 -
eSafe 7.0.15.0 2008.02.17 -
eTrust-Vet 31.3.5541 2008.02.15 -
Ewido 4.0 2008.02.17 -
FileAdvisor 1 2008.02.17 -
Fortinet 3.14.0.0 2008.02.17 -
F-Prot 4.4.2.54 2008.02.17 -
F-Secure 6.70.13260.0 2008.02.17 -
Ikarus T3.1.1.20 2008.02.17 -
Kaspersky 7.0.0.125 2008.02.17 -
McAfee 5231 2008.02.15 -
Microsoft 1.3204 2008.02.17 -
NOD32v2 2881 2008.02.17 -
Norman 5.80.02 2008.02.15 -
Panda 9.0.0.4 2008.02.17 -
Prevx1 V2 2008.02.17 -
Rising 20.31.50.00 2008.02.16 -
Sophos 4.26.0 2008.02.17 -
Sunbelt 2.2.907.0 2008.02.16 -
Symantec 10 2008.02.17 -
TheHacker 6.2.9.222 2008.02.16 -
VBA32 3.12.6.1 2008.02.17 -
VirusBuster 4.3.26:9 2008.02.17 -
Webwasher-Gateway 6.6.2 2008.02.15 -
weitere Informationen
File size: 86912 bytes
MD5: 95b858761a00e1d4f81f79a0da019aca
SHA1: 008bbadc55fb145c32b240644083059677681025
PEiD: -
Seitenanfang Seitenende
17.02.2008, 19:35
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#8 ««
scanne mit McAfee FreeScan (Online)
http://virus-protect.org/onlinescan.html

poste hier den scanreport
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: