spyware/ troyaner?? brauche dringend hilfe

#0
25.03.2008, 08:25
...neu hier

Beiträge: 9
#1 hallo leute....
ich werde noch wahnsinnig... seit ca einer woche macht mein pc mich verrückt, ständig wird mir angezeigt, daß ich einen troyaner und spyware auf dem pc habe, mein virusprogramm, entfernt täglich troyaner obwohl ich gar nicht online bin, habe den stecker vom dsl gezogen und trotzdem.... ständig werde ich aufgefordert mir irgenteine software zu kaufen um die spyware vom pc zu kriegen, habe schon versucht sie zu löschen doch ohne erfolg, sie kommt immer wieder. habe windows xp
diese seiten öffenen sich ständig, wenn ich denn mal online bin:

XPantivirus Online Security Scannner (XPA OSS)Scanning: 0% - System folders (next: Memory,register)
Checking:
Spyware found: 1 Files infected: 1Protection level: Critical
Click the 'Erase all spyware' button to erase all spyware programs and viruses from your system
Attention! XPantivirus Online scanner has detected spyware programs on your computer. The safety of your privacy information, passwords and credit card details is in danger. Security Protection Systems are not installed. The list of security systems are listed below. Turn on this systems as soon as possible and remove all spyware infections.XPantivirus System Protection Analyzer (XPA SPA) Browser protection Not installed
Cookie protection Not installed
File protection Not installed
Keyloger protection Not installed
Network protection Not installed
Process protection Not installed
Startup protection Not installed
Found spyware
Worm.Win32.Womble.a Critical
Threat level:
AdwareRemover2007 Warning
Threat level:
Trusted Antivirus Warning
Threat level:
Tracking Cookies Moderate
Threat level:
Worm.Win32.NetSky Danger
Threat level:
Protection level
Recommended: Click the 'Full protection now' button to protect your system and erase all spyware threats.
This page is generated by XPantivirus Security Scanner to predict possible virus attacks and privacy threats.

was kann ich nur tun? weiß einer von euch vielleicht weiter?
danke für eure Hilfe im vorraus.
Claire
Dieser Beitrag wurde am 25.03.2008 um 08:29 Uhr von englertmuu editiert.
Seitenanfang Seitenende
25.03.2008, 08:45
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Hallo

1.
wende smitfraudfix an (option 2) + poste hier den report
http://www.virus-protect.org/artikel/tools/smitfrautfix.html

2.
Malwarebytes Anti-Malware
http://www.virus-protect.org/artikel/tools/malwarebytes.html
Download MBAM zum Desktop
Doppelklick mbam-setup und waehle Deutsch,das Program wird jetzt ge-updatet
Waehle bei Reiter “Scanner”> "Komplett Scan durchfuehren" .
Waehle alle Laufwerke >Scan laufen lassen
Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen
Unter Scanberichte stet das log (mbam-log-XX-XX-XXXX.txt)
Poste dessen inhalt hier ins Forum
Note:
Wenn MBAM Schwierigkeiten damit hat Daten zu entfernen wird es gemeldet und klicke OK
Danach wird gefragt den Rechner neu zu starten,lass es zu

3.
Erstellen eines Hijackthis-Logfiles
http://www.virus-protect.org/hjtkurz.html
Als erstes mach ein neuen Ordner auf C:\ z.b. C:\HijackThis,download HijackThis.exe dahin
Download: HijackThis202
Doppelklick HijackThis.exe und installiere das Tool in C:\Programme
Am Ende steht auf dein Desktop eine verknüpfung

Starte Hijack This und klicke “Do a system scan and safe a logfile”
Save log --> hijackthis.log - Save - es öffnet sich der Editor
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
__________
MfG Argus
Seitenanfang Seitenende
25.03.2008, 09:18
...neu hier

Themenstarter

Beiträge: 9
#3 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:00:39, on 25.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\ujqncrkj.exe
D:\WINDOWS\ehome\ehtray.exe
D:\Programme\QuickTime\qttask.exe
D:\WINDOWS\system32\RunDll32.exe
D:\Programme\Gemeinsame Dateien\AOL\1200399378\ee\AOLSoftware.exe
D:\Programme\HP\HP Software Update\HPWuSchd2.exe
D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
D:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
D:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\Programme\McAfee.com\Agent\mcagent.exe
D:\Programme\SiteAdvisor\6253\SiteAdv.exe
D:\Programme\Lnwclxzg\zeqdbfcs.exe
D:\Programme\McAfee\MBK\McAfeeDataBackup.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
D:\Programme\Lexmark X1100 Series\lxbkbmon.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\AOL 9.0\aoltray.exe
D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
D:\Programme\FRITZ!DSL\StCenter.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
D:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
D:\Programme\FRITZ!DSL\IGDCTRL.EXE
D:\WINDOWS\eHome\ehRecvr.exe
D:\WINDOWS\eHome\ehSched.exe
D:\Programme\McAfee\MBK\MBackMonitor.exe
D:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
d:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
d:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
D:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
D:\Programme\McAfee\MPF\MPFSrv.exe
D:\Programme\McAfee\MSK\MskSrver.exe
D:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\Programme\SiteAdvisor\6253\SAService.exe
D:\WINDOWS\system32\svchost.exe
d:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
D:\WINDOWS\eHome\ehmsas.exe
D:\WINDOWS\system32\dllhost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
D:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
D:\Programme\AOL 9.0\waol.exe
D:\Programme\AOL 9.0\shellmon.exe
D:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
D:\Programme\Hijack This\hijackthis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - D:\Programme\SiteAdvisor\6253\SiteAdv.dll
O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - D:\Programme\McAfee\MSK\mcapbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - d:\PROGRA~1\mcafee\VIRUSS~1\scriptsn.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - D:\Programme\SiteAdvisor\6253\SiteAdv.dll
O4 - HKLM\..\Run: [ehTray] D:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [AOLDialer] D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PinnacleDriverCheck] D:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [HostManager] D:\Programme\Gemeinsame Dateien\AOL\1200399378\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [HPHUPD08] D:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [HP Software Update] D:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [PMCRemote] D:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [mcagent_exe] D:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SiteAdvisor] D:\Programme\SiteAdvisor\6253\SiteAdv.exe
O4 - HKLM\..\Run: [StartCCC] D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [zeqdbfcs] D:\Programme\Lnwclxzg\zeqdbfcs.exe
O4 - HKLM\..\Run: [McAfee Backup] D:\Programme\McAfee\MBK\McAfeeDataBackup.exe
O4 - HKLM\..\Run: [MBkLogOnHook] D:\Programme\McAfee\MBK\LogOnHook.exe
O4 - HKLM\..\Run: [ahwmtfog] D:\WINDOWS\system32\ahwmtfog.exe
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [hYyREFX7I0] D:\WINDOWS\ujqncrkj.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = D:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = D:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = D:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://king.aolsvc.de/ctl/kingcomie.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200425437500
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{387D7658-5EF5-4415-8494-5AE1DDEBD98B}: NameServer = 205.188.146.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DB0D018-86FC-4299-AF4B-FC8A5160DB24}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MBackMonitor - McAfee - D:\Programme\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - D:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - d:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - D:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - d:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - D:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - D:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - D:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - D:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - d:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - D:\Programme\SiteAdvisor\6253\SAService.exe

--
End of file - 11363 bytes

das hab ich und jetzt?
Claire
Dieser Beitrag wurde am 25.03.2008 um 11:01 Uhr von englertmuu editiert.
Seitenanfang Seitenende
25.03.2008, 12:56
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Tag,Claire
http://www.virus-protect.org/artikel/tools/malwarebytes.html
Versuche Malwarebytes Anti-Malware zu downloaden


__________
MfG Argus
Seitenanfang Seitenende
25.03.2008, 13:59
...neu hier

Themenstarter

Beiträge: 9
#5 D:programme\Malwarebytes´Anti-Malware\mbam.exe

Fehler beim Ersetzen einer vorhandenen Datei:
DeleteFile schlug fehl; Code5
Zugriff verweigert

Klicken Sie auf "Wiederholen" für einen weiteren Versuch, "Ignorieren", um diese Datei zu überspringen(nicht empfohlen), oder "Abbrechen", um die Installation abzubrechen.


??was nun?
Claire
Seitenanfang Seitenende
25.03.2008, 14:56
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo,
du hast dir genau mit diesem scanner das System zerschossen, denn es ist ein gefakter scanner (xpantivirus)..auch wenn die Seite seriös aussieht..ist sie aber nicht.

Gehe in die Registry
Start - Ausführen - regedit

suche - eingeben: XP antivirus

lösche, was ich gekennzeichnet habe

HKEY_USERS\Software\XP antivirus
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XP antivirus_is1
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPAntivirusFilter

Klicke auf Bearbeiten -- Berechtigung und klicke dann auf Vollzugriff -- [Übernehmen] und auf [OK]. Erneuter [Rechtsklick] auf den Schlüssel und versuche diesen zu löschen.

««
http://download.bleepingcomputer.com/reg/FixXPAV.reg
# downloade das FixXPAV.reg und speichere es auf deinem Desktop, mit einem Rechtsklick auf den Link -> speichern als FixXPAV.reg unter alle Dateitypen.
# Mach einen Doppelklick auf die Datei FixXPAV.reg auf deinem Desktop.
# Beantworte die Frage, ob die Information von deinem System aufgenommen werden soll, mit Y (yes/ja), drücke dann auf den OK Button.

PC neustarten

in den abgesicherten modus booten und

versuche XP antivirus zu löschen
D:\programme\XPAntivirus
D:\Dokumente und Einstellungen\All Users\Start Menu\Programme\XP antivirus-> auch löschen

XP AntiVirus erstellt ein Ikon als Quick Launch, ebenfalls entfernen:
mach einen Rechtsklick auf das Ikon, um es zu entfernen.
.............

««
http://www.virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move

Zitat

D:\Programme\XPAntivirus
D:\Programme\Lnwclxzg
D:\WINDOWS\system32\ahwmtfog.exe
Klicke auf den Roten MoveIt!

--------------

poste das log von Combofix

http://www.virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.03.2008, 16:22
...neu hier

Themenstarter

Beiträge: 9
#7 HKEY_USERS\Software\XP antivirus

unter KHEY_USERS finde ich keine Software,

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\XP antivirus_is1

hier finde ich den XP antivirus_is1 nicht, bis zu Uninstall ist alles klar, aber dann??

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XPAntivirusFilter

auch hier finde ich den XP Antivirusfilter nicht, bis zum service ist alles ok

was nun?


---------------------------------------------------------------------------

Moderator

Beiträge: 3466
Tag,Claire
http://www.virus-protect.org/artikel/tools/malwarebytes.htmlVersuche Malwarebytes Anti-Malware zu downloaden

Anhang: Download_mbam-setup.exe
__________
Gruß
Arnold

mit dem? oben genannten programm hab ich mir jetzt die Kiste kaputt gemacht?
?? das versteh ich nicht, das Programm hatte ich doch von hier?
Claire

--------------------------------------------------------------------------

SmitFraudFix v2.308

Fichier Process.exe absent !
Dezippez la totalité de l'archive dans un dossier.

Process.exe file missing !
Unzip all the archive in a folder.

Drücken Sie eine beliebige Taste . . .
Dieser Beitrag wurde am 25.03.2008 um 16:35 Uhr von englertmuu editiert.
Seitenanfang Seitenende
25.03.2008, 16:50
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Nicht mit Malwarebytes Anti-Malware sondern mit XPAntivirus

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O4 - HKLM\..\Run: [zeqdbfcs] D:\Programme\Lnwclxzg\zeqdbfcs.exe
O4 - HKLM\..\Run: [ahwmtfog] D:\WINDOWS\system32\ahwmtfog.exe
O4 - HKLM\..\Policies\Explorer\Run: [hYyREFX7I0] D:\WINDOWS\ujqncrkj.exe

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

EditWenn ComboFix auch nicht funktioniert

DSS
Download dss zum Desktop
Doppelklick dss.exe
Kopiere den Inhalt des Berichts C:/ main.txt und extra.txt in dein folgender Bericht
Note: Es gibt Firewalls die warnen koennen das sigcheck.exe versucht das I-net zu erreichen,erlaube es
Auch gibt es Virenscanner die versuchen DSS zu entfernen,schalte in diesen fall dein scanner mal eben aus
__________
MfG Argus
Seitenanfang Seitenende
25.03.2008, 17:04
...neu hier

Themenstarter

Beiträge: 9
#9 Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: Intel(R) Pentium(R) 4 CPU 3.06GHz
CPU 1: Intel(R) Pentium(R) 4 CPU 3.06GHz
Percentage of Memory in Use: 49%
Physical Memory (total/avail): 1023.48 MiB / 513.53 MiB
Pagefile Memory (total/avail): 2460.63 MiB / 1863.95 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1930.45 MiB

C: is Fixed (NTFS) - 39.06 GiB total, 39 GiB free.
D: is Fixed (NTFS) - 193.82 GiB total, 179.57 GiB free.
E: is CDROM (CDFS)
F: is CDROM (No Media)
G: is Removable (No Media)
H: is Fixed (FAT32) - 27.94 GiB total, 10.6 GiB free.

\\.\PHYSICALDRIVE0 - WDC WD2500JS-00NCB1 - 232.88 GiB - 2 partitions
\PARTITION0 (bootable) - Installierbares Dateisystem - 39.06 GiB - C:
\PARTITION1 - Erweitert mit Int 13 (erweitert) - 193.82 GiB - D:

\\.\PHYSICALDRIVE2 - HP Photosmart 8200 USB Device

\\.\PHYSICALDRIVE1 - WDC WD30 0BB-00DEA0 USB Device - 27.95 GiB - 1 partition
\PARTITION0 (bootable) - Unknown - 27.95 GiB - H:



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.
Windows Internal Firewall is enabled.

FirstRunDisabled is set.
AntiVirusDisableNotify is set.

FW: McAfee Personal Firewall v (McAfee)
AV: McAfee VirusScan v (McAfee)

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="D:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL"
"D:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="D:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL"
"D:\\Programme\\AOL 9.0\\waol.exe"="D:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"D:\\Programme\\Windows Live\\Messenger\\livecall.exe"="D:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"D:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"="D:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE:*:Enabled:FRITZ!DSL - igdctrl.exe"
"D:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"="D:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe:*:Enabled:AOL"
"D:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"="D:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe:*:Enabled:AOL"
"D:\\Programme\\AOL 9.0\\waol.exe"="D:\\Programme\\AOL 9.0\\waol.exe:*:Enabled:AOL 9.0"
"D:\\Programme\\Pinnacle\\Shared Files\\Programs\\MediaServer\\PMSInstallInit.exe"="D:\\Programme\\Pinnacle\\Shared Files\\Programs\\MediaServer\\PMSInstallInit.exe:LocalSubNet:Enabled:pMSInstallInit.exe"
"D:\\Programme\\Pinnacle\\MediaCenter\\PMC.exe"="D:\\Programme\\Pinnacle\\MediaCenter\\PMC.exe:LocalSubNet:Enabled:pmc.exe"
"D:\\Programme\\Pinnacle\\MediaCenter\\PSST.exe"="D:\\Programme\\Pinnacle\\MediaCenter\\PSST.exe:LocalSubNet:Enabled:pSST.exe"
"D:\\Programme\\Pinnacle\\Shared Files\\Programs\\MediaManager\\PMSManager.exe"="D:\\Programme\\Pinnacle\\Shared Files\\Programs\\MediaManager\\PMSManager.exe:LocalSubNet:Enabled:pMSManager.exe"
"D:\\Programme\\Pinnacle\\MediaCenter\\PMSInstallInit.exe"="D:\\Programme\\Pinnacle\\MediaCenter\\PMSInstallInit.exe:LocalSubNet:Enabled:pMSInstallInit.exe"
"D:\\Programme\\Pinnacle\\MediaCenter\\PMC.Tvtv.Wizard.exe"="D:\\Programme\\Pinnacle\\MediaCenter\\PMC.Tvtv.Wizard.exe:LocalSubNet:Enabled:pMC.Tvtv.Wizard.exe"
"D:\\Programme\\Messenger\\msmsgs.exe"="D:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"D:\\Programme\\ICQ6\\ICQ.exe"="D:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"D:\\Programme\\Gemeinsame Dateien\\aol\\1200399378\\ee\\aolsoftware.exe"="D:\\Programme\\Gemeinsame Dateien\\aol\\1200399378\\ee\\aolsoftware.exe:*:Enabled:AOL Shared Components"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"D:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe"="D:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe:*:Enabled:AOL Loader"
"D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"D:\\Programme\\Windows Live\\Messenger\\livecall.exe"="D:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"D:\\Programme\\Internet Explorer\\iexplore.exe"="D:\\Programme\\Internet Explorer\\iexplore.exe:*:Enabled:Internet Explorer"
"D:\\Programme\\Gemeinsame Dateien\\McAfee\\MNA\\McNASvc.exe"="D:\\Programme\\Gemeinsame Dateien\\McAfee\\MNA\\McNASvc.exe:*:Enabled:McAfee Network Agent"
"D:\\Programme\\Pinnacle\\Shared Files\\Programs\\MediaCenterService\\PMC.Service.Main.exe"="D:\\Programme\\Pinnacle\\Shared Files\\Programs\\MediaCenterService\\PMC.Service.Main.exe:LocalSubNet;)isabled:pMCService"
"D:\\Programme\\McAfee\\MBK\\McAfeeDataBackup.exe"="D:\\Programme\\McAfee\\MBK\\McAfeeDataBackup.exe:*:Enabled:McAfee Data Backup"


-- Environment Variables -------------------------------------------------------

-- Add/Remove Programs ---------------------------------------------------------

--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 D:\WINDOWS\INF\PCHealth.inf
7-Zip 4.42 --> "D:\Programme\7-Zip\Uninstall.exe"
Adobe Flash Player ActiveX --> D:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 7.0.9 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70900000002}
Adobe Shockwave Player --> D:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE D:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Ahead InCD EasyWrite Reader --> D:\WINDOWS\unmrw.exe /UNINSTALL
AOL Coach Version 1.0(Build:20040229.1 de) --> "D:\Programme\Gemeinsame Dateien\aolshare\Coach\AolCInUn.exe" -lang="de-de"
AOL Deinstallation --> D:\Programme\Gemeinsame Dateien\AOL\uninstaller.exe
AOL Meine Fotos Bildschirmschoner --> D:\Programme\Gemeinsame Dateien\AOL\Screensaver\uninst_ygpss.exe
Armobiles --> D:\PROGRA~1\Ganymede\ARMOBI~1\UNWISE.EXE D:\PROGRA~1\Ganymede\ARMOBI~1\INSTALL.LOG
Ashampoo WinOptimizer 2007 --> "D:\Programme\Ashampoo\Ashampoo WinOptimizer 2007\Uninstall\1506_Uninstall.exe"
ATI - Dienstprogramm zur Deinstallation der Software --> D:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Catalyst Control Center --> RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{055EE59D-217B-43A7-ABFF-507B966405D8}\setup.exe" -l0x0
ATI Display Driver --> rundll32 D:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class;)ISPLAY -clean
ATI Parental Control & Encoder --> MsiExec.exe /I{36CDA33B-909B-4719-97D1-C4B99309BDC7}
Avery Zweckform DesignPro --> RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{2CC982C0-7EAE-11D4-ACC3-0050568AD318}\setup.exe" -uninst
Avery Zweckform Etiketten Assistent --> D:\WINDOWS\IsUn0407.exe -f"D:\Programme\Avery Zweckform\Avery Zweckform Assistent\Uninst.isu"
AVM FRITZ!Box Dokumentation --> D:\Programme\FRITZ!Box\install.exe -d
AVM FRITZ!Box Druckeranschluss --> D:\Programme\FRITZ!BoxPrint\install.exe -d
AVM FRITZ!DSL --> D:\WINDOWS\IsUn0407.exe -fD:\Programme\FRITZ!DSL\WebUnins.isu -cD:\Programme\FRITZ!DSL\Webunins.dll
C-Media High Definition Audio Driver --> D:\WINDOWS\system32\cmirmdrv.exe
Catalyst Control Center - Branding --> MsiExec.exe /I{E39041F7-6F24-439A-99BC-C2163BB1429B}
DATA BECKER 3D Innenarchitekt 8 --> "D:\Programme\DATA BECKER\3D Innenarchitekt 8\unins000.exe"
DivX --> D:\Programme\DivX\DivXCodecUninstall.exe /CODEC
Google Toolbar for Internet Explorer --> regsvr32 /u /s "d:\programme\google\googletoolbar2.dll"
High Definition Audio Driver Package - KB835221 --> D:\WINDOWS\$NtUninstallKB835221WXP$\spuninst\spuninst.exe
Hijack This 2.0.2 --> "D:\Programme\Hijack This\unins000.exe"
HijackThis 2.0.2 --> "D:\Programme\Hijack This\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB888795) --> "D:\WINDOWS\$NtUninstallKB888795$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB891593) --> "D:\WINDOWS\$NtUninstallKB891593$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB899337) --> "D:\WINDOWS\$NtUninstallKB899337$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB899510) --> "D:\WINDOWS\$NtUninstallKB899510$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB902841) --> "D:\WINDOWS\$NtUninstallKB902841$\spuninst\spuninst.exe"
Hotfix für Windows XP (KB914440) --> "D:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe"
Hotfix for Windows Media Format 11 SDK (KB929399) --> "D:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
HP Extended Capabilities 5.3 --> D:\Programme\HP\Digital Imaging\ExtCapUninstall\hpzscr01.exe -datfile hpqhsc01.dat
HP Image Zone 5.3 --> D:\Programme\HP\Digital Imaging\uninstall\hpzscr01.exe -datfile hpqscr01.dat
HP Imaging Device Functions 5.3 --> D:\Programme\HP\Digital Imaging\DigitalImagingMonitor\hpzscr01.exe -datfile hpqbud01.dat
HP Photosmart 330,380,420,470,7800,8000,8200 Series --> D:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\setup\hpzscr01.exe -d MsiRollbackUninstaller -datfile hphscr08.dat
HP Software Update --> MsiExec.exe /X{15EE79F4-4ED1-4267-9B0F-351009325D7D}
HP Solution Center & Imaging Support Tools 5.3 --> D:\Programme\HP\Digital Imaging\eSupport\hpzscr01.exe -datfile hpqbud05.dat
ICQ6 --> D:\Programme\InstallShield Installation Information\{60DE4033-9503-48D1-A483-7846BD217CA9}\setup.exe -runfromtemp -l0x0009 -removeonly
Java 2 Runtime Environment, SE v1.4.2 --> MsiExec.exe /I{7148F0A8-6813-11D6-A77B-00B0D0142000}
Java(TM) 6 Update 3 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160030}
Learn2 Player (Uninstall Only) --> D:\Programme\Learn2.com\StRunner\stuninst.exe
Lexmark X1100 Series --> D:\WINDOWS\system32\spool\drivers\w32x86\3\LXBKUN5C.EXE -dLexmark X1100 Series
McAfee SecurityCenter --> D:\Programme\McAfee\MSC\mcuninst.exe
Microsoft-Basissmartcard-Kryptografiedienstanbieterpaket --> "D:\WINDOWS\$NtUninstallbasecsp$\spuninst\spuninst.exe"
Microsoft Compression Client Pack 1.0 for Windows XP --> "D:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft Office 2000-Webarchiv-Add-On --> MsiExec.exe /I{B2586CA8-0F12-11D3-8258-00C04F6843FE}
Microsoft Office 2000 SR-1 Premium --> MsiExec.exe /I{00000407-78E1-11D2-B60F-006097C998E7}
Microsoft SQL Server 2005 Compact Edition [ENU] --> MsiExec.exe /I{F0B430D1-B6AA-473D-9B06-AA3DD01FD0B8}
Microsoft SQL Server Desktop Engine (PINNACLESYS) --> MsiExec.exe /X{E09B48B5-E141-427A-AB0C-D3605127224A}
Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "D:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
Microsoft Visual C++ 2005 Redistributable --> MsiExec.exe /X{A49F249F-0C91-497F-86DF-B2585E8E76B7}
MSN --> D:\Programme\MSN\MsnInstaller\msninst.exe /Action:ARP
MSXML 6.0 Parser (KB933579) --> MsiExec.exe /I{0A869A65-8C94-4F7C-A5C7-972D3C8CED9E}
Nero 6 --> D:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
Nero Media Player --> D:\WINDOWS\UNNMP.exe /UNINSTALL
NeroVision Express 2 --> D:\WINDOWS\UNNeroVision.exe /UNINSTALL
NVIDIA Drivers --> D:\WINDOWS\system32\nvudisp.exe UninstallGUI
PC Link Manager --> RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{9926B765-CD07-4CA6-A50D-E65EFC78F082}\setup.exe" -l0x7 -removeonly
Personal ID --> "D:\coolspot AG\Personal ID\Uninstall.exe" "D:\coolspot AG\Personal ID\install.log" -u
Pinnacle MediaCenter --> "D:\Programme\InstallShield Installation Information\{F38ADCA4-AF7C-4C73-9021-6F1EA15D15EA}\Setup.exe"UNINSTALL /l0x0007
Pinnacle MediaServer --> RunDll32 D:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "D:\Programme\InstallShield Installation Information\{460CE8B9-6EC2-458A-90D4-691631ECE9D9}\setup.exe" -l0x7 UNINSTALL
ProtectDisc Helper Driver 10 --> D:\Programme\ProtectDisc Driver Installer\uninstall_v10.exe
QuickTime --> D:\WINDOWS\unvise32qt.exe D:\WINDOWS\system32\QuickTime\Uninstall.log
RealPlayer Basic --> D:\Programme\Gemeinsame Dateien\Real\Update\\rnuninst.exe RealNetworks|RealPlayer|6.0
Riva FLV Player --> "D:\Programme\Riva\Riva FLV Player\unins000.exe"

TeamSpeak 2 RC2 --> D:\Programme\Teamspeak2_RC2\unins000.exe
Tortuga Bay --> "D:\Programme\Tortuga_Bay\uninstall.exe"

Update Rollup 2 für Windows XP Media Center Edition 2005 --> D:\WINDOWS\$NtUninstallKB900325$\spuninst\spuninst.exe
Viewpoint Media Player --> D:\Programme\Viewpoint\Viewpoint Experience Technology\mtsAxInstaller.exe /u
Windows Imaging Component --> "D:\WINDOWS\$NtUninstallWIC$\spuninst\spuninst.exe"
Windows Live Anmelde-Assistent --> MsiExec.exe /I{AFA4E5FD-ED70-4D92-99D0-162FD56DC986}
Windows Live installer --> MsiExec.exe /X{7A7B0BF3-2F00-4F03-8A9B-6ABCC07B90C6}
Windows Live Messenger --> MsiExec.exe /X{2B091530-69AA-442E-AB09-39ED06B58220}
Windows Media Format 11 runtime --> "D:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows Media Format SDK Hotfix - KB891122 --> "D:\WINDOWS\$NtUninstallKB891122$\spuninst\spuninst.exe"
Windows Presentation Foundation --> MsiExec.exe /X{BAF78226-3200-4DB4-BE33-4D922A799840}
Windows Presentation Foundation Language Pack (DEU) --> MsiExec.exe /X{92DF2F1B-F63C-4D9A-B3E1-B2D11AE29790}
Windows Workflow Foundation DE Language Pack --> MsiExec.exe /I{7228FD8C-3B9E-4204-AE36-8A466107685B}
Windows XP-Hotfix - KB873339 -->
XML Paper Specification Shared Components Language Pack 1.0 --> "D:\WINDOWS\$NtUninstallXPSEPSCLP$\spuninst\spuninst.exe"
XML Paper Specification Shared Components Pack 1.0 -->


-- Application Event Log -------------------------------------------------------

Event Record #/Type2704 / Error
Event Submitted/Written: 03/25/2008 04:51:20 PM
Event ID/Source: 4 / Media Center Receiver
Event Description:
TV tuner malfunction. (0x80070057) Pinnacle Stargate Tuner

Event Record #/Type2703 / Warning
Event Submitted/Written: 03/25/2008 04:51:14 PM
Event ID/Source: 19011 / MSSQL$PINNACLESYS
Event Description:
(SpnRegister) : Error 1355

Event Record #/Type2700 / Error
Event Submitted/Written: 03/25/2008 04:13:39 PM
Event ID/Source: 1001 / Application Hang
Event Description:
Fehlerhafter Speicherbereich 452615105.

Event Record #/Type2698 / Error
Event Submitted/Written: 03/25/2008 04:13:34 PM
Event ID/Source: 1002 / Application Hang
Event Description:
Stillstehende Anwendung explorer.exe, Version 6.0.2900.3156, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Event Record #/Type2697 / Error
Event Submitted/Written: 03/25/2008 04:11:41 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes Modul dbghelp.dll, Version 5.1.2600.2180, Fehleradresse 0x0001295d.
Das medienspezifische Ereignis für [drwtsn32.exe!ws!] wird verarbeitet.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type11880 / Error
Event Submitted/Written: 03/25/2008 04:51:47 PM
Event ID/Source: 10010 / DCOM
Event Description:
Der Server "{C7E39D60-7A9F-42BF-ABB1-03DC0FA4F493}" konnte innerhalb des angegebenen Zeitabschnitts mit DCOM nicht registriert werden.

Event Record #/Type11872 / Error
Event Submitted/Written: 03/25/2008 04:49:51 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{1BE1F766-5536-11D1-B726-00C04FB926AF}

Event Record #/Type11871 / Error
Event Submitted/Written: 03/25/2008 04:49:43 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "McNASvc" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{24F616A1-B755-4053-8018-C3425DC8B68A}

Event Record #/Type11870 / Error
Event Submitted/Written: 03/25/2008 04:49:40 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "McNASvc" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{24F616A1-B755-4053-8018-C3425DC8B68A}

Event Record #/Type11869 / Error
Event Submitted/Written: 03/25/2008 04:48:49 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "netman" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{BA126AD1-2166-11D1-B1D0-00805FC1270E}



-- End of Deckard's System Scanner: finished at 2008-03-25 17:02:09 ------------

Deckard's System Scanner v20071014.68
Run by Englert on 2008-03-25 16:59:50
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
5: 2008-03-25 15:59:55 UTC - RP91 - Deckard's System Scanner Restore Point
4: 2008-03-25 08:43:12 UTC - RP90 - ComboFix created restore point
3: 2008-03-25 07:42:51 UTC - RP89 - Software Distribution Service 3.0
2: 2008-03-24 12:24:48 UTC - RP88 - Software Distribution Service 3.0
1: 2008-03-21 14:18:48 UTC - RP87 - Skype™ 3.6 wird entfernt


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as Englert.exe) ---------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:01:16, on 25.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\LEXBCES.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\LEXPPS.EXE
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\ehome\ehtray.exe
D:\Programme\QuickTime\qttask.exe
D:\WINDOWS\system32\RunDll32.exe
D:\Programme\Gemeinsame Dateien\AOL\1200399378\ee\AOLSoftware.exe
D:\Programme\HP\HP Software Update\HPWuSchd2.exe
D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
D:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
D:\Programme\Java\jre1.6.0_03\bin\jusched.exe
D:\Programme\McAfee.com\Agent\mcagent.exe
D:\Programme\Lexmark X1100 Series\lxbkbmon.exe
D:\Programme\SiteAdvisor\6253\SiteAdv.exe
D:\Programme\McAfee\MBK\McAfeeDataBackup.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
D:\Programme\AOL 9.0\aoltray.exe
D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
D:\Programme\FRITZ!DSL\StCenter.exe
D:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLacsd.exe
D:\Programme\FRITZ!DSL\IGDCTRL.EXE
D:\WINDOWS\eHome\ehRecvr.exe
D:\WINDOWS\eHome\ehSched.exe
D:\Programme\McAfee\MBK\MBackMonitor.exe
D:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
d:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
d:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
D:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
D:\Programme\McAfee\MPF\MPFSrv.exe
D:\Programme\McAfee\MSK\MskSrver.exe
D:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
D:\WINDOWS\system32\HPZipm12.exe
D:\Programme\SiteAdvisor\6253\SAService.exe
D:\WINDOWS\system32\svchost.exe
d:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
D:\Programme\AOL 9.0\waol.exe
D:\WINDOWS\eHome\ehmsas.exe
D:\WINDOWS\system32\dllhost.exe
D:\Programme\AOL 9.0\shellmon.exe
D:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
D:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
D:\Dokumente und Einstellungen\Englert\Eigene Dateien\sauber\dss.exe
D:\PROGRA~1\HIJACK~1\Englert.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - D:\Programme\SiteAdvisor\6253\SiteAdv.dll
O2 - BHO: McAntiPhishingBHO - {377C180E-6F0E-4D4C-980F-F45BD3D40CF4} - D:\Programme\McAfee\MSK\mcapbho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - d:\PROGRA~1\mcafee\VIRUSS~1\scriptsn.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - d:\programme\google\googletoolbar2.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - D:\Programme\SiteAdvisor\6253\SiteAdv.dll
O4 - HKLM\..\Run: [ehTray] D:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [AOLDialer] D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [PinnacleDriverCheck] D:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [HostManager] D:\Programme\Gemeinsame Dateien\AOL\1200399378\ee\AOLSoftware.exe
O4 - HKLM\..\Run: [HPHUPD08] D:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [HP Software Update] D:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [PMCRemote] D:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [mcagent_exe] D:\Programme\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [SiteAdvisor] D:\Programme\SiteAdvisor\6253\SiteAdv.exe
O4 - HKLM\..\Run: [StartCCC] D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [McAfee Backup] D:\Programme\McAfee\MBK\McAfeeDataBackup.exe
O4 - HKLM\..\Run: [MBkLogOnHook] D:\Programme\McAfee\MBK\LogOnHook.exe
O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = D:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = D:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = D:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - D:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://king.aolsvc.de/ctl/kingcomie.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1200425437500
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{387D7658-5EF5-4415-8494-5AE1DDEBD98B}: NameServer = 205.188.146.145
O17 - HKLM\System\CCS\Services\Tcpip\..\{6DB0D018-86FC-4299-AF4B-FC8A5160DB24}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - D:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - D:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MBackMonitor - McAfee - D:\Programme\McAfee\MBK\MBackMonitor.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - D:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - d:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - D:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - d:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - D:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - D:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - D:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - D:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - d:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - D:\Programme\SiteAdvisor\6253\SAService.exe

--
End of file - 11031 bytes

-- HijackThis Fixed Entries (D:\PROGRA~1\HIJACK~1\backups\) --------------------

backup-20080325-165756-605 O4 - HKLM\..\Policies\Explorer\Run: [hYyREFX7I0] D:\WINDOWS\ujqncrkj.exe
backup-20080325-165756-635 O4 - HKLM\..\Run: [zeqdbfcs] D:\Programme\Lnwclxzg\zeqdbfcs.exe
backup-20080325-165756-845 O4 - HKLM\..\Run: [ahwmtfog] D:\WINDOWS\system32\ahwmtfog.exe
backup-20080325-165756-918 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

-- File Associations -----------------------------------------------------------

[COLOR=red].reg - regfile - shell\open\command - regedit.exe"%1" %*[/COLOR]
[COLOR=red].scr - scrfile - shell\open\command - "%1" %*[/COLOR]


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 NETDSL (AVM PPP over Ethernet) - d:\windows\system32\drivers\netdsl.sys <Not Verified; Microsoft Corporation; AVM DSL Products>
R1 SSHDRV62 - d:\windows\system32\drivers\sshdrv62.sys
R2 ASCTRM - d:\windows\system32\drivers\asctrm.sys <Not Verified; Windows (R) 2000 DDK provider; Windows (R) 2000 DDK driver>
R3 ASAPIW2k - d:\windows\system32\drivers\asapiw2k.sys <Not Verified; VOB Computersysteme GmbH; asapi>
R3 NETFWDSL (AVM FRITZ!web DSL PPP) - d:\windows\system32\drivers\netfwdsl.sys <Not Verified; AVM Berlin; AVM FRITZ!web>

S3 GMSIPCI - e:\install\gmsipci.sys (file missing)
S3 MSICPL - e:\install4\msicpl.sys (file missing)
S3 NTACCESS - e:\ntaccess.sys (file missing)
S3 SetupNTGLM7X - e:\ntglm7x.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AVM IGD CTRL Service - d:\programme\fritz!dsl\igdctrl.exe <Not Verified; AVM Berlin; AVM IGD Service>
R2 PinnacleSys.MediaServer (Pinnacle Systems Media Service) - d:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe <Not Verified; Pinnacle Systems; Media Server>

S3 de_serv (AVM FRITZ!web Routing Service) - d:\programme\gemeinsame dateien\avm\de_serv.exe <Not Verified; AVM Berlin; AVM Rocky>


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Scheduled Tasks -------------------------------------------------------------

2008-02-08 16:48:37 360 --a------ D:\WINDOWS\Tasks\McDefragTask.job
2008-02-08 16:48:35 336 --a------ D:\WINDOWS\Tasks\McQcTask.job


-- Files created between 2008-02-25 and 2008-03-25 -----------------------------

2008-03-25 10:59:29 0 d-------- D:\Programme\Hijack This
2008-03-25 10:45:46 106496 --a------ D:\WINDOWS\system32\ahwmtfog.exe
2008-03-25 09:42:03 68096 --a------ D:\WINDOWS\system32\zip.exe
2008-03-25 09:42:03 98816 --a------ D:\WINDOWS\system32\sed.exe
2008-03-25 09:42:03 80412 --a------ D:\WINDOWS\system32\grep.exe
2008-03-25 09:42:03 73728 --a------ D:\WINDOWS\system32\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-03-21 15:42:02 0 d--h----- D:\WINDOWS\system32\GroupPolicy


2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\userconfig9x.dll
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32winlogonpc.exe
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32taack.exe
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32taack.dat
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32ssurf022.dll
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32sncntr.exe
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32psoft1.exe
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32psof1.exe
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32ps1.exe
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32netode.exe
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32mwin32.exe
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32mtr2.exe
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32msnbho.dll
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32msgp.exe
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32medup020.dll
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32medup012.dll
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32hxiwlgpm.exe
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32hxiwlgpm.dat
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32hoproxy.dll
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32bsva-egihsg52.exe
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\iTunesMusic.exe
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\FVProtect.exe
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\a.bat
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\winsystem.exe
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32vcatchpi.dll
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32thun32.dll
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32thun.dll
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32temp#01.exe
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32ssvchost.exe
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32ssvchost.com
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32Rundl1.exe
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32regm64.dll
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32regc64.dll
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32newsd32.exe
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32msvchost.exe
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32h@tkeysh@@k.dll
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32emesx.dll
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32dpcproxy.exe
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32anticipator.dll
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32akttzn.exe
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\mssecu.exe
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\bdn.com
2008-03-19 16:00:08 4096 --a------ D:\WINDOWS\system32WINWGPX.EXE
2008-03-19 16:00:08 4096 --a------ D:\WINDOWS\system32winsystem.exe
2008-03-19 16:00:08 4096 --a------ D:\WINDOWS\system32vbsys2.dll
2008-03-19 16:00:08 4096 --a------ D:\WINDOWS\system32sysreq.exe
2008-03-19 16:00:08 4096 --a------ D:\WINDOWS\system32mssecu.exe
2008-03-19 16:00:08 4096 --a------ D:\WINDOWS\system32bdn.com
2008-03-19 16:00:08 4096 --a------ D:\WINDOWS\system32awtoolb.dll

2008-03-19 15:59:54 38912 --a------ D:\WINDOWS\ujqncrkj.exe
2008-03-19 15:59:53 0 d-------- D:\Programme\Lnwclxzg
2008-03-19 15:59:48 0 d-------- D:\Programme\Rdnemdbc

2008-03-18 13:12:43 155648 -ra------ D:\WINDOWS\system32\NeroCheck.exe <Not Verified; Ahead Software Gmbh; Ahead Software Gmbh NeroCheck>
2008-03-18 13:04:41 38912 -ra------ D:\WINDOWS\system32\picn20.dll <Not Verified; Pegasus Imaging Corp.; PEGASUS>
2008-03-18 13:04:41 544768 -ra------ D:\WINDOWS\system32\imagx5.dll <Not Verified; Pegasus Software, LLC; ImagXpress>
2008-03-18 13:04:41 569344 -ra------ D:\WINDOWS\system32\imagr5.dll <Not Verified; Pegasus Software,LLC; ImagXpress>
2008-03-18 13:04:38 0 d-------- D:\Programme\Gemeinsame Dateien\Ahead
2008-03-18 13:04:34 0 d-------- D:\Programme\Ahead
2008-03-17 18:16:01 0 d-------- D:\Programme\Webarchiv
2008-03-17 16:59:07 520192 -----n--- D:\WINDOWS\system32\ati2sgag.exe <Not Verified; ; ATI Smart>
2008-03-17 16:58:43 307200 -ra------ D:\WINDOWS\system32\atiiiexx.dll <Not Verified; ATI Technologies Inc.; ATI Display Driver Utilities>
2008-03-17 16:58:39 339968 -ra------ D:\WINDOWS\system32\ATIDEMGX.dll <Not Verified; Advanced Micro Devices, Inc.; Catalyst® Control Centre>
2008-03-17 16:58:35 972072 -ra------ D:\WINDOWS\system32\ativva6x.dat
2008-03-17 16:58:34 3107788 -ra------ D:\WINDOWS\system32\ativva5x.dat
2008-03-17 16:58:33 3107788 -ra------ D:\WINDOWS\system32\ativvaxx.dat
2008-03-17 16:58:32 144357 -ra------ D:\WINDOWS\system32\atiicdxx.dat
2008-03-17 16:57:57 0 d-------- D:\Programme\ATI Technologies
2008-02-26 07:38:02 0 d-------- D:\Programme\ProtectDisc Driver Installer


-- Find3M Report ---------------------------------------------------------------

2008-03-25 16:50:53 0 d-------- D:\Programme\McAfee
2008-03-25 09:51:17 0 d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\Malwarebytes
2008-03-24 13:35:25 0 d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\McAfee
2008-03-23 20:00:01 0 d-------- D:\Programme\DesignPro
2008-03-23 20:00:00 0 d-------- D:\Programme\Tortuga_Bay
2008-03-23 20:00:00 0 d-------- D:\Programme\Teamspeak2_RC2
2008-03-23 20:00:00 0 d-------- D:\Programme\FRITZ!DSL
2008-03-23 20:00:00 0 d-------- D:\Programme\AOL 9.0
2008-03-23 20:00:00 0 d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\OfficeUpdate12
2008-03-23 15:46:33 477044 --a------ D:\WINDOWS\system32\perfh007.dat
2008-03-23 15:46:33 92256 --a------ D:\WINDOWS\system32\perfc007.dat
2008-03-23 09:42:56 0 d-------- D:\Programme\Windows Media Connect 2
2008-03-21 15:18:54 0 d-------- D:\Programme\Gemeinsame Dateien
2008-03-21 15:15:37 0 d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\teamspeak2
2008-03-21 08:00:08 0 d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\skypePM
2008-03-19 15:51:09 0 d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\Ahead
2008-03-17 22:29:27 0 d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\FRITZ!
2008-03-17 17:30:04 0 d-------- D:\Programme\Windows Live
2008-03-17 17:28:39 0 d--h----- D:\Programme\InstallShield Installation Information
2008-03-17 17:28:39 0 d-------- D:\Programme\DATA BECKER
2008-03-17 17:27:33 0 d-------- D:\Programme\Gemeinsame Dateien\Adobe
2008-03-17 17:08:22 0 d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\ATI
2008-02-26 08:54:04 0 d-------- D:\Programme\Lexmark X1100 Series
2008-02-24 11:47:40 0 d-------- D:\Programme\Common~1
2008-02-22 07:11:45 0 d-------- D:\Programme\ICQ6
2008-02-18 07:47:26 0 d-------- D:\Programme\Avery
2008-02-18 07:47:22 0 d-------- D:\Programme\Avery Zweckform
2008-02-18 07:38:33 0 d-------- D:\Programme\Gemeinsame Dateien\InstallShield
2008-02-11 14:49:00 0 d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\SiteAdvisor
2008-02-09 18:00:24 0 d-------- D:\Programme\SiteAdvisor
2008-02-08 16:48:51 0 d-------- D:\Programme\Gemeinsame Dateien\McAfee
2008-02-08 16:48:30 0 d-------- D:\Programme\McAfee.com
2008-02-07 18:12:28 0 d-------- D:\Programme\Gemeinsame Dateien\SWF Studio
2008-02-07 18:12:24 0 d-------- D:\Programme\Riva
2008-02-06 08:59:27 0 d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\Adobe
2008-02-03 17:14:15 0 d-------- D:\Programme\MSXML 6.0
2008-02-03 17:12:08 0 d-------- D:\Programme\MSBuild
2008-02-03 17:07:37 0 d-------- D:\Programme\Reference Assemblies
2008-02-03 12:56:31 0 d-------- D:\Programme\Windows Live Toolbar
2008-01-30 19:57:53 0 d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\AdobeUM
2008-01-29 08:28:08 0 d-------- D:\Programme\PC Link Manager
2008-01-28 08:08:36 0 d-------- D:\Programme\7-Zip
2008-01-27 13:46:55 0 d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\Macromedia
2008-01-25 16:20:15 0 d-------- D:\Programme\Ganymede
2008-01-15 18:04:06 81263 --a------ D:\WINDOWS\HPHins08.dat
2008-01-15 13:08:58 0 --a------ D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\sversion.ini
2008-01-15 10:29:21 69632 --a------ D:\WINDOWS\uinst001.exe
2008-01-14 20:57:55 335 --a------ D:\WINDOWS\nsreg.dat
2008-01-14 20:27:55 21740 --a------ D:\WINDOWS\system32\emptyregdb.dat
2008-01-14 19:14:04 62 --ahs---- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\desktop.ini


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{377C180E-6F0E-4D4C-980F-F45BD3D40CF4}]
19.09.2007 06:15 329032 --a------ D:\Programme\McAfee\MSK\mcapbho.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="D:\WINDOWS\ehome\ehtray.exe" [05.08.2005 13:34]
"AOLDialer"="D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [21.06.2007 13:42]
"QuickTime Task"="D:\Programme\QuickTime\qttask.exe" [14.01.2008 20:59]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [17.03.2004 16:10 D:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [27.04.2006 23:47]
"nwiz"="nwiz.exe" [27.04.2006 23:47 D:\WINDOWS\system32\nwiz.exe]
"PinnacleDriverCheck"="D:\WINDOWS\system32\PSDrvCheck.exe" [10.11.2003 17:06]
"HostManager"="D:\Programme\Gemeinsame Dateien\AOL\1200399378\ee\AOLSoftware.exe" [26.09.2006 01:52]
"HPHUPD08"="D:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [01.06.2005 17:35]
"HP Software Update"="D:\Programme\HP\HP Software Update\HPWuSchd2.exe" [11.05.2005 23:12]
"Lexmark X1100 Series"="D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" [19.08.2003 15:51]
"PMCRemote"="D:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe" [27.04.2006 15:45]
"SunJavaUpdateSched"="D:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [25.09.2007 01:11]
"mcagent_exe"="D:\Programme\McAfee.com\Agent\mcagent.exe" [03.08.2007 22:33]
"SiteAdvisor"="D:\Programme\SiteAdvisor\6253\SiteAdv.exe" [24.08.2007 22:57]
"StartCCC"="D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [10.11.2006 12:35]
"NeroFilterCheck"="D:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 11:50]
"McAfee Backup"="D:\Programme\McAfee\MBK\McAfeeDataBackup.exe" [22.01.2007 06:19]
"MBkLogOnHook"="D:\Programme\McAfee\MBK\LogOnHook.exe" [08.01.2007 11:22]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="D:\WINDOWS\system32\ctfmon.exe" [24.03.2006 13:00]

D:\Dokumente und Einstellungen\Englert\Startmen\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - D:\Programme\FRITZ!DSL\StCenter.exe [14.01.2008 20:41:22]

D:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [23.09.2005 22:05:26]
AOL 9.0 Tray-Symbol.lnk - D:\Programme\AOL 9.0\aoltray.exe [14.01.2008 20:58:39]
HP Digital Imaging Monitor.lnk - D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [11.05.2005 23:23:26]
HP Image Zone Schnellstart.lnk - D:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [12.05.2005 00:49:24]
Microsoft Office.lnk - D:\Programme\Microsoft Office\Office\OSA9.EXE [21.01.2000 09:15:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=D:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"=D:\WINDOWS\Resources\Themes\Royale.theme
"DisableRegistryTools"=0 (0x0)
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=1 (0x1)
"HideStartupScripts"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=1 (0x1)
"HideStartupScripts"=0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS]
@=""


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
AutoRun\command- E:\setup.EXE /AUTORUN
configure\command- E:\setup.EXE
install\command- E:\setup.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{09d6c76a-c739-11dc-ab28-00038a000015}]
AutoRun\command- H:\setup.exe




-- End of Deckard's System Scanner: finished at 2008-03-25 17:02:09 ------------
Seitenanfang Seitenende
25.03.2008, 18:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 ««
http://www.virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

D:\WINDOWS\system32\ahwmtfog.exe
D:\WINDOWS\ujqncrkj.exe
D:\Programme\Lnwclxzg
D:\Programme\Rdnemdbc
Klicke auf den Roten MoveIt!

--------------

poste das log von Combofix
http://www.virus-protect.org/artikel/tools/combofix.html

«
wende windowsscan an + poste den report
http://virus-protect.org/artikel/tools/windowsscan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.03.2008, 18:38
...neu hier

Themenstarter

Beiträge: 9
#11 ComboFix 08-03-25.1 - Englert 2008-03-25 18:25:14.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.435 [GMT 1:00]
ausgeführt von:: D:\Dokumente und Einstellungen\Englert\Eigene Dateien\sauber\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
-- Script messages for sUBs --
VFind.exe -ltf -s-1000000 -d+2007-12-25 "D:\Programme\*"

((((((((((((((((((((((( Dateien erstellt von 2008-02-25 bis 2008-03-25 ))))))))))))))))))))))))))))))
.

2008-03-25 18:23 . 2008-03-25 18:23 <DIR> d-------- D:\_OTMoveIt
2008-03-25 17:09 . 2008-03-25 17:09 <DIR> d-------- D:\WINDOWS\LastGood
2008-03-25 16:59 . 2008-03-25 16:59 <DIR> d-------- D:\Deckard
2008-03-25 10:59 . 2008-03-25 17:01 <DIR> d-------- D:\Programme\Hijack This
2008-03-25 09:51 . 2008-03-25 09:51 <DIR> d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\Malwarebytes
2008-03-25 09:51 . 2008-03-25 09:51 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-24 15:18 . 2008-03-24 15:18 <DIR> d-------- D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\McAfee
2008-03-24 13:41 . 2008-03-24 13:43 1,374 --a------ D:\WINDOWS\imsins.BAK
2008-03-24 13:35 . 2008-03-24 13:35 <DIR> d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\McAfee
2008-03-24 13:22 . 2008-03-24 13:22 63 --a------ D:\WINDOWS\mdm.ini
2008-03-21 15:42 . 2008-03-21 15:42 <DIR> d--h----- D:\WINDOWS\system32\GroupPolicy
2008-03-20 17:23 . 2008-03-20 17:23 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-03-18 13:33 . 2008-03-19 15:51 <DIR> d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\Ahead
2008-03-18 13:26 . 2003-12-11 13:34 1,318,912 --------- D:\WINDOWS\UNNMP.exe
2008-03-18 13:26 . 2003-12-16 15:07 50,682 --------- D:\WINDOWS\UNNMP.cfg
2008-03-18 13:24 . 2003-11-27 09:44 1,339,392 --------- D:\WINDOWS\UNMRW.exe
2008-03-18 13:24 . 2003-12-16 15:07 29,671 --------- D:\WINDOWS\UNMRW.cfg
2008-03-18 13:24 . 2003-08-21 16:56 25,520 --------- D:\WINDOWS\system32\drivers\incdrm.sys
2008-03-18 13:13 . 2003-10-06 09:41 113,664 -ra------ D:\WINDOWS\system32\drivers\imagesrv.sys
2008-03-18 13:13 . 2003-10-06 09:41 5,632 -ra------ D:\WINDOWS\system32\drivers\imagedrv.sys
2008-03-18 13:12 . 2001-07-09 11:50 155,648 -ra------ D:\WINDOWS\system32\NeroCheck.exe
2008-03-18 13:05 . 2003-12-11 13:34 1,318,912 --------- D:\WINDOWS\UNNeroVision.exe
2008-03-18 13:05 . 2003-12-16 15:07 109,542 --------- D:\WINDOWS\UNNeroVision.cfg
2008-03-18 13:05 . 2001-03-08 18:30 24,064 -ra------ D:\WINDOWS\system32\msxml3a.dll
2008-03-18 13:04 . 2008-03-18 13:04 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Ahead
2008-03-18 13:04 . 2008-03-18 13:25 <DIR> d-------- D:\Programme\Ahead
2008-03-18 13:04 . 2008-03-18 13:04 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-03-18 13:04 . 2001-07-06 14:41 569,344 -ra------ D:\WINDOWS\system32\imagr5.dll
2008-03-18 13:04 . 2001-07-06 12:44 544,768 -ra------ D:\WINDOWS\system32\imagx5.dll
2008-03-18 13:04 . 2001-07-06 18:24 283,920 -ra------ D:\WINDOWS\system32\ImagXpr5.dll
2008-03-18 13:04 . 2001-06-26 08:15 38,912 -ra------ D:\WINDOWS\system32\picn20.dll
2008-03-17 18:16 . 2008-03-17 18:16 <DIR> d-------- D:\Programme\Webarchiv
2008-03-17 17:08 . 2008-03-17 17:08 <DIR> d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\ATI
2008-03-17 16:59 . 2007-06-06 21:05 520,192 --------- D:\WINDOWS\system32\ati2sgag.exe
2008-03-17 16:57 . 2008-03-17 17:03 <DIR> d-------- D:\Programme\ATI Technologies
2008-02-26 07:38 . 2008-02-26 07:38 <DIR> d-------- D:\Programme\ProtectDisc Driver Installer
2008-02-26 07:37 . 2007-11-06 16:59 661,568 --a------ D:\WINDOWS\DBREG.dll
2008-02-26 07:37 . 2007-04-19 10:19 174,144 --a------ D:\WINDOWS\DBReg.exe
2008-02-26 07:37 . 2004-03-09 00:00 132,880 --a------ D:\WINDOWS\system32\MSINET.OCX
2008-02-26 07:37 . 2007-06-04 11:29 16,098 --a------ D:\WINDOWS\German2.ini
2008-02-26 07:33 . 2007-09-26 09:38 2,059,328 --a------ D:\WINDOWS\system32\DBInternetControl.ocx

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-25 15:50 --------- d-----w D:\Programme\McAfee
2008-03-24 12:35 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2008-03-23 19:00 --------- d-----w D:\Programme\Tortuga_Bay
2008-03-23 19:00 --------- d-----w D:\Programme\Teamspeak2_RC2
2008-03-23 19:00 --------- d-----w D:\Programme\FRITZ!DSL
2008-03-23 19:00 --------- d-----w D:\Programme\DesignPro
2008-03-23 19:00 --------- d-----w D:\Programme\AOL 9.0
2008-03-23 19:00 --------- d-----w D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\OfficeUpdate12
2008-03-23 19:00 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-03-23 19:00 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SiteAdvisor
2008-03-23 08:42 --------- d-----w D:\Programme\Windows Media Connect 2
2008-03-21 14:18 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-03-21 14:15 --------- d-----w D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\teamspeak2
2008-03-21 07:00 --------- d-----w D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\skypePM
2008-03-17 21:29 --------- d-----w D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\FRITZ!
2008-03-17 16:30 --------- d-----w D:\Programme\Windows Live
2008-03-17 16:28 --------- d--h--w D:\Programme\InstallShield Installation Information
2008-03-17 16:28 --------- d-----w D:\Programme\DATA BECKER
2008-03-17 16:27 --------- d-----w D:\Programme\Gemeinsame Dateien\Adobe
2008-02-26 07:54 --------- d-----w D:\Programme\Lexmark X1100 Series
2008-02-24 10:48 108,032 ----a-w D:\WINDOWS\system32\drivers\SSHDRV62.sys
2008-02-24 10:47 --------- d-----w D:\Programme\Common~1
2008-02-22 06:11 --------- d-----w D:\Programme\ICQ6
2008-02-18 06:47 --------- d-----w D:\Programme\Avery Zweckform
2008-02-18 06:47 --------- d-----w D:\Programme\Avery
2008-02-18 06:38 --------- d-----w D:\Programme\Gemeinsame Dateien\InstallShield
2008-02-11 13:49 --------- d-----w D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\SiteAdvisor
2008-02-09 17:00 --------- d-----w D:\Programme\SiteAdvisor
2008-02-08 15:51 --------- d-----w D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\SiteAdvisor
2008-02-08 15:48 --------- d-----w D:\Programme\McAfee.com
2008-02-08 15:48 --------- d-----w D:\Programme\Gemeinsame Dateien\McAfee
2008-02-07 17:12 --------- d-----w D:\Programme\Riva
2008-02-07 17:12 --------- d-----w D:\Programme\Gemeinsame Dateien\SWF Studio
2008-02-03 16:14 --------- d-----w D:\Programme\MSXML 6.0
2008-02-03 16:12 --------- d-----w D:\Programme\MSBuild
2008-02-03 16:07 --------- d-----w D:\Programme\Reference Assemblies
2008-02-03 14:54 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QuickTime
2008-02-03 11:56 --------- d-----w D:\Programme\Windows Live Toolbar
2008-01-30 18:57 --------- d-----w D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\AdobeUM
2008-01-29 18:32 32 ----a-w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-01-29 07:28 --------- d-----w D:\Programme\PC Link Manager
2008-01-28 07:11 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-01-28 07:08 --------- d-----w D:\Programme\7-Zip
2008-01-25 15:20 --------- d-----w D:\Programme\Ganymede
2008-01-15 09:29 69,632 ----a-w D:\WINDOWS\uinst001.exe
2005-05-11 22:36 12,288 ----a-w D:\WINDOWS\Fonts\RandFont.dll
.

((((((((((((((((((((((((((((( snapshot@2008-03-25_ 9.46.05,89 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-03-25 06:50:10 32,768 ----a-w D:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-03-25 13:07:44 32,768 ----a-w D:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-03-25 06:50:10 32,768 ----a-w D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-03-25 13:07:44 32,768 ----a-w D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-03-25 06:50:10 32,768 ----a-w D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-03-25 13:07:44 32,768 ----a-w D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2008-01-15 07:39:44 74,649 ----a-w D:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
+ 2008-03-25 16:09:00 74,649 ----a-w D:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
+ 2008-03-25 15:51:12 16,384 ----atw D:\WINDOWS\Temp\Perflib_Perfdata_d18.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="D:\WINDOWS\system32\ctfmon.exe" [2006-03-24 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="D:\WINDOWS\ehome\ehtray.exe" [2005-08-05 13:34 64512]
"AOLDialer"="D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 13:42 70952]
"QuickTime Task"="D:\Programme\QuickTime\qttask.exe" [2008-01-14 20:59 98304]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 16:10 61952 D:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2006-04-27 23:47 7573504]
"nwiz"="nwiz.exe" [2006-04-27 23:47 1519616 D:\WINDOWS\system32\nwiz.exe]
"PinnacleDriverCheck"="D:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 17:06 406016]
"HostManager"="D:\Programme\Gemeinsame Dateien\AOL\1200399378\ee\AOLSoftware.exe" [2006-09-26 01:52 50736]
"HPHUPD08"="D:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-01 17:35 49152]
"HP Software Update"="D:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
"Lexmark X1100 Series"="D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 15:51 57344]
"PMCRemote"="D:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe" [2006-04-27 15:45 94208]
"SunJavaUpdateSched"="D:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"mcagent_exe"="D:\Programme\McAfee.com\Agent\mcagent.exe" [2007-08-03 22:33 582992]
"SiteAdvisor"="D:\Programme\SiteAdvisor\6253\SiteAdv.exe" [2007-08-24 22:57 36640]
"StartCCC"="D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"NeroFilterCheck"="D:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"McAfee Backup"="D:\Programme\McAfee\MBK\McAfeeDataBackup.exe" [2007-01-22 06:19 4838952]
"MBkLogOnHook"="D:\Programme\McAfee\MBK\LogOnHook.exe" [2007-01-08 11:22 20480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 13:00 15360]

D:\Dokumente und Einstellungen\Englert\Startmen\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - D:\Programme\FRITZ!DSL\StCenter.exe [2008-01-14 20:41:22 679936]

D:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
AOL 9.0 Tray-Symbol.lnk - D:\Programme\AOL 9.0\aoltray.exe [2008-01-14 20:58:39 156784]
HP Digital Imaging Monitor.lnk - D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26 282624]
HP Image Zone Schnellstart.lnk - D:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 00:49:24 73728]
Microsoft Office.lnk - D:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 09:15:54 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= D:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= D:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"D:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"=
"D:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"=
"D:\\Programme\\AOL 9.0\\waol.exe"=
"D:\\Programme\\Messenger\\msmsgs.exe"=
"D:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Programme\\Gemeinsame Dateien\\aol\\1200399378\\ee\\aolsoftware.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe"=
"D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"D:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Programme\\Internet Explorer\\iexplore.exe"=
"D:\\Programme\\Gemeinsame Dateien\\McAfee\\MNA\\McNASvc.exe"=
"D:\\Programme\\McAfee\\MBK\\McAfeeDataBackup.exe"=

R1 NETDSL;AVM PPP over Ethernet;D:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 10:41]
R1 SSHDRV62;SSHDRV62;D:\WINDOWS\system32\drivers\SSHDRV62.sys [2008-02-24 11:48]
R2 acedrv10;acedrv10;D:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 09:13]
R2 acehlp10;acehlp10;D:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 11:46]
R3 cmudax;C-Media High Definition Audio Interface;D:\WINDOWS\system32\drivers\cmudax.sys [2005-05-12 13:39]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;D:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 10:41]
R3 PinnacleStargate;Pinnacle Systems Stargate Device;D:\WINDOWS\system32\DRIVERS\Stargate.sys [2006-03-31 11:05]
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\setup.EXE /AUTORUN
\Shell\configure\command - E:\setup.EXE
\Shell\install\command - E:\setup.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{09d6c76a-c739-11dc-ab28-00038a000015}]
\Shell\AutoRun\command - H:\setup.exe

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-02-08 15:48:37 D:\WINDOWS\Tasks\McDefragTask.job"
- d:\PROGRA~1\mcafee\mqc\QcConsol.exe'
"2008-02-08 15:48:35 D:\WINDOWS\Tasks\McQcTask.job"
- d:\PROGRA~1\mcafee\mqc\QcConsol.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-25 18:28:30
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
McAfee Backup = D:\Programme\McAfee\MBK\McAfeeDataBackup.exe?????????????????????????????????????????????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0



---------------------------------------------------------------------------

Die 30 neuesten Dateien im Ordner Windows:
***** ***** ***** ***** *****
***** Scanning D:\WINDOWS *****
***** ***** ***** ***** *****

25.03.2008 Config.MPF 18 29:6.875
23.03.2008 perfh009.dat 15 46:459.454
23.03.2008 perfh007.dat 15 46:477.044
23.03.2008 perfc009.dat 15 46:78.924
23.03.2008 perfc007.dat 15 46:92.256
23.03.2008 PerfStringBackup.INI 15 46:1.121.412
17.03.2008 wpa.dbl 16 51:2.206
05.03.2008 MRT.exe 17 30:19.148.408
03.03.2008 nvapps.xml 12 06:51.048
18.02.2008 FNTCACHE.DAT 07 43:185.816
03.02.2008 amcompat.tlb 18 33:16.832
03.02.2008 nscompat.tlb 18 33:23.392
17.01.2008 lhacm.acm 10 26:34.064
14.01.2008 rmoc3260.dll 20 58:157.696
14.01.2008 prefscpl.cpl 20 58:25.088
14.01.2008 pndx5032.dll 20 58:5.632
14.01.2008 pndx5016.dll 20 58:6.656
14.01.2008 pncrt.dll 20 58:278.528
14.01.2008 $winnt$.inf 20 36:302
14.01.2008 CONFIG.NT 20 33:2.951
14.01.2008 WindowsLogon.manifest 20 30:488
14.01.2008 logonui.exe.manifest 20 30:488
14.01.2008 ncpa.cpl.manifest 20 30:749
14.01.2008 cdplayer.exe.manifest 20 30:749
14.01.2008 wuaucpl.cpl.manifest 20 30:749
14.01.2008 nwc.cpl.manifest 20 30:749
14.01.2008 sapi.cpl.manifest 20 30:749


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning D:\WINDOWS\system32 *****
***** ***** ***** ***** *****

25.03.2008 Config.MPF 18 29:6.875
23.03.2008 perfh009.dat 15 46:459.454
23.03.2008 perfh007.dat 15 46:477.044
23.03.2008 perfc009.dat 15 46:78.924
23.03.2008 perfc007.dat 15 46:92.256
23.03.2008 PerfStringBackup.INI 15 46:1.121.412
17.03.2008 wpa.dbl 16 51:2.206
05.03.2008 MRT.exe 17 30:19.148.408
03.03.2008 nvapps.xml 12 06:51.048
18.02.2008 FNTCACHE.DAT 07 43:185.816
03.02.2008 amcompat.tlb 18 33:16.832
03.02.2008 nscompat.tlb 18 33:23.392
17.01.2008 lhacm.acm 10 26:34.064
14.01.2008 rmoc3260.dll 20 58:157.696
14.01.2008 prefscpl.cpl 20 58:25.088
14.01.2008 pndx5032.dll 20 58:5.632
14.01.2008 pndx5016.dll 20 58:6.656
14.01.2008 pncrt.dll 20 58:278.528
14.01.2008 $winnt$.inf 20 36:302
14.01.2008 CONFIG.NT 20 33:2.951
14.01.2008 WindowsLogon.manifest 20 30:488
14.01.2008 logonui.exe.manifest 20 30:488
14.01.2008 ncpa.cpl.manifest 20 30:749
14.01.2008 cdplayer.exe.manifest 20 30:749
14.01.2008 wuaucpl.cpl.manifest 20 30:749
14.01.2008 nwc.cpl.manifest 20 30:749
14.01.2008 sapi.cpl.manifest 20 30:749
14.01.2008 emptyregdb.dat 20 27:21.740
14.01.2008 h323log.txt 19 51:0
11.01.2008 pngfilt.dll 06 32:44.544
19.12.2007 dxtmsft.dll 23 48:347.136
08.12.2007 mshtml.dll 10 34:3.592.192
07.12.2007 webcheck.dll 03 04:233.472
07.12.2007 wininet.dll 03 04:824.832
07.12.2007 urlmon.dll 03 04:1.159.680
07.12.2007 occache.dll 03 04:102.912
07.12.2007 mstime.dll 03 04:671.232
07.12.2007 url.dll 03 04:105.984
07.12.2007 msrating.dll 03 04:193.024
07.12.2007 mshtmled.dll 03 04:478.208
07.12.2007 msfeedsbs.dll 03 04:52.224
07.12.2007 msfeeds.dll 03 04:459.264
07.12.2007 inetcpl.cpl 03 04:1.831.424
07.12.2007 jsproxy.dll 03 04:27.648
07.12.2007 iernonce.dll 03 04:44.544
07.12.2007 ieframe.dll 03 04:6.066.176
07.12.2007 iertutil.dll 03 04:267.776


***** ***** ***** ***** *****
***** Scanning D:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost



***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****


Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process 0 Console 0 28 K
System 4 Console 0 252 K
smss.exe 720 Console 0 388 K
csrss.exe 772 Console 0 1.500 K
winlogon.exe 800 Console 0 2.920 K
services.exe 848 Console 0 3.752 K
lsass.exe 860 Console 0 1.436 K
ati2evxx.exe 1036 Console 0 3.268 K
svchost.exe 1052 Console 0 5.596 K
svchost.exe 1104 Console 0 5.036 K
svchost.exe 1288 Console 0 30.780 K
svchost.exe 1380 Console 0 3.832 K
svchost.exe 1520 Console 0 3.720 K
ati2evxx.exe 1660 Console 0 3.616 K
LEXBCES.EXE 1772 Console 0 3.556 K
spoolsv.exe 1808 Console 0 6.076 K
LEXPPS.EXE 1820 Console 0 3.432 K
ehtray.exe 508 Console 0 988 K
qttask.exe 524 Console 0 376 K
rundll32.exe 544 Console 0 596 K
aolsoftware.exe 632 Console 0 5.732 K
hpwuSchd2.exe 648 Console 0 364 K
lxbkbmgr.exe 656 Console 0 428 K
remoterm.exe 664 Console 0 588 K
jusched.exe 580 Console 0 136 K
mcagent.exe 708 Console 0 316 K
lxbkbmon.exe 740 Console 0 452 K
SiteAdv.exe 760 Console 0 4.240 K
McAfeeDataBackup.exe 1180 Console 0 6.332 K
ctfmon.exe 1228 Console 0 836 K
MOM.exe 1308 Console 0 1.312 K
aoltray.exe 1356 Console 0 1.184 K
hpqtra08.exe 1404 Console 0 3.556 K
StCenter.exe 1588 Console 0 2.168 K
hpqimzone.exe 1952 Console 0 2.700 K
CCC.exe 1948 Console 0 4.040 K
hpqste08.exe 1440 Console 0 2.368 K
AOLacsd.exe 1500 Console 0 4.224 K
IGDCTRL.EXE 2208 Console 0 6.248 K
ehrecvr.exe 2236 Console 0 10.468 K
ehSched.exe 2356 Console 0 4.540 K
MBackMonitor.exe 2560 Console 0 9.620 K
mcmscsvc.exe 2836 Console 0 2.608 K
McNASvc.exe 2864 Console 0 6.604 K
McProxy.exe 3004 Console 0 2.136 K
Mcshield.exe 3064 Console 0 35.748 K
MpfSrv.exe 3204 Console 0 5.276 K
msksrver.exe 3304 Console 0 4.680 K
sqlservr.exe 3352 Console 0 14.632 K
HPZipm12.exe 3452 Console 0 440 K
SAService.exe 3592 Console 0 5.012 K
svchost.exe 3624 Console 0 7.328 K
svchost.exe 3764 Console 0 4.564 K
mcrdsvc.exe 3928 Console 0 3.112 K
PMSHost.exe 4016 Console 0 22.004 K
ehmsas.exe 1276 Console 0 676 K
dllhost.exe 1340 Console 0 6.284 K
alg.exe 4176 Console 0 3.628 K
svchost.exe 4976 Console 0 3.528 K
hprblog.exe 4472 Console 0 716 K
mcsysmon.exe 5120 Console 0 13.992 K
AcroRd32.exe 2088 Console 0 6.932 K
explorer.exe 488 Console 0 12.028 K
waol.exe 5460 Console 0 27.664 K
shellmon.exe 2104 Console 0 2.536 K
aoltpspd.exe 3036 Console 0 3.684 K
explorer.exe 2820 Console 0 668 K
cmd.exe 5872 Console 0 1.156 K
tasklist.exe 588 Console 0 4.548 K
wmiprvse.exe 5756 Console 0 5.756 K



Microsoft Windows XP [Version 5.1.2600]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 25.03.2008 um 18:36:10,04 ***

und was passiert jetzt?
Claire
Seitenanfang Seitenende
26.03.2008, 00:31
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 Hallo

Gehe in die Registry
Start - Ausführen - regedit

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001 - in 0 ändern

««««««««««««««
http://www.virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move

Zitat

D:\WINDOWS\userconfig9x.dll
D:\WINDOWS\system32winlogonpc.exe
D:\WINDOWS\system32taack.exe
D:\WINDOWS\system32taack.dat
D:\WINDOWS\system32ssurf022.dll
D:\WINDOWS\system32sncntr.exe
D:\WINDOWS\system32psoft1.exe
D:\WINDOWS\system32psof1.exe
D:\WINDOWS\system32ps1.exe
D:\WINDOWS\system32netode.exe
D:\WINDOWS\system32mwin32.exe
D:\WINDOWS\system32mtr2.exe
D:\WINDOWS\system32msnbho.dll
D:\WINDOWS\system32msgp.exe
D:\WINDOWS\system32medup020.dll
D:\WINDOWS\system32medup012.dll
D:\WINDOWS\system32hxiwlgpm.exe
D:\WINDOWS\system32hxiwlgpm.dat
D:\WINDOWS\system32hoproxy.dll
D:\WINDOWS\system32bsva-egihsg52.exe
D:\WINDOWS\iTunesMusic.exe
D:\WINDOWS\FVProtect.exe
D:\WINDOWS\a.bat
D:\WINDOWS\winsystem.exe
D:\WINDOWS\system32vcatchpi.dll
D:\WINDOWS\system32thun32.dll
D:\WINDOWS\system32thun.dll
D:\WINDOWS\system32temp#01.exe
D:\WINDOWS\system32ssvchost.exe
D:\WINDOWS\system32ssvchost.com
D:\WINDOWS\system32Rundl1.exe
D:\WINDOWS\system32regm64.dll
D:\WINDOWS\system32regc64.dll
D:\WINDOWS\system32newsd32.exe
D:\WINDOWS\system32msvchost.exe
D:\WINDOWS\system32emesx.dll
D:\WINDOWS\system32dpcproxy.exe
D:\WINDOWS\system32anticipator.dll
D:\WINDOWS\system32akttzn.exe
D:\WINDOWS\mssecu.exe
D:\WINDOWS\bdn.com
D:\WINDOWS\system32WINWGPX.EXE
D:\WINDOWS\system32winsystem.exe
D:\WINDOWS\system32vbsys2.dll
D:\WINDOWS\system32sysreq.exe
D:\WINDOWS\system32mssecu.exe
D:\WINDOWS\system32bdn.com
D:\WINDOWS\system32awtoolb.dll
Klicke auf den Roten MoveIt!

poste hier das löschlog, was erscheint
+
poste noch mal die 2 logs von Comboscan


-------------------------

Zitat

White Papers W32.Whitebait@mm is a mass-mailing email worm. Name of attachment: MSsecu.exe. If it is executed, it searches for email addresses on the computer and sends an email message to all of the addresses that it finds.

http://www.shortnews.de/start.cfm?id=350050
Neuer Wurm infiziert per Email und ICQ: Microsoft als Absender benutzt
Erneut warnt Symantec vor einem neuen Wurm der sein Unwesen im Internet zur Zeit treibt. Er trägt den Titel 'W.32Whitebait@mm'. Er gelangt per Email und ICQ auf den Rechner seiner Opfer. Dort verschickt er sich nicht über das Outlook-Adressbuch.
Er durchsucht auf dem PC nach Email- Adressen in allen .htm, .html, .php, .asp und .txt Dateien. In IRC-Channels ist der Wurm ein Host der in seinem Inhalt Pornobilder trägt. Beim Betrachten der Bilder wird der Rechner infiziert.
Er legt im Windows-Verzeichniss die Datei 'MSsecu.exe' und die Datei 'WinSystem.exe' an. Von da aus arbeitet der Wurm dann. Er aktiviert sich bei jedem Neustart des PCs erneut. Als Adressat wird security@microsoft.com fälschlicherweise angegeben.




__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.03.2008, 08:34
...neu hier

Themenstarter

Beiträge: 9
#13 D:\WINDOWS\system32anticipator.dll

das wird mir als nicht gültige Datei angezeigt, der Vorgang wurde abgebrochen, habs mehrfach versucht. ohne Erfolg.

kann folgedessen kein löschlog von Movelt posten.

combofixscan ist in arbeit

MfG claire

ComboFix 08-03-25.1 - Englert 2008-03-27 8:27:43.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.463 [GMT 1:00]
ausgeführt von:: D:\Dokumente und Einstellungen\Englert\Eigene Dateien\sauber\ComboFix.exe
* Resident AV is active


[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.
-- Script messages for sUBs --
VFind.exe -ltf -s-1300000 -d+2007-12-27 D:\WINDOWS\*
VFind.exe -ltf -s-1000000 -d+2007-12-27 "D:\Programme\*"

((((((((((((((((((((((( Dateien erstellt von 2008-02-27 bis 2008-03-27 ))))))))))))))))))))))))))))))
.

2008-03-27 08:19 . 2008-03-27 08:19 <DIR> d-------- D:\WINDOWS\LastGood
2008-03-25 18:23 . 2008-03-25 18:23 <DIR> d-------- D:\_OTMoveIt
2008-03-25 16:59 . 2008-03-25 16:59 <DIR> d-------- D:\Deckard
2008-03-25 10:59 . 2008-03-25 17:01 <DIR> d-------- D:\Programme\Hijack This
2008-03-25 09:51 . 2008-03-25 09:51 <DIR> d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\Malwarebytes
2008-03-25 09:51 . 2008-03-25 09:51 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-03-24 15:18 . 2008-03-24 15:18 <DIR> d-------- D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\McAfee
2008-03-24 13:41 . 2008-03-24 13:43 1,374 --a------ D:\WINDOWS\imsins.BAK
2008-03-24 13:35 . 2008-03-24 13:35 <DIR> d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\McAfee
2008-03-24 13:22 . 2008-03-24 13:22 63 --a------ D:\WINDOWS\mdm.ini
2008-03-21 15:42 . 2008-03-21 15:42 <DIR> d--h----- D:\WINDOWS\system32\GroupPolicy
2008-03-20 17:23 . 2008-03-20 17:23 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ATI
2008-03-19 16:00 . 2008-03-19 16:00 4,096 --a------ D:\WINDOWS\system32VBIEWER.OCX
2008-03-19 16:00 . 2008-03-19 16:00 4,096 --a------ D:\WINDOWS\system32h@tkeysh@@k.dll
2008-03-19 16:00 . 2008-03-19 16:00 4,096 --a------ D:\WINDOWS\system32awtoolb.dll
2008-03-18 13:33 . 2008-03-19 15:51 <DIR> d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\Ahead
2008-03-18 13:26 . 2003-12-11 13:34 1,318,912 --------- D:\WINDOWS\UNNMP.exe
2008-03-18 13:26 . 2003-12-16 15:07 50,682 --------- D:\WINDOWS\UNNMP.cfg
2008-03-18 13:24 . 2003-11-27 09:44 1,339,392 --------- D:\WINDOWS\UNMRW.exe
2008-03-18 13:24 . 2003-12-16 15:07 29,671 --------- D:\WINDOWS\UNMRW.cfg
2008-03-18 13:24 . 2003-08-21 16:56 25,520 --------- D:\WINDOWS\system32\drivers\incdrm.sys
2008-03-18 13:13 . 2003-10-06 09:41 113,664 -ra------ D:\WINDOWS\system32\drivers\imagesrv.sys
2008-03-18 13:13 . 2003-10-06 09:41 5,632 -ra------ D:\WINDOWS\system32\drivers\imagedrv.sys
2008-03-18 13:12 . 2001-07-09 11:50 155,648 -ra------ D:\WINDOWS\system32\NeroCheck.exe
2008-03-18 13:05 . 2003-12-11 13:34 1,318,912 --------- D:\WINDOWS\UNNeroVision.exe
2008-03-18 13:05 . 2003-12-16 15:07 109,542 --------- D:\WINDOWS\UNNeroVision.cfg
2008-03-18 13:05 . 2001-03-08 18:30 24,064 -ra------ D:\WINDOWS\system32\msxml3a.dll
2008-03-18 13:04 . 2008-03-18 13:04 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Ahead
2008-03-18 13:04 . 2008-03-18 13:25 <DIR> d-------- D:\Programme\Ahead
2008-03-18 13:04 . 2008-03-18 13:04 <DIR> d-------- D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ahead
2008-03-18 13:04 . 2001-07-06 14:41 569,344 -ra------ D:\WINDOWS\system32\imagr5.dll
2008-03-18 13:04 . 2001-07-06 12:44 544,768 -ra------ D:\WINDOWS\system32\imagx5.dll
2008-03-18 13:04 . 2001-07-06 18:24 283,920 -ra------ D:\WINDOWS\system32\ImagXpr5.dll
2008-03-18 13:04 . 2001-06-26 08:15 38,912 -ra------ D:\WINDOWS\system32\picn20.dll
2008-03-17 18:16 . 2008-03-17 18:16 <DIR> d-------- D:\Programme\Webarchiv
2008-03-17 17:08 . 2008-03-17 17:08 <DIR> d-------- D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\ATI
2008-03-17 16:59 . 2007-06-06 21:05 520,192 --------- D:\WINDOWS\system32\ati2sgag.exe
2008-03-17 16:57 . 2008-03-17 17:03 <DIR> d-------- D:\Programme\ATI Technologies

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-27 07:19 --------- d-----w D:\Programme\McAfee
2008-03-24 12:35 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2008-03-23 19:00 --------- d-----w D:\Programme\Tortuga_Bay
2008-03-23 19:00 --------- d-----w D:\Programme\Teamspeak2_RC2
2008-03-23 19:00 --------- d-----w D:\Programme\FRITZ!DSL
2008-03-23 19:00 --------- d-----w D:\Programme\DesignPro
2008-03-23 19:00 --------- d-----w D:\Programme\AOL 9.0
2008-03-23 19:00 --------- d-----w D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\OfficeUpdate12
2008-03-23 19:00 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WLInstaller
2008-03-23 19:00 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SiteAdvisor
2008-03-23 08:42 --------- d-----w D:\Programme\Windows Media Connect 2
2008-03-21 14:18 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-03-21 14:15 --------- d-----w D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\teamspeak2
2008-03-21 07:00 --------- d-----w D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\skypePM
2008-03-17 21:29 --------- d-----w D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\FRITZ!
2008-03-17 16:30 --------- d-----w D:\Programme\Windows Live
2008-03-17 16:28 --------- d--h--w D:\Programme\InstallShield Installation Information
2008-03-17 16:28 --------- d-----w D:\Programme\DATA BECKER
2008-03-17 16:27 --------- d-----w D:\Programme\Gemeinsame Dateien\Adobe
2008-02-26 07:54 --------- d-----w D:\Programme\Lexmark X1100 Series
2008-02-26 06:38 --------- d-----w D:\Programme\ProtectDisc Driver Installer
2008-02-24 10:48 108,032 ----a-w D:\WINDOWS\system32\drivers\SSHDRV62.sys
2008-02-24 10:47 --------- d-----w D:\Programme\Common~1
2008-02-22 06:11 --------- d-----w D:\Programme\ICQ6
2008-02-18 06:47 --------- d-----w D:\Programme\Avery Zweckform
2008-02-18 06:47 --------- d-----w D:\Programme\Avery
2008-02-18 06:38 --------- d-----w D:\Programme\Gemeinsame Dateien\InstallShield
2008-02-11 13:49 --------- d-----w D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\SiteAdvisor
2008-02-09 17:00 --------- d-----w D:\Programme\SiteAdvisor
2008-02-08 15:51 --------- d-----w D:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\SiteAdvisor
2008-02-08 15:48 --------- d-----w D:\Programme\McAfee.com
2008-02-08 15:48 --------- d-----w D:\Programme\Gemeinsame Dateien\McAfee
2008-02-07 17:12 --------- d-----w D:\Programme\Riva
2008-02-07 17:12 --------- d-----w D:\Programme\Gemeinsame Dateien\SWF Studio
2008-02-03 16:14 --------- d-----w D:\Programme\MSXML 6.0
2008-02-03 16:12 --------- d-----w D:\Programme\MSBuild
2008-02-03 16:07 --------- d-----w D:\Programme\Reference Assemblies
2008-02-03 14:54 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\QuickTime
2008-02-03 11:56 --------- d-----w D:\Programme\Windows Live Toolbar
2008-01-30 18:57 --------- d-----w D:\Dokumente und Einstellungen\Englert\Anwendungsdaten\AdobeUM
2008-01-29 18:32 32 ----a-w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-01-29 07:28 --------- d-----w D:\Programme\PC Link Manager
2008-01-28 07:11 --------- d-----w D:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-01-28 07:08 --------- d-----w D:\Programme\7-Zip
2008-01-15 09:29 69,632 ----a-w D:\WINDOWS\uinst001.exe
2005-05-11 22:36 12,288 ----a-w D:\WINDOWS\Fonts\RandFont.dll
.

((((((((((((((((((((((((((((( snapshot@2008-03-25_ 9.46.05,89 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-03-25 06:50:10 32,768 ----a-w D:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-03-27 07:16:54 32,768 ----a-w D:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-03-25 06:50:10 32,768 ----a-w D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-03-27 07:16:54 32,768 ----a-w D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-03-25 06:50:10 32,768 ----a-w D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-03-27 07:16:54 32,768 ----a-w D:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2008-01-15 07:39:44 74,649 ----a-w D:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
+ 2008-03-25 16:09:00 74,649 ----a-w D:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="D:\WINDOWS\system32\ctfmon.exe" [2006-03-24 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="D:\WINDOWS\ehome\ehtray.exe" [2005-08-05 13:34 64512]
"AOLDialer"="D:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 13:42 70952]
"QuickTime Task"="D:\Programme\QuickTime\qttask.exe" [2008-01-14 20:59 98304]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAudPropShortcut.exe" [2004-03-17 16:10 61952 D:\WINDOWS\system32\Hdaudpropshortcut.exe]
"Cmaudio"="cmicnfg.cpl" []
"NvCplDaemon"="D:\WINDOWS\system32\NvCpl.dll" [2006-04-27 23:47 7573504]
"nwiz"="nwiz.exe" [2006-04-27 23:47 1519616 D:\WINDOWS\system32\nwiz.exe]
"PinnacleDriverCheck"="D:\WINDOWS\system32\PSDrvCheck.exe" [2003-11-10 17:06 406016]
"HostManager"="D:\Programme\Gemeinsame Dateien\AOL\1200399378\ee\AOLSoftware.exe" [2006-09-26 01:52 50736]
"HPHUPD08"="D:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-01 17:35 49152]
"HP Software Update"="D:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12 49152]
"Lexmark X1100 Series"="D:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 15:51 57344]
"PMCRemote"="D:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe" [2006-04-27 15:45 94208]
"SunJavaUpdateSched"="D:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"mcagent_exe"="D:\Programme\McAfee.com\Agent\mcagent.exe" [2007-08-03 22:33 582992]
"SiteAdvisor"="D:\Programme\SiteAdvisor\6253\SiteAdv.exe" [2007-08-24 22:57 36640]
"StartCCC"="D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 12:35 90112]
"NeroFilterCheck"="D:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"McAfee Backup"="D:\Programme\McAfee\MBK\McAfeeDataBackup.exe" [2007-01-22 06:19 4838952]
"MBkLogOnHook"="D:\Programme\McAfee\MBK\LogOnHook.exe" [2007-01-08 11:22 20480]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 13:00 15360]

D:\Dokumente und Einstellungen\Englert\Startmen\Programme\Autostart\
FRITZ!DSL Startcenter.lnk - D:\Programme\FRITZ!DSL\StCenter.exe [2008-01-14 20:41:22 679936]

D:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
AOL 9.0 Tray-Symbol.lnk - D:\Programme\AOL 9.0\aoltray.exe [2008-01-14 20:58:39 156784]
HP Digital Imaging Monitor.lnk - D:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26 282624]
HP Image Zone Schnellstart.lnk - D:\Programme\HP\Digital Imaging\bin\hpqthb08.exe [2005-05-12 00:49:24 73728]
Microsoft Office.lnk - D:\Programme\Microsoft Office\Office\OSA9.EXE [2000-01-21 09:15:54 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= D:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= D:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"D:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLDial.exe"=
"D:\\Programme\\Gemeinsame Dateien\\aol\\ACS\\AOLacsd.exe"=
"D:\\Programme\\AOL 9.0\\waol.exe"=
"D:\\Programme\\Messenger\\msmsgs.exe"=
"D:\\Programme\\ICQ6\\ICQ.exe"=
"D:\\Programme\\Gemeinsame Dateien\\aol\\1200399378\\ee\\aolsoftware.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Programme\\Gemeinsame Dateien\\aol\\Loader\\aolload.exe"=
"D:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"D:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"D:\\Programme\\Internet Explorer\\iexplore.exe"=
"D:\\Programme\\Gemeinsame Dateien\\McAfee\\MNA\\McNASvc.exe"=
"D:\\Programme\\McAfee\\MBK\\McAfeeDataBackup.exe"=

R1 NETDSL;AVM PPP over Ethernet;D:\WINDOWS\system32\DRIVERS\netdsl.sys [2005-11-21 10:41]
R1 SSHDRV62;SSHDRV62;D:\WINDOWS\system32\drivers\SSHDRV62.sys [2008-02-24 11:48]
R2 acedrv10;acedrv10;D:\WINDOWS\system32\drivers\acedrv10.sys [2007-07-27 09:13]
R2 acehlp10;acehlp10;D:\WINDOWS\system32\drivers\acehlp10.sys [2007-07-27 11:46]
R3 cmudax;C-Media High Definition Audio Interface;D:\WINDOWS\system32\drivers\cmudax.sys [2005-05-12 13:39]
R3 NETFWDSL;AVM FRITZ!web DSL PPP;D:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS [2005-11-21 10:41]
R3 PinnacleStargate;Pinnacle Systems Stargate Device;D:\WINDOWS\system32\DRIVERS\Stargate.sys [2006-03-31 11:05]
S2 0020411206602391mcinstcleanup;McAfee Application Installer Cleanup (0020411206602391);D:\WINDOWS\TEMP\002041~1.EXE D:\PROGRA~1\GEMEIN~1\McAfee\INSTAL~1\cleanup.ini []
S3 SetupNTGLM7X;SetupNTGLM7X;E:\NTGLM7X.sys []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\setup.EXE /AUTORUN
\Shell\configure\command - E:\setup.EXE
\Shell\install\command - E:\setup.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{09d6c76a-c739-11dc-ab28-00038a000015}]
\Shell\AutoRun\command - H:\setup.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-02-08 15:48:37 D:\WINDOWS\Tasks\McDefragTask.job"
- d:\PROGRA~1\mcafee\mqc\QcConsol.exe'
"2008-02-08 15:48:35 D:\WINDOWS\Tasks\McQcTask.job"
- d:\PROGRA~1\mcafee\mqc\QcConsol.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-27 08:31:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
McAfee Backup = D:\Programme\McAfee\MBK\McAfeeDataBackup.exe?????????????????????????????????????????????????????????????????????????????????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: D:\WINDOWS\explorer.exe
-> D:\Programme\SiteAdvisor\6253\saHook.dll
.
Zeit der Fertigstellung: 2008-03-27 8:32:04
ComboFix-quarantined-files.txt 2008-03-27 07:32:00
ComboFix2.txt 2008-03-25 17:29:22
ComboFix3.txt 2008-03-25 08:46:20
.
2008-03-25 07:43:15 --- E O F ---
Seitenanfang Seitenende
27.03.2008, 10:00
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 ««««««««««««««
http://www.virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

D:\WINDOWS\userconfig9x.dll
D:\WINDOWS\iTunesMusic.exe
D:\WINDOWS\FVProtect.exe
D:\WINDOWS\a.bat
D:\WINDOWS\winsystem.exe
D:\WINDOWS\mssecu.exe
D:\WINDOWS\bdn.com
poste den report
---------

im Grunde wirst du den computer neu aufsetzen müssen, ich weiss nicht, ob wir es schaffen die ganzen Dateien vom 2008-03-19 16:00:10
zu löschen.
Problem ist, das der Schrägstrich fehlt... nach System32, deshalb arbeiten die Entfernungsprogramme nicht.

2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32medup020.dll

-----

Versteckte- und Systemdateien sichtbar machen
http://www.virus-protect.org/invisible.html

versuche folgendes:
erst mal alle dll löschen - findest du diese dll mit hilfe von eset ?
Kannst du sie löschen »
http://www.virus-protect.org/artikel/tools/undll.html

2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\userconfig9x.dll
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32ssurf022.dll
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32netode.exe
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32mwin32.exe
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32mtr2.exe
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32msnbho.dll
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32medup020.dll
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32medup012.dll
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32hoproxy.dll
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32vcatchpi.dll
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32thun32.dll
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32thun.dll
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32regm64.dll
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32regc64.dll
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32emesx.dll
2008-03-19 16:00:09 4096 --a------ D:\WINDOWS\system32anticipator.dll
2008-03-19 16:00:08 4096 --a------ D:\WINDOWS\system32vbsys2.dll
2008-03-19 16:00:08 4096 --a------ D:\WINDOWS\system32awtoolb.dll

falls ja, kommt ein anderes Programm, mit dem du auch die exe löschen kannst.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.03.2008, 13:01
...neu hier

Themenstarter

Beiträge: 9
#15 habe nur 16 dateien löschen können...
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\userconfig9x.dll
und
2008-03-19 16:00:10 4096 --a------ D:\WINDOWS\system32mtr2.exe
waren nicht auffindbar
mfg Claire
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: