system sehr langsam, bitte logs prüfen

#1 nabend

hab das problem, dass mein pc sehr langsam ist und es irgendwie immer mehr wird.
nach einigen blue-screens die letzten tage, die sofort nach dem booten auftraten und nur durch einlegen der windows-cd mit reperatur behoben werden konnten (im abgesicherten modus), bin ich grad dabei, meinem rechner hilfe zukommen zu lassen, ohne ihn neu aufsetzen zu müssen :-)

weitere probleme sind:
- kabellose maus (firma labtec) macht sich vermehrt selbstständig, springt mit vorliebe in die rechte obere ecke und schließt mir die fenster/browser oder öffnet das rechtsklick-menü. hab die mitgelieferte cd bereits eingelegt und nochmal installiert, was es da zu installieren gab, problem tritt dennoch weiter auf.
- videos lassen sich nicht abspielen. egal, welcher player, ob windowsmedia player, realplayer, winamp. sobald ich ein video öffne (egal, welches datei-format) hängt sich der rechner auf. sound spielt zwar weiter, aber mousezeiger lässt sich nicht mehr bewegen, strg+alt+entf geht nicht mehr, taskmanager geht auch nicht mehr auf. hilft nur noch reset-knopf drücken.

hab als erstes heute mal defragmentiert. kann man eigentlich die dateien aus c:\dokumenteundeinstellungen\administrator\lokaleeinstellungen\temp alle risikolos manuell löschen? hab das nämlich gemacht, weils etliches an speicherplatz gebraucht hat.

hab den spybot- search and destroy angewendet. hat einiges gefunden, v.a. tracking cookies und zwei trojaner.
desweiteren zum systemschutz vorhanden: antivir-personal edition, zonealarm firewall, adaware (lass ich so alle 4 wochen drüber laufen).

hab nach eurer anleitung den CCleaner laufen lassen und ein hijackthis-scan gemacht. log folgt.

bitte um hilfe, möglichst in gaaaanz leicht verständlichem deutsch, bin ne frau und hab kaum bis keine ahnung ;-)

mfg und danke, DraengelEngel

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:13:28, on 06.04.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\adaware\aawservice.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\adaware\AAWTray.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
D:\treiber_mousetasta\MagicKey.exe
C:\WINNT\system32\Macromed\Shockwave 10\PostUpdate.exe
D:\treiber_mousetasta\MulMouse.exe
D:\treiber_mousetasta\OSD.EXE
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\adobe acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\spybot\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "d:\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ShStatEXE] "D:\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [RSPC Driver] akns.exe
O4 - HKLM\..\Run: [RSPC Driver D] fktvf.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [AAWTray] D:\adaware\AAWTray.exe
O4 - HKLM\..\RunServices: [RSPC Driver D] fktvf.exe
O4 - HKLM\..\RunServices: [RSPC Driver] akns.exe
O4 - HKLM\..\RunServices: [Windows Compliant] doxdau.exe
O4 - HKCU\..\Run: [RSPC Driver] akns.exe
O4 - HKCU\..\Run: [Windows Compliant] doxdau.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\spybot\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [SWHelper] "C:\WINNT\system32\Macromed\Shockwave 10\PostUpdate.exe" 1010011
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Microsoft Update Machine] zonealarm.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [RSPC Driver] akns.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [RSPC Driver D] fktvf.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Windows Compliant] doxdau.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Adobe\adobe acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kabellosen Labtec-Desktop aktivieren.lnk = D:\treiber_mousetasta\MagicKey.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\spybot\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\spybot\SPYBOT~1\SDHelper.dll
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://zone.msn.com/bingame/luxr/default/mjolauncher.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - http://game05.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://sympatico.zone.msn.com/bingame/dim2/default/popcaploader_v6.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6606B559-9804-404A-A32C-5FB92861315E}: NameServer = 217.237.150.51 217.237.148.22
O17 - HKLM\System\CS1\Services\Tcpip\..\{6606B559-9804-404A-A32C-5FB92861315E}: NameServer = 217.237.150.51 217.237.148.22
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\adaware\aawservice.exe
O23 - Service: WEB.DE Firefox Update (AdminSVCff) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - D:\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Unknown owner - D:\VirusScan\VsTskMgr.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

--
End of file - 8429 bytes

________________________

Hijackthis-uninstall-liste

Ad-Aware 2007
Adobe Download Manager 2.0 (Nur entfernen)
Adobe Flash Player 9 ActiveX
Adobe Flash Player ActiveX
Adobe Photoshop 6.0
Adobe Reader 7.0 - Deutsch
Adobe SVG Viewer
Ahead Nero 6 Demo
Avira AntiVir PersonalEdition Classic
BJC-4300
CCleaner (remove only)
CloneCD
EmPipe
HijackThis 2.0.2
ICQ
IrfanView (remove only)
J2SE Runtime Environment 5.0 Update 1
Kabelloser Labtec-Desktop
Macromedia Dreamweaver 3 De
Macromedia Fireworks MX
Macromedia Flash MX
Macromedia FreeHand 10
Macromedia Shockwave Player
Microsoft Data Access Components KB870669
Microsoft Office 2000 Premium
Microsoft VGX Q833989
Mozilla Firefox (2.0.0.13)
MSN Messenger 7.0
Mustek 1200 CU v2.0a
Outlook Express Q823353
PDFCreator
PowerDVD
PowerQuest PartitionMagic 7.0
RealPlayer
Security Task Manager 1.7e
Skype 3.1
Skype Plugin Manager
SoulSeek Client 156c
Spybot - Search & Destroy
T-DSL Treiber
T-Online 5.0
T-Online Copas
T-Online Direktanwahl
WEB.DE Firefox Browser Update
WEB.DE Firefox Paket
Winamp (remove only)
Windows 2000 Service Pack 4
Windows 2000-Hotfix - KB823182
Windows 2000-Hotfix - KB823559
Windows 2000-Hotfix - KB824105
Windows 2000-Hotfix - KB825119
Windows 2000-Hotfix - KB826232
Windows 2000-Hotfix - KB828035
Windows 2000-Hotfix - KB828741
Windows 2000-Hotfix - KB828749
Windows 2000-Hotfix - KB835732
Windows 2000-Hotfix - KB837001
Windows 2000-Hotfix - KB839643
Windows 2000-Hotfix - KB839645
Windows 2000-Hotfix - KB840315
Windows 2000-Hotfix - KB840987
Windows 2000-Hotfix - KB841356
Windows 2000-Hotfix - KB841533
Windows 2000-Hotfix - KB841872
Windows 2000-Hotfix - KB841873
Windows 2000-Hotfix - KB842526
Windows 2000-Hotfix - KB871250
Windows 2000-Hotfix - KB873339
Windows 2000-Hotfix - KB885835
Windows 2000-Hotfix - KB885836
Windows 2000-Hotfix - KB890175
Windows 2000-Hotfix - KB891711
Windows Media Player-Hotfix [Weitere Informationen finden Sie in Q828026]
Windows Media Player-Systemupdate (9-Reihe)
WinRAR Archivierer
ZoneAlarm

______________________________

datfind.bat-log

Datentr„ger in Laufwerk C: ist Win2K
Datentr„gernummer: A41B-F1C8

Verzeichnis von c:\

06.04.2008 02:39 0 dirdat.txt
05.04.2008 21:36 334.495.744 pagefile.sys
18.06.2006 23:04 150 YServer.txt
16.01.2005 23:51 216.096 ntldr
16.01.2005 23:51 34.724 NTDETECT.COM
13.01.2005 04:19 0 AUTOEXEC.BAT
13.01.2005 04:19 0 CONFIG.SYS
13.01.2005 04:16 192 boot.ini
05.12.2004 18:11 258 lc2.html
29.06.2004 20:12 383 TO_InstallLog.txt
16.06.2004 16:33 0 IO.SYS
16.06.2004 16:33 0 MSDOS.SYS
12 Datei(en) 334.747.547 Bytes
0 Verzeichnis(se), 3.747.463.168 Bytes frei
Datentr„ger in Laufwerk C: ist Win2K
Datentr„gernummer: A41B-F1C8

Verzeichnis von C:\WINNT\system32

05.04.2008 21:40 16.384 Perflib_Perfdata_600.dat
05.04.2008 21:39 31.767 vsconfig.xml
05.04.2008 19:40 100.352 dfrg.msc
08.03.2008 14:53 106.216 FNTCACHE.DAT
19.12.2007 17:27 16.384 Perflib_Perfdata_65c.dat
13.09.2007 17:32 16.384 Perflib_Perfdata_2f4.dat
20.08.2007 21:40 0 pqtmp.fil
20.08.2007 21:03 47.056 PQ_DEBUG.TXT
20.08.2007 21:03 1.503 PQ_BATCH.PQB
26.06.2007 22:46 16.384 Perflib_Perfdata_68c.dat
13.04.2007 15:19 7.680 lsdelete.exe
09.04.2007 01:24 16.384 Perflib_Perfdata_560.dat
26.03.2007 11:51 16.384 Perflib_Perfdata_26c.dat
25.03.2007 04:06 16.384 Perflib_Perfdata_104.dat
15.03.2007 22:40 16.384 Perflib_Perfdata_1b8.dat

Verzeichnis von C:\WINNT

05.04.2008 21:33 32.632 SchedLgU.Txt
05.04.2008 21:32 642.506 ShellIconCache
05.04.2008 17:50 192 winamp.ini
04.04.2008 01:46 679.960 setupapi.log
04.04.2008 01:23 377.838 iis5.log
04.04.2008 01:23 184.843 comsetup.log
04.04.2008 01:23 1.912 imsins.log
04.04.2008 01:23 125.056 ocgen.log
04.04.2008 01:23 9.286 ockodak.log
04.04.2008 01:22 0 setupact.log
04.04.2008 01:22 0 setuperr.log
04.04.2008 01:22 0 WINNT32.LOG
04.04.2008 01:11 33.196 ntbtlog.txt
03.04.2008 23:50 131.918 Windows Update.log
24.12.2007 00:25 1.268 cdplayer.ini
05.12.2007 09:37 129.216 wmsetup.log

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

06.04.2008 02:35 114.688 ~DF179F.tmp
05.04.2008 23:51 970 TempICQCLImage9319343604554.html
05.04.2008 23:25 4 Twain001.Mtx
05.04.2008 23:25 219 TWAIN.LOG
05.04.2008 23:25 156 Twunk001.MTX
05.04.2008 21:41 512 ~DFF8EE.tmp
05.04.2008 21:41 16.384 ~DFF8D9.tmp
05.04.2008 21:38 207.061 jusched.log
09.02.2008 20:33 979.284 ba21aot2.exe
21.04.2007 00:58 20.942.920 SkypeSetup.exe

__________________________________

Combofix

in der anleitung stand, sowohl fire-wall als auch antivirenprogramme müssen deaktiviert werden. bin da seeeehr skeptisch, deshalb combofix net ausgeführt.

#2 Hallo,

hier ist nicht mehr viel zu retten, du wirst wohl formatieren müssen und zwar schnell.
wenn du dennoch eine Reinigung versuchen willst :

««
Cleaner anwenden
http://www.ccleaner.de/?protecus.de

««
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

O4 - HKLM\..\Run: [RSPC Driver] akns.exe
O4 - HKLM\..\Run: [RSPC Driver D] fktvf.exe
O4 - HKLM\..\RunServices: [RSPC Driver D] fktvf.exe
O4 - HKLM\..\RunServices: [RSPC Driver] akns.exe
O4 - HKLM\..\RunServices: [Windows Compliant] doxdau.exe
O4 - HKCU\..\Run: [RSPC Driver] akns.exe
O4 - HKCU\..\Run: [Windows Compliant] doxdau.exe

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Microsoft Update Machine] zonealarm.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [RSPC Driver] akns.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [RSPC Driver D] fktvf.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Windows Compliant] doxdau.exe (User 'Default user')

««
sdfix im abgesicherten modus anwenden + das log hier posten
http://virus-protect.org/artikel/tools/sdfix.html

««
http://virus-protect.org/artikel/tools/combofix.html
poste das log von Combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#3 hallo sabina

dank für die antwort.
was genau ist denn so im eimer bei mir, dass du zu ner formatierung rätst? möchte das vermeiden und es erstmal so versuchen.

ne verständnisfrage für mich:

-den CCleaner hab ich letzte nacht schon mal angewandt. das ganze nochmal machen?

-die einträge aus dem hijackthis-log, welche du zitiert hast, die soll ich fixen, richtig?

- komm ich im abgesicherten modus eigentlich online?

- gibts hier ne option, die postings von euch "profis" direkt auszudrucken oder muss ich erst alles in nen editor kopieren, um drucken zu können?

lg, DraengelEngel

#4 «
der Rechner ist bis über beide Ohren verseucht...Netzwerkwurm, Virus...
«
CCleaner schon angewendet...brauchst du im moment nicht noch mal machen
«
Einträge (nur die angegebenen im HijackTHis sind zu fixen)
«
man kommt auch in den abgesicherten Modus online, indem man die Option wählt: mit Netzwerktreibern
«
das Log, was sdfix und combofix erstellen - ist nur mit der maus abzukopieren, mehr nicht (erscheint schon im editor)
__________
MfG Sabina

rund um die PC-Sicherheit

#5 hi sabina

so, einträge bei hijackthis sind gefixt.

hab den SDFix angewendet. insgesamt dreimal. bei jedem scan kam ziemlich zum start die fehlermeldung:
assosfix.reg kann nicht importiert werden: Fehler beim öffnen der Datei. Mögliche Ursache ist ein Datenträger- oder Dateisystemfehler
scan lief dennoch weiter.
beim ersten mal lief was falsch, kam kein log.
beim zweiten liefs durch, wollte online gehen, aber der spybot- search and destroy meckerte, es wäre ein registry-eintrag geändert worden. ob ich das wirklich will *grr*
hab den spybot-SD deinstalliert und SDFix ein drittes mal laufen lassen.

hier das log:

SDFix: Version 1.167
Run by Administrator on So 06.04.2008 at 16:36

Microsoft Windows 2000 [Version 5.00.2195]
Running From: C:\DOKUME~1\ADMINI~1\Desktop\SDFix\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-06 16:43:07
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\Vid_0d8c&Pid_000c&Mi_00\7&1cffbf1d&0&0\Device Parameters]
"HWRevision?U\x2039\xec\x81\xec\xcc?"="100"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\Vid_0d8c&Pid_000c&Mi_00\7&6d85660&0&0\Device Parameters]
"HWRevision?U\x2039\xec\x81\xec\xcc?"="100"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USB\Vid_0d8c&Pid_000c&Mi_00\7&1cffbf1d&0&0\Device Parameters]
"HWRevision?U\x2039\xec\x81\xec\xcc?"="100"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USB\Vid_0d8c&Pid_000c&Mi_00\7&6d85660&0&0\Device Parameters]
"HWRevision?U\x2039\xec\x81\xec\xcc?"="100"

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Remaining Files :


File Backups: - C:\DOKUME~1\ADMINI~1\Desktop\SDFix\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 10 Jun 2007 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sat 13 Nov 2004 37,376 ...H. --- "C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe"
Wed 23 Feb 2005 366,080 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL0043.tmp"
Wed 23 Feb 2005 28,160 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL0334.tmp"
Wed 23 Feb 2005 164,352 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL0356.tmp"
Wed 23 Feb 2005 363,520 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL0407.tmp"
Wed 23 Feb 2005 26,624 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL0975.tmp"
Wed 23 Feb 2005 365,568 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL1086.tmp"
Wed 23 Feb 2005 25,600 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL1189.tmp"
Wed 23 Feb 2005 57,856 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL1351.tmp"
Wed 23 Feb 2005 370,688 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL1481.tmp"
Wed 23 Feb 2005 19,968 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL1745.tmp"
Wed 23 Feb 2005 359,936 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL2077.tmp"
Wed 23 Feb 2005 366,080 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL2894.tmp"
Wed 23 Feb 2005 359,424 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL2903.tmp"
Wed 23 Feb 2005 23,552 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL3780.tmp"
Sun 10 Jun 2007 4,348 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak"
Sun 10 Jun 2007 20 A..H. --- "C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak"
Sun 10 Jun 2007 400 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"
Sun 10 Jun 2007 1,536 A..H. --- "C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2lic.bak"

Finished!

__________________________________________

combofix kommt bald, ich editier es nach. aber vielleicht kannst ja hiermit schon was anfangen.

lg, DraengelEngel


EDIT

combofix-log

ComboFix 08-04-04.1 - Administrator 06.04.2008 17:30:38.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1031.18.159 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINNT\system32\config\SAM.SAV
C:\WINNT\Web\default.htt

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-06 bis 2008-04-06 ))))))))))))))))))))))))))))))
.

2008-04-06 17:30 . 06.04.08 17:30 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_354.dat
2008-04-06 15:33 . 06.04.08 15:33 <DIR> d-------- C:\WINNT\ERUNT
2008-04-06 00:39 . 06.04.08 16:20 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-04-05 21:30 . 22.09.03 14:00 57,344 --------- C:\WINNT\system32\HKLock.dll
2008-04-05 21:30 . 27.01.03 14:10 15,016 --a------ C:\WINNT\system32\HOOKVIRQ.VXD
2008-04-04 02:28 . 06.04.08 15:51 741,896 ---h----- C:\WINNT\ShellIconCache
2008-03-27 21:20 . 04.04.08 01:11 <DIR> d-------- C:\Programme\Zylom Games
2008-03-27 21:20 . 27.03.08 21:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom
2008-03-16 03:34 . 16.03.08 03:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-06 13:25 --------- d---a-w C:\Programme\ICQ
2008-04-05 19:30 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-24 23:17 3,680,768 ----a-w C:\WINNT\Internet Logs\xDB2B.tmp
2008-03-14 00:22 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Skype
2008-02-24 22:55 7,726,592 ----a-w C:\WINNT\Internet Logs\xDB2A.tmp
2007-10-09 23:33 1,409,024 ----a-w C:\WINNT\Internet Logs\xDB29.tmp
2007-10-04 22:36 1,394,176 ----a-w C:\WINNT\Internet Logs\xDB28.tmp
2007-10-02 05:47 2,684,928 ----a-w C:\WINNT\Internet Logs\xDB27.tmp
2007-09-13 20:22 3,619,840 ----a-w C:\WINNT\Internet Logs\xDB26.tmp
2007-07-30 17:40 2,954,752 ----a-w C:\WINNT\Internet Logs\xDB25.tmp
2007-07-17 04:12 6,308,864 ----a-w C:\WINNT\Internet Logs\xDB24.tmp
2006-10-25 14:11 8,353,280 ----a-w C:\WINNT\Internet Logs\xDB22.tmp
2006-10-25 14:11 2,627,072 ----a-w C:\WINNT\Internet Logs\xDB23.tmp
2006-01-05 15:13 1,572,864 ----a-w C:\WINNT\Internet Logs\tvDebug.zip
2005-08-27 20:55 2,670,080 ----a-w C:\WINNT\Internet Logs\xDB21.tmp
2005-08-27 20:55 1,433,600 ----a-w C:\WINNT\Internet Logs\xDB20.tmp
2005-08-23 19:49 914,944 ----a-w C:\WINNT\Internet Logs\xDB1F.tmp
2005-08-23 19:49 1,416,704 ----a-w C:\WINNT\Internet Logs\xDB1E.tmp
2005-08-22 18:56 2,718,720 ----a-w C:\WINNT\Internet Logs\xDB1D.tmp
2005-08-22 18:55 1,416,192 ----a-w C:\WINNT\Internet Logs\xDB1C.tmp
2005-07-23 21:25 2,641,920 ----a-w C:\WINNT\Internet Logs\xDB1B.tmp
2005-07-23 21:24 1,395,712 ----a-w C:\WINNT\Internet Logs\xDB1A.tmp
2005-07-20 18:01 2,702,848 ----a-w C:\WINNT\Internet Logs\xDB19.tmp
2005-07-20 18:01 1,393,664 ----a-w C:\WINNT\Internet Logs\xDB18.tmp
2005-07-03 07:56 1,336,832 ----a-w C:\WINNT\Internet Logs\xDB16.tmp
2005-07-03 07:52 2,684,416 ----a-w C:\WINNT\Internet Logs\xDB17.tmp
2005-06-26 21:44 2,704,896 ----a-w C:\WINNT\Internet Logs\xDB15.tmp
2005-06-26 21:44 1,324,544 ----a-w C:\WINNT\Internet Logs\xDB14.tmp
2005-06-21 21:50 2,905,600 ----a-w C:\WINNT\Internet Logs\xDB13.tmp
2005-06-21 21:49 1,320,960 ----a-w C:\WINNT\Internet Logs\xDB12.tmp
2005-04-09 21:23 3,005,440 ----a-w C:\WINNT\Internet Logs\xDB11.tmp
2005-04-09 21:23 1,234,944 ----a-w C:\WINNT\Internet Logs\xDB10.tmp
2005-03-10 05:57 2,748,416 ----a-w C:\WINNT\Internet Logs\xDBF.tmp
2005-02-23 19:00 2,758,656 ----a-w C:\WINNT\Internet Logs\xDBE.tmp
2005-02-23 18:59 972,800 ----a-w C:\WINNT\Internet Logs\xDBD.tmp
2005-02-11 23:03 198,144 ----a-w C:\WINNT\Internet Logs\xDBC.tmp
2005-02-11 23:02 856,064 ----a-w C:\WINNT\Internet Logs\xDBB.tmp
2005-02-11 21:44 856,064 ----a-w C:\WINNT\Internet Logs\xDB9.tmp
2005-02-11 21:44 197,632 ----a-w C:\WINNT\Internet Logs\xDBA.tmp
2005-02-11 20:21 999,936 ----a-w C:\WINNT\Internet Logs\xDB7.tmp
2005-02-11 20:21 2,778,112 ----a-w C:\WINNT\Internet Logs\xDB8.tmp
2005-02-07 02:15 906,240 ----a-w C:\WINNT\Internet Logs\xDB5.tmp
2005-02-07 01:55 2,902,016 ----a-w C:\WINNT\Internet Logs\xDB6.tmp
2005-01-25 11:47 808,448 ----a-w C:\WINNT\Internet Logs\xDB3.tmp
2005-01-25 11:47 2,914,816 ----a-w C:\WINNT\Internet Logs\xDB4.tmp
2005-01-24 10:26 439 ----a-w C:\Programme\INSTALL.LOG
2005-01-16 21:59 412,160 ----a-w C:\WINNT\Internet Logs\xDB2.tmp
2005-01-16 00:09 68,608 ----a-w C:\WINNT\Internet Logs\xDB1.tmp
2005-01-13 02:18 271 ---h--w C:\Programme\desktop.ini
2005-01-13 02:18 22,080 ---h--w C:\Programme\folder.htt
1999-12-10 12:00 32,528 ----a-w C:\WINNT\inf\wbfirdma.sys
.

------- Sigcheck -------

29.08.02 10:32 590848 5a51de5ace95dbea11cb7dd7f2d6a7f7 C:\WINNT\$NtUninstallKB889293-IE6SP1-20041111.235619$\wininet.dll
19.06.03 21:05 471312 c4a59339a1dec51eaba59fb22c1143cd C:\WINNT\ServicePackFiles\i386\wininet.dll
11.11.04 20:50 594432 256d8067da3adde7b53d46c82b2ef262 C:\WINNT\system32\WININET.DLL
11.11.04 20:50 594432 256d8067da3adde7b53d46c82b2ef262 C:\WINNT\system32\dllcache\WININET.DLL
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [04.09.07 23:40 6856704]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"SWHelper"="C:\WINNT\system32\Macromed\Shockwave 10\PostUpdate.exe" [27.01.08 15:31 53248]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [19.06.03 21:05 112400 C:\WINNT\system32\mobsync.exe]
"CloneCDElbyCDFL"="d:\CloneCD\ElbyCheck.exe" [06.12.01 14:09 45056]
"NeroCheck"="C:\WINNT\system32\NeroCheck.exe" [09.07.01 11:50 155648]
"ShStatEXE"="D:\VirusScan\SHSTAT.exe" [ ]
"ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe" [11.11.03 11:42 229443]
"Zone Labs Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [29.08.05 19:09 980736]
"Mirabilis ICQ"="C:\PROGRA~1\ICQ\ICQNet.exe" [14.10.03 18:36 38984]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [25.01.05 13:42 180269]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_01\bin\jusched.exe" [06.12.04 21:31 36975]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [21.10.07 15:18 249896]
"AAWTray"="D:\adaware\AAWTray.exe" [08.08.07 15:53 88024]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe" [19.06.03 21:05 189712]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - D:\Adobe\adobe acrobat 7.0\Reader\reader_sl.exe [2004-12-14 04:44:06 29696]
Kabellosen Labtec-Desktop aktivieren.lnk - D:\treiber_mousetasta\MagicKey.exe [2008-04-05 21:30:33 258048]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.lhacm"= lhacm.acm
"aux"= mmdrv.dll
"wave3"=
"wave4"=
"wave5"=
"wave6"=
"wave7"=
"wave8"=
"wave9"=
"midi3"=
"midi4"=
"midi5"=
"midi6"=
"midi7"=
"midi8"=
"midi9"=
"aux3"=
"aux4"=
"aux5"=
"aux6"=
"aux7"=
"aux8"=
"aux9"=
"mixer3"=
"mixer4"=
"mixer5"=
"mixer6"=
"mixer7"=
"mixer8"=
"mixer9"=
"VIDC.WMV3"= wmv9vcm.dll

R0 avgntmgr;avgntmgr;C:\WINNT\system32\drivers\avgntmgr.sys [08.09.07 13:51 ]
R1 avgntdd;avgntdd;C:\WINNT\system32\DRIVERS\avgntdd.sys [08.09.07 13:51 ]
R1 kbfilter;Keyboard Filter Driver;C:\WINNT\system32\drivers\kbfilter.sys [27.03.03 13:55 ]
R1 moufiltr;Mouse Filter Driver;C:\WINNT\system32\drivers\moufiltr.sys [23.01.03 15:29 ]
R2 AdminSVCff;WEB.DE Firefox Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de Firefox\adminsvcff.exe [25.10.06 11:43 ]
R3 S6U12Scanner;1200 CU Still Image Device Service;C:\WINNT\system32\drivers\usbscan.sys [19.06.03 21:05 ]
R3 TDSLAdapter;T-DSL-Adapter (T-Online);C:\WINNT\system32\DRIVERS\TDSLAdap.sys [12.02.01 21:02 ]
S1 sglfb;sglfb;C:\WINNT\system32\drivers\sglfb.sys [10.12.99 14:00 ]
S3 TDSLProtocol;T-DSL-Protocol (T-Online);C:\WINNT\system32\DRIVERS\TDSLProt.sys [12.02.01 21:02 ]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-06 17:33:08
Windows 5.0.2195 Service Pack 4 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 06.04.2008 17:34:37
ComboFix-quarantined-files.txt 2008-04-06 15:33:43
8 Verzeichnis(se), 3,729,985,536 Bytes frei
12 Verzeichnis(se), 3,722,899,456 Bytes frei


na hoffentlich hat das was genutzt... :-(

lg, DraengelEngel

#6 ««
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe
Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move

Zitat

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ba21aot2.exe

Klicke auf den Roten MoveIt!


----------------------------------------------------

««
scanne mit Kaspersky - VirusRemoval Tool (am besten im abgesicherten modus)
poste den report
http://virus-protect.org/artikel/tools/kaspersky.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 OTMoveIt brachte folgendes ergebnis:

File/Folder C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\ba21aot2.exe not found.

OTMoveIt2 by OldTimer - Version 1.0.4.0 log created on 04062008_201255

____________________________

Kaspersky-Scan

report sehr groß: 38,5MB. wohin senden? geht laut euren bestimmungen nicht hochzuladen, da nur 8,5MB erlaubt sind.

zwei objekte gefunde und "deleted"

hier der anfang:
Scan
----
Scanned: 331469
Detected: 2
Untreated: 0
Start time: 06.04.2008 20:53:30
Duration: 05:58:48
Finish time: 07.04.2008 02:52:18


Detected
--------
Status Object
------ ------
deleted: Trojan program Backdoor.Win32.PoeBot.b File: D:\SDFix\SDFix\backups\TFTP708
deleted: adware not-a-virus:AdWare.Win32.Trymedia.b File: D:\yahoo\ZumaDESetup-dm.exe


lg, DraengelEngel

#8 Hallo,

«
lösche : D:\SDFix\SDFix\backups + Papierkorb leeren
lösche den Bericht (Kaspersky), du hast ja gepostet, was ich wissen wollte

«
lade sdfix auf C:\ + noch mal anwenden + Report posten
http://virus-protect.org/artikel/tools/sdfix.html

«
scanne mit Bitdefender + poste den Report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 SDFix

es kam wieder oben genannte fehlermeldung, dass assosfix.reg net geöffnet werden konnte. :-(

SDFix: Version 1.167
Run by Administrator on Mo 07.04.2008 at 14:05

Microsoft Windows 2000 [Version 5.00.2195]
Running From: C:\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1351.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-07 14:13:09
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\Vid_0d8c&Pid_000c&Mi_00\7&1cffbf1d&0&0\Device Parameters]
"HWRevision?U\x2039ì\x81ìÌ?"="100"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB\Vid_0d8c&Pid_000c&Mi_00\7&6d85660&0&0\Device Parameters]
"HWRevision?U\x2039ì\x81ìÌ?"="100"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USB\Vid_0d8c&Pid_000c&Mi_00\7&1cffbf1d&0&0\Device Parameters]
"HWRevision?U\x2039ì\x81ìÌ?"="100"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\USB\Vid_0d8c&Pid_000c&Mi_00\7&6d85660&0&0\Device Parameters]
"HWRevision?U\x2039ì\x81ìÌ?"="100"

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :



Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Sun 10 Jun 2007 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sat 13 Nov 2004 37,376 ...H. --- "C:\Programme\Gemeinsame Dateien\Adobe\ESD\DLMCleanup.exe"
Wed 23 Feb 2005 366,080 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL0043.tmp"
Wed 23 Feb 2005 28,160 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL0334.tmp"
Wed 23 Feb 2005 164,352 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL0356.tmp"
Wed 23 Feb 2005 363,520 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL0407.tmp"
Wed 23 Feb 2005 26,624 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL0975.tmp"
Wed 23 Feb 2005 365,568 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL1086.tmp"
Wed 23 Feb 2005 25,600 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL1189.tmp"
Wed 23 Feb 2005 57,856 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL1351.tmp"
Wed 23 Feb 2005 370,688 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL1481.tmp"
Wed 23 Feb 2005 19,968 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL1745.tmp"
Wed 23 Feb 2005 359,936 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL2077.tmp"
Wed 23 Feb 2005 366,080 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL2894.tmp"
Wed 23 Feb 2005 359,424 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL2903.tmp"
Wed 23 Feb 2005 23,552 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Microsoft\Word\~WRL3780.tmp"
Sun 10 Jun 2007 4,348 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1key.bak"
Sun 10 Jun 2007 20 A..H. --- "C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv1lic.bak"
Sun 10 Jun 2007 400 ...H. --- "C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2key.bak"
Sun 10 Jun 2007 1,536 A..H. --- "C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Eigene Musik\Lizenzsicherung\drmv2lic.bak"

Finished!

________________________
Bitdefender folgt

#10 o.k. poste noch das log von Bitdefender, lösche die backups von sdfix.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 bitdefender

BitDefender Online Scanner - Real Time Virus Report

Generated at: Mon, Apr 07, 2008 - 16:38:30

Scan Info

Scanned Files

141123

Infected Files


1


Virus Detected

Adware.Winad.CY


1

This summary of the scan process will be used by the BitDefender Antivirus Lab to create agregate statistics about virus activity around the world.

#12 nun gut, belassen wir es dabei
Wenn du sensible Daten auf dem Rechner hast, onlinebanking machst usw... formatiere bei Gelegenheit. (trotz Reinigung)
Alles Gute
__________
MfG Sabina

rund um die PC-Sicherheit

#13 hm, das bedeutet jetzt was?
ist mein rechner wieder clean?

wie vermeid ich künftig solch "verseuchung"?

mfg und danke, DraengelEngel

#14 das bedeutet, dass der Rechner zwar clean ist...aber kompromitiert ...geöffnete Ports und vielelicht auch Malware, die weder ich noch die Proggies erwischt haben.
Deshalb meinte ich, dass du formatieren sollst, falls du sensible Dinge im Internet machst (Onlinebanking usw.)

vermeiden ? nun, immer alle WindowsUpdates machen .. wie der Rechner trotz Antivirus so verseucht sein konnte, mit einem Netzwerkwurm, ist mir auch nicht so recht klar.

schliesse noch einige Ports, die anfällig sind:
Windows Worms Doors Cleaner
http://virus-protect.org/windsdoorcleaner.html

--
__________
MfG Sabina

rund um die PC-Sicherheit