permanentes Öffnen der iexplore.exe Trojaner!!

#0
13.03.2008, 14:12
...neu hier

Beiträge: 3
#1 Hallo erst mal!
Ich hoffe mir kann jemand helfen:

Hab mir gestern Trojaner eingefangen.
Avast Antivirus hat Win32:Horst-AAF, Agent-LTS und Adload-LD gefunden und angeblich gelöscht.
Danach war der Taskmanager durch Abminstrator (Trojaner) gesperrt!
Habe ich über Regedit wieder hinbekommen!
Jetzt kommt permanent eine Meldung das keine Verbindung zum Internet besteht (habe vorsichtshalber an diesem Computer Stecker gezogen). iexplorer.exe wird im Taskmanager immer wieder gestartet auch wenn man den Prozess beendet. Habe auch den Iexplorer 7 deinstalliert. Habe den IE trotzdem noch unter c:programme gefunden. Auch das manuelle Löschen bringt nichts, da die Dateien sofort wieder hergestellt werden.
Der Ursprung muß sicher beseitigt werden, aber wie??

Habe mal Combofix ung highjackthis laufen lassen, aber da ich da keine Ahnung habe, hilft mir das nicht weiter. Vielleicht kann mir das jemand übersetzen und mir eine Lösung vorschlagen:

ComboFix 08-03-10.1 - MR 2008-03-13 13:33:03.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1491 [GMT 1:00]
ausgeführt von:: L:\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-13 bis 2008-03-13 ))))))))))))))))))))))))))))))
.

2008-03-13 13:30 . 2008-03-13 13:32 <DIR> d-------- C:\Trojaner Bekämpfung
2008-03-13 13:06 . 2008-03-13 13:06 <DIR> d-------- C:\Programme\Trend Micro
2008-03-13 13:05 . 2008-03-13 13:05 16,468 -r-hs---- C:\Programme\tmp36484.exe
2008-03-13 13:05 . 2008-03-13 13:05 16,468 -r-hs---- C:\Programme\tmp31312.exe
2008-03-13 12:18 . 2008-03-13 12:18 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-03-13 12:13 . 2008-03-13 12:13 16,468 -r-hs---- C:\Programme\tmp33453.exe
2008-03-13 12:13 . 2008-03-13 12:13 16,468 -r-hs---- C:\Programme\tmp27968.exe
2008-03-13 09:12 . 2008-03-13 09:12 16,468 -r-hs---- C:\Programme\tmp47812.exe
2008-03-13 09:12 . 2008-03-13 09:12 16,468 -r-hs---- C:\Programme\tmp42187.exe
2008-03-13 08:53 . 2008-03-13 08:53 230 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-03-13 07:11 . 2008-03-13 07:11 16,468 -r-hs---- C:\Programme\tmp41078.exe
2008-03-13 07:11 . 2008-03-13 07:11 16,468 -r-hs---- C:\Programme\tmp36031.exe
2008-03-12 22:12 . 2008-03-12 22:12 16,468 -r-hs---- C:\Programme\tmp71937.exe
2008-03-12 22:11 . 2008-03-12 22:11 16,468 -r-hs---- C:\Programme\tmp66875.exe
2008-03-12 22:08 . 2008-03-12 22:08 16,468 -r-hs---- C:\Programme\tmp6048593.exe
2008-03-12 22:07 . 2008-03-12 21:04 253,952 --a------ C:\WINDOWS\drnpfdxsvw.dll
2008-03-12 22:07 . 2008-03-12 21:04 241,664 --a------ C:\WINDOWS\altvxvm.dll
2008-03-12 22:07 . 2008-03-12 21:04 204,800 --a------ C:\WINDOWS\etlrlws.dll
2008-03-12 22:07 . 2008-03-12 21:04 94,208 --a------ C:\WINDOWS\fmsxwqs.exe
2008-03-12 22:07 . 2008-03-12 22:07 21,592 --a------ C:\Programme\antiviirus.exe
2008-03-12 22:07 . 2008-03-12 22:07 16,468 -r-hs---- C:\Programme\tmp6043578.exe
2008-03-12 22:07 . 2008-03-12 22:07 16,468 -r-hs---- C:\Programme\tmp6008515.exe
2008-03-12 22:07 . 2008-03-12 22:07 16,468 -r-hs---- C:\Programme\tmp6003515.exe
2008-03-12 20:52 . 2008-03-12 21:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-03-12 20:48 . 2008-03-12 20:48 <DIR> d-------- C:\Programme\Bonjour
2008-03-12 20:40 . 2008-03-12 20:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-03-03 09:47 . 2006-02-28 13:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-02-28 09:03 . 2008-03-12 22:08 <DIR> d-------- C:\Programme\ICQToolbar
2008-02-28 08:59 . 2008-02-28 09:06 <DIR> d-------- C:\Programme\ICQ6
2008-02-26 08:59 . 2008-02-26 08:59 <DIR> d-------- C:\Temp\Sag83.tmp
2008-02-25 12:25 . 2008-02-25 12:25 <DIR> d-------- C:\spoolerlogs
2008-02-24 22:20 . 2008-02-24 22:20 <DIR> d-------- C:\Programme\Firebird
2008-02-24 22:20 . 2003-04-01 07:00 20,864 --a------ C:\WINDOWS\system32\SELF32.TBL
2008-02-24 22:20 . 2003-04-01 07:00 15,156 --a------ C:\WINDOWS\system32\SELF32.INI
2008-02-21 20:32 . 2008-02-21 20:32 <DIR> d-------- C:\Dokumente und Einstellungen\MR\Anwendungsdaten\InstallShield Installation Information
2008-02-21 20:24 . 2008-03-13 11:48 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-02-21 20:24 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2008-02-21 20:24 . 2006-09-28 16:05 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2008-02-21 20:24 . 2006-07-28 09:30 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2008-02-21 11:43 . 2008-02-21 22:06 <DIR> d-------- C:\Dokumente und Einstellungen\MR\Anwendungsdaten\Bioshock
2008-02-20 15:43 . 2008-02-20 15:43 <DIR> d-------- C:\Temp\SagB1.tmp
2008-02-20 15:31 . 2008-02-20 15:31 <DIR> d-------- C:\Temp\Sag98.tmp
2008-02-20 15:11 . 2008-02-20 15:11 <DIR> d-------- C:\Temp\Sag7E.tmp
2008-02-20 15:03 . 2008-02-20 15:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sage Group
2008-02-18 16:05 . 2008-03-13 10:33 <DIR> d-------- C:\Programme\CAO-Faktura
2008-02-18 15:55 . 2008-02-18 15:55 457 --a------ C:\WINDOWS\my.ini
2008-02-18 15:52 . 2008-02-18 15:52 <DIR> d-------- C:\mysql
2008-02-17 16:40 . 2008-02-17 16:41 <DIR> d-------- C:\Programme\Desktop Enterprise 9.5.14
2008-02-15 16:11 . 2008-02-15 16:11 <DIR> d-------- C:\Temp\SagAE.tmp
2008-02-15 15:55 . 2008-02-15 15:55 <DIR> d-------- C:\Temp\Sag96.tmp
2008-02-15 15:45 . 2008-02-15 15:45 <DIR> d-------- C:\Temp\Sag7D.tmp
2008-02-15 15:35 . 2008-02-15 15:35 <DIR> d-------- C:\Temp\Sag1AC.tmp
2008-02-15 15:27 . 2008-02-15 15:27 <DIR> d-------- C:\Temp\Sag18D.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag18A.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag189.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag188.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag187.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag184.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag183.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag182.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag181.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag180.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag17E.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag17B.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag17A.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag179.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag178.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag175.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag174.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag173.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag172.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag16C.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag16B.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag16A.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag168.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag166.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag165.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag164.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag163.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag162.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag161.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag160.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag15F.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag15E.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag15D.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag15C.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag15B.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag159.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag158.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag157.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag155.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag152.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag151.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag150.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag14F.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag14E.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag14D.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag14C.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag14B.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag14A.tmp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-13 12:05 --------- d-----w C:\Programme\lotus
2008-03-12 19:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-11 16:04 --------- d-----w C:\Dokumente und Einstellungen\MR\Anwendungsdaten\AdobeUM
2008-03-11 12:04 5,954 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2008-03-11 12:03 --------- d-----w C:\Dokumente und Einstellungen\MR\Anwendungsdaten\Corel
2008-03-09 18:17 --------- d-----w C:\Dokumente und Einstellungen\MR\Anwendungsdaten\ICQ
2008-02-27 07:42 --------- d-----w C:\Programme\Opera
2008-02-22 21:49 --------- d-----w C:\Dokumente und Einstellungen\MR\Anwendungsdaten\Skype
2008-02-22 09:50 --------- d-----w C:\Dokumente und Einstellungen\MR\Anwendungsdaten\skypePM
2008-02-21 22:54 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-20 14:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Sage KHK Shared
2008-02-17 09:06 --------- d-----w C:\Programme\MySQL old
2008-01-28 22:13 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-01-28 22:13 --------- d--h--r C:\Dokumente und Einstellungen\MR\Anwendungsdaten\SecuROM
2008-01-28 22:08 669,184 ----a-w C:\WINDOWS\system32\pbsvc.exe
2008-01-28 22:08 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-01-28 22:08 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-01-28 22:08 22,328 ----a-w C:\Dokumente und Einstellungen\MR\Anwendungsdaten\PnkBstrK.sys
2008-01-28 22:08 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-01-28 21:59 --------- d-----w C:\Programme\Electronic Arts
2008-01-28 21:41 --------- d-----w C:\Programme\travelbook5
2008-01-28 21:41 --------- d-----w C:\Programme\Gemeinsame Dateien\mapserv
2008-01-28 21:35 --------- d-----w C:\Programme\mg10
2008-01-28 21:05 --------- d-----w C:\Programme\mg12
2007-12-29 13:10 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A955C496-7376-4B03-81D1-B828ED96C665}]
2008-03-12 21:04 253952 --a------ C:\WINDOWS\drnpfdxsvw.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{6990CA39-A0FA-4B4A-8C9A-E7E66518227C}"= "C:\WINDOWS\etlrlws.dll" [2008-03-12 21:04 204800]

[HKEY_CLASSES_ROOT\clsid\{6990ca39-a0fa-4b4a-8c9a-e7e66518227c}]
[HKEY_CLASSES_ROOT\etlrlws.1]
[HKEY_CLASSES_ROOT\TypeLib\{B5E95C84-80DA-4641-A635-CF1F7C644BAF}]
[HKEY_CLASSES_ROOT\etlrlws]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 13:00 15360]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-09-18 15:16 171464]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-12-19 15:48 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nTrayFw"="C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2006-02-17 09:40 270336]
"SkyTel"="SkyTel.EXE" [2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 00:07 8491008]
"nwiz"="nwiz.exe" [2007-09-17 00:07 1626112 C:\WINDOWS\system32\nwiz.exe]
"AsusStartupHelp"="C:\Programme\ASUS\AASP\1.00.17\AsRunHelp.exe" [2006-11-14 21:25 363008]
"JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 13:44 36864]
"JMB36X Configure"="C:\WINDOWS\system32\JMRaidSetup.exe" [2006-10-30 13:44 1953792]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-09-17 00:07 81920]
"RTHDCPL"="RTHDCPL.EXE" [2006-11-14 10:21 16270848 C:\WINDOWS\RTHDCPL.exe]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 17:30 517768]
"Corel Reminder"="" []
"PDFSaver"="C:\Programme\Tracker\PDF-XChange\PDFSaver.exe" [2003-02-21 13:16 61440]
"SSCFBTN.EXE"="SSCFBTN.EXE" [2002-02-08 10:24 36864 C:\WINDOWS\system32\Sscfbtn.exe]
"GW Port Controller"="C:\Programme\Samsung\SmarThru\PORTCTRL.EXE" [2002-03-22 09:58 155648]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 20:21 57344]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"antiviirus"="C:\Programme\antiviirus.exe" [2008-03-12 22:07 21592]
"klickIdentPP.exe"="C:\Programme\klickIdent Frühjahr 2007\klickIdentPP.exe" [2007-01-23 23:00 773120]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 13:00 15360]

C:\Dokumente und Einstellungen\MR\Startmen\Programme\Autostart\
Lotus Organizer 5.0.lnk - C:\Programme\lotus\organize\org5.exe [1998-10-20 07:49:10 3886592]
Telefon- und Branchenbuch Frhjahr 2007 - Schnellstarter.lnk - C:\Programme\klickTel\Telefon- und Branchenbuch Frhjahr 2007\KSTART32.EXE [2007-10-25 16:36:10 451584]
WinMySQLadmin.lnk - C:\mysql\bin\winmysqladmin.exe [2008-02-18 15:52:57 936448]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-10-24 05:37:56 217194]
Dienst-Manager.lnk - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 17:23:32 74308]
ISDNWatch.lnk - C:\Programme\FRITZ!\IWatch.exe [2007-10-24 20:00:22 241664]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"DrvAlrt"= {e80b8fe9-3310-457e-9460-0aad4b57c011} - C:\WINDOWS\Installer\{e80b8fe9-3310-457e-9460-0aad4b57c011}\DrvAlrt.dll [2008-03-12 22:07 18570]
"zip"= {39f9f6b4-e832-49ce-88e7-9c9e8feb27e0} - C:\WINDOWS\Installer\{39f9f6b4-e832-49ce-88e7-9c9e8feb27e0}\zip.dll [2008-03-12 22:07 23146]
"bokpkov"= {8FC7129C-96B8-444E-AD74-D4D703E9B042} - C:\WINDOWS\bokpkov.dll [ ]
"altvxvm"= {471F0199-9F65-4DEF-8ECE-3BE568919962} - C:\WINDOWS\altvxvm.dll [2008-03-12 21:04 241664]
"PrxRunOnce"= {757edd1b-90af-41bd-ac0a-9981eb80e5db} - C:\WINDOWS\Installer\{757edd1b-90af-41bd-ac0a-9981eb80e5db}\PrxRunOnce.dll [2008-03-12 22:07 18666]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Spiele\\Unreal Tournament 3\\Binaries\\UT3.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;C:\PROGRA~1\Firebird\V2_0_1\bin\fbguard.exe [2007-03-02 13:05]
R2 LiveUpdateInstaller;LiveUpdateInstaller;"C:\Programme\Gemeinsame Dateien\Sage KHK Shared\LiveUpdate\LiveUpdateInstaller.exe" [2004-07-16 11:48]
R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2005-06-08 01:00]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2005-06-08 01:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys [2005-06-08 01:00]
R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fdslbase.sys [2005-06-08 01:00]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;C:\PROGRA~1\Firebird\V2_0_1\bin\fbserver.exe [2007-03-02 13:05]
R3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [2005-09-23 14:38]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-13 13:33:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySql]
"ImagePath"="C:/mysql/bin/mysqld-nt.exe"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySql]
"ImagePath"="C:/mysql/bin/mysqld-nt.exe"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe [6.00.2900.3156]
-> C:\WINDOWS\Installer\{e80b8fe9-3310-457e-9460-0aad4b57c011}\DrvAlrt.dll
-> C:\WINDOWS\Installer\{39f9f6b4-e832-49ce-88e7-9c9e8feb27e0}\zip.dll
-> C:\WINDOWS\Installer\{757edd1b-90af-41bd-ac0a-9981eb80e5db}\PrxRunOnce.dll
.
Zeit der Fertigstellung: 2008-03-13 13:34:00
ComboFix2.txt 2008-03-13 12:28:25








Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:13:31, on 13.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Tracker\PDF-XChange\PDFSaver.exe
C:\WINDOWS\system32\SSCFBTN.EXE
C:\Programme\Samsung\SmarThru\PORTCTRL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\PROGRA~1\Firebird\V2_0_1\bin\fbguard.exe
C:\Programme\antiviirus.exe
C:\Programme\tmp31312.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\klickIdent Frühjahr 2007\klickIdentPP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\LiveUpdate\LiveUpdateInstaller.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\MSSQL\MSSQL\Binn\sqlservr.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\tmp36484.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\klickTel\Telefon- und Branchenbuch Frühjahr 2007\KSTART32.EXE
C:\mysql\bin\mysqld-nt.exe
C:\mysql\bin\winmysqladmin.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Firebird\V2_0_1\bin\fbserver.exe
C:\WINDOWS\System32\ECOMCM.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: RDL Rolex - {A955C496-7376-4B03-81D1-B828ED96C665} - C:\WINDOWS\drnpfdxsvw.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O3 - Toolbar: etlrlws - {6990CA39-A0FA-4B4A-8C9A-E7E66518227C} - C:\WINDOWS\etlrlws.dll
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.17\AsRunHelp.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [PDFSaver] C:\Programme\Tracker\PDF-XChange\PDFSaver.exe
O4 - HKLM\..\Run: [SSCFBTN.EXE] SSCFBTN.EXE
O4 - HKLM\..\Run: [GW Port Controller] C:\Programme\Samsung\SmarThru\PORTCTRL.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [antiviirus] C:\Programme\antiviirus.exe
O4 - HKLM\..\Run: [klickIdentPP.exe] C:\Programme\klickIdent Frühjahr 2007\klickIdentPP.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Lotus Organizer 5.0.lnk = C:\Programme\lotus\organize\org5.exe
O4 - Startup: Telefon- und Branchenbuch Frühjahr 2007 - Schnellstarter.lnk = ?
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{57085046-FAE0-43E0-9981-DBC37CBD48B0}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{57085046-FAE0-43E0-9981-DBC37CBD48B0}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{57085046-FAE0-43E0-9981-DBC37CBD48B0}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: DrvAlrt - {e80b8fe9-3310-457e-9460-0aad4b57c011} - C:\WINDOWS\Installer\{e80b8fe9-3310-457e-9460-0aad4b57c011}\DrvAlrt.dll
O21 - SSODL: zip - {39f9f6b4-e832-49ce-88e7-9c9e8feb27e0} - C:\WINDOWS\Installer\{39f9f6b4-e832-49ce-88e7-9c9e8feb27e0}\zip.dll
O21 - SSODL: bokpkov - {8FC7129C-96B8-444E-AD74-D4D703E9B042} - C:\WINDOWS\bokpkov.dll (file missing)
O21 - SSODL: altvxvm - {471F0199-9F65-4DEF-8ECE-3BE568919962} - C:\WINDOWS\altvxvm.dll
O21 - SSODL: PrxRunOnce - {757edd1b-90af-41bd-ac0a-9981eb80e5db} - C:\WINDOWS\Installer\{757edd1b-90af-41bd-ac0a-9981eb80e5db}\PrxRunOnce.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - FirebirdSQL Project - C:\PROGRA~1\Firebird\V2_0_1\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - FirebirdSQL Project - C:\PROGRA~1\Firebird\V2_0_1\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: LiveUpdateInstaller - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\LiveUpdate\LiveUpdateInstaller.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

--
End of file - 12547 bytes


Vielen Dank im voraus!!!
Seitenanfang Seitenende
13.03.2008, 18:41
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 SDFix
Download SDFix zum Desktop

Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread

Malwarebytes Anti-Malware
Download MBAM zum Desktop
Doppelklick mbam-setup und waehle Deutsch,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”> "Komplett Scan durchfuehren". durchfuehren
Waehle alle Laufwerke>Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu

Entferne auf C:\combofix.txt

Entferne ComboFix und download neu,und bitte sowie es in die Anleitung geschrieben stet!

ComboFix
Download ComboFix und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in das Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\combofix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Hintergrundwächtern inklusive der Firewall + Antivirusprogramme müssen deaktiviert sein

zusammen mit ein neuen log von HijackThis
__________
MfG Argus
Seitenanfang Seitenende
13.03.2008, 22:51
...neu hier

Themenstarter

Beiträge: 3
#3 Ist echt super, das ich so schnell Hilfe bekomme!!
Zwischendurch kam eine Fehlermeldung: c:progr\symantec\s32EVNT1.DLL Initialisierung der DLL für einen installierbaren virtuellen Gerätetreiber ist fehlgeschlagen. Habe ignorieren gedrückt.

Der Rechner läuft jetzt total ruhig, ohne diese ständigen Fehlermeldungen:-)) Ich glaube wir haben es geschafft!!

Vielen Dank, ich denke ich kann wieder gut schlafen!
Hier der Report:
_____________________________________________________________
SDFix: Version 1.156

Run by Administrator on 13.03.2008 at 22:15

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Default HomePage Value
Restoring Default Desktop Components Value

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\Installer\{e80b8fe9-3310-457e-9460-0aad4b57c011}\DrvAlrt.dll - Deleted
C:\WINDOWS\Installer\{39f9f6b4-e832-49ce-88e7-9c9e8feb27e0}\zip.dll - Deleted
C:\WINDOWS\Installer\{757edd1b-90af-41bd-ac0a-9981eb80e5db}\PrxRunOnce.dll - Deleted
C:\WINDOWS\drnpfdxsvw.dll - Deleted
C:\Programme\antiviirus.exe - Deleted
C:\WINDOWS\altvxvm.dll - Deleted
C:\WINDOWS\etlrlws.dll - Deleted
C:\WINDOWS\fmsxwqs.exe - Deleted



Folder C:\WINDOWS\Installer\{e80b8fe9-3310-457e-9460-0aad4b57c011} - Removed
Folder C:\WINDOWS\Installer\{39f9f6b4-e832-49ce-88e7-9c9e8feb27e0} - Removed
Folder C:\WINDOWS\Installer\{757edd1b-90af-41bd-ac0a-9981eb80e5db} - Removed


Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-13 22:23:09
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:16,da,39,d2,ac,73,94,92,f2,f6,8a,f1,61,fa,11,82,43,31,94,3d,51,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,d7,24,87,4f,cc,6d,6f,bd,6b,fd,39,a2,89,b3,d6,b6,89,..
"khjeh"=hex:6a,90,f5,66,35,f2,f2,6e,89,74,b2,11,ab,be,19,5d,21,34,27,1c,21,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:0d,58,7c,2b,8e,87,60,db,84,b1,74,12,9f,69,81,45,cb,f7,48,1d,33,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:16,da,39,d2,ac,73,94,92,f2,f6,8a,f1,61,fa,11,82,43,31,94,3d,51,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,d7,24,87,4f,cc,6d,6f,bd,6b,fd,39,a2,89,b3,d6,b6,89,..
"khjeh"=hex:6a,90,f5,66,35,f2,f2,6e,89,74,b2,11,ab,be,19,5d,21,34,27,1c,21,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:0d,58,7c,2b,8e,87,60,db,84,b1,74,12,9f,69,81,45,cb,f7,48,1d,33,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"="C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe:*:Enabled:Apache HTTP Server"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"="C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe:*:Enabled:Crysis_32"
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"="C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe:*:Enabled:CrysisDedicatedServer_32"
"C:\\WINDOWS\\system32\\PnkBstrA.exe"="C:\\WINDOWS\\system32\\PnkBstrA.exe:*:Enabled:pnkBstrA"
"C:\\WINDOWS\\system32\\PnkBstrB.exe"="C:\\WINDOWS\\system32\\PnkBstrB.exe:*:Enabled:pnkBstrB"
"D:\\Spiele\\Unreal Tournament 3\\Binaries\\UT3.exe"="D:\\Spiele\\Unreal Tournament 3\\Binaries\\UT3.exe:*:Enabled:Unreal Tournament 3"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Thu 13 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp26671.exe"
Thu 13 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp27968.exe"
Thu 13 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp30343.exe"
Thu 13 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp30671.exe"
Thu 13 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp31312.exe"
Thu 13 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp31890.exe"
Thu 13 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp33453.exe"
Thu 13 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp35671.exe"
Thu 13 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp36031.exe"
Thu 13 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp36109.exe"
Thu 13 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp36484.exe"
Thu 13 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp41078.exe"
Thu 13 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp42187.exe"
Thu 13 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp47812.exe"
Wed 12 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp6003515.exe"
Wed 12 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp6008515.exe"
Wed 12 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp6043578.exe"
Wed 12 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp6048593.exe"
Wed 12 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp66875.exe"
Wed 12 Mar 2008 16,468 ..SHR --- "C:\Programme\tmp71937.exe"
Tue 11 Mar 2008 88 ..SHR --- "C:\WINDOWS\system32\17A71FC0C6.sys"
Tue 11 Mar 2008 5,954 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"
Thu 21 Feb 2008 4,077 ...HR --- "C:\Dokumente und Einstellungen\MR\Anwendungsdaten\SecuROM\UserData\securom_v7_01.bak"
Wed 26 Feb 1997 21,504 A..H. --- "C:\Programme\Corel\Graphics10\Draw\Skripts\Sonstige\scpext.dll"

Finished!

__________________________________________________________________

Malwarebytes' Anti-Malware 1.08
Datenbank Version: 486

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|K:\|L:\|)
Objekte gescannt: 130684
Scan Dauer: 18 minute(s), 8 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 20

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Programme\tmp6003515.exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\Programme\tmp6008515.exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\Programme\tmp6043578.exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\Programme\tmp6048593.exe (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\Programme\tmp26671.exe (Trojan.Alphabet) -> Quarantined and deleted successfully.
C:\Programme\tmp27968.exe (Trojan.Alphabet) -> Quarantined and deleted successfully.
C:\Programme\tmp30343.exe (Trojan.Alphabet) -> Quarantined and deleted successfully.
C:\Programme\tmp30671.exe (Trojan.Alphabet) -> Quarantined and deleted successfully.
C:\Programme\tmp31312.exe (Trojan.Alphabet) -> Quarantined and deleted successfully.
C:\Programme\tmp31890.exe (Trojan.Alphabet) -> Quarantined and deleted successfully.
C:\Programme\tmp33453.exe (Trojan.Alphabet) -> Quarantined and deleted successfully.
C:\Programme\tmp35671.exe (Trojan.Alphabet) -> Quarantined and deleted successfully.
C:\Programme\tmp36031.exe (Trojan.Alphabet) -> Quarantined and deleted successfully.
C:\Programme\tmp36109.exe (Trojan.Alphabet) -> Quarantined and deleted successfully.
C:\Programme\tmp36484.exe (Trojan.Alphabet) -> Quarantined and deleted successfully.
C:\Programme\tmp41078.exe (Trojan.Alphabet) -> Quarantined and deleted successfully.
C:\Programme\tmp42187.exe (Trojan.Alphabet) -> Quarantined and deleted successfully.
C:\Programme\tmp47812.exe (Trojan.Alphabet) -> Quarantined and deleted successfully.
C:\Programme\tmp66875.exe (Trojan.Alphabet) -> Quarantined and deleted successfully.
C:\Programme\tmp71937.exe (Trojan.Alphabet) -> Quarantined and deleted successfully.

________________________________________________________________

ComboFix 08-03-13.2 - MR 2008-03-13 23:33:21.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1583 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\MR\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-13 bis 2008-03-13 ))))))))))))))))))))))))))))))
.

2008-03-13 22:56 . 2008-03-13 22:56 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-03-13 22:56 . 2008-03-13 22:56 <DIR> d-------- C:\Dokumente und Einstellungen\MR\Anwendungsdaten\Malwarebytes
2008-03-13 22:56 . 2008-03-13 22:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-13 22:13 . 2008-03-13 22:13 <DIR> d-------- C:\WINDOWS\ERUNT
2008-03-13 22:13 . 2008-03-13 22:25 <DIR> d-------- C:\SDFix
2008-03-13 22:12 . 2007-10-16 19:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-13 22:12 . 2007-10-16 20:16 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-03-13 22:12 . 2007-10-16 20:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-13 22:12 . 2007-10-16 20:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-13 22:12 . 2007-10-16 20:16 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-13 22:12 . 2007-10-16 20:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-13 22:12 . 2007-10-16 20:16 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-13 13:06 . 2008-03-13 13:06 <DIR> d-------- C:\Programme\Trend Micro
2008-03-13 12:18 . 2008-03-13 12:18 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-03-13 08:53 . 2008-03-13 08:53 230 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-03-12 20:52 . 2008-03-12 21:08 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-03-12 20:48 . 2008-03-12 20:48 <DIR> d-------- C:\Programme\Bonjour
2008-03-12 20:40 . 2008-03-12 20:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-03-03 09:47 . 2006-02-28 13:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-02-28 09:03 . 2008-03-12 22:08 <DIR> d-------- C:\Programme\ICQToolbar
2008-02-28 08:59 . 2008-02-28 09:06 <DIR> d-------- C:\Programme\ICQ6
2008-02-26 08:59 . 2008-02-26 08:59 <DIR> d-------- C:\Temp\Sag83.tmp
2008-02-25 12:25 . 2008-02-25 12:25 <DIR> d-------- C:\spoolerlogs
2008-02-24 22:20 . 2008-02-24 22:20 <DIR> d-------- C:\Programme\Firebird
2008-02-24 22:20 . 2003-04-01 07:00 20,864 --a------ C:\WINDOWS\system32\SELF32.TBL
2008-02-24 22:20 . 2003-04-01 07:00 15,156 --a------ C:\WINDOWS\system32\SELF32.INI
2008-02-21 20:32 . 2008-02-21 20:32 <DIR> d-------- C:\Dokumente und Einstellungen\MR\Anwendungsdaten\InstallShield Installation Information
2008-02-21 20:24 . 2008-03-13 11:48 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-02-21 20:24 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2008-02-21 20:24 . 2006-09-28 16:05 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2008-02-21 20:24 . 2006-07-28 09:30 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2008-02-21 11:43 . 2008-02-21 22:06 <DIR> d-------- C:\Dokumente und Einstellungen\MR\Anwendungsdaten\Bioshock
2008-02-20 15:43 . 2008-02-20 15:43 <DIR> d-------- C:\Temp\SagB1.tmp
2008-02-20 15:31 . 2008-02-20 15:31 <DIR> d-------- C:\Temp\Sag98.tmp
2008-02-20 15:11 . 2008-02-20 15:11 <DIR> d-------- C:\Temp\Sag7E.tmp
2008-02-20 15:03 . 2008-02-20 15:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sage Group
2008-02-18 16:05 . 2008-03-13 10:33 <DIR> d-------- C:\Programme\CAO-Faktura
2008-02-18 15:55 . 2008-02-18 15:55 457 --a------ C:\WINDOWS\my.ini
2008-02-18 15:52 . 2008-02-18 15:52 <DIR> d-------- C:\mysql
2008-02-17 16:40 . 2008-02-17 16:41 <DIR> d-------- C:\Programme\Desktop Enterprise 9.5.14
2008-02-15 16:11 . 2008-02-15 16:11 <DIR> d-------- C:\Temp\SagAE.tmp
2008-02-15 15:55 . 2008-02-15 15:55 <DIR> d-------- C:\Temp\Sag96.tmp
2008-02-15 15:45 . 2008-02-15 15:45 <DIR> d-------- C:\Temp\Sag7D.tmp
2008-02-15 15:35 . 2008-02-15 15:35 <DIR> d-------- C:\Temp\Sag1AC.tmp
2008-02-15 15:27 . 2008-02-15 15:27 <DIR> d-------- C:\Temp\Sag18D.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag18A.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag189.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag188.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag187.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag184.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag183.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag182.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag181.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag180.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag17E.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag17B.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag17A.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag179.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag178.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag175.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag174.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag173.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag172.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag16C.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag16B.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag16A.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag168.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag166.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag165.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag164.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag163.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag162.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag161.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag160.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag15F.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag15E.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag15D.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag15C.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag15B.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag159.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag158.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag157.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag155.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag152.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag151.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag150.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag14F.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag14E.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag14D.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag14C.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag14B.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag14A.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag149.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag148.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag147.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag145.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag144.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag143.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag142.tmp
2008-02-15 15:24 . 2008-02-15 15:24 <DIR> d-------- C:\Temp\Sag141.tmp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-13 22:28 --------- d-----w C:\Programme\lotus
2008-03-13 18:24 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-13 18:24 --------- d-----w C:\Programme\Macromedia
2008-03-12 19:48 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-03-11 16:04 --------- d-----w C:\Dokumente und Einstellungen\MR\Anwendungsdaten\AdobeUM
2008-03-11 12:04 5,954 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2008-03-11 12:03 --------- d-----w C:\Dokumente und Einstellungen\MR\Anwendungsdaten\Corel
2008-03-09 18:17 --------- d-----w C:\Dokumente und Einstellungen\MR\Anwendungsdaten\ICQ
2008-02-27 07:42 --------- d-----w C:\Programme\Opera
2008-02-22 21:49 --------- d-----w C:\Dokumente und Einstellungen\MR\Anwendungsdaten\Skype
2008-02-22 09:50 --------- d-----w C:\Dokumente und Einstellungen\MR\Anwendungsdaten\skypePM
2008-02-20 14:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Sage KHK Shared
2008-02-17 09:06 --------- d-----w C:\Programme\MySQL old
2008-01-28 22:13 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-01-28 22:13 --------- d--h--r C:\Dokumente und Einstellungen\MR\Anwendungsdaten\SecuROM
2008-01-28 22:08 669,184 ----a-w C:\WINDOWS\system32\pbsvc.exe
2008-01-28 22:08 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-01-28 22:08 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-01-28 22:08 22,328 ----a-w C:\Dokumente und Einstellungen\MR\Anwendungsdaten\PnkBstrK.sys
2008-01-28 22:08 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-01-28 21:59 --------- d-----w C:\Programme\Electronic Arts
2008-01-28 21:41 --------- d-----w C:\Programme\travelbook5
2008-01-28 21:41 --------- d-----w C:\Programme\Gemeinsame Dateien\mapserv
2008-01-28 21:35 --------- d-----w C:\Programme\mg10
2008-01-28 21:05 --------- d-----w C:\Programme\mg12
2007-12-29 13:10 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
.

((((((((((((((((((((((((((((( snapshot@2008-03-13_13.28.16,81 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-03-12 01:35:36 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX\ERDNT.EXE
+ 2008-03-13 21:13:56 380,928 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000001\NTUSER.DAT
+ 2008-03-13 21:13:56 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX\Users\00000002\UsrClass.dat
+ 2008-03-12 01:35:36 163,328 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\ERDNT.EXE
+ 2008-03-13 21:13:56 380,928 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000001\NTUSER.DAT
+ 2008-03-13 21:13:56 8,192 ----a-w C:\WINDOWS\ERUNT\SDFIX_First_Run\Users\00000002\UsrClass.dat
+ 2008-03-13 22:28:32 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_764.dat
+ 2008-03-13 22:29:03 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_838.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 13:00 15360]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-09-18 15:16 171464]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-12-19 15:48 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nTrayFw"="C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2006-02-17 09:40 270336]
"SkyTel"="SkyTel.EXE" [2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 00:07 8491008]
"nwiz"="nwiz.exe" [2007-09-17 00:07 1626112 C:\WINDOWS\system32\nwiz.exe]
"AsusStartupHelp"="C:\Programme\ASUS\AASP\1.00.17\AsRunHelp.exe" [2006-11-14 21:25 363008]
"JMB36X IDE Setup"="C:\WINDOWS\JM\JMInsIDE.exe" [2006-10-30 13:44 36864]
"JMB36X Configure"="C:\WINDOWS\system32\JMRaidSetup.exe" [2006-10-30 13:44 1953792]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-09-17 00:07 81920]
"RTHDCPL"="RTHDCPL.EXE" [2006-11-14 10:21 16270848 C:\WINDOWS\RTHDCPL.exe]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 17:30 517768]
"Corel Reminder"="" []
"PDFSaver"="C:\Programme\Tracker\PDF-XChange\PDFSaver.exe" [2003-02-21 13:16 61440]
"SSCFBTN.EXE"="SSCFBTN.EXE" [2002-02-08 10:24 36864 C:\WINDOWS\system32\Sscfbtn.exe]
"GW Port Controller"="C:\Programme\Samsung\SmarThru\PORTCTRL.EXE" [2002-03-22 09:58 155648]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 20:21 57344]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"klickIdentPP.exe"="C:\Programme\klickIdent Frühjahr 2007\klickIdentPP.exe" [2007-01-23 23:00 773120]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 13:00 15360]

C:\Dokumente und Einstellungen\MR\Startmen�\Programme\Autostart\
Lotus Organizer 5.0.lnk - C:\Programme\lotus\organize\org5.exe [1998-10-20 07:49:10 3886592]
Telefon- und Branchenbuch Fr�hjahr 2007 - Schnellstarter.lnk - C:\Programme\klickTel\Telefon- und Branchenbuch Fr�hjahr 2007\KSTART32.EXE [2007-10-25 16:36:10 451584]
WinMySQLadmin.lnk - C:\mysql\bin\winmysqladmin.exe [2008-02-18 15:52:57 936448]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-10-24 05:37:56 217194]
Dienst-Manager.lnk - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 17:23:32 74308]
ISDNWatch.lnk - C:\Programme\FRITZ!\IWatch.exe [2007-10-24 20:00:22 241664]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"C:\\Programme\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"D:\\Spiele\\Unreal Tournament 3\\Binaries\\UT3.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

R2 FirebirdGuardianDefaultInstance;Firebird Guardian - DefaultInstance;C:\PROGRA~1\Firebird\V2_0_1\bin\fbguard.exe [2007-03-02 13:05]
R2 LiveUpdateInstaller;LiveUpdateInstaller;"C:\Programme\Gemeinsame Dateien\Sage KHK Shared\LiveUpdate\LiveUpdateInstaller.exe" [2004-07-16 11:48]
R3 AVMCOWAN;AVM ISDN CoNDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmcowan.sys [2005-06-08 01:00]
R3 AVMDSLPPPOE;AVM DSL PPPoE CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmdsloe.sys [2005-06-08 01:00]
R3 AVMNDSL;AVM DSL NDIS WAN CAPI Treiber;C:\WINDOWS\system32\DRIVERS\avmndsl.sys [2005-06-08 01:00]
R3 FDSLBASE;AVM FRITZ!Card DSL (WinXP/2000);C:\WINDOWS\system32\DRIVERS\fdslbase.sys [2005-06-08 01:00]
R3 FirebirdServerDefaultInstance;Firebird Server - DefaultInstance;C:\PROGRA~1\Firebird\V2_0_1\bin\fbserver.exe [2007-03-02 13:05]
R3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINDOWS\system32\DRIVERS\NETFRITZ.SYS [2005-09-23 14:38]
S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS []

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-13 23:34:57
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySql]
"ImagePath"="C:/mysql/bin/mysqld-nt.exe"

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MySql]
"ImagePath"="C:/mysql/bin/mysqld-nt.exe"
.
Zeit der Fertigstellung: 2008-03-13 23:35:12
ComboFix2.txt 2008-03-13 12:28:25


________________________________________________________________
Traumhaft!! Gute Nacht!!!
Dieser Beitrag wurde am 14.03.2008 um 00:01 Uhr von Micha-EF editiert.
Seitenanfang Seitenende
14.03.2008, 00:07
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Entferne auf C:\SDFix\ backups -->papierkorb leeren

CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

SDFix wieder entfernen

Malwarebytes' Anti-Malware kannst du behalten

Es werden zwei Virenscanner benutzt,eins zuviel!

ATF cleaner
Benutze ATF Cleaner http://board.protecus.de/t23188.htm

Poste noch ein Log von Hijack This
__________
MfG Argus
Seitenanfang Seitenende
14.03.2008, 00:50
...neu hier

Themenstarter

Beiträge: 3
#5 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:41:33, on 14.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Tracker\PDF-XChange\PDFSaver.exe
C:\Programme\Samsung\SmarThru\PORTCTRL.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\lotus\organize\org5.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\PROGRA~1\Firebird\V2_0_1\bin\fbguard.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Programme\Gemeinsame Dateien\Sage KHK Shared\LiveUpdate\LiveUpdateInstaller.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\MSSQL\MSSQL\Binn\sqlservr.exe
C:\mysql\bin\mysqld-nt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\PROGRA~1\Firebird\V2_0_1\bin\fbserver.exe
C:\WINDOWS\System32\ECOMCM.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~1\KTTOOL~1.DLL
O4 - HKLM\..\Run: [nTrayFw] C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Programme\ASUS\AASP\1.00.17\AsRunHelp.exe
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [PDFSaver] C:\Programme\Tracker\PDF-XChange\PDFSaver.exe
O4 - HKLM\..\Run: [SSCFBTN.EXE] SSCFBTN.EXE
O4 - HKLM\..\Run: [GW Port Controller] C:\Programme\Samsung\SmarThru\PORTCTRL.EXE
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [klickIdentPP.exe] C:\Programme\klickIdent Frühjahr 2007\klickIdentPP.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Lotus Organizer 5.0.lnk = C:\Programme\lotus\organize\org5.exe
O4 - Startup: Telefon- und Branchenbuch Frühjahr 2007 - Schnellstarter.lnk = ?
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{57085046-FAE0-43E0-9981-DBC37CBD48B0}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{57085046-FAE0-43E0-9981-DBC37CBD48B0}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{57085046-FAE0-43E0-9981-DBC37CBD48B0}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Autodata Limited License Service - Autodata Limited - C:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - FirebirdSQL Project - C:\PROGRA~1\Firebird\V2_0_1\bin\fbguard.exe
O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - FirebirdSQL Project - C:\PROGRA~1\Firebird\V2_0_1\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: LiveUpdateInstaller - Sage KHK Software - C:\Programme\Gemeinsame Dateien\Sage KHK Shared\LiveUpdate\LiveUpdateInstaller.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe

--
End of file - 11248 bytes
_____________________________________________________________

Ich hoffe jetzt ist alles in Ordnung? Computer läuft auf jeden Fall wieder perfekt! Die Fett-markierten Einträge sagen mir nichts, sind die normal?

Ist wirklich eine prima Sache dieses Forum und mit so einer schnellen Hilfe hätte ich nicht gerechnet!
Seitenanfang Seitenende
14.03.2008, 01:01
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Die sind normal

Avast ist kostenlos fuer Symantec muss man zahlen
http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2005103109480139

Java
http://board.protecus.de/t32385.htm

Adobe Reader 8.0
http://www.adobe.com/de/products/acrobat/readstep2.html

Systemwiederherstellung
http://www.virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren

__________
MfG Argus
Seitenanfang Seitenende
01.06.2008, 21:34
...neu hier
Avatar Inu Yasha

Beiträge: 1
#7 Hallo.

Das gleiche Problem hat mein Bruder auf seinem Rechner auch; da ists nur so daß der Explorer erst immer nach 5-10 Sekunden beendet wurde, mittlerweile gibt es nur noch leeren Bildschirm.
Über den Taskmanager läßt sich die explorer.exe, wieder nur für wenige Sekunden, direkt starten; danach findet der Rechner selbige nicht mehr. Erst nach Neustart hat man, wieder nur für kurze Zeit, Zugriff auf den Explorer (Nicht der Internet-Explorer).
Wir haben nun den Rechner im Abgesicherten Modus mit Eingabeaufforderung gestartet und führen grade die obig beschriebenen Schritte mittels der Eingabeaufforderung durch. Nun hilft wohl erstmal nur Daumen drücken ;)

MfG Inu
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: