Antivir findet TR/Agent.1328655

#1 Hallo zusammen,

ich bin neu hier, daher hoffe ich richtig zu posten. Vor ein paar Tagen hat der Antivir Guard einen sehr hartnäckigen Trojaner bei mir entdeckt, der immer wieder auftauchte und den ich immer wieder gelöscht habe und schließlich mit killbox abgeschossen habe.

Code

In der Datei 'C:\WINDOWS\system32\msconfig.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Agent.1328655' [TR/Agent.1328655] gefunden.
Ausgeführte Aktion: Datei löschen

Die Datei 'C:\System Volume Information\_restore{75AAE52F-9F73-44D9-BD6B-C1E8B271F298}\RP502\A0073122.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.1328655' [trojan].
Durchgeführte Aktion(en):
Die Datei wurde gelöscht.

Danach habe ich mehrmals CCleaner laufen lassen, anti-malware sowie antivir von boot-cd (der ganze Aufwand, da meine Internetverbindung nicht mehr geht und ich die Befürchtung habe, dass es immer noch damit zusammenhängen könnte). Deswegen hoffe ich, ihr könnt mir sagen, ob sich noch etwas Malware-Technisches auf meinem System befindet.

Combofix-Logfile:

Code

ComboFix 08-04-01.2 - *** 2008-04-02  9:48:04.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1033.18.1557 [GMT 2:00]
Running from: C:\Documents and Settings\***\Desktop\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\***\Application Data\inst.exe
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\dbff_d.dll
C:\WINDOWS\system32\taskmgr.com

.
(((((((((((((((((((((((((   Files Created from 2008-03-02 to 2008-04-02  )))))))))))))))))))))))))))))))
.

2008-04-02 00:49 . 2008-04-02 00:49    <DIR>    d--------    C:\Program Files\Malwarebytes' Anti-Malware
2008-04-02 00:49 . 2008-04-02 00:49    <DIR>    d--------    C:\Documents and Settings\***\Application Data\Malwarebytes
2008-04-02 00:49 . 2008-04-02 00:49    <DIR>    d--------    C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-03-31 07:44 . 2008-03-31 07:44    <DIR>    d--------    C:\escan
2008-03-31 05:21 . 2008-04-01 18:23    0    --a------    C:\23990098.$$$
2008-03-31 00:38 . 2008-03-31 00:38    <DIR>    d-a------    C:\WINDOWS\zts2.exe
2008-03-31 00:38 . 2008-03-31 00:38    <DIR>    d-a------    C:\WINDOWS\system32\vcmgcd32.dll
2008-03-31 00:38 . 2008-03-31 00:38    <DIR>    d-a------    C:\WINDOWS\system32\iifgfgf.dll
2008-03-31 00:38 . 2008-03-31 00:38    <DIR>    d-a------    C:\WINDOWS\rundll16.exe
2008-03-31 00:38 . 2008-03-31 00:38    <DIR>    d-a------    C:\WINDOWS\rundl132.dll
2008-03-31 00:38 . 2008-03-31 00:38    <DIR>    d-a------    C:\WINDOWS\logo1_.exe
2008-03-31 00:35 . 2008-03-31 00:35    <DIR>    d--------    C:\Documents and Settings\Administrator\Application Data\Talkback
2008-03-31 00:27 . 2008-03-31 00:27    <DIR>    d--------    C:\WINDOWS\system32\xircom
2008-03-31 00:27 . 2008-03-31 00:27    <DIR>    d--------    C:\Program Files\microsoft frontpage
2008-03-31 00:26 . 2008-04-01 13:40    50    --a------    C:\WINDOWS\Lic.xxx
2008-03-31 00:25 . 2004-08-04 06:56    146,432    --a------    C:\WINDOWS\R.COM
2008-03-31 00:25 . 2004-08-04 06:56    135,680    --a------    C:\WINDOWS\system32\T.COM
2008-03-29 14:44 . 2008-03-30 14:05    <DIR>    d--------    C:\Documents and Settings\***\Application Data\Canon
2008-03-29 01:05 . 2003-09-17 18:36    339,968    --a------    C:\WINDOWS\system32\N124UFW.dll
2008-03-29 01:05 . 2002-09-12 02:07    36,864    --a------    C:\WINDOWS\system32\CNQU70.DLL
2008-03-26 20:36 . 2008-03-26 21:09    69    --a------    C:\WINDOWS\NeroDigital.ini
2008-03-25 11:31 . 2008-03-25 11:31    <DIR>    d--------    C:\Documents and Settings\***\Application Data\WEB.DE
2008-03-25 11:29 . 2008-03-25 11:29    <DIR>    d--------    C:\Documents and Settings\All Users\Application Data\WEB.DE
2008-03-25 11:29 . 2007-03-15 18:37    148,992    --a------    C:\WINDOWS\system32\drivers\uiwbrdr.SYS
2008-03-25 11:29 . 2007-03-15 18:37    8,192    --a------    C:\WINDOWS\system32\uiwbnp.dll
2008-03-24 23:40 . 2008-03-25 11:02    <DIR>    d--------    C:\Program Files\Z-DataBurn
2008-03-24 20:56 . 2008-03-25 11:01    <DIR>    d--------    C:\Program Files\Z-DBackup
2008-03-24 14:38 . 2008-03-24 14:38    <DIR>    d--------    C:\Program Files\NeroInstall.bak
2008-03-24 14:35 . 2008-03-24 14:35    <DIR>    d--------    C:\Program Files\Nero
2008-03-24 13:12 . 2008-04-01 08:20    <DIR>    d--------    C:\Program Files\RegSupreme Pro
2008-03-20 21:38 . 2008-03-20 21:38    <DIR>    d--------    C:\Program Files\KeyScrambler
2008-03-20 21:38 . 2007-12-29 16:35    112,992    --a------    C:\WINDOWS\system32\drivers\keyscrambler.sys
2008-03-20 14:48 . 2008-03-20 14:48    <DIR>    d--------    C:\Documents and Settings\All Users\Application Data\LogiShrd
2008-03-20 14:45 . 2008-03-20 14:46    <DIR>    d--------    C:\Program Files\Common Files\Logishrd
2008-03-20 14:45 . 2007-11-15 11:06    301,656    --a------    C:\WINDOWS\system32\BtCoreIf.dll
2008-03-20 14:40 . 2008-03-20 14:40    <DIR>    d--------    C:\Documents and Settings\***\Application Data\Logitech
2008-03-20 14:36 . 2008-03-20 19:20    <DIR>    d--------    C:\Program Files\Logitech
2008-03-20 14:36 . 2008-03-20 14:36    <DIR>    d--------    C:\Documents and Settings\All Users\Application Data\Logitech
2008-03-20 14:36 . 2007-11-15 11:07    170,512    --a------    C:\WINDOWS\system32\kemutb.dll
2008-03-20 14:36 . 2007-11-15 11:07    141,840    --a------    C:\WINDOWS\system32\KemUtil.dll
2008-03-20 14:36 . 2007-11-15 11:07    117,264    --a------    C:\WINDOWS\system32\KemWnd.dll
2008-03-20 14:36 . 2007-09-21 04:10    78,992    --a------    C:\WINDOWS\system32\drivers\LMouKE.Sys
2008-03-20 14:36 . 2007-11-15 11:07    76,304    --a------    C:\WINDOWS\system32\KemXML.dll
2008-03-20 14:36 . 2007-09-21 04:10    63,120    --a------    C:\WINDOWS\system32\drivers\L8042mou.Sys
2008-03-20 14:36 . 2007-09-21 04:10    55,824    --a------    C:\WINDOWS\KHALMNPR.Exe
2008-03-20 14:36 . 2007-09-21 04:10    20,240    --a------    C:\WINDOWS\system32\drivers\L8042Kbd.sys
2008-03-19 08:33 . 2008-03-19 08:33    <DIR>    d--------    C:\Program Files\Trend Micro
2008-03-17 22:31 . 2006-07-09 12:09    196,608    --a------    C:\WINDOWS\system32\cpview_mem_dll.dll
2008-03-17 22:31 . 2004-02-09 18:18    53,248    --a------    C:\WINDOWS\system32\CPDNShMem.dll
2008-03-17 21:49 . 2008-04-02 09:44    <DIR>    d--------    C:\Program Files\BOINC
2008-03-17 21:48 . 2008-03-17 21:48    <DIR>    d--------    C:\WINDOWS\Downloaded Installations
2008-03-07 01:27 . 2008-03-07 01:27    <DIR>    d--------    C:\Program Files\FireFly Studios

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-02 07:46    ---------    d-----w    C:\Documents and Settings\***\Application Data\Skype
2008-04-02 06:54    ---------    d-----w    C:\Documents and Settings\***\Application Data\skypePM
2008-04-01 09:41    ---------    d-----w    C:\Program Files\[url="http://www.ccleaner.de"]CCleaner[/url]
2008-03-26 20:45    4,889    ----a-w    C:\Program Files\audiograbber.ini
2008-03-26 20:17    42,593    ----a-w    C:\Program Files\discs.txt
2008-03-26 09:36    ---------    d-----w    C:\Program Files\Avanquest update
2008-03-25 09:29    ---------    d-----w    C:\Program Files\WEB.DE
2008-03-24 13:33    ---------    d-----w    C:\Documents and Settings\***\Application Data\Vso
2008-03-24 13:28    ---------    d-----w    C:\Documents and Settings\***\Application Data\uTorrent
2008-03-24 12:35    ---------    d-----w    C:\Program Files\Common Files\Nero
2008-03-24 12:35    ---------    d-----w    C:\Documents and Settings\All Users\Application Data\Nero
2008-03-23 18:25    ---------    d-----w    C:\Documents and Settings\All Users\Application Data\DVD Shrink
2008-03-23 14:23    ---------    d-----w    C:\Program Files\Citavi
2008-03-22 06:27    ---------    d-----w    C:\Program Files\SpeedFan
2008-03-20 12:45    ---------    d--h--w    C:\Program Files\InstallShield Installation Information
2008-03-20 12:45    ---------    d-----w    C:\Program Files\Common Files\Logitech
2008-02-28 16:38    972,072    ----a-w    C:\WINDOWS\UNNeroMediaHome.exe
2008-02-26 15:14    972,072    ----a-w    C:\WINDOWS\UNRecode.exe
2008-02-23 22:02    ---------    d-----w    C:\Program Files\phonostar
2008-02-23 22:02    ---------    d-----w    C:\Documents and Settings\***\Application Data\phonostar-Player
2008-02-19 19:39    ---------    d-----w    C:\Program Files\MSI
2008-02-19 19:23    ---------    d-----w    C:\Program Files\Realtek
2008-02-18 15:21    132,904    ----a-w    C:\WINDOWS\system32\drivers\imagesrv.sys
2008-02-18 15:21    11,304    ----a-w    C:\WINDOWS\system32\drivers\imagedrv.sys
2008-02-18 15:04    95,600    ----a-w    C:\WINDOWS\system32\NeroCo.dll
2008-02-17 16:57    ---------    d-----w    C:\Program Files\SystemRequirementsLab
2008-02-17 16:57    ---------    d-----w    C:\Documents and Settings\***\Application Data\SystemRequirementsLab
2008-02-17 15:36    ---------    d-----w    C:\Program Files\SiSoftware
2008-02-16 22:56    ---------    d-----w    C:\Program Files\ScummVM
2008-02-16 21:45    ---------    d-----w    C:\Documents and Settings\***\Application Data\ScummVM
2008-02-15 11:17    26,000    ----a-w    C:\WINDOWS\system32\E3TL.DLL
2008-02-15 11:17    ---------    d-----w    C:\Program Files\Zenturi
2008-02-15 11:17    ---------    d-----w    C:\Documents and Settings\All Users\Application Data\Zenturi
2008-02-15 11:16    ---------    d-----w    C:\Program Files\Common Files\Wise Installation Wizard
2008-02-13 12:10    ---------    d-----w    C:\Documents and Settings\***\Application Data\dvdcss
2008-02-12 13:45    ---------    d-----w    C:\Program Files\Vyntek
2008-02-12 10:50    ---------    d-----w    C:\Documents and Settings\***\Application Data\Nero
2008-02-12 10:44    ---------    d-----w    C:\Program Files\Ahead
2008-02-10 21:04    ---------    d-----w    C:\Program Files\Common Files\SWF Studio
2008-02-10 09:49    ---------    d-----w    C:\Documents and Settings\All Users\Application Data\BVRP Software
2008-02-10 09:48    ---------    d-----w    C:\Program Files\Sony Ericsson
2008-02-10 09:48    ---------    d-----w    C:\Documents and Settings\***\Application Data\InstallShield
2008-02-10 09:48    ---------    d-----w    C:\Documents and Settings\All Users\Application Data\Sony Ericsson
2008-02-10 09:45    ---------    d-----w    C:\Program Files\Common Files\Teleca Shared
2008-02-10 09:45    ---------    d-----w    C:\Documents and Settings\***\Application Data\Teleca
2008-02-08 20:00    ---------    d-----w    C:\Program Files\Winamp
2008-01-11 05:53    44,544    ------w    C:\WINDOWS\system32\dllcache\pngfilt.dll
2008-01-09 14:25    16,859,648    ----a-w    C:\WINDOWS\RTHDCPL.exe
2007-11-28 22:30    32    ----a-w    C:\Documents and Settings\All Users\Application Data\ezsid.dat
2007-09-05 15:26    47,360    ----a-w    C:\Documents and Settings\***\Application Data\pcouffin.sys
2007-02-26 00:45    21,120    ---ha-w    C:\Program Files\German.GID
2006-09-24 10:11    266,240    ----a-w    C:\Program Files\lame_enc.dll
2006-09-24 09:58    141,312    ----a-w    C:\Program Files\lame.exe
2005-10-16 16:01    817,543    ----a-w    C:\Program Files\Line-In.pdf
2005-07-01 10:55    242,915    ----a-w    C:\Program Files\German.hlp
2005-07-01 10:55    242,915    ----a-w    C:\Program Files\Audiograbber.hlp
2005-06-29 18:48    64,000    ----a-w    C:\Program Files\vorbisenc.dll
2005-06-29 18:48    138,240    ----a-w    C:\Program Files\vorbis.dll
2005-06-29 18:48    11,776    ----a-w    C:\Program Files\vorbisfile.dll
2005-06-29 18:47    9,216    ----a-w    C:\Program Files\ogg.dll
2005-06-23 15:47    178,412    ----a-w    C:\Program Files\Erste_Schritte.pdf
2005-06-22 12:13    1,865    ----a-w    C:\Program Files\german.cnt
2005-06-22 12:13    1,865    ----a-w    C:\Program Files\audiograbber.cnt
2005-05-16 06:20    760    ----a-w    C:\Program Files\audiograbber.apr
2005-04-12 13:00    386    ----a-w    C:\Program Files\Auto.Nam
2004-02-09 03:48    899,072    ----a-w    C:\Program Files\audiograbber.exe
2003-02-09 10:04    46,092    ----a-w    C:\Program Files\French.lng
2003-02-08 16:56    44,863    ----a-w    C:\Program Files\German.lng
2002-12-17 14:20    696,320    ----a-w    C:\Program Files\Common Files\XCMHook.dll
2002-12-17 14:20    24,576    ----a-w    C:\Program Files\Common Files\XCPCMenu.exe
2002-01-03 20:50    155,648    ----a-w    C:\Program Files\WMA8Connect.dll
2001-12-20 22:15    43,771    ----a-w    C:\Program Files\Italian.lng
2001-12-20 13:11    42,533    ----a-w    C:\Program Files\Spanish.lng
2000-01-15 23:01    36,352    ----a-w    C:\Program Files\ag12full.dll
2007-01-16 14:51    16,384    --sha-w    C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
2007-01-16 14:51    32,768    --sha-w    C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\index.dat
2007-01-16 14:51    32,768    --sha-w    C:\WINDOWS\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012007011620070117\index.dat
2007-01-16 14:51    32,768    --sha-w    C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\index.dat
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{25CEE8EC-5730-41bc-8B58-22DDC8AB8C20}]
2007-10-04 22:06    1135968    --a------    C:\Program Files\Winamp Toolbar\winamptb.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= "C:\Program Files\Winamp Toolbar\winamptb.dll" [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{EBF2BA02-9094-4C5A-858B-BB198F3D8DE2}"= C:\Program Files\Winamp Toolbar\winamptb.dll [2007-10-04 22:06 1135968]

[HKEY_CLASSES_ROOT\clsid\{ebf2ba02-9094-4c5a-858b-bb198f3d8de2}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand.1]
[HKEY_CLASSES_ROOT\TypeLib\{538CD77C-BFDD-49b0-9562-77419CAB89D1}]
[HKEY_CLASSES_ROOT\WINAMPTB.AOLToolBand]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 06:56 15360]
"Skype"="C:\Program Files\Skype\Phone\Skype.exe" [2008-02-01 18:22 21898024]
"WEB.DE_WEB.DE SmartDrive Manager"="C:\Program Files\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.exe" [2007-03-15 18:38 1146880]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2006-12-26 00:18 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 04:32 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 04:32 455168]
"WpsRePsw"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE" [2000-01-27 01:00 32256]
"TkBellExe"="C:\Program Files\Common Files\Real\Update_OB\realsched.exe" [2007-05-14 23:11 185896]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 10:29 249896]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 02:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 02:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 02:41 81920]
"RTHDCPL"="RTHDCPL.EXE" [2008-01-09 16:25 16859648 C:\WINDOWS\RTHDCPL.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 04:10 55824 C:\WINDOWS\KHALMNPR.Exe]
"NeroFilterCheck"="C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe" [2008-02-28 10:59 570664]
"NBKeyScan"="C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2008-02-18 17:29 2221352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 06:56 15360]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
Bluetooth.lnk - C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe [2007-07-10 16:25:40 572008]
Logitech SetPoint.lnk - C:\Program Files\Logitech\SetPoint\SetPoint.exe [2008-03-20 14:45:57 784912]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
c:\program files\common files\logitech\bluetooth\LBTWlgn.dll 2007-11-15 11:10 72208 c:\Program Files\Common Files\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\msncall.exe"=
"C:\\Program Files\\Trillian\\trillian.exe"=
"C:\\Program Files\\Mozilla Firefox\\firefox.exe"=
"C:\\Program Files\\Anno 1701 Demo\\Anno1701_Demo.exe"=
"C:\\Program Files\\Laryon\\ScanRn\\ScanRn.exe"=
"C:\\Program Files\\Laryon\\ScanRn\\ScanRnServer.exe"=
"C:\\Program Files\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\WINDOWS\\system32\\rundll32.exe"=
"C:\\WINDOWS\\system32\\mmc.exe"=
"C:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"C:\\Program Files\\Winamp\\winamp.exe"=
"C:\\Program Files\\uTorrent\\uTorrent.exe"=
"C:\\Program Files\\Common Files\\Nero\\Nero Web\\SetupX.exe"=
"C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\Win32\\RpcDataSrv.exe"=
"C:\\Program Files\\SiSoftware\\SiSoftware Sandra Lite XII.SP1\\RpcSandraSrv.exe"=
"C:\\Program Files\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1900:UDP"= 1900:UDP:*:Disabled:@xpsp2res.dll,-22007
"2869:TCP"= 2869:TCP:*:Disabled:@xpsp2res.dll,-22008
"4500:UDP"= 4500:UDP:*:Disabled:IKE-4500
"500:UDP"= 500:UDP:*:Disabled:IKE-500

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R1 uiwbrdr;uiwbrdr;C:\WINDOWS\system32\DRIVERS\uiwbrdr.sys [2007-03-15 18:37]
R2 NMSAccessU;NMSAccessU;C:\WINDOWS\system32\NMSAccessU.exe [2007-10-12 09:34]
R2 WpsPeppy;WpsPeppy;C:\WINDOWS\system32\DRIVERS\WpsPeppy.SYS [2000-01-27 01:00]
R3 KeyScrambler;KeyScrambler;C:\WINDOWS\system32\drivers\keyscrambler.sys [2007-12-29 16:35]
S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 20:07]
S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se59mdm.sys [2006-09-05 20:07]
S3 se59mgmt;Sony Ericsson Device 089 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se59mgmt.sys [2006-09-05 20:08]
S3 se59nd5;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (NDIS);C:\WINDOWS\system32\DRIVERS\se59nd5.sys [2006-09-05 20:06]
S3 se59obex;Sony Ericsson Device 089 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se59obex.sys [2006-09-05 20:09]
S3 se59unic;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (WDM);C:\WINDOWS\system32\DRIVERS\se59unic.sys [2006-09-05 20:06]

.
Contents of the 'Scheduled Tasks' folder
"2008-04-01 09:17:46 C:\WINDOWS\Tasks\20080324_170100_Wöchentliche Sicherung.job"
- C:\Program Files\Nero\Nero8\Nero BackItUp\BackItUp.exe¯/TASKTYPE:NBSERVICE /JOBFILE:
"2008-04-01 09:30:05 C:\WINDOWS\Tasks\20080325_004800_Wöchentliche Sicherung Festplatte.job"
- C:\Program Files\Nero\Nero8\Nero BackItUp\BackItUp.exeº/TASKTYPE:NBSERVICE /JOBFILE:
"2008-04-01 09:35:01 C:\WINDOWS\Tasks\20080325_110400_Wöchentl. Sicherung WEB.job"
- C:\Program Files\Nero\Nero8\Nero BackItUp\BackItUp.exe°/TASKTYPE:NBSERVICE /JOBFILE:
"2008-04-01 09:18:51 C:\WINDOWS\Tasks\20080325_111100_Monatl. Fotos WEB.job"
- C:\Program Files\Nero\Nero8\Nero BackItUp\BackItUp.exeª/TASKTYPE:NBSERVICE /JOBFILE:
"2008-04-01 09:14:09 C:\WINDOWS\Tasks\20080325_111500_Monatl. Fotos CD.job"
- C:\Program Files\Nero\Nero8\Nero BackItUp\BackItUp.exe©/TASKTYPE:NBSERVICE /JOBFILE:
"2008-04-01 09:34:12 C:\WINDOWS\Tasks\20080325_111500_Monatl. Fotos Festplatte.job"
- C:\Program Files\Nero\Nero8\Nero BackItUp\BackItUp.exe±/TASKTYPE:NBSERVICE /JOBFILE:
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://www.gmer.net
Rootkit scan 2008-04-02 09:49:48
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 

scan completed successfully 
hidden files: 0 

**************************************************************************
.
Completion time: 2008-04-02  9:50:05
ComboFix-quarantined-files.txt  2008-04-02 07:50:03
Pre-Run: 65,692,876,800 bytes free
Post-Run: 65,748,692,992 bytes free
.
2008-03-20 19:03:07    --- E O F ---  

hijackthis-logfile:

Code

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:59:18, on 02.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\Logitech\SetPoint\SetPoint.exe
C:\Program Files\BOINC\boincmgr.exe
C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\BOINC\boinc.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\UPHClean\uphclean.exe
C:\Program Files\Skype\Plugin Manager\SkypePM.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WPSC3PSW.EXE
C:\WINDOWS\system32\mmc.exe
C:\WINDOWS\system32\imapi.exe
C:\Program Files\Nero\Nero8\Nero StartSmart\NeroStartSmart.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
C:\Program Files\Nero\Nero8\Nero Burning Rom\nero.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.daemonsearch.com/de/ý
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Winamp Toolbar BHO - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll
O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [WpsRePsw] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\WpsRePsw.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WEB.DE_WEB.DE SmartDrive Manager] "C:\Program Files\WEB.DE\WEB.DE SmartDrive Manager\DAVSRV.EXE" /hide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: BOINC Manager.lnk = C:\Program Files\BOINC\boincmgr.exe
O4 - Global Startup: Bluetooth.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program Files\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program Files\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send To &Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Send to &Bluetooth Device... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Send To Bluetooth - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - C:\Program Files\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Program Files\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Common Files\Logitech\Bluetooth\LBTServ.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\WINDOWS\system32\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Program Files\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe
O23 - Service: ProgramCheckerPro (sassvc) - Unknown owner - C:\Program Files\Zenturi\ProgramChecker\sassvc.exe

--
End of file - 11968 bytes

logfile der datfind.bat:

Code

. 
. 
 Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten 
. 
. 
 Volume in drive C is Caspar
 Volume Serial Number is C056-C108

 Directory of C:\WINDOWS\system32

02.04.2008  17:22           586.738 OODBS.lor
01.04.2008  08:32            63.188 perfc009.dat
01.04.2008  08:32           403.968 perfh009.dat
01.04.2008  08:32           475.330 PerfStringBackup.INI
31.03.2008  01:54               664 d3d9caps.dat
31.03.2008  00:19             1.024 default_user_class.dat.LOG
27.03.2008  08:51             2.206 wpa.dbl
24.03.2008  15:01               297 MsiExec.exe.log
24.03.2008  13:06               206 eecebcccafea_d.ocx
05.03.2008  18:30        19.148.408 MRT.exe
18.02.2008  17:04            95.600 NeroCo.dll
17.02.2008  19:38           163.353 nvapps.xml
15.02.2008  13:17            26.000 E3TL.DLL
11.01.2008  09:13           133.120 sevMail32.ocx
11.01.2008  07:53            44.544 pngfilt.dll
29.12.2007  17:59         1.228.800 ExTree.dll
20.12.2007  01:01           347.136 dxtmsft.dll

Ich hoffe, ihr könnt mir helfen... das wäre wirklich nett. danke schonmal

#2 Hallo,

gehst du über einen Router ins Netz ?
Falls ja..ist alles deaktiviert

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1900:UDP"= 1900:UDP:*isabled:@xpsp2res.dll,-22007
"2869:TCP"= 2869:TCP:*isabled:@xpsp2res.dll,-22008
"4500:UDP"= 4500:UDP:*isabled:IKE-4500
"500:UDP"= 500:UDP:*isabled:IKE-500

------------------------------------------------------------

«
lösche eventuell folgende Daten manuell, falls du OTMoveIt nicht auf den Rechner bekommst...

http://www.virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe
C:\WINDOWS\Lic.xxx
C:\WINDOWS\R.COM
C:\WINDOWS\system32\T.COM

Klicke auf den Roten MoveIt!

------------
Gehe in die Registry

Start - Ausführen - regedit

alles in 0 ändern

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001





PC neustarten


**
lade Virus Removal Tool - AVPTool (bringe es auf deinen Rechner)
http://www.virus-protect.org/artikel/tools/kaspersky.html

scanne + poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

#3

Zitat

Sabina postete
Hallo,

gehst du über einen Router ins Netz ?
Falls ja..ist alles deaktiviert

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1900:UDP"= 1900:UDP:*isabled:@xpsp2res.dll,-22007
"2869:TCP"= 2869:TCP:*isabled:@xpsp2res.dll,-22008
"4500:UDP"= 4500:UDP:*isabled:IKE-4500
"500:UDP"= 500:UDP:*isabled:IKE-500

danke erstmal ja, bin über router im netz... der klassische arcor wlan dsl-router allerdings mit kabel verbunden. die ike-4500 und ike-500 habe ich in der firewall selbst deaktiviert, ich meinte mich zu erinnern, dass ich die damals für upnp eingerichtet habe, was aber nie funktioniert hat. vllt liege ich aber auch falsch, oder du meintest etwas ganz anderes...

was mein i-net angeht, so funktioniert die lan-verbindung tadellos, ebenso skype, aber ich kann den router nicht anpingen und es öffnet sich keine seite. ich bekomme immer "seitenladefehler".

habe das gemacht, was du gesagt hast, hier das log vom kaspersky virus remover:

Code

Scan
----
Scanned:    929972
Detected:    3
Untreated:    0
Start time:    03.04.2008 16:56:16
Duration:    02:22:08
Finish time:    03.04.2008 19:18:24


Detected
--------
Status    Object
------    ------
deleted: adware not-a-virus:AdWare.Win32.SaveNow.bf    File: D:\Eigene Dateien\My Pictures\screensaver\macaroni.exe/SAVENOWINST.EXE/SaveNow.exe
deleted: adware not-a-virus:AdWare.Win32.SaveNow.au    File: D:\Eigene Dateien\My Pictures\screensaver\macaroni.exe/SAVENOWINST.EXE/Uninst.exe
deleted: adware not-a-virus:AdWare.Win32.Mostofate.di    File: C:\Program Files\Brockhaus Multimedia\Brockhaus multimedial\deskbar.dll


Events
------
Time    Name    Status    Reason
----    ----    ------    ------


Statistics
----------
Object    Scanned    Detected    Untreated    Deleted    Moved to Quarantine    Archives    Packed files    Password protected    Corrupted
------    -------    --------    ---------    -------    -------------------    --------    ------------    ------------------    ---------


Settings
--------
Parameter    Value
---------    -----
Security Level    Recommended
Action    Prompt for action when the scan is complete
Run mode    Manually
File types    Scan all files
Scan only new and changed files    No
Scan archives    All
Scan embedded OLE objects    All
Skip if object is larger than    No
Skip if scan takes longer than    No
Parse email formats    No
Scan password-protected archives    No
Enable iChecker technology    No
Enable iSwift technology    No
Show detected threats on "Detected" tab    Yes


Quarantine
----------
Status    Object    Size    Added
------    ------    ----    -----


Backup
------
Status    Object    Size
------    ------    ----

p.s.: ich versuche jetzt mal, eine vista-version auf eine andere partition zu installieren. vllt bekomme ich darüber ja internetzugang, dann kann ich auch die ganzen online-scanner benutzen.

#4 «
versuche es mit WinsockFix (Für alle Betriebssysteme)
findest du hier:
http://www.virus-protect.org/lspfix.html
vielleicht ist der Winsock beschädigt, so kannst du ihn wieder reparieren + kommst ins Netz

«
hier noch mal der link für die onlinscanner, Bitdefender ist gut und ESET Online Scan
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 lspfix hab ich schon probiert, leider ohne erfolg. dank vista bin ich jetzt aber wenigstens wieder online, das nervige hin- und her-gerenne zwischen meinem rechner und dem meiner freundin hat ein ende

leider gehen die ganzen online-virenscanner nicht, möglicherweise liegt das an der 64bit-version von vista. egal, wie ich die sicherheitseinstellungen des ie ändere, es kommt immer ein fehler. die activex-plugins werden auch gar nicht installiert, trotz anders lautenden anweisungen und ansagen von windows (tauchen im ie nicht in der plugin-liste auf). vllt hast du (oder jemand anderes) ja eine idee, wie ich die dinger doch noch zum laufen kriege oder ihr wisst alternativen. denn selbst wenn vista jetzt läuft, ich brauche meine daten auf der datenplatte... und da wäre ich gerne wenigstens einigermaßen sicher, dass da nichts gefährliches mehr drauf ist.

bin dankbar für jeden hinweis... auch, wie ich vllt doch noch mein xp wieder zum laufen kriege

#6 Schau mal unter Q8 http://www.eset.com/onlinescan/cac4.php?page=faq
__________
MfG Argus

#7 du kannst es mit einer Systemwiederherstellung versuchen.....
__________
MfG Sabina

rund um die PC-Sicherheit

#8 Nach langem hin und her habe jetzt sowohl den bitdefender als auch den eset-scanner zum laufen gebracht. danke @arnold für den hinweis, der hat mich auf den weg gebracht, aber ganz so leicht war es dann doch nicht

für die zukunft, hier mal eine kurzanleitung, wie man eset unter vista 64bit zum laufen bringt:

1. im windows-explorer rechtsklick auf "computer" -> verwalten
2. system -> lokale benutzer und gruppen -> benutzer -> administrator doppelklick
3. häkchen bei "administrator deaktivieren" weg
4. auf das eigene benutzerkonto klicken und sicherstellen, dass bei "mitglied von" administratoren eingetragen ist
5. neustart, eigenes konto auswählen
6. internet-explorer 32bit (falls man den nicht mehr auf dem desktop findet, so wie ich , den gibts auch nochmal unter c:\programme (x86)\internet explorer\iexplorer.exe) mit rechtsklick "als administrator ausführen" starten

Für den bitdefender muss man zusätzlich noch die sicherheitseinstellungen des ie runtersetzen, näheres dazu findet sich unter: http://kb.bitdefender.com/KB424-en--How-to-run-the-Online-Scanner-on-Vista.html

eset-scanner findet bei mir nichts, bitdefender hat noch ein paar sachen gefunden. Leider dachte ich, er würde genauso wie eset ein log speichern… das war wohl ein irrtum. Also, soweit ich mich erinnern kann, waren noch zwei trojaner dabei und ein paar kleinere sachen (adware/spyware).

Zitat

Sabina postete
du kannst es mit einer Systemwiederherstellung versuchen.....

hm, meinst du jetzt einen windows restore-point wiederherstellen? Das geht leider nicht, habe die systemwiederherstellung gleich nach dem viren-befall ausgeschaltet. In allen mögl. Faqs und foren wird geschrieben, das wäre das erste, was man machen sollte… naja, war vllt doch nicht ganz so geschickt was ich versucht habe, ist eine upgrade-installation (ohne erfolg, irgendeine datei fehlt, googlen nach der datei hat kein ergebnis gebracht). Außerdem meinte irgendjemand, ich könnte es mit dem befehl „sfc /scannow“ probieren. Hat aber auch nicht viel gebracht, außer mein vista-theme für xp zu zerschießen

egal, ich glaube, ich werde wohl die xp-partition aufgeben müssen. Werde sie die tage komplett plattmachen und der vista-partition angliedern. Solange vista jetzt ohne viren läuft, solls mir recht sein. Könnte ich vllt nochmal zur sicherheit ein hjt-log posten, und ihr schaut euch das nochmal an, nur zur sicherheit?

Ach ja, und wisst ihr zufällig, welches programm man am besten für eine formatierung verwendet? Ich könnte partition magic 8 anbieten, weiß aber nicht, ob die partition dann wirklich leer ist.

Dank euch schon mal und viele grüße…