kein Internet und dauernd RUNDLL - Fehlermeldung

#0
28.02.2008, 20:05
Member

Beiträge: 13
#1 Hallo!
Habe gerade ein paar Probleme mit einem Laptop:
Das Internet funktioniert nicht, und soald man etwas anklickt kommt eine Fehlermeldung dass das Modul RUNDLL nicht gefunden werden konnte. Combofix konnte ich nicht durchführen, das Fenster hat sich nach kurzer Zeit wieder geschlossen, auch im abgesicherten Modus. Im abgesicherten Modus kommt die Fehlermeldung übrigens nicht. Antivir findet nichts, ist aber schon lange nicht mehr aktualisiert worden da das Internet wohl schon einige Zeit nicht mehr funktioniert.Hier die Logs:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:47, on 2008-02-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Fujitsu\Utils\FjDspMon.exe
D:\Programme\Fujitsu\Utils\fjevents.exe
D:\Programme\Fujitsu\Utils\FjMnuIco.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
D:\WINDOWS\system32\hkcmd.exe
D:\WINDOWS\system32\igfxext.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\system32\WTablet\TabUserW.exe
D:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
D:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
D:\WINDOWS\System32\digtizer.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\system32\45e81.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\Tablet.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Dokumente und Einstellungen\Golf\Desktop\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: Invoke Class - {42A3A616-FF3C-4713-A5C2-4F1B566CEF51} - D:\WINDOWS\system32\0451.dll
O4 - HKLM\..\Run: [FjDspMon] D:\Programme\Fujitsu\Utils\FjDspMon.exe
O4 - HKLM\..\Run: [FjEvents] D:\Programme\Fujitsu\Utils\fjevents.exe
O4 - HKLM\..\Run: [Fujitsu Menu] D:\Programme\Fujitsu\Utils\FjMnuIco.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [HotKeysCmds] D:\WINDOWS\system32\hkcmd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = D:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = D:\WINDOWS\system32\WTablet\TabUserW.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'd:\windows\system32\qdshm.dll' missing
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - D:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Digitizer Service (Digitizer) - WACOM - D:\WINDOWS\System32\digtizer.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: TabletService - Wacom Technology, Corp. - D:\WINDOWS\system32\Tablet.exe

--
End of file - 4264 bytes

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datenträger in Laufwerk D: ist Windows XP
Volumeseriennummer: 343D-802A

Verzeichnis von D:\WINDOWS\system32

2008-02-28 19:40 37,332 tablet.dat
2008-02-27 20:09 110 d3d1caps.SRG
2008-02-27 19:45 2,206 wpa.dbl
2008-02-04 21:34 29 -12-81-29-89
2008-01-26 20:18 119,744 FNTCACHE.DAT
2007-12-11 10:57 65,536 QuickTimeVR.qtx
2007-12-11 10:57 49,152 QuickTime.qts



Datenträger in Laufwerk D: ist Windows XP
Volumeseriennummer: 343D-802A

Verzeichnis von D:\DOKUME~1\Golf\LOKALE~1\Temp

2008-02-28 19:49 104,152 datfind.txt
2008-02-28 09:10 27,031 U3Launcher.log
2008-02-04 22:02 251,904 .Sony_PMBrowser2000_BrowserDiskCache
2008-02-04 22:02 84,296 .Sony_PMBrowser2000_BrowserDiskCache.idx
2008-01-27 01:32 2,112 WCESLog.log
2008-01-27 01:31 302 WCESCOMM.LOG
2008-01-27 01:29 1,310 WcesView.log
2008-01-26 20:19 2,730 wmgsdisc.log
2008-01-26 20:19 498 WCESMgr.log
2007-12-19 17:47 2,143 QTInstallCode.log
2007-12-19 17:47 3,310 qtplugin.log
2007-12-12 17:32 5,991 {D5068583-D569-468B-9755-5FBF5848F46F}.log
2007-12-12 17:32 737 {CE2121C6-C94D-4A73-8EA4-6943F33EE335}.log
2007-12-12 17:31 1,477 {ACE66099-E18E-4037-83C8-9D182E5B9FA8}.log
2007-12-12 17:30 831 {22EB2FA7-1BA0-4FFB-972F-353EC6ABA9D5}.log
2007-12-12 17:30 880 {28B97CAB-828F-49D8-A30A-675476F9BA92}.log
2007-12-12 17:30 882 {6813C983-427E-4511-8456-E98FCAA1A125}.log
2007-12-12 17:29 882 {FA6CC4B4-7741-4F8D-8E81-15C4BAB9869B}.log
2007-12-12 17:29 882 {9C423CF6-2DAA-4A37-94B8-59D7ECC7DB13}.log
2007-12-12 17:29 882 {4E7DC12A-3597-4A94-9429-F6C6987361B1}.log
2007-12-12 17:28 882 {7DADB304-AF20-48C3-A780-4B4133A08817}.log
2007-12-05 23:33 16,384 ~DFA117.tmp
2007-12-05 23:22 16,384 ~DF8904.tmp
2007-12-05 23:06 16,384 ~DFE6E7.tmp
2007-12-05 23:01 0 ppt3.tmp
2007-12-05 23:00 16,384 ~DF83EC.tmp
2007-12-05 22:58 16,384 ~DF2D23.tmp

Datenträger in Laufwerk D: ist Windows XP
Volumeseriennummer: 343D-802A

Verzeichnis von D:\WINDOWS

2008-02-28 19:42 53,248 PSEXESVC.EXE
2008-02-28 19:40 159 wiadebug.log
2008-02-28 19:40 942,258 WindowsUpdate.log
2008-02-28 19:40 50 wiaservc.log
2008-02-28 19:39 54,156 QTFont.qfn
2008-02-28 19:39 0 0.log
2008-02-28 19:39 2,048 bootstat.dat
2008-02-28 19:37 499,798 setupapi.log
2008-02-28 19:36 1,054,704 ntbtlog.txt
2008-02-28 14:43 32,638 SchedLgU.Txt
2008-02-28 10:43 1,988 ErrRegDoc.txt
2008-02-28 10:31 3,533 ocmsn.log
2008-02-28 10:31 1,917 imsins.log
2008-02-28 10:31 3,429 tabletoc.log
2008-02-28 10:31 17,737 ntdtcsetup.log
2008-02-28 10:31 95,570 iis6.log
2008-02-28 10:31 33,474 tsoc.log
2008-02-28 10:31 31,170 comsetup.log
2008-02-28 10:31 40,864 ocgen.log
2008-02-28 10:31 5,050 MedCtrOC.log
2008-02-28 10:31 11,389 netfxocm.log
2008-02-28 10:31 3,374 msgsocm.log
2008-02-28 10:31 56,033 FaxSetup.log
2008-02-28 10:31 23,356 msmqinst.log
2008-02-28 10:24 0 nsreg.dat
2008-02-14 21:16 135 NeroDigital.ini
2008-01-26 20:15 1,374 imsins.BAK
2008-01-26 20:15 6,195 KB909394.log
2008-01-26 20:15 815 updspapi.log
2008-01-26 20:15 8,800 KB894476.log
2008-01-26 20:15 1,239 avmcoins.log
2008-01-26 20:15 586 avmcowlan.log
2008-01-26 20:12 400 ODBC.INI
2008-01-26 20:12 726 win.ini
2007-12-19 17:48 1,409 QTFont.for
2007-12-11 15:57 227 system.ini

Datenträger in Laufwerk D: ist Windows XP
Volumeseriennummer: 343D-802A

Verzeichnis von D:\WINDOWS\temp

2008-02-28 19:40 147,456 ~my2.tmp

.
.
Datenträger in Laufwerk D: ist Windows XP
Volumeseriennummer: 343D-802A

Verzeichnis von D:\WINDOWS\Downloaded Program Files


Vielen Dank schonmal!

Gruß
Seitenanfang Seitenende
28.02.2008, 22:56
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 «
bringe LSPFix auf deinen Rechner:
Lade Dir LSPFix
http://virus-protect.org/lspfix.html
Starten > Häckchen bei "i know what I'm doing" > Remove qdshm.dll von Links nach Rechts -> "Finish" anklicken
Neustarten.
__________
MfG Argus
Seitenanfang Seitenende
29.02.2008, 15:29
Member

Themenstarter

Beiträge: 13
#3 Hallo!
Das Internet funktioniert wieder, Danke!
Aber das war wohl erst der Anfang, ich glaube der Rechner ist ziemlich stark infiziert...

Combofix funktioniert immer noch nicht, das Fenster geht auf, es heißt der Combofix wird vorbereitet, dann geht das Fenster wieder zu und nichts passiert. Ich habe alle Fenster geschlossen und AntiVir deaktiviert.
Der Rechner bringt beim hochfahren folgende Fehlermeldungen:

1.:
jeweils RUNDLL:

Fehler beim Laden von

D:\WINDOWS\system32\fwcj.dll
D:\WINDOWS\Downl~1\r3jf6x9p.dll

Das angegebene Modul wurde nicht gefunden

2.:
Fujitsu Display Controls

Error accessing registry

The application will now terminate

Hier die Logs:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:09, on 2008-02-29
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Fujitsu\Utils\FjDspMon.exe
D:\Programme\Fujitsu\Utils\fjevents.exe
D:\Programme\Fujitsu\Utils\FjMnuIco.exe
D:\WINDOWS\system32\igfxext.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\WINDOWS\system32\hkcmd.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\system32\WTablet\TabUserW.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
D:\WINDOWS\System32\digtizer.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\Tablet.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\system32\wscntfy.exe
D:\Dokumente und Einstellungen\Golf\Desktop\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: Invoke Class - {42A3A616-FF3C-4713-A5C2-4F1B566CEF51} - D:\WINDOWS\system32\0451.dll (file missing)
O4 - HKLM\..\Run: [FjDspMon] D:\Programme\Fujitsu\Utils\FjDspMon.exe
O4 - HKLM\..\Run: [FjEvents] D:\Programme\Fujitsu\Utils\fjevents.exe
O4 - HKLM\..\Run: [Fujitsu Menu] D:\Programme\Fujitsu\Utils\FjMnuIco.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HotKeysCmds] D:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [r3jf6x9p] rundll32 "D:\WINDOWS\Downlo~1\r3jf6x9p.dll",start
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = D:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = D:\WINDOWS\system32\WTablet\TabUserW.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - D:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Digitizer Service (Digitizer) - WACOM - D:\WINDOWS\System32\digtizer.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: TabletService - Wacom Technology, Corp. - D:\WINDOWS\system32\Tablet.exe

--
End of file - 4179 bytes

.
.
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datenträger in Laufwerk D: ist Windows XP
Volumeseriennummer: 343D-802A

Verzeichnis von D:\WINDOWS\system32

2008-02-29 15:06 37,332 tablet.dat
2008-02-29 14:11 2,550 Uninstall.ico
2008-02-29 14:11 1,406 Help.ico
2008-02-29 14:11 30,590 pavas.ico
2008-02-29 08:53 2,206 wpa.dbl
2008-01-26 20:18 119,744 FNTCACHE.DAT
2007-12-11 10:57 49,152 QuickTime.qts
2007-12-11 10:57 65,536 QuickTimeVR.qtx
.
.
.
Datenträger in Laufwerk D: ist Windows XP
Volumeseriennummer: 343D-802A

Verzeichnis von D:\DOKUME~1\Golf\LOKALE~1\Temp

2008-02-29 15:10 103,962 datfind.txt
2008-02-29 15:08 114,688 ~DF3B27.tmp
2008-02-28 16:58 847,872 cml4C.tmp
2008-02-28 09:10 27,031 U3Launcher.log
2008-02-04 22:02 251,904 .Sony_PMBrowser2000_BrowserDiskCache
2008-02-04 22:02 84,296 .Sony_PMBrowser2000_BrowserDiskCache.idx
2008-01-27 01:32 2,112 WCESLog.log
2008-01-27 01:31 302 WCESCOMM.LOG
2008-01-27 01:29 1,310 WcesView.log
2008-01-26 20:19 2,730 wmgsdisc.log
2008-01-26 20:19 498 WCESMgr.log
2007-12-19 17:47 2,143 QTInstallCode.log
2007-12-19 17:47 3,310 qtplugin.log
2007-12-12 17:32 5,991 {D5068583-D569-468B-9755-5FBF5848F46F}.log
2007-12-12 17:32 737 {CE2121C6-C94D-4A73-8EA4-6943F33EE335}.log
2007-12-12 17:31 1,477 {ACE66099-E18E-4037-83C8-9D182E5B9FA8}.log
2007-12-12 17:30 831 {22EB2FA7-1BA0-4FFB-972F-353EC6ABA9D5}.log
2007-12-12 17:30 880 {28B97CAB-828F-49D8-A30A-675476F9BA92}.log
2007-12-12 17:30 882 {6813C983-427E-4511-8456-E98FCAA1A125}.log
2007-12-12 17:29 882 {FA6CC4B4-7741-4F8D-8E81-15C4BAB9869B}.log
2007-12-12 17:29 882 {9C423CF6-2DAA-4A37-94B8-59D7ECC7DB13}.log
2007-12-12 17:29 882 {4E7DC12A-3597-4A94-9429-F6C6987361B1}.log
2007-12-12 17:28 882 {7DADB304-AF20-48C3-A780-4B4133A08817}.log
2007-12-05 23:33 16,384 ~DFA117.tmp
2007-12-05 23:22 16,384 ~DF8904.tmp
2007-12-05 23:06 16,384 ~DFE6E7.tmp
2007-12-05 23:01 0 ppt3.tmp
2007-12-05 23:00 16,384 ~DF83EC.tmp
2007-12-05 22:58 16,384 ~DF2D23.tmp

.
.
.
Datenträger in Laufwerk D: ist Windows XP
Volumeseriennummer: 343D-802A

Verzeichnis von D:\WINDOWS

2008-02-29 15:08 53,248 PSEXESVC.EXE
2008-02-29 15:06 981,876 WindowsUpdate.log
2008-02-29 15:06 159 wiadebug.log
2008-02-29 15:06 50 wiaservc.log
2008-02-29 15:06 54,156 QTFont.qfn
2008-02-29 15:06 0 0.log
2008-02-29 15:06 2,048 bootstat.dat
2008-02-29 15:04 1,896,940 ntbtlog.txt
2008-02-29 14:12 572,898 setupapi.log
2008-02-29 14:04 32 pavsig.txt
2008-02-29 11:23 32,638 SchedLgU.Txt
2008-02-28 16:58 53,248 9f91.exe
2008-02-28 10:43 1,988 ErrRegDoc.txt
2008-02-28 10:31 17,737 ntdtcsetup.log
2008-02-28 10:31 1,917 imsins.log
2008-02-28 10:31 3,533 ocmsn.log
2008-02-28 10:31 31,170 comsetup.log
2008-02-28 10:31 33,474 tsoc.log
2008-02-28 10:31 3,429 tabletoc.log
2008-02-28 10:31 95,570 iis6.log
2008-02-28 10:31 40,864 ocgen.log
2008-02-28 10:31 5,050 MedCtrOC.log
2008-02-28 10:31 11,389 netfxocm.log
2008-02-28 10:31 3,374 msgsocm.log
2008-02-28 10:31 56,033 FaxSetup.log
2008-02-28 10:31 23,356 msmqinst.log
2008-02-28 10:24 0 nsreg.dat
2008-02-28 09:56 122,880 f95e1.txt
2008-01-26 20:15 1,374 imsins.BAK
2008-01-26 20:15 6,195 KB909394.log
2008-01-26 20:15 815 updspapi.log
2008-01-26 20:15 8,800 KB894476.log
2008-01-26 20:15 586 avmcowlan.log
2008-01-26 20:15 1,239 avmcoins.log
2008-01-26 20:12 400 ODBC.INI
2007-12-19 17:48 1,409 QTFont.for
2007-12-11 15:57 227 system.ini

.
.
.
Datenträger in Laufwerk D: ist Windows XP
Volumeseriennummer: 343D-802A

Verzeichnis von D:\WINDOWS\temp

2008-02-28 16:58 847,872 cml22E.tmp
2008-02-28 16:58 847,872 cml9.tmp
2008-02-28 16:58 847,872 cml95.tmp


.
.
.
Datenträger in Laufwerk D: ist Windows XP
Volumeseriennummer: 343D-802A

Verzeichnis von D:\WINDOWS\Downloaded Program Files

2007-08-29 15:43 3,084 install.log
2007-08-29 15:43 38,428 unagiuninst.exe
2007-06-11 11:21 5,021 swflash.inf
2006-08-24 08:28 141,424 asinst.dll
2006-01-27 21:44 65 desktop.ini
5 Datei(en) 188,022 Bytes
0 Verzeichnis(se), 12,970,790,912 Bytes frei
.
.
.


Das Ergebnisfile von Panda hänge mit an.

Vielen Dank

Seitenanfang Seitenende
29.02.2008, 15:46
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#4 Mölli

1.
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cml11.tmp
D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cml16.tmp
D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cml17.tmp
D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cml1B.tmp
D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cml1E.tmp
D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cml4C.tmp
D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cmlD.tmp
D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cmlE.tmp
D:\WINDOWS\temp\cml22E.tmp
D:\WINDOWS\temp\cml9.tmp
D:\WINDOWS\temp\cml95.tmp
D:\WINDOWS\9f91.exe

Klicke auf den Roten MoveIt!

Wenn das Tool fertig ist wird ein Log erstellt (*******_******.log *steht für Datum und Zeit

In Datei C:\_OTMoveIt\MovedFiles\
Mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"

---------------------------
««
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
29.02.2008, 16:00
Member

Themenstarter

Beiträge: 13
#5 Hallo!

D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cml11.tmp moved successfully.
D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cml16.tmp moved successfully.
D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cml17.tmp moved successfully.
D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cml1B.tmp moved successfully.
D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cml1E.tmp moved successfully.
D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cml4C.tmp moved successfully.
D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cmlD.tmp moved successfully.
D:\Dokumente und Einstellungen\Golf\Lokale Einstellungen\Temp\cmlE.tmp moved successfully.
D:\WINDOWS\temp\cml22E.tmp moved successfully.
D:\WINDOWS\temp\cml9.tmp moved successfully.
D:\WINDOWS\temp\cml95.tmp moved successfully.
D:\WINDOWS\9f91.exe moved successfully.

OTMoveIt2 v1.0.20 log created on 02292008_155600

Vielen Dank!
Seitenanfang Seitenende
01.03.2008, 01:56
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#6 Hallo,

scanne mit ewido, lasse löschen, was gefunden wird + poste den scanreport
http://virus-protect.org/onlinescan.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.03.2008, 12:51
Member

Themenstarter

Beiträge: 13
#7 Hallo!

Hier der Report:

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.Netflame
Path: D:\Dokumente und Einstellungen\Golf\Cookies\golf@ssl-hints.netflame[2].txt
Risk: Medium

Name: TrackingCookie.Serving-sys
Path: D:\Dokumente und Einstellungen\Administrator\Cookies\administrator@bs.serving-sys[2].txt
Risk: Medium

Name: TrackingCookie.Doubleclick
Path: D:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: D:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ivwbox[1].txt
Risk: Medium

Name: TrackingCookie.2o7
Path: D:\Dokumente und Einstellungen\Administrator\Cookies\administrator@msnportal.112.2o7[1].txt
Risk: Medium

Name: TrackingCookie.Serving-sys
Path: D:\Dokumente und Einstellungen\Administrator\Cookies\administrator@serving-sys[1].txt
Risk: Medium

Name: Trojan.Agent
Path: D:\WINDOWS\system32\config\systemprofile\Favoriten\ÊÕ²Ø.url
Risk: High

Folgende Fehlermeldung erscheint immernoch beim Start:

RUNDLL:

Fehler beim Laden von

D:\WINDOWS\system32\fwcj.dll
D:\WINDOWS\Downl~1\r3jf6x9p.dll

Das angegebene Modul wurde nicht gefunden

Vielen Dank!
Seitenanfang Seitenende
01.03.2008, 14:59
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#8 Hallo,

lade Combofix , scanne - poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
01.03.2008, 17:45
Member

Themenstarter

Beiträge: 13
#9 Hallo!

ComboFix 08-03-01.3 - Golf 2008-03-01 17:41:06.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1713 [GMT 1:00]
ausgeführt von:: D:\Dokumente und Einstellungen\Golf\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-01 bis 2008-03-01 ))))))))))))))))))))))))))))))
.

2008-03-01 12:11 . 2008-03-01 12:11 <DIR> d---s---- D:\Dokumente und Einstellungen\Golf\UserData
2008-02-29 15:56 . 2008-02-29 15:56 <DIR> d-------- D:\_OTMoveIt
2008-02-29 15:02 . 2008-02-29 15:02 <DIR> dr------- D:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-02-29 14:11 . 2008-03-01 12:59 30,590 --a------ D:\WINDOWS\system32\pavas.ico
2008-02-28 10:24 . 2008-02-28 10:24 0 --a------ D:\WINDOWS\nsreg.dat
2008-02-28 09:52 . 2004-01-23 00:00 159,744 --a------ D:\WINDOWS\system32\igfxres.dll
2008-02-28 09:47 . 2008-02-28 10:30 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-28 09:22 . 2008-02-28 09:22 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-02-28 09:15 . 2006-01-27 21:41 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-02-28 09:15 . 2006-01-27 21:32 <DIR> dr------- D:\Dokumente und Einstellungen\Administrator\Startmenü
2008-02-28 09:15 . 2006-01-27 21:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-02-28 09:15 . 2006-01-27 21:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-02-28 09:15 . 2008-02-28 19:21 <DIR> d-------- D:\Dokumente und Einstellungen\Administrator\Favoriten
2008-02-28 09:15 . 2006-01-27 21:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-02-28 09:15 . 2008-02-29 14:03 <DIR> dr-h----- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-02-28 09:12 . 2002-12-31 13:00 401,408 --a------ D:\kmd.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-29 10:19 --------- d-----w D:\Programme\iTunes
2008-02-28 08:10 --------- d-----w D:\Dokumente und Einstellungen\Golf\Anwendungsdaten\U3
2008-01-27 00:31 --------- d-----w D:\Programme\Microsoft ActiveSync
2007-08-30 01:20 20 ----a-w D:\Dokumente und Einstellungen\Golf\mhsha1.dat
2006-03-06 11:42 1,798 ----a-w D:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{42A3A616-FF3C-4713-A5C2-4F1B566CEF51}]
D:\WINDOWS\system32\0451.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FjDspMon"="D:\Programme\Fujitsu\Utils\FjDspMon.exe" [2004-10-14 14:56 20480]
"FjEvents"="D:\Programme\Fujitsu\Utils\fjevents.exe" [2004-12-16 15:08 20480]
"Fujitsu Menu"="D:\Programme\Fujitsu\Utils\FjMnuIco.exe" [2004-12-16 15:10 32768]
"QuickTime Task"="D:\Programme\QuickTime\QTTask.exe" [2007-12-11 10:56 286720]
"iTunesHelper"="D:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048]
"HotKeysCmds"="D:\WINDOWS\system32\hkcmd.exe" [2004-01-23 00:00 118784]
"avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-03-01 08:05 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00 15360]

D:\Dokumente und Einstellungen\Golf\Startmen\Programme\Autostart\
Picture Motion Browser Medien-Prfung.lnk - D:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2007-12-12 17:29:08 344064]

D:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - D:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]
TabUserW.exe.lnk - D:\WINDOWS\system32\WTablet\TabUserW.exe [2006-05-30 21:02:21 114688]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"r3jf6x9p"= rundll32 "D:\WINDOWS\Downlo~1\r3jf6x9p.dll",start

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{ACADABAF-1000-0010-8000-10AA006D2EA4}"= D:\WINDOWS\system32\system.dat [ ]

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
backup=D:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
backup=D:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient]
--a------ 2006-06-23 10:24 343552 D:\Programme\avmwlanstick\FRITZWLANMini.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
D:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mode]
E:\NBDriver.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mppds]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 D:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2003-10-31 19:42 32768 D:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"TapiSrv"=3 (0x3)
"mnmsrvc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

R2 AVMPORT;AVMPORT;D:\WINDOWS\system32\drivers\avmport.sys [2004-05-26 16:52]
R2 ECBatteryDRV;ECBatteryDRV;D:\WINDOWS\system32\drivers\ECBatteryDRV.sys [2003-03-19 07:37]
R2 ECMonitorDRV;ECMonitorDRV;D:\WINDOWS\system32\drivers\ECMonitorDRV.sys [2003-01-29 04:03]
R2 ECUtilityDRV;ECUtilityDRV;D:\WINDOWS\system32\drivers\ECUtilityDRV.sys [2003-01-29 04:03]
R2 HotCPUDRV;HotCPUDRV;D:\WINDOWS\system32\drivers\HotCPUDRV.sys [2003-01-29 04:03]
R2 WinBootDRV;WinBootDRV;D:\WINDOWS\system32\drivers\WinBootDRV.sys [2003-01-29 04:02]
R3 {E6759E0C-470B-44DC-A4A1-627E68BB3A85};AIM 3.0 SI164;D:\WINDOWS\system32\drivers\A302.sys [2004-01-23 00:00]
R3 AVMCOWAN;AVMCOWAN;D:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2004-09-16 01:00]
R3 CONAN;CONAN;D:\WINDOWS\system32\drivers\o2mmb.sys [2004-11-18 23:00]
R3 FUJ02E1;%FUJ02E1.DeviceDesc%;D:\WINDOWS\system32\Drivers\FUJ02E1.sys [2004-10-18 15:08]
R3 MbxStby;MbxStby;D:\WINDOWS\system32\drivers\MbxStby.sys [2004-11-18 23:00]
R3 O2SCBUS;O2Micro SmartCardBus Reader;D:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-06-11 17:53]
R3 WacomISDPen;Wacom Penabled HID MiniDriver;D:\WINDOWS\system32\DRIVERS\wacomisdpen.sys [2005-12-05 10:58]
S0 ijyar1;ijyar;D:\WINDOWS\system32\DRIVERS\ijyar1.sys []
S2 1szghrg;1szghrg;D:\WINDOWS\system32\drivers\1szghrg.sys []
S2 x9ai7apm2t;x9ai7apm2t;D:\WINDOWS\system32\drivers\x9ai7apm2t.sys []
S3 FWLANUSB;AVM FRITZ!WLAN;D:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 00:00]
S3 FXUSBASE;Eumex 5520PC (WinXP/2000);D:\WINDOWS\system32\DRIVERS\fxusbase.sys [2004-09-16 01:00]
S3 hidpen;Wacom Serial Pen HID MiniDriver;D:\WINDOWS\system32\DRIVERS\hidpen.sys [2005-07-04 12:34]
S3 ldiskl;ldiskl;D:\DOKUME~1\Golf\LOKALE~1\Temp\ldiskl.sys []
S3 NETPPPOI;PPP over ISDN;D:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS []
S3 OZSCR;O2Micro SmartCardBus Smartcard Reader;D:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-06-11 17:53]
S3 tap0801;TAP-Win32 Adapter V8;D:\WINDOWS\system32\DRIVERS\tap0801.sys [2006-10-01 13:37]
S3 WacomPen;Wacom HID-Treiber für seriellen Stift;D:\WINDOWS\system32\DRIVERS\wacompen.sys [2004-08-03 23:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
zaobxixr REG_MULTI_SZ zaobxixr

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{119eeaf0-b121-11da-8977-000b5d726418}]
\Shell\AutoRun\command - H:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{65dc3540-55ab-11dc-8b12-000b5d726418}]
\Shell\AutoRun\command - G:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a46a28c8-5df9-11dc-8b28-000b5d726418}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a46a28c9-5df9-11dc-8b28-000b5d726418}]
\Shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Setup.pif

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-01 17:42:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-01 17:43:16
.
2007-08-29 02:36:57 --- E O F ---

Gruss
Mölli
Seitenanfang Seitenende
01.03.2008, 21:30
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#10 Hallo,

1.
Oeffne den Texteditor (Notepad) und kopiere diesen Text rein. mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. abspeichern als: export.bat
Doppeltklicken und kopiere den Text ab, der angezeigt wird. - c:\key4.txt

Zitat

regedit /e c:\key4.txt "HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost"
start notepad.exe c:\key4.txt
exit
poste, was im Texterditor erscheint

__________________________________________________________

2.
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten.
in: "Enter search strings" (reinschreiben oder reinkopieren)

ijyar1

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

in: "Enter search strings" (reinschreiben oder reinkopieren)

1szghrg

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

__________________________________________________________________

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{42A3A616-FF3C-4713-A5C2-4F1B566CEF51}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"r3jf6x9p"=-

File::
D:\WINDOWS\Downloaded Program Files\r3jf6x9p.dll
D:\WINDOWS\system32\0451.dll
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.



cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden - tippe 1, wenn sich das blaue Fenster öffnet
tippe 1

PC neustarten

----------

4.
poste das neue Log vom HijackThis
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
02.03.2008, 11:03
Member

Themenstarter

Beiträge: 13
#11 Guten Morgen!

Folgende Fehlermeldung erscheint immernoch beim Start:

RUNDLL:

Fehler beim Laden von

D:\WINDOWS\Downl~1\r3jf6x9p.dll

Das angegebene Modul wurde nicht gefunden

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"HTTPFilter"=hex(7):48,00,54,00,54,00,50,00,46,00,69,00,6c,00,74,00,65,00,72,\
00,00,00,00,00
"LocalService"=hex(7):41,00,6c,00,65,00,72,00,74,00,65,00,72,00,00,00,57,00,65,\
00,62,00,43,00,6c,00,69,00,65,00,6e,00,74,00,00,00,4c,00,6d,00,48,00,6f,00,\
73,00,74,00,73,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,52,00,65,00,67,\
00,69,00,73,00,74,00,72,00,79,00,00,00,75,00,70,00,6e,00,70,00,68,00,6f,00,\
73,00,74,00,00,00,53,00,53,00,44,00,50,00,53,00,52,00,56,00,00,00,00,00
"NetworkService"=hex(7):44,00,6e,00,73,00,43,00,61,00,63,00,68,00,65,00,00,00,\
00,00
"netsvcs"=hex(7):36,00,74,00,6f,00,34,00,00,00,41,00,70,00,70,00,4d,00,67,00,\
6d,00,74,00,00,00,41,00,75,00,64,00,69,00,6f,00,53,00,72,00,76,00,00,00,42,\
00,72,00,6f,00,77,00,73,00,65,00,72,00,00,00,43,00,72,00,79,00,70,00,74,00,\
53,00,76,00,63,00,00,00,44,00,4d,00,53,00,65,00,72,00,76,00,65,00,72,00,00,\
00,44,00,48,00,43,00,50,00,00,00,45,00,52,00,53,00,76,00,63,00,00,00,45,00,\
76,00,65,00,6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,46,00,61,\
00,73,00,74,00,55,00,73,00,65,00,72,00,53,00,77,00,69,00,74,00,63,00,68,00,\
69,00,6e,00,67,00,43,00,6f,00,6d,00,70,00,61,00,74,00,69,00,62,00,69,00,6c,\
00,69,00,74,00,79,00,00,00,48,00,69,00,64,00,53,00,65,00,72,00,76,00,00,00,\
49,00,61,00,73,00,00,00,49,00,70,00,72,00,69,00,70,00,00,00,49,00,72,00,6d,\
00,6f,00,6e,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,53,00,65,00,72,00,\
76,00,65,00,72,00,00,00,4c,00,61,00,6e,00,6d,00,61,00,6e,00,57,00,6f,00,72,\
00,6b,00,73,00,74,00,61,00,74,00,69,00,6f,00,6e,00,00,00,4d,00,65,00,73,00,\
73,00,65,00,6e,00,67,00,65,00,72,00,00,00,4e,00,65,00,74,00,6d,00,61,00,6e,\
00,00,00,4e,00,6c,00,61,00,00,00,4e,00,74,00,6d,00,73,00,73,00,76,00,63,00,\
00,00,4e,00,57,00,43,00,57,00,6f,00,72,00,6b,00,73,00,74,00,61,00,74,00,69,\
00,6f,00,6e,00,00,00,4e,00,77,00,73,00,61,00,70,00,61,00,67,00,65,00,6e,00,\
74,00,00,00,52,00,61,00,73,00,61,00,75,00,74,00,6f,00,00,00,52,00,61,00,73,\
00,6d,00,61,00,6e,00,00,00,52,00,65,00,6d,00,6f,00,74,00,65,00,61,00,63,00,\
63,00,65,00,73,00,73,00,00,00,53,00,63,00,68,00,65,00,64,00,75,00,6c,00,65,\
00,00,00,53,00,65,00,63,00,6c,00,6f,00,67,00,6f,00,6e,00,00,00,53,00,45,00,\
4e,00,53,00,00,00,53,00,68,00,61,00,72,00,65,00,64,00,61,00,63,00,63,00,65,\
00,73,00,73,00,00,00,53,00,52,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\
00,00,54,00,61,00,70,00,69,00,73,00,72,00,76,00,00,00,54,00,68,00,65,00,6d,\
00,65,00,73,00,00,00,54,00,72,00,6b,00,57,00,6b,00,73,00,00,00,57,00,33,00,\
32,00,54,00,69,00,6d,00,65,00,00,00,57,00,5a,00,43,00,53,00,56,00,43,00,00,\
00,57,00,6d,00,69,00,00,00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,70,00,\
00,00,77,00,69,00,6e,00,6d,00,67,00,6d,00,74,00,00,00,77,00,73,00,63,00,73,\
00,76,00,63,00,00,00,78,00,6d,00,6c,00,70,00,72,00,6f,00,76,00,00,00,42,00,\
49,00,54,00,53,00,00,00,77,00,75,00,61,00,75,00,73,00,65,00,72,00,76,00,00,\
00,53,00,68,00,65,00,6c,00,6c,00,48,00,57,00,44,00,65,00,74,00,65,00,63,00,\
74,00,69,00,6f,00,6e,00,00,00,68,00,65,00,6c,00,70,00,73,00,76,00,63,00,00,\
00,57,00,6d,00,64,00,6d,00,50,00,6d,00,53,00,4e,00,00,00,00,00
"DcomLaunch"=hex(7):44,00,63,00,6f,00,6d,00,4c,00,61,00,75,00,6e,00,63,00,68,\
00,00,00,54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,69,00,63,00,65,00,\
00,00,00,00
"rpcss"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"imgsvc"=hex(7):53,00,74,00,69,00,53,00,76,00,63,00,00,00,00,00
"termsvcs"=hex(7):54,00,65,00,72,00,6d,00,53,00,65,00,72,00,76,00,69,00,63,00,\
65,00,00,00,00,00
"bthsvcs"=hex(7):42,00,74,00,68,00,53,00,65,00,72,00,76,00,00,00,00,00
"zaobxixr"=hex(7):7a,00,61,00,6f,00,62,00,78,00,69,00,78,00,72,00,00,00,00,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost\DComLaunch]
"CoInitializeSecurityParam"=dword:00000001
"DefaultRpcStackSize"=dword:00000008

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost\HTTPFilter]
"CoInitializeSecurityParam"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost\LocalService]
"CoInitializeSecurityParam"=dword:00000001
"AuthenticationCapabilities"=dword:00002000

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost\netsvcs]
"CoInitializeSecurityParam"=dword:00000001
"AuthenticationCapabilities"=dword:00003020

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost\PCHealth]
"CoInitializeSecurityParam"=dword:00000002
"AuthenticationCapabilities"=dword:00000040

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost\termsvcs]
"CoInitializeSecurityParam"=dword:00000001
"DefaultRpcStackSize"=dword:00000008

___________________________________________________________________

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 2008-03-02 10:31:57 for strings:
; 'ijyar1'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IJYAR1]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IJYAR1\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IJYAR1\0000]
"Service"="ijyar1"
"DeviceDesc"="ijyar1"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IJYAR1\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ijyar1]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ijyar1]
; Contents of value:
; System32\DRIVERS\ijyar1.sys
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,69,00,6a,00,79,00,61,00,72,00,31,\
00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="ijyar1"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ijyar1\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ijyar1\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ijyar1\Enum]
"0"="Root\\LEGACY_IJYAR1\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_IJYAR1]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_IJYAR1\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_IJYAR1\0000]
"Service"="ijyar1"
"DeviceDesc"="ijyar1"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ijyar1]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ijyar1]
; Contents of value:
; System32\DRIVERS\ijyar1.sys
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,69,00,6a,00,79,00,61,00,72,00,31,\
00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="ijyar1"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ijyar1\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IJYAR1]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IJYAR1\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IJYAR1\0000]
"Service"="ijyar1"
"DeviceDesc"="ijyar1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IJYAR1\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ijyar1]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ijyar1]
; Contents of value:
; System32\DRIVERS\ijyar1.sys
"ImagePath"=hex(2):53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,\
52,00,49,00,56,00,45,00,52,00,53,00,5c,00,69,00,6a,00,79,00,61,00,72,00,31,\
00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="ijyar1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ijyar1\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ijyar1\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ijyar1\Enum]
"0"="Root\\LEGACY_IJYAR1\\0000"

; End Of The Log...

----------------------------------------------------------------------------

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.5.0

; Results at 2008-03-02 10:33:17 for strings:
; '1szghrg'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_1SZGHRG]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_1SZGHRG\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_1SZGHRG\0000]
"Service"="1szghrg"
"DeviceDesc"="1szghrg"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_1SZGHRG\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\1szghrg]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\1szghrg]
; Contents of value:
; \??\D:\WINDOWS\system32\drivers\1szghrg.sys
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,44,00,3a,00,5c,00,57,00,49,00,4e,00,\
44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
00,5c,00,64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,31,00,73,00,7a,00,\
67,00,68,00,72,00,67,00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="1szghrg"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\1szghrg\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\1szghrg\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\1szghrg\Enum]
"0"="Root\\LEGACY_1SZGHRG\\0000"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_1SZGHRG]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_1SZGHRG\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_1SZGHRG\0000]
"Service"="1szghrg"
"DeviceDesc"="1szghrg"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\1szghrg]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\1szghrg]
; Contents of value:
; \??\D:\WINDOWS\system32\drivers\1szghrg.sys
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,44,00,3a,00,5c,00,57,00,49,00,4e,00,\
44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
00,5c,00,64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,31,00,73,00,7a,00,\
67,00,68,00,72,00,67,00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="1szghrg"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\1szghrg\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_1SZGHRG]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_1SZGHRG\0000]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_1SZGHRG\0000]
"Service"="1szghrg"
"DeviceDesc"="1szghrg"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_1SZGHRG\0000\Control]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1szghrg]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1szghrg]
; Contents of value:
; \??\D:\WINDOWS\system32\drivers\1szghrg.sys
"ImagePath"=hex(2):5c,00,3f,00,3f,00,5c,00,44,00,3a,00,5c,00,57,00,49,00,4e,00,\
44,00,4f,00,57,00,53,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\
00,5c,00,64,00,72,00,69,00,76,00,65,00,72,00,73,00,5c,00,31,00,73,00,7a,00,\
67,00,68,00,72,00,67,00,2e,00,73,00,79,00,73,00,00,00
"DisplayName"="1szghrg"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1szghrg\Security]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1szghrg\Enum]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1szghrg\Enum]
"0"="Root\\LEGACY_1SZGHRG\\0000"

; End Of The Log...

-----------------------------------------------------------------------------

ComboFix 08-03-01.3 - Golf 2008-03-02 10:38:06.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1737 [GMT 1:00]
ausgeführt von:: D:\Dokumente und Einstellungen\Golf\Desktop\ComboFix.exe
Command switches used :: D:\Dokumente und Einstellungen\Golf\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
D:\WINDOWS\Downloaded Program Files\r3jf6x9p.dll
D:\WINDOWS\system32\0451.dll
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-02 bis 2008-03-02 ))))))))))))))))))))))))))))))
.

2008-03-01 12:11 . 2008-03-01 12:11 <DIR> d---s---- D:\Dokumente und Einstellungen\Golf\UserData
2008-02-29 15:56 . 2008-02-29 15:56 <DIR> d-------- D:\_OTMoveIt
2008-02-29 15:02 . 2008-02-29 15:02 <DIR> dr------- D:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-02-29 14:11 . 2008-03-01 12:59 30,590 --a------ D:\WINDOWS\system32\pavas.ico
2008-02-28 10:24 . 2008-02-28 10:24 0 --a------ D:\WINDOWS\nsreg.dat
2008-02-28 09:52 . 2004-01-23 00:00 159,744 --a------ D:\WINDOWS\system32\igfxres.dll
2008-02-28 09:47 . 2008-02-28 10:30 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-28 09:22 . 2008-02-28 09:22 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-02-28 09:15 . 2006-01-27 21:41 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-02-28 09:15 . 2006-01-27 21:32 <DIR> dr------- D:\Dokumente und Einstellungen\Administrator\Startmen
2008-02-28 09:15 . 2006-01-27 21:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-02-28 09:15 . 2008-03-01 17:43 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-02-28 09:15 . 2008-02-28 19:21 <DIR> d-------- D:\Dokumente und Einstellungen\Administrator\Favoriten
2008-02-28 09:15 . 2006-01-27 21:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-02-28 09:15 . 2008-02-29 14:03 <DIR> dr-h----- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-02-28 09:12 . 2002-12-31 13:00 401,408 --a------ D:\kmd.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-29 10:19 --------- d-----w D:\Programme\iTunes
2008-02-28 08:10 --------- d-----w D:\Dokumente und Einstellungen\Golf\Anwendungsdaten\U3
2008-01-27 00:31 --------- d-----w D:\Programme\Microsoft ActiveSync
2007-08-30 01:20 20 ----a-w D:\Dokumente und Einstellungen\Golf\mhsha1.dat
2006-03-06 11:42 1,798 ----a-w D:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{42A3A616-FF3C-4713-A5C2-4F1B566CEF51}]
D:\WINDOWS\system32\0451.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FjDspMon"="D:\Programme\Fujitsu\Utils\FjDspMon.exe" [2004-10-14 14:56 20480]
"FjEvents"="D:\Programme\Fujitsu\Utils\fjevents.exe" [2004-12-16 15:08 20480]
"Fujitsu Menu"="D:\Programme\Fujitsu\Utils\FjMnuIco.exe" [2004-12-16 15:10 32768]
"QuickTime Task"="D:\Programme\QuickTime\QTTask.exe" [2007-12-11 10:56 286720]
"iTunesHelper"="D:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048]
"HotKeysCmds"="D:\WINDOWS\system32\hkcmd.exe" [2004-01-23 00:00 118784]
"avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-03-01 08:05 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"r3jf6x9p"= rundll32 "D:\WINDOWS\Downlo~1\r3jf6x9p.dll",start

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{ACADABAF-1000-0010-8000-10AA006D2EA4}"= D:\WINDOWS\system32\system.dat [ ]

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
backup=D:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
backup=D:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient]
--a------ 2006-06-23 10:24 343552 D:\Programme\avmwlanstick\FRITZWLANMini.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
D:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mode]
E:\NBDriver.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mppds]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 D:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2003-10-31 19:42 32768 D:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"TapiSrv"=3 (0x3)
"mnmsrvc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

R2 AVMPORT;AVMPORT;D:\WINDOWS\system32\drivers\avmport.sys [2004-05-26 16:52]
R2 ECBatteryDRV;ECBatteryDRV;D:\WINDOWS\system32\drivers\ECBatteryDRV.sys [2003-03-19 07:37]
R2 ECMonitorDRV;ECMonitorDRV;D:\WINDOWS\system32\drivers\ECMonitorDRV.sys [2003-01-29 04:03]
R2 ECUtilityDRV;ECUtilityDRV;D:\WINDOWS\system32\drivers\ECUtilityDRV.sys [2003-01-29 04:03]
R2 HotCPUDRV;HotCPUDRV;D:\WINDOWS\system32\drivers\HotCPUDRV.sys [2003-01-29 04:03]
R2 WinBootDRV;WinBootDRV;D:\WINDOWS\system32\drivers\WinBootDRV.sys [2003-01-29 04:02]
R3 {E6759E0C-470B-44DC-A4A1-627E68BB3A85};AIM 3.0 SI164;D:\WINDOWS\system32\drivers\A302.sys [2004-01-23 00:00]
R3 AVMCOWAN;AVMCOWAN;D:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2004-09-16 01:00]
R3 CONAN;CONAN;D:\WINDOWS\system32\drivers\o2mmb.sys [2004-11-18 23:00]
R3 FUJ02E1;%FUJ02E1.DeviceDesc%;D:\WINDOWS\system32\Drivers\FUJ02E1.sys [2004-10-18 15:08]
R3 MbxStby;MbxStby;D:\WINDOWS\system32\drivers\MbxStby.sys [2004-11-18 23:00]
R3 O2SCBUS;O2Micro SmartCardBus Reader;D:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-06-11 17:53]
R3 WacomISDPen;Wacom Penabled HID MiniDriver;D:\WINDOWS\system32\DRIVERS\wacomisdpen.sys [2005-12-05 10:58]
S0 ijyar1;ijyar;D:\WINDOWS\system32\DRIVERS\ijyar1.sys []
S2 1szghrg;1szghrg;D:\WINDOWS\system32\drivers\1szghrg.sys []
S2 x9ai7apm2t;x9ai7apm2t;D:\WINDOWS\system32\drivers\x9ai7apm2t.sys []
S3 FWLANUSB;AVM FRITZ!WLAN;D:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 00:00]
S3 FXUSBASE;Eumex 5520PC (WinXP/2000);D:\WINDOWS\system32\DRIVERS\fxusbase.sys [2004-09-16 01:00]
S3 hidpen;Wacom Serial Pen HID MiniDriver;D:\WINDOWS\system32\DRIVERS\hidpen.sys [2005-07-04 12:34]
S3 ldiskl;ldiskl;D:\DOKUME~1\Golf\LOKALE~1\Temp\ldiskl.sys []
S3 NETPPPOI;PPP over ISDN;D:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS []
S3 OZSCR;O2Micro SmartCardBus Smartcard Reader;D:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-06-11 17:53]
S3 tap0801;TAP-Win32 Adapter V8;D:\WINDOWS\system32\DRIVERS\tap0801.sys [2006-10-01 13:37]
S3 WacomPen;Wacom HID-Treiber für seriellen Stift;D:\WINDOWS\system32\DRIVERS\wacompen.sys [2004-08-03 23:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
zaobxixr REG_MULTI_SZ zaobxixr

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{119eeaf0-b121-11da-8977-000b5d726418}]
\Shell\AutoRun\command - H:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{65dc3540-55ab-11dc-8b12-000b5d726418}]
\Shell\AutoRun\command - G:\pushinst.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a46a28c8-5df9-11dc-8b28-000b5d726418}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a46a28c9-5df9-11dc-8b28-000b5d726418}]
\Shell\AutoRun\command - D:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Setup.pif

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-02 10:42:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
D:\WINDOWS\System32\SCardSvr.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
D:\WINDOWS\System32\digtizer.exe
D:\WINDOWS\system32\igfxext.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\system32\Tablet.exe
D:\WINDOWS\system32\wdfmgr.exe
D:\WINDOWS\system32\rundll32.exe
D:\WINDOWS\system32\igfxext.exe
D:\WINDOWS\system32\WTablet\TabUserW.exe
D:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
D:\Programme\Fujitsu\Utils\FjDock.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-02 10:44:51 - machine was rebooted
ComboFix2.txt 2008-03-01 16:43:16
.
2007-08-29 02:36:57 --- E O F ---
-------------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:57, on 2008-03-02
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Fujitsu\Utils\FjDspMon.exe
D:\Programme\Fujitsu\Utils\fjevents.exe
D:\Programme\Fujitsu\Utils\FjMnuIco.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\WINDOWS\system32\hkcmd.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\WINDOWS\system32\ctfmon.exe
D:\WINDOWS\system32\igfxext.exe
D:\WINDOWS\system32\WTablet\TabUserW.exe
D:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
D:\WINDOWS\System32\digtizer.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\Tablet.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Dokumente und Einstellungen\Golf\Desktop\HJT\HJT.exe
D:\WINDOWS\system32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1
O2 - BHO: Invoke Class - {42A3A616-FF3C-4713-A5C2-4F1B566CEF51} - D:\WINDOWS\system32\0451.dll (file missing)
O4 - HKLM\..\Run: [FjDspMon] D:\Programme\Fujitsu\Utils\FjDspMon.exe
O4 - HKLM\..\Run: [FjEvents] D:\Programme\Fujitsu\Utils\fjevents.exe
O4 - HKLM\..\Run: [Fujitsu Menu] D:\Programme\Fujitsu\Utils\FjMnuIco.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HotKeysCmds] D:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [r3jf6x9p] rundll32 "D:\WINDOWS\Downlo~1\r3jf6x9p.dll",start
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Picture Motion Browser Medien-Prüfung.lnk = D:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: TabUserW.exe.lnk = D:\WINDOWS\system32\WTablet\TabUserW.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - D:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Digitizer Service (Digitizer) - WACOM - D:\WINDOWS\System32\digtizer.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: TabletService - Wacom Technology, Corp. - D:\WINDOWS\system32\Tablet.exe

--
End of file - 4695 bytes


Vielen Dank!
Seitenanfang Seitenende
02.03.2008, 12:39
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#12 Hallo,

1.
deaktiviere Spybot - Search & Destroy

2.
HijackThis
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der im SicherheitsForum als zu "fixen" (löschen) empfohlen wurde) - keine anderen !!
und wähle fix checked.

Zitat

O2 - BHO: Invoke Class - {42A3A616-FF3C-4713-A5C2-4F1B566CEF51} - D:\WINDOWS\system32\0451.dll (file missing)

O4 - HKLM\..\Policies\Explorer\Run: [r3jf6x9p] rundll32 "D:\WINDOWS\Downlo~1\r3jf6x9p.dll",start
-------------------------------------------------------------

3.
erstelle eine neue cfscript.txt (nach Anleitung)

Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
"zaobxixr"=-
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{ACADABAF-1000-0010-8000-10AA006D2EA4}"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_IJYAR1]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ijyar1]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_IJYAR1]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ijyar1]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_IJYAR1]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1szghrg]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_1SZGHRG]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\1szghrg]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_1SZGHRG]
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\1szghrg]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_1SZGHRG]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\1szghrg]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{42A3A616-FF3C-4713-A5C2-4F1B566CEF51}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"r3jf6x9p"=-

Driver::
ijyar1
1szghrg

File::
D:\WINDOWS\System32\DRIVERS\ijyar1.sys
D:\WINDOWS\system32\drivers\1szghrg.sys

boote in den abgesicherten Modus - F8 drücken, wenn der Rechner hochfährt

ziehe die cfscript.txt wieder auf das symbol von Combofix + die Combofix neu anwenden

4.
boote wieder in den normalmodus

5.
poste das neue Log von Combofix
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
02.03.2008, 13:43
Member

Themenstarter

Beiträge: 13
#13 Hallo!

Die RUNDLL - Fehlermeldung ist jetzt weg, es erscheint jetzt nur noch die Meldung:

Fujitsu Display Controls

Error accessing registry

The application will now terminate

Diese Fehlermeldung hat der Laptop aber wohl schon von Anfang an gehabt, liegt wohl nicht an einem Virus o.ä.?

ComboFix 08-03-01.3 - Golf 2008-03-02 13:30:41.5 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1800 [GMT 1:00]
ausgeführt von:: D:\Dokumente und Einstellungen\Golf\Desktop\ComboFix.exe
Command switches used :: D:\Dokumente und Einstellungen\Golf\Desktop\cfscript.txt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
D:\WINDOWS\system32\drivers\1szghrg.sys
D:\WINDOWS\System32\DRIVERS\ijyar1.sys
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-02 bis 2008-03-02 ))))))))))))))))))))))))))))))
.

2008-03-01 12:11 . 2008-03-01 12:11 <DIR> d---s---- D:\Dokumente und Einstellungen\Golf\UserData
2008-02-29 15:56 . 2008-02-29 15:56 <DIR> d-------- D:\_OTMoveIt
2008-02-29 15:02 . 2008-02-29 15:02 <DIR> dr------- D:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-02-29 14:11 . 2008-03-01 12:59 30,590 --a------ D:\WINDOWS\system32\pavas.ico
2008-02-28 10:24 . 2008-02-28 10:24 0 --a------ D:\WINDOWS\nsreg.dat
2008-02-28 09:52 . 2004-01-23 00:00 159,744 --a------ D:\WINDOWS\system32\igfxres.dll
2008-02-28 09:47 . 2008-02-28 10:30 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-28 09:22 . 2008-02-28 09:22 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2008-02-28 09:15 . 2006-01-27 21:41 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-02-28 09:15 . 2006-01-27 21:32 <DIR> dr------- D:\Dokumente und Einstellungen\Administrator\Startmen
2008-02-28 09:15 . 2006-01-27 21:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-02-28 09:15 . 2008-03-02 11:06 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-02-28 09:15 . 2008-02-28 19:21 <DIR> d-------- D:\Dokumente und Einstellungen\Administrator\Favoriten
2008-02-28 09:15 . 2006-01-27 21:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-02-28 09:15 . 2008-02-29 14:03 <DIR> dr-h----- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-02-28 09:12 . 2002-12-31 13:00 401,408 --a------ D:\kmd.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-29 10:19 --------- d-----w D:\Programme\iTunes
2008-02-28 08:10 --------- d-----w D:\Dokumente und Einstellungen\Golf\Anwendungsdaten\U3
2008-01-27 00:31 --------- d-----w D:\Programme\Microsoft ActiveSync
2007-08-30 01:20 20 ----a-w D:\Dokumente und Einstellungen\Golf\mhsha1.dat
2006-03-06 11:42 1,798 ----a-w D:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FjDspMon"="D:\Programme\Fujitsu\Utils\FjDspMon.exe" [2004-10-14 14:56 20480]
"FjEvents"="D:\Programme\Fujitsu\Utils\fjevents.exe" [2004-12-16 15:08 20480]
"Fujitsu Menu"="D:\Programme\Fujitsu\Utils\FjMnuIco.exe" [2004-12-16 15:10 32768]
"QuickTime Task"="D:\Programme\QuickTime\QTTask.exe" [2007-12-11 10:56 286720]
"iTunesHelper"="D:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048]
"HotKeysCmds"="D:\WINDOWS\system32\hkcmd.exe" [2004-01-23 00:00 118784]
"avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-03-01 08:05 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00 15360]

[HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
backup=D:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
backup=D:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient]
--a------ 2006-06-23 10:24 343552 D:\Programme\avmwlanstick\FRITZWLANMini.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
D:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mode]
E:\NBDriver.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mppds]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 D:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2003-10-31 19:42 32768 D:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"TapiSrv"=3 (0x3)
"mnmsrvc"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

R2 AVMPORT;AVMPORT;D:\WINDOWS\system32\drivers\avmport.sys [2004-05-26 16:52]
R2 ECBatteryDRV;ECBatteryDRV;D:\WINDOWS\system32\drivers\ECBatteryDRV.sys [2003-03-19 07:37]
R2 ECMonitorDRV;ECMonitorDRV;D:\WINDOWS\system32\drivers\ECMonitorDRV.sys [2003-01-29 04:03]
R2 ECUtilityDRV;ECUtilityDRV;D:\WINDOWS\system32\drivers\ECUtilityDRV.sys [2003-01-29 04:03]
R2 HotCPUDRV;HotCPUDRV;D:\WINDOWS\system32\drivers\HotCPUDRV.sys [2003-01-29 04:03]
R2 WinBootDRV;WinBootDRV;D:\WINDOWS\system32\drivers\WinBootDRV.sys [2003-01-29 04:02]
R3 {E6759E0C-470B-44DC-A4A1-627E68BB3A85};AIM 3.0 SI164;D:\WINDOWS\system32\drivers\A302.sys [2004-01-23 00:00]
R3 AVMCOWAN;AVMCOWAN;D:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2004-09-16 01:00]
R3 CONAN;CONAN;D:\WINDOWS\system32\drivers\o2mmb.sys [2004-11-18 23:00]
R3 FUJ02E1;%FUJ02E1.DeviceDesc%;D:\WINDOWS\system32\Drivers\FUJ02E1.sys [2004-10-18 15:08]
R3 MbxStby;MbxStby;D:\WINDOWS\system32\drivers\MbxStby.sys [2004-11-18 23:00]
R3 O2SCBUS;O2Micro SmartCardBus Reader;D:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-06-11 17:53]
R3 WacomISDPen;Wacom Penabled HID MiniDriver;D:\WINDOWS\system32\DRIVERS\wacomisdpen.sys [2005-12-05 10:58]
S2 x9ai7apm2t;x9ai7apm2t;D:\WINDOWS\system32\drivers\x9ai7apm2t.sys []
S3 FWLANUSB;AVM FRITZ!WLAN;D:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 00:00]
S3 FXUSBASE;Eumex 5520PC (WinXP/2000);D:\WINDOWS\system32\DRIVERS\fxusbase.sys [2004-09-16 01:00]
S3 hidpen;Wacom Serial Pen HID MiniDriver;D:\WINDOWS\system32\DRIVERS\hidpen.sys [2005-07-04 12:34]
S3 ldiskl;ldiskl;D:\DOKUME~1\Golf\LOKALE~1\Temp\ldiskl.sys []
S3 NETPPPOI;PPP over ISDN;D:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS []
S3 OZSCR;O2Micro SmartCardBus Smartcard Reader;D:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-06-11 17:53]
S3 tap0801;TAP-Win32 Adapter V8;D:\WINDOWS\system32\DRIVERS\tap0801.sys [2006-10-01 13:37]
S3 WacomPen;Wacom HID-Treiber für seriellen Stift;D:\WINDOWS\system32\DRIVERS\wacompen.sys [2004-08-03 23:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{119eeaf0-b121-11da-8977-000b5d726418}]
\Shell\AutoRun\command - H:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{65dc3540-55ab-11dc-8b12-000b5d726418}]
\Shell\AutoRun\command - G:\pushinst.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-02 13:36:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
D:\WINDOWS\System32\SCardSvr.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
D:\WINDOWS\System32\digtizer.exe
D:\WINDOWS\system32\igfxext.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\system32\igfxext.exe
D:\WINDOWS\system32\Tablet.exe
D:\Programme\Fujitsu\Utils\FjDock.exe
D:\WINDOWS\system32\wdfmgr.exe
D:\WINDOWS\system32\WTablet\TabUserW.exe
D:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-02 13:37:54 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-02 12:37:51
ComboFix2.txt 2008-03-02 10:06:40
ComboFix3.txt 2008-03-02 09:44:52
ComboFix4.txt 2008-03-01 16:43:16
.
2007-08-29 02:36:57 --- E O F ---

Gruß
Mölli
Seitenanfang Seitenende
02.03.2008, 15:06
Ehrenmitglied
Avatar Pinguin

Beiträge: 1441
#14 1.
gehe in die Registry
Start - Ausführen - regedit

klicke dich durch zu den Schlüsseln:

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001 - in 0 ändern
"UpdatesDisableNotify"=dword:00000001 - in 0 ändern

[HKEY_LOCAL_MACHINE\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0) - in 1 ändern

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
"NoAutoUpdate"= 1 (0x1) - in 0 ändern



es muss dann dort stehen:
"NoAutoUpdate"=dword:00000000

Speichern + PC neustarten

------------------------------------------------------------------

2.
Dial-a-fix laden + anwenden
http://virus-protect.org/artikel/tools/dial_a_fix.html

3.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

4.
lade Combofix neu + poste den Report hier
http://virus-protect.org/artikel/tools/combofix.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/
Seitenanfang Seitenende
03.03.2008, 09:35
Member

Themenstarter

Beiträge: 13
#15 Hallo!
Kurz bevor Combofix den Computer heruntergefahren hat erschien eine Fehlermeldung mit: Combofix... kann nicht auf die Anwendung zugreifen da es von einer anderen Anwendung verwendet wird (oder so ähnlich). Der Computer hat sich dann beim Herunterfahren aufgehängt, ich musste ihn von Hand ausmachen.

ComboFix 08-03-03.6 - Golf 2008-03-03 9:10:24.7 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1692 [GMT 1:00]
ausgeführt von:: D:\Dokumente und Einstellungen\Golf\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-03 bis 2008-03-03 ))))))))))))))))))))))))))))))
.

2008-03-03 09:04 . 2008-03-03 09:05 <DIR> d-------- D:\WINDOWS\system32\CatRoot2
2008-03-02 17:25 . 2002-12-31 13:00 401,408 --a------ D:\CF2170.exe
2008-03-01 12:11 . 2008-03-01 12:11 <DIR> d---s---- D:\Dokumente und Einstellungen\Golf\UserData
2008-02-29 15:02 . 2008-02-29 15:02 <DIR> dr------- D:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-02-29 14:11 . 2008-03-01 12:59 30,590 --a------ D:\WINDOWS\system32\pavas.ico
2008-02-28 10:24 . 2008-02-28 10:24 0 --a------ D:\WINDOWS\nsreg.dat
2008-02-28 09:52 . 2004-01-23 00:00 159,744 --a------ D:\WINDOWS\system32\igfxres.dll
2008-02-28 09:47 . 2008-02-28 10:30 <DIR> d-------- D:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2008-02-28 09:22 . 2008-02-28 09:22 <DIR> d-------- D:\DOKUME~1\ALLUSE~1\ANWEND~1\Grisoft
2008-02-28 09:15 . 2006-01-27 21:41 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-02-28 09:15 . 2006-01-27 21:32 <DIR> dr------- D:\Dokumente und Einstellungen\Administrator\Startmen
2008-02-28 09:15 . 2006-01-27 21:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-02-28 09:15 . 2008-03-02 17:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-02-28 09:15 . 2008-02-28 19:21 <DIR> d-------- D:\Dokumente und Einstellungen\Administrator\Favoriten
2008-02-28 09:15 . 2006-01-27 21:32 <DIR> d--h----- D:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-02-28 09:15 . 2008-02-29 14:03 <DIR> dr-h----- D:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-02-28 09:12 . 2002-12-31 13:00 401,408 --a------ D:\kmd.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-29 10:19 --------- d-----w D:\Programme\iTunes
2008-02-28 08:10 --------- d-----w D:\Dokumente und Einstellungen\Golf\Anwendungsdaten\U3
2008-01-27 00:31 --------- d-----w D:\Programme\Microsoft ActiveSync
2007-08-30 01:20 20 ----a-w D:\Dokumente und Einstellungen\Golf\mhsha1.dat
2006-03-06 11:42 1,798 ----a-w D:\Programme\INSTALL.LOG
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2002-12-31 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FjDspMon"="D:\Programme\Fujitsu\Utils\FjDspMon.exe" [2004-10-14 14:56 20480]
"FjEvents"="D:\Programme\Fujitsu\Utils\fjevents.exe" [2004-12-16 15:08 20480]
"Fujitsu Menu"="D:\Programme\Fujitsu\Utils\FjMnuIco.exe" [2004-12-16 15:10 32768]
"QuickTime Task"="D:\Programme\QuickTime\QTTask.exe" [2007-12-11 10:56 286720]
"iTunesHelper"="D:\Programme\iTunes\iTunesHelper.exe" [2007-12-11 12:10 267048]
"HotKeysCmds"="D:\WINDOWS\system32\hkcmd.exe" [2004-01-23 00:00 118784]
"avgnt"="D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-03-01 08:05 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2002-12-31 13:00 15360]

D:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Microsoft Office.lnk - D:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]
TabUserW.exe.lnk - D:\WINDOWS\system32\WTablet\TabUserW.exe [2006-05-30 21:02:21 114688]

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
backup=D:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\D:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
backup=D:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVMWlanClient]
--a------ 2006-06-23 10:24 343552 D:\Programme\avmwlanstick\FRITZWLANMini.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
D:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mode]
E:\NBDriver.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\mppds]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 11:50 155648 D:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--a------ 2003-10-31 19:42 32768 D:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"wuauserv"=2 (0x2)
"TapiSrv"=3 (0x3)
"mnmsrvc"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

R2 AVMPORT;AVMPORT;D:\WINDOWS\system32\drivers\avmport.sys [2004-05-26 16:52]
R2 ECBatteryDRV;ECBatteryDRV;D:\WINDOWS\system32\drivers\ECBatteryDRV.sys [2003-03-19 07:37]
R2 ECMonitorDRV;ECMonitorDRV;D:\WINDOWS\system32\drivers\ECMonitorDRV.sys [2003-01-29 04:03]
R2 ECUtilityDRV;ECUtilityDRV;D:\WINDOWS\system32\drivers\ECUtilityDRV.sys [2003-01-29 04:03]
R2 HotCPUDRV;HotCPUDRV;D:\WINDOWS\system32\drivers\HotCPUDRV.sys [2003-01-29 04:03]
R2 WinBootDRV;WinBootDRV;D:\WINDOWS\system32\drivers\WinBootDRV.sys [2003-01-29 04:02]
R3 {E6759E0C-470B-44DC-A4A1-627E68BB3A85};AIM 3.0 SI164;D:\WINDOWS\system32\drivers\A302.sys [2004-01-23 00:00]
R3 AVMCOWAN;AVMCOWAN;D:\WINDOWS\system32\DRIVERS\AVMCOWAN.sys [2004-09-16 01:00]
R3 CONAN;CONAN;D:\WINDOWS\system32\drivers\o2mmb.sys [2004-11-18 23:00]
R3 FUJ02E1;%FUJ02E1.DeviceDesc%;D:\WINDOWS\system32\Drivers\FUJ02E1.sys [2004-10-18 15:08]
R3 MbxStby;MbxStby;D:\WINDOWS\system32\drivers\MbxStby.sys [2004-11-18 23:00]
R3 O2SCBUS;O2Micro SmartCardBus Reader;D:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-06-11 17:53]
R3 WacomISDPen;Wacom Penabled HID MiniDriver;D:\WINDOWS\system32\DRIVERS\wacomisdpen.sys [2005-12-05 10:58]
S2 x9ai7apm2t;x9ai7apm2t;D:\WINDOWS\system32\drivers\x9ai7apm2t.sys []
S3 FWLANUSB;AVM FRITZ!WLAN;D:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2006-04-06 00:00]
S3 FXUSBASE;Eumex 5520PC (WinXP/2000);D:\WINDOWS\system32\DRIVERS\fxusbase.sys [2004-09-16 01:00]
S3 hidpen;Wacom Serial Pen HID MiniDriver;D:\WINDOWS\system32\DRIVERS\hidpen.sys [2005-07-04 12:34]
S3 ldiskl;ldiskl;D:\DOKUME~1\Golf\LOKALE~1\Temp\ldiskl.sys []
S3 NETPPPOI;PPP over ISDN;D:\WINDOWS\system32\DRIVERS\NETPPPOI.SYS []
S3 OZSCR;O2Micro SmartCardBus Smartcard Reader;D:\WINDOWS\system32\DRIVERS\ozscr.sys [2003-06-11 17:53]
S3 tap0801;TAP-Win32 Adapter V8;D:\WINDOWS\system32\DRIVERS\tap0801.sys [2006-10-01 13:37]
S3 WacomPen;Wacom HID-Treiber für seriellen Stift;D:\WINDOWS\system32\DRIVERS\wacompen.sys [2004-08-03 23:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{119eeaf0-b121-11da-8977-000b5d726418}]
\Shell\AutoRun\command - H:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{65dc3540-55ab-11dc-8b12-000b5d726418}]
\Shell\AutoRun\command - G:\pushinst.exe

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-03 09:20:21
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
D:\WINDOWS\System32\SCardSvr.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
D:\WINDOWS\System32\digtizer.exe
D:\WINDOWS\system32\igfxext.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\WINDOWS\system32\igfxext.exe
D:\Programme\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe
D:\WINDOWS\system32\Tablet.exe
D:\WINDOWS\system32\wdfmgr.exe
D:\Programme\Fujitsu\Utils\FjDock.exe
D:\Programme\iPod\bin\iPodService.exe
D:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-03 9:22:21 - machine was rebooted
ComboFix2.txt 2008-03-02 16:32:13
ComboFix3.txt 2008-03-02 12:37:55
.
2007-08-29 02:36:57 --- E O F ---

Gruß
Mölli
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: