Zwei BS:Windows xp Prof und Win XP Home Edi auf C, Important potential Errors in

#1 Hallo, ich lese mir gerade zum Thema vom 19.01. und neuest von ZORREN durch.
Bei mir auf dem Laptop ist mein Sohn mit registriert, der konnte dann (jan/Feb) nicht mehr hochfahren und hat irgendwie Windows XP professional dazu zur XP-Home- Installation auf C installiert.
Danach kam dieser KERNEL 1256...NOT HANDLED Error sowie der 'during the scan....potential Error...system registry..p-07-0100 irql: 1f SYSVER 0xff00024 '
Zuerst wollte ich die Zweit-XP-Installation rückgängig machen, weil ich annahm, davon kommt der potential Error. Dazu sagte man ich soll die boot.ini auf mein gewolltes Betriebssystem reduzieren und das 2. Windows in C weglöschen. Dachte aber, das kann es wohl nicht sein.
Jetzt heißt es es sind Trojaner. Habe das CCleaner Programm aber noch nicht die Registry- Fehler gelöscht. Sollte ich das tuen?
Die Systemwiederherstellung geht nicht vor April.
Wie gesagt, es sollte dann XP Home wieder laufen. Dort ist ein rotes Kreuz im Explorer bei C davor und WINDOWS und WINDOWS2.
Kann mir hier bitte jemand helfen?

#2 Hallo Steffi87

Arbeite einmal das hier ab:
http://board.protecus.de/t23188.htm

Gruss Swiss

#3 Habe den Link gelesen und einen neuen Thread erstellt unter Viren und Trojaner... und die Programme runtergeladen. Ich komme erst gegen 16 uhr wieder an den Laptop, um die Programme evtl durchzuführen.
Danke vorerst.

Ich soll hier weiter posten.

Hier die genauere Beschreibung des Problems:

Mein Laptop hat als BS Windows XP Home edition. Im Januar/ Feb ließ er sich nicht mehr starten, es wurde XP Profess. dazu auf C installiert. Seitdem treten beim Hochfahren des PC mit der alten XP Home Edi. zwei bedeutende Fehler auf:

During a scan of files at system startup, potential errors in the system registry were found.
P-07-0100 irql: 1f SYSVER 0xff00024
NT_Kernel error 1256
KMODE_EXCEPTION_NOT_HANDLED

und:

A potential problem has been detected and Windows has been shutdown buggy apllication to prevent damage to your computer.
****WXYZ.SYS-Address F73120AE base at C00000, Date Stamp 36b072A3
Kernel Debugger Using Com2(Port 0x28f, Baud rate 1920000)

(Die letzte Zeile kann auch etwas anders sein.)
Dieselben Fehler habe ich im Thread von FlemmingMo am 21.1.2008 nachgelesen.
Der PC arbeitet generell nurnoch sehr langsam und frist sich fest.

Im Explorer ist das LW C mit einem roten X versehen, es existieren die Ordner WINDOWS und WINDWS2.
Systemwiederherstellung geht nicht vor April.

1. Wie entferne ich das Win XP Prof.?
2. im CCleaner der Punkt Registry, gefundene Fehler, einfach unbesehen löschen??
3. ich bin ab 16:00 am PC

So, habe den Zettel abgearbeitet.
hier die logs:
1. Combofix:
ComboFix 08-04-09.8 - Mutti 2008-04-10 17:32:59.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.100 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Mutti\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Da CHEF\Anwendungsdaten\APPATC~1
C:\Dokumente und Einstellungen\Da CHEF\Anwendungsdaten\APPATC~1\A?pPatch\
C:\Dokumente und Einstellungen\Da CHEF\Anwendungsdaten\APPATC~1\javaw .exe
C:\Dokumente und Einstellungen\Da CHEF\Anwendungsdaten\APPATC~1\javaw.exe
C:\Dokumente und Einstellungen\Da CHEF\Anwendungsdaten\WinTouch
C:\Dokumente und Einstellungen\Da CHEF\Anwendungsdaten\WinTouch\wintouch.cfg
C:\Dokumente und Einstellungen\Da CHEF\Anwendungsdaten\WinTouch\WTUninstaller.exe
C:\Dokumente und Einstellungen\Da CHEF\Startmenü\Programme\Outerinfo
C:\Dokumente und Einstellungen\Da CHEF\Startmenü\Programme\Outerinfo\Terms.lnk
C:\Dokumente und Einstellungen\Da CHEF\Startmenü\Programme\Outerinfo\Uninstall.lnk
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\domains.txt
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon\log.txt
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AvRack\zysigyqoh.dll
C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Dot1XCfg\Dot1XCfg.exe
C:\Programme\inetget2
C:\Programme\MicroStar\vihymip4444.dll
C:\Programme\MicroStar\vihymip83122.dll
C:\Programme\MSI\System Control Manager\MGSysCtrl.exe
C:\Programme\network monitor
C:\Programme\network monitor\netmon.exe
C:\Programme\outerinfo
C:\Programme\outerinfo\FF\chrome.manifest
C:\Programme\outerinfo\FF\components\FF.dll
C:\Programme\outerinfo\FF\components\OuterinfoAds.xpt
C:\Programme\outerinfo\FF\install.rdf
C:\Programme\outerinfo\Terms.rtf
C:\Programme\Router
C:\Programme\Router\Router .exe
C:\Programme\Router\UnInstall.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Temporary
C:\Programme\Temporary\kernInst.exe
C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\WINDOWS\BM37973411.xml
C:\WINDOWS\fnts~1
C:\WINDOWS\fnts~1\w?nspool.exe
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\amvdstpq.dll
C:\WINDOWS\system32\bccdd.ini
C:\WINDOWS\system32\bccdd.ini2
C:\WINDOWS\system32\cixdwqqb.dll
C:\WINDOWS\system32\ckflmwla.dll
C:\WINDOWS\system32\csbvsvap.dll
C:\WINDOWS\system32\ddccb.dll
C:\WINDOWS\system32\ddccb.exe
C:\WINDOWS\system32\djgwolvb.exe
C:\WINDOWS\system32\fccbyxu.dll
C:\WINDOWS\system32\hgggghh.dll
C:\WINDOWS\system32\irxjxtow.dll
C:\WINDOWS\system32\iysnufuo.dll
C:\WINDOWS\system32\lpvglxdx.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\oufunsyi.ini
C:\WINDOWS\system32\pac.txt
C:\WINDOWS\system32\q1
C:\WINDOWS\system32\q1\oedvers112.exe
C:\WINDOWS\system32\qwigywho.dll
C:\WINDOWS\system32\qynmlmze.dll
C:\WINDOWS\system32\windows
C:\WINDOWS\system32\yfirjotn.ini
C:\WINDOWS\tk58.exe
C:\WINDOWS\TTC-4444.exe
C:\WINDOWS\TXV0dGk\
C:\WINDOWS\TXV0dGk\\asappsrv.dll
C:\WINDOWS\TXV0dGk\\command.exe
C:\WINDOWS\TXV0dGk\\nrpXx34.vbs
C:\WINDOWS\TXV0dGk\command.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CMDSERVICE
-------\Legacy_NETWORK_MONITOR
-------\Service_cmdService
-------\Service_Network Monitor
-------\Legacy_MSControlService
-------\MSControlService


((((((((((((((((((((((( Dateien erstellt von 2008-03-10 bis 2008-04-10 ))))))))))))))))))))))))))))))
.

2008-04-09 19:49 . 2008-04-09 19:49 3,648 --a------ C:\WINDOWS\system32\xnqqniwa.dll
2008-04-06 18:22 . 2008-04-06 18:22 <DIR> d-------- C:\Programme\CCleaner
2008-04-02 19:42 . 2004-08-04 14:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\msir3jp.lex
2008-04-02 19:41 . 2004-08-04 14:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-04-02 19:40 . 2004-08-04 14:00 1,677,824 --a--c--- C:\WINDOWS\system32\dllcache\chsbrkr.dll
2008-04-02 19:36 . 2008-04-02 19:36 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-04-02 19:36 . 2008-04-02 19:36 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-04-02 19:36 . 2008-04-02 19:36 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-04-02 19:36 . 2008-04-02 19:36 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-04-02 19:36 . 2008-04-02 19:36 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-04-02 19:35 . 2004-08-04 14:00 16,384 --a--c--- C:\WINDOWS\system32\dllcache\isignup.exe
2008-04-02 19:10 . 2004-08-04 14:00 13,824 --a------ C:\WINDOWS\system32\irclass.dll
2008-04-02 19:10 . 2004-08-04 14:00 13,824 --a--c--- C:\WINDOWS\system32\dllcache\irclass.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-10 15:38 --------- d-----w C:\Programme\MicroStar
2008-04-10 15:38 --------- d-----w C:\Programme\Dot1XCfg
2008-04-10 15:38 --------- d-----w C:\Programme\AvRack
2008-04-10 15:22 --------- d-----w C:\Programme\StarOffice7
2008-04-10 15:20 38,400 ----a-w C:\WINDOWS\mrofinu572.exe
2008-04-10 15:20 377,856 ----a-w C:\WINDOWS\mrofinu572.exe.tmp
2008-02-17 12:05 --------- d-----w C:\Dokumente und Einstellungen\Da CHEF\Anwendungsdaten\ICQ
2008-01-15 22:08 10 ----a-w C:\Programme\.autoreg
2008-01-15 21:59 36,864 ----a-w C:\WINDOWS\mrofinu1000106.exe
2008-01-15 21:58 41,723 --sha-w C:\Programme\Gemeinsame Dateien\Yazzle1281OinUninstaller.exe
2008-01-11 08:41 53,760 ----a-w C:\WINDOWS\b122.exe
2007-11-19 21:53 145,920 --sha-w C:\Programme\Gemeinsame Dateien\Yazzle1281OinAdmin.exe
.

Code

<pre>
----a-w           339,968 2008-04-10 15:20:15  C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx .exe
----a-w         1,953,887 2008-04-10 15:21:02  C:\Programme\CyberLink\Power2Go\Power2GoExpress .exe
----a-w            32,768 2008-04-10 15:20:25  C:\Programme\CyberLink\PowerDVD\PDVDServ .exe
----a-w            61,440 2008-02-17 12:04:53  C:\Programme\Dot1XCfg\Dot1XCfg .exe
----a-w           159,744 2008-04-10 15:20:23  C:\Programme\MSI\System Control Manager\MGSysCtrl .exe
----a-w           606,208 2008-04-10 15:20:20  C:\Programme\Synaptics\SynTP\SynTPEnh .exe
----a-w           102,400 2008-04-10 15:20:17  C:\Programme\Synaptics\SynTP\SynTPLpr .exe
----a-w           155,648 2008-04-10 15:20:29  C:\WINDOWS\system32\NeroCheck .exe
</pre>

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E28FAD42-67F7-3D0A-DC28-4CE675810DC4}]
2007-11-01 15:44 60928 --a------ C:\WINDOWS\system32\jzjrnw.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"Power2GoExpress"="C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe" [ ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [ ]
"AGRSMMSG"="AGRSMMSG.exe" [2005-10-25 04:09 88201 C:\WINDOWS\AGRSMMSG.exe]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [ ]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [ ]
"MGSysCtrl"="C:\Programme\MSI\System Control Manager\MGSysCtrl.exe" [ ]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [ ]
"Device Detector"="DevDetect.exe" []
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [ ]
"SoundMan"="SOUNDMAN.EXE" [2005-10-25 04:09 77824 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\fccbyxu]
fccbyxu.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"D:\\Programme\\Atari\\Act of War - Direct Action\\ACTOFWAR.EXE"=
"C:\\Dokumente und Einstellungen\\Da CHEF\\Desktop\\Stefan\\VisualBoyAdvance.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R0 O2MDRDR;O2MDRDR;C:\WINDOWS\system32\DRIVERS\o2media.sys [2005-03-16 00:47]
R0 O2SDRDR;O2SDRDR;C:\WINDOWS\system32\DRIVERS\o2sd.sys [2005-03-15 19:48]
R2 AVWUpSrv;AntiVir Update;"C:\Programme\AVPersonal\AVWUPSRV.EXE" [2004-09-30 10:10]
R3 avgntdd;avgntdd;C:\Programme\AVPersonal\AVGNTDD.SYS [2004-10-13 18:12]
R3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2005-07-12 22:58]
S3 MGHwCtrl;MGHwCtrl;C:\WINDOWS\System32\Drivers\MGHwCtrl.sys [2005-12-14 09:39]

.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-10 17:41:28
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WinZip\WZQKPICK.EXE
C:\Programme\MicroStar\WLANUtility\WlanUtility.exe
C:\PROGRA~1\Webshots\Webshots.scr
C:\Programme\StarOffice7\program\soffice.exe
C:\Programme\MicroStar\WLANUtility\WLAN_Service.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-10 17:43:49 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-10 15:43:43
16 Verzeichnis(se), 14,464,925,696 Bytes frei
20 Verzeichnis(se), 15,133,347,840 Bytes frei
.
2008-04-10 15:24:05 --- E O F ---


2. Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:55:27, on 10.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\WINDOWS\system32\o2flash.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\DE\DevDetect.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WinZip\WZQKPICK.EXE
C:\Programme\MicroStar\WLANUtility\WlanUtility.exe
C:\PROGRA~1\Webshots\Webshots.scr
C:\Programme\StarOffice7\program\soffice.exe
C:\Programme\MicroStar\WLANUtility\WLAN_Service.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\WinRAR\WinRAR.exe
C:\HijackThis\HJTs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.webshots.com/r/internal/start/client/RAND
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {E28FAD42-67F7-3D0A-DC28-4CE675810DC4} - C:\WINDOWS\system32\jzjrnw.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Programme\MSI\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Device Detector] DevDetect.exe -autorun
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Power2GoExpress] "C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe" /Startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe (User 'Default user')
O4 - Startup: StarOffice 7.lnk = C:\Programme\StarOffice7\program\quickstart.exe
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\WinZip\WZQKPICK.EXE
O4 - Global Startup: WlanUtility.lnk = C:\Programme\MicroStar\WLANUtility\WlanUtility.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O20 - Winlogon Notify: fccbyxu - fccbyxu.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe

--
End of file - 5785 bytes

3. datfindbat:
Bitte nur die Eintraege der letzten 3 Monate pro Ordner posten
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 34A4-0722

Verzeichnis von C:\WINDOWS\system32

10.04.2008 17:32 19.136 qynmlmze.dllbox
10.04.2008 17:21 20.096 MGHwTemp.sys
10.04.2008 17:20 155.648 NeroCheck .exe
09.04.2008 19:49 3.648 xnqqniwa.dll
09.04.2008 19:34 12.598 wpa.dbl
02.04.2008 19:50 319.004 perfh007.dat
02.04.2008 19:50 41.166 perfc009.dat
02.04.2008 19:50 313.372 perfh009.dat
02.04.2008 19:50 49.440 perfc007.dat
02.04.2008 19:50 728.854 PerfStringBackup.INI
02.04.2008 19:46 725.504 FNTCACHE.DAT
02.04.2008 19:44 288 $winnt$.inf
02.04.2008 19:39 16.832 amcompat.tlb
02.04.2008 19:39 23.392 nscompat.tlb
02.04.2008 19:36 488 WindowsLogon.manifest
02.04.2008 19:36 488 logonui.exe.manifest
02.04.2008 19:36 749 nwc.cpl.manifest
02.04.2008 19:36 749 sapi.cpl.manifest
02.04.2008 19:36 749 wuaucpl.cpl.manifest
02.04.2008 19:36 749 cdplayer.exe.manifest
02.04.2008 19:36 749 ncpa.cpl.manifest
02.04.2008 19:34 22.992 emptyregdb.dat
16.01.2008 00:00 2 wnstsisv32.exe
15.01.2008 23:59 687.592 atmtd.dll
15.01.2008 23:59 687.592 atmtd.dll._
01.11.2007 15:44 60.928 jzjrnw.dll
30.09.2007 11:55 249.852 TZLog.log

03.12.1996 14:50 37.376 VEN2232.OLB
1934 Datei(en) 392.577.016 Bytes
0 Verzeichnis(se), 15.145.648.128 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 34A4-0722

Verzeichnis von C:\DOKUME~1\Mutti\LOKALE~1\Temp

10.04.2008 17:58 94.646 datfind.txt
1 Datei(en) 94.646 Bytes
0 Verzeichnis(se), 15.145.680.896 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 34A4-0722

Verzeichnis von C:\WINDOWS

10.04.2008 17:42 9.629 KB922819.log
10.04.2008 17:42 9.475 KB918118.log
10.04.2008 17:41 227 system.ini
10.04.2008 17:40 0 0.log
10.04.2008 17:40 159 wiadebug.log
10.04.2008 17:40 1.412.235 WindowsUpdate.log
10.04.2008 17:40 50 wiaservc.log
10.04.2008 17:40 2.048 bootstat.dat
10.04.2008 17:28 120 setupact.log
10.04.2008 17:25 0 setuperr.log
10.04.2008 17:22 1.264 setupapi.log
10.04.2008 17:21 3.825 BM37973411.txt
10.04.2008 17:20 38.400 mrofinu572.exe
10.04.2008 17:20 377.856 mrofinu572.exe.tmp

02.04.2008 19:39 316.640 WMSysPr9.prx
02.04.2008 19:38 4.161 ODBCINST.INI
02.04.2008 19:36 749 WindowsShell.Manifest
02.04.2008 19:35 603 win.ini
02.04.2008 18:48 1.006.636 setupapi.old
02.04.2008 18:38 400 ODBC.INI
30.03.2008 13:10 525 wincmd.ini
15.01.2008 23:59 36.864 mrofinu1000106.exe
11.01.2008 10:41 53.760 b122.exe
11.12.2007 14:11 96.256 b151.exe
03.11.2007 21:48 131 chess.ini
03.11.2007 21:41 20 entpack.ini
01.11.2007 11:23 229.376 b128.exe
31.10.2007 23:12 2.563.254 ACD Hintergrund.bmp
11.07.2007 09:29 22.016 b138.exe
25.04.2007 19:57 0 OpPrintServer.INI
26.03.2007 22:12 87 VCDWizardDLL.INI
11.02.2007 00:37 2.490 ModemLog_Bluetooth LAP Modem.txt
11.02.2007 00:37 2.490 ModemLog_Bluetooth LAP Modem #2.txt
01.11.2006 13:08 2.904 mozver.dat
31.10.2006 22:42 184 MAGIX.INI
30.10.2006 18:43 0 nsreg.dat

11.06.1999 14:18 28.252 corelpf.lrs
139 Datei(en) 14.139.467 Bytes
0 Verzeichnis(se), 15.145.676.800 Bytes frei
.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 34A4-0722

Verzeichnis von C:\WINDOWS\temp

.
.
.
Datentr„ger in Laufwerk C: ist Windows
Volumeseriennummer: 34A4-0722

Verzeichnis von C:\WINDOWS\Downloaded Program Files

02.04.2008 19:36 65 desktop.ini
09.11.2006 15:36 5.019 swflash.inf
2 Datei(en) 5.084 Bytes
0 Verzeichnis(se), 15.145.672.704 Bytes frei
.
.
.

Ich wundere mich, daß der Laptop so lange reagiert.
Ich sitze morgen ab 16:00 wieder hier, um den Laptop evtl. mit eurer Hilfe wiederherzustellen.

Schonmal danke im Voraus,
Steffi

#4 Hallo Steffi
irgendwie habe ich den thread nicht gesehen...bist du noch an einer Reinigung interessiert oder hast du formatiert ?
(Rechner ist völlig verseucht)
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hallo Sabina,

danke für die Nachfrage. Ich hatte die drei Sachen wie oben aufgeführt erledigt und die logs hier eingefügt.

Danach waren dann schon die Fehlermeldungen nicht mehr gekommen. Ich denke, das vorrangige Problem ist erstmal beseitigt. Kann das sein?

Der Laptop hat nun nurnoch die zwei in C installierten Windows XP und das rote x im Explorer bei LW C.
Die boot.ini bekomme ich nicht geändert, die ist ausgegraut.

Weist du dafür was?

Gruß Steffi

PS. die log - Files oben sollten evtl wieder rausgelöscht werden hier...

#6 Hallo,

1.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked.

Zitat

O2 - BHO: (no name) - {E28FAD42-67F7-3D0A-DC28-4CE675810DC4} - C:\WINDOWS\system32\jzjrnw.dll

O20 - Winlogon Notify: fccbyxu - fccbyxu.dll (file missing)

PC neustarten

2.
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\WINDOWS\BM37973411.txt
C:\WINDOWS\mrofinu572.exe
C:\WINDOWS\mrofinu572.exe.tmp
C:\WINDOWS\mrofinu1000106.exe
C:\WINDOWS\b122.exe
C:\WINDOWS\b151.exe
C:\WINDOWS\b128.exe
C:\WINDOWS\b138.exe
C:\WINDOWS\system32\jzjrnw.dll
C:\WINDOWS\system32\qynmlmze.dllbox
C:\WINDOWS\system32\xnqqniwa.dll
C:\WINDOWS\system32\wnstsisv32.exe
C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll._
C:\WINDOWS\system32\jzjrnw.dll

Klicke auf den Roten MoveIt!

---------------

3.
lade renvexe
http://virus-protect.org/artikel/tools/renvexe.html

anwenden + poste den report, der erscheint



dann ziehe die erstellte Textdatei auf renv.exe + wende renv.exe noch mal an

4.
lade combofix, Warnmeldung wegklicken, scanne + poste hier den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

habe 1. HighJackThis erledigt;
Neustart;

dann bei 2. OTmoveit2 kam bei der Datei: C:\WINDOWS\system32\atmtd.dll

dies ist keine gültige Windows Datei bitte mit der Install.-Diskette überprüfen.

hab ich ok gedrückt. results erscheinen....
results otmoveit:

C:\WINDOWS\BM37973411.txt moved successfully.
C:\WINDOWS\mrofinu572.exe moved successfully.
C:\WINDOWS\mrofinu572.exe.tmp moved successfully.
C:\WINDOWS\mrofinu1000106.exe moved successfully.
C:\WINDOWS\b122.exe moved successfully.
C:\WINDOWS\b151.exe moved successfully.
C:\WINDOWS\b128.exe moved successfully.
C:\WINDOWS\b138.exe moved successfully.
File/Folder C:\WINDOWS\system32\jzjrnw.dll not found.
C:\WINDOWS\system32\qynmlmze.dllbox moved successfully.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\xnqqniwa.dll
C:\WINDOWS\system32\xnqqniwa.dll NOT unregistered.
C:\WINDOWS\system32\xnqqniwa.dll moved successfully.
C:\WINDOWS\system32\wnstsisv32.exe moved successfully.
LoadLibrary failed for C:\WINDOWS\system32\atmtd.dll
C:\WINDOWS\system32\atmtd.dll NOT unregistered.
C:\WINDOWS\system32\atmtd.dll moved successfully.
C:\WINDOWS\system32\atmtd.dll._ moved successfully.
File/Folder C:\WINDOWS\system32\jzjrnw.dll not found.

OTMoveIt2 by OldTimer - Version 1.0.4.1 log created on 04162008_170502

---------------------------------

dann 3. renV.exe und 4. Combofix Report:

log.text renv:

Code

Ran on 16.04.2008 - 17:10:39,43

----a-w           339,968 2008-04-10 15:20:15  C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx .exe
----a-w         1,953,887 2008-04-10 15:21:02  C:\Programme\CyberLink\Power2Go\Power2GoExpress .exe
----a-w            32,768 2008-04-10 15:20:25  C:\Programme\CyberLink\PowerDVD\PDVDServ .exe
----a-w            61,440 2008-02-17 12:04:53  C:\Programme\Dot1XCfg\Dot1XCfg .exe
----a-w           159,744 2008-04-10 15:20:23  C:\Programme\MSI\System Control Manager\MGSysCtrl .exe
----a-w           606,208 2008-04-10 15:20:20  C:\Programme\Synaptics\SynTP\SynTPEnh .exe
----a-w           102,400 2008-04-10 15:20:17  C:\Programme\Synaptics\SynTP\SynTPLpr .exe
----a-w           155,648 2008-04-10 15:20:29  C:\WINDOWS\system32\NeroCheck .exe

 Entries:                8  (8)
 Directories:            0  Files:             8
 Bytes:          3,412,063  Blocks:        6,665

-----------------
nbr.2:

Code

Ran on 16.04.2008 - 17:18:07,06

 Entries:                0  (0)
 Directories:            0  Files:             0
 Bytes:                  0  Blocks:            0

-----------------------------------------

combofix report:

ComboFix 08-04-09.8 - Mutti 2008-04-16 17:19:19.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.149 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Mutti\Desktop\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Gemeinsame Dateien\Yazzle1281OinAdmin.exe
C:\Programme\Gemeinsame Dateien\Yazzle1281OinUninstaller.exe
C:\WINDOWS\uninstall_nmon.vbs

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-16 bis 2008-04-16 ))))))))))))))))))))))))))))))
.

2008-04-16 17:18 . 2008-04-10 17:20 155,648 --a------ C:\WINDOWS\system32\NeroCheck.exe
2008-04-16 17:05 . 2008-04-16 17:05 <DIR> d-------- C:\_OTMoveIt
2008-04-16 16:59 . 2008-04-16 16:59 <DIR> d-------- C:\WINDOWS\LastGood
2008-04-10 17:51 . 2008-04-10 17:53 <DIR> d-------- C:\HijackThis
2008-04-06 18:22 . 2008-04-06 18:22 <DIR> d-------- C:\Programme\CCleaner
2008-04-02 19:42 . 2004-08-04 14:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\msir3jp.lex
2008-04-02 19:41 . 2004-08-04 14:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-04-02 19:40 . 2004-08-04 14:00 1,677,824 --a--c--- C:\WINDOWS\system32\dllcache\chsbrkr.dll
2008-04-02 19:36 . 2008-04-02 19:36 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2008-04-02 19:36 . 2008-04-02 19:36 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-04-02 19:36 . 2008-04-02 19:36 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2008-04-02 19:36 . 2008-04-02 19:36 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2008-04-02 19:36 . 2008-04-02 19:36 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-04-02 19:35 . 2004-08-04 14:00 16,384 --a--c--- C:\WINDOWS\system32\dllcache\isignup.exe
2008-04-02 19:10 . 2004-08-04 14:00 13,824 --a------ C:\WINDOWS\system32\irclass.dll
2008-04-02 19:10 . 2004-08-04 14:00 13,824 --a--c--- C:\WINDOWS\system32\dllcache\irclass.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-16 15:18 --------- d-----w C:\Programme\Dot1XCfg
2008-04-16 14:58 --------- d-----w C:\Programme\StarOffice7
2008-04-16 14:42 --------- d-----w C:\Programme\AVPersonal
2008-04-10 15:38 --------- d-----w C:\Programme\MicroStar
2008-04-10 15:38 --------- d-----w C:\Programme\AvRack
2008-04-10 15:21 20,096 ----a-w C:\WINDOWS\system32\MGHwTemp.sys
2008-02-17 12:05 --------- d-----w C:\Dokumente und Einstellungen\Da CHEF\Anwendungsdaten\ICQ
2008-01-15 22:08 10 ----a-w C:\Programme\.autoreg
.

((((((((((((((((((((((((((((( snapshot@2008-04-10_17.43.33.51 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-10 15:39:24 53,248 ----a-w C:\WINDOWS\PSEXESVC.EXE
+ 2008-04-16 15:20:13 53,248 ----a-w C:\WINDOWS\PSEXESVC.EXE
+ 2008-04-16 14:46:12 8,150 ----a-w C:\WINDOWS\SoftwareDistribution\EventCache\{1B1C35A1-46D0-4421-B702-0997C8BA952B}.bin
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"Power2GoExpress"="C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe" [2008-04-10 17:21 1953887]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2008-04-10 17:20 339968]
"AGRSMMSG"="AGRSMMSG.exe" [2005-10-25 04:09 88201 C:\WINDOWS\AGRSMMSG.exe]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2008-04-10 17:20 102400]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2008-04-10 17:20 606208]
"MGSysCtrl"="C:\Programme\MSI\System Control Manager\MGSysCtrl.exe" [2008-04-10 17:20 159744]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2008-04-10 17:20 32768]
"Device Detector"="DevDetect.exe" []
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2008-04-10 17:20 155648]
"SoundMan"="SOUNDMAN.EXE" [2005-10-25 04:09 77824 C:\WINDOWS\SOUNDMAN.EXE]
"AVGCtrl"="C:\Programme\AVPersonal\AVGNT.exe" [2004-09-30 10:10 127016]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

C:\WINDOWS\system32\config\systemprofile\Startmen�\Programme\Autostart\
StarOffice 7.lnk - C:\Programme\StarOffice7\program\quickstart.exe [2003-11-01 08:01:00 122880]

C:\WINDOWS\system32\config\systemprofile\Startmen�\Programme\Autostart\
StarOffice 7.lnk - C:\Programme\StarOffice7\program\quickstart.exe [2003-11-01 08:01:00 122880]

C:\Dokumente und Einstellungen\Mutti\Startmen�\Programme\Autostart\
StarOffice 7.lnk - C:\Programme\StarOffice7\program\quickstart.exe [2003-11-01 08:01:00 122880]
Webshots.lnk - C:\Programme\Webshots\Launcher.exe [2006-10-30 19:47:05 45056]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 05:44:06 29696]
BlueSoleil.lnk - C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-06-15 18:47:10 1208320]
WinZip Quick Pick.lnk - C:\WinZip\WZQKPICK.EXE [2006-12-27 12:37:53 106561]
WlanUtility.lnk - C:\Programme\MicroStar\WLANUtility\WlanUtility.exe [2005-10-14 21:00:52 173056]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"D:\\Programme\\Atari\\Act of War - Direct Action\\ACTOFWAR.EXE"=
"C:\\Dokumente und Einstellungen\\Da CHEF\\Desktop\\Stefan\\VisualBoyAdvance.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R0 O2MDRDR;O2MDRDR;C:\WINDOWS\system32\DRIVERS\o2media.sys [2005-03-16 00:47]
R0 O2SDRDR;O2SDRDR;C:\WINDOWS\system32\DRIVERS\o2sd.sys [2005-03-15 19:48]
R2 AVWUpSrv;AntiVir Update;"C:\Programme\AVPersonal\AVWUPSRV.EXE" [2004-09-30 10:10]
R3 avgntdd;avgntdd;C:\Programme\AVPersonal\AVGNTDD.SYS [2004-10-13 18:12]
R3 PCASp50;PCASp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\PCASp50.sys [2005-07-12 22:58]
S3 MGHwCtrl;MGHwCtrl;C:\WINDOWS\System32\Drivers\MGHwCtrl.sys [2005-12-14 09:39]

.
**************************************************************************

catchme 0.3.1351 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-16 17:20:19
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-16 17:21:15
ComboFix-quarantined-files.txt 2008-04-16 15:20:52
ComboFix2.txt 2008-04-10 15:43:50
18 Verzeichnis(se), 14,983,397,376 Bytes frei
22 Verzeichnis(se), 14,973,865,984 Bytes frei
.
2008-04-11 16:42:48 --- E O F ---

So Sabina, bitte nochmal ansehen.

#8 Hallo,

««
Versteckte- und Systemdateien sichtbar machen
http://virus-protect.org/invisible.html

««
Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\NeroCheck.exe
C:\WINDOWS\system32\MGHwTemp.sys
C:\WINDOWS\system32\dllcache\msir3jp.lex
C:\WINDOWS\system32\dllcache\hwxjpn.dll
C:\WINDOWS\system32\dllcache\chsbrkr.dll

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

--------------------------------------------------------------------------
««
scanne, lasse entfernen, was gefunden wird + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hallo,

hier das Ergebnis der Datei 1

Datei NeroCheck.exe empfangen 2008.04.18 19:54:29 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.19.0 2008.04.18 -
AntiVir 7.8.0.8 2008.04.18 -
Authentium 4.93.8 2008.04.18 -
Avast 4.8.1169.0 2008.04.17 -
AVG 7.5.0.516 2008.04.18 -
BitDefender 7.2 2008.04.18 -
CAT-QuickHeal 9.50 2008.04.18 -
ClamAV 0.92.1 2008.04.18 -
DrWeb 4.44.0.09170 2008.04.18 -
eSafe 7.0.15.0 2008.04.17 -
eTrust-Vet 31.3.5709 2008.04.18 -
Ewido 4.0 2008.04.18 -
F-Prot 4.4.2.54 2008.04.18 -
F-Secure 6.70.13260.0 2008.04.18 -
FileAdvisor 1 2008.04.18 -
Fortinet 3.14.0.0 2008.04.18 -
Ikarus T3.1.1.26 2008.04.18 -
Kaspersky 7.0.0.125 2008.04.18 -
McAfee 5277 2008.04.18 -
Microsoft 1.3408 2008.04.18 -
NOD32v2 3038 2008.04.18 -
Norman 5.80.02 2008.04.18 -
Panda 9.0.0.4 2008.04.18 -
Prevx1 V2 2008.04.18 -
Rising 20.40.42.00 2008.04.18 -
Sophos 4.28.0 2008.04.18 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.18 -
TheHacker 6.2.92.282 2008.04.18 -
VBA32 3.12.6.4 2008.04.16 -
VirusBuster 4.3.26:9 2008.04.18 -
Webwasher-Gateway 6.6.2 2008.04.18 -
weitere Informationen
File size: 155648 bytes
MD5...: 3e4c03cefad8de135263236b61a49c90
SHA1..: 02ff27df6bdaec02b455dc611ef2d090fb8271d4
SHA256: 243201b64f4b60d55cdb1a3bf4b9aa60bc22eb8aca88e95042ee48ac5df5f397
SHA512: efc87263536d74fcb3f2e083c3815f688bfa89a0dcac80cc1d817576570d378b
2c6be6be716e7693a5ea8c61eaa27616627bf4242580a218fcf474a5ff6231e7
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x404138
timedatestamp.....: 0x3b497e70 (Mon Jul 09 09:50:40 2001)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x18252 0x19000 6.50 cca7a34ce2f936b8aa89688e7b3b60c0
.rdata 0x1a000 0x51de 0x6000 4.14 6a8278884469a9fcc3601c666fc054ea
.data 0x20000 0x7b70 0x4000 2.27 d52a42e0e61eb136a27c50df01a62283
.rsrc 0x28000 0x1038 0x2000 1.99 1458e8ef0834532911bb7b345177d3c7

( 6 imports )
> KERNEL32.dll: GetFullPathNameW, RtlUnwind, GetStartupInfoA, TerminateProcess, HeapFree, HeapAlloc, GetTimeZoneInformation, RaiseException, HeapReAlloc, HeapSize, Sleep, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, FlushFileBuffers, ExitProcess, SetHandleCount, GetCommandLineA, ReadFile, GetModuleHandleA, WritePrivateProfileStringW, HeapDestroy, HeapCreate, VirtualFree, LCMapStringA, LCMapStringW, VirtualAlloc, IsBadWritePtr, SetUnhandledExceptionFilter, GetCPInfo, IsBadReadPtr, IsBadCodePtr, GetACP, GetOEMCP, GetDriveTypeA, GetStringTypeA, GetStringTypeW, SetStdHandle, CompareStringA, CompareStringW, SetEnvironmentVariableA, lstrlenA, lstrlenW, InterlockedDecrement, InterlockedIncrement, FindNextFileW, lstrcpyW, FindFirstFileW, GetLastError, SetLastError, FindClose, GetCommandLineW, SetFilePointer, WriteFile, GetCurrentProcess, FreeLibrary, GetProcessVersion, LoadLibraryA, GetVersion, GlobalAddAtomW, GlobalFindAtomW, GetStdHandle, GetCurrentDirectoryW, GetProcAddress, ExpandEnvironmentStringsW, GetModuleHandleW, GetFileType, GetWindowsDirectoryW, GlobalFlags, lstrcmpiW, TlsGetValue, LocalReAlloc, TlsSetValue, GlobalReAlloc, GlobalHandle, GlobalUnlock, GlobalFree, TlsAlloc, LocalAlloc, CloseHandle, EnterCriticalSection, LeaveCriticalSection, DeleteCriticalSection, InitializeCriticalSection, FileTimeToLocalFileTime, FileTimeToSystemTime, lstrcpynW, lstrcatW, SetErrorMode, GetModuleFileNameW, GlobalLock, lstrcmpW, GlobalAlloc, GlobalDeleteAtom, GetCurrentThread, GetCurrentThreadId, LocalFree, MultiByteToWideChar, WideCharToMultiByte, GetEnvironmentVariableA, GetVersionExA, GetEnvironmentStrings, GetEnvironmentStringsW, GetVersionExW, InterlockedExchange
> USER32.dll: GetCapture, GetTopWindow, WinHelpW, CopyRect, GetClientRect, AdjustWindowRectEx, SetFocus, GetSysColor, MapWindowPoints, LoadIconW, ShowWindow, LoadCursorW, GetSysColorBrush, DestroyMenu, GetMenuItemID, GetDlgItem, DefWindowProcW, DestroyWindow, CreateWindowExW, SetPropW, GetPropW, CallWindowProcW, RegisterClassW, GetClassInfoW, GetMessagePos, GetForegroundWindow, SetForegroundWindow, SetWindowLongW, GetSubMenu, RegisterWindowMessageW, SystemParametersInfoW, IsIconic, GetWindowPlacement, GetSystemMetrics, GrayStringW, DrawTextW, TabbedTextOutW, ReleaseDC, GetDC, GetMenuItemCount, UnhookWindowsHookEx, GetWindowTextW, SetWindowTextW, ClientToScreen, GetWindow, GetDlgCtrlID, GetWindowRect, PtInRect, GetClassNameW, LoadBitmapW, GetMenuState, CheckMenuItem, EnableMenuItem, GetFocus, GetNextDlgTabItem, SetCursor, GetMessageW, TranslateMessage, DispatchMessageW, GetActiveWindow, GetKeyState, CallNextHookEx, ValidateRect, IsWindowVisible, PeekMessageW, GetCursorPos, SetWindowsHookExW, GetMenu, wsprintfW, LoadStringW, RemovePropW, GetMessageTime, SetWindowPos, GetParent, GetLastActivePopup, IsWindowEnabled, GetWindowLongW, SendMessageW, MessageBoxW, EnableWindow, PostMessageW, PostQuitMessage, SetMenuItemBitmaps, ModifyMenuW, GetMenuCheckMarkDimensions
> GDI32.dll: DeleteObject, SaveDC, RestoreDC, SelectObject, GetStockObject, SetBkColor, SetTextColor, SetMapMode, SetViewportOrgEx, OffsetViewportOrgEx, SetViewportExtEx, ScaleViewportExtEx, SetWindowExtEx, ScaleWindowExtEx, GetClipBox, GetDeviceCaps, RectVisible, TextOutW, PtVisible, Escape, ExtTextOutW, GetObjectW, DeleteDC, CreateBitmap
> WINSPOOL.DRV: OpenPrinterW, DocumentPropertiesW, ClosePrinter
> ADVAPI32.dll: RegOpenKeyExW, RegSetValueExW, RegCloseKey, RegQueryValueExW, RegisterEventSourceW, DeregisterEventSource, ReportEventW, RegCreateKeyExW
> COMCTL32.dll: -

( 0 exports )

2. mghtemp.sys:

Datei MGHwTemp.sys empfangen 2008.04.18 20:03:36 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 42 und 60 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.19.0 2008.04.18 -
AntiVir 7.8.0.8 2008.04.18 -
Authentium 4.93.8 2008.04.18 -
Avast 4.8.1169.0 2008.04.17 -
AVG 7.5.0.516 2008.04.18 -
BitDefender 7.2 2008.04.18 -
CAT-QuickHeal 9.50 2008.04.18 -
ClamAV 0.92.1 2008.04.18 -
DrWeb 4.44.0.09170 2008.04.18 -
eSafe 7.0.15.0 2008.04.17 -
eTrust-Vet 31.3.5709 2008.04.18 -
Ewido 4.0 2008.04.18 -
F-Prot 4.4.2.54 2008.04.18 -
F-Secure 6.70.13260.0 2008.04.18 -
FileAdvisor 1 2008.04.18 -
Fortinet 3.14.0.0 2008.04.18 -
Ikarus T3.1.1.26 2008.04.18 -
Kaspersky 7.0.0.125 2008.04.18 -
McAfee 5277 2008.04.18 -
Microsoft 1.3408 2008.04.18 -
NOD32v2 3038 2008.04.18 -
Norman 5.80.02 2008.04.18 -
Panda 9.0.0.4 2008.04.18 -
Prevx1 V2 2008.04.18 -
Rising 20.40.42.00 2008.04.18 -
Sophos 4.28.0 2008.04.18 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.18 -
TheHacker 6.2.92.282 2008.04.18 -
VBA32 3.12.6.4 2008.04.16 -
VirusBuster 4.3.26:9 2008.04.18 -
Webwasher-Gateway 6.6.2 2008.04.18 -
weitere Informationen
File size: 20096 bytes
MD5...: fbcfcb9190a4fe802ba66a426f509300
SHA1..: 7af62376a143812a5f284084902ff77895cce4c6
SHA256: 6f2e2b8c24171fe824f8e24004299eb755dc68eabb3db7f61dc4496af75aeae3
SHA512: a691d3a5c5df8be193ba036c0ce7d66f143f8b1e95625d5f7ef792b549fb2407
42e2d36b4f175da314eb19160acf464215e407ebae4d6a6ef1012706de000f58
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13f4c
timedatestamp.....: 0x414ff56a (Tue Sep 21 09:33:30 2004)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x300 0x2850 0x2860 6.61 66a244405b13b69ba84f12a7ca1d9736
.data 0x2b60 0x4e5 0x500 0.65 aeeea84a8dd17cc2edfb354a90c65ffa
.CRT 0x3060 0xc 0x20 0.60 25beda6d7ed736855933bcb98a7d0301
.STL 0x3080 0x10 0x20 0.00 70bc8f4b72a86921468bf8e8441dce51
PAGE 0x30a0 0xac8 0xae0 6.17 777f5e0492b76e3f1bed82c69870e48a
INIT 0x3b80 0xa26 0xa40 6.12 0414f4d8f40139ccc6983192952cc20f
.rsrc 0x45c0 0x410 0x420 3.24 340cd90757c5b9cafd7bc9f012d351eb
.reloc 0x49e0 0x48c 0x4a0 5.16 1b33aac0cc2bbb51b1c2180b6a06e9ac

( 2 imports )
> ntoskrnl.exe: MmMapLockedPages, ObfDereferenceObject, DbgBreakPoint, memmove, strchr, _vsnprintf, DbgPrint, RtlInitAnsiString, RtlAppendUnicodeStringToString, IoCreateSymbolicLink, IoDeleteSymbolicLink, IoRegisterShutdownNotification, IoUnregisterShutdownNotification, IoDeleteDevice, IoCreateDevice, IoFreeMdl, ZwCreateKey, ZwQueryValueKey, IoAcquireCancelSpinLock, IoReleaseCancelSpinLock, ExQueueWorkItem, KeInitializeSpinLock, RtlIntegerToUnicodeString, KeWaitForSingleObject, IoGetDeviceObjectPointer, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, IofCompleteRequest, RtlInitUnicodeString, ZwClose, MmMapIoSpace, ExFreePoolWithTag, ZwOpenKey, ExAllocatePoolWithTag
> HAL.dll: KfLowerIrql, KfReleaseSpinLock, KfAcquireSpinLock, HalGetBusDataByOffset, KeGetCurrentIrql, HalTranslateBusAddress

( 0 exports )

3. msir3jp.lex
Datei msir3jp.lex empfangen 2008.04.18 20:19:48 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.19.0 2008.04.18 -
AntiVir 7.8.0.8 2008.04.18 -
Authentium 4.93.8 2008.04.18 -
Avast 4.8.1169.0 2008.04.17 -
AVG 7.5.0.516 2008.04.18 -
BitDefender 7.2 2008.04.18 -
CAT-QuickHeal 9.50 2008.04.18 -
ClamAV 0.92.1 2008.04.18 -
DrWeb 4.44.0.09170 2008.04.18 -
eSafe 7.0.15.0 2008.04.17 -
eTrust-Vet 31.3.5709 2008.04.18 -
Ewido 4.0 2008.04.18 -
F-Prot 4.4.2.54 2008.04.18 -
F-Secure 6.70.13260.0 2008.04.18 -
FileAdvisor 1 2008.04.18 -
Fortinet 3.14.0.0 2008.04.18 -
Ikarus T3.1.1.26.0 2008.04.18 -
Kaspersky 7.0.0.125 2008.04.18 -
McAfee 5277 2008.04.18 -
Microsoft 1.3408 2008.04.18 -
NOD32v2 3038 2008.04.18 -
Norman 5.80.02 2008.04.18 -
Panda 9.0.0.4 2008.04.18 -
Prevx1 V2 2008.04.18 -
Rising 20.40.42.00 2008.04.18 -
Sophos 4.28.0 2008.04.18 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.18 -
TheHacker 6.2.92.282 2008.04.18 -
VBA32 3.12.6.4 2008.04.16 -
VirusBuster 4.3.26:9 2008.04.18 -
Webwasher-Gateway 6.6.2 2008.04.18 -
weitere Informationen
File size: 1875968 bytes
MD5...: ecc48f386f8b79d809aeda327aca7b0b
SHA1..: 39b925477f0900239b1069fa3482a083a58255a6
SHA256: ac0f2aed40dc165efc12767cb733027f6f6969a7ddb1c81a085e8b9132da0735
SHA512: fb170bb49186b913937f7cffd494b280a047987286c2b43cee48ae81724aef35
241ec0ddc0d934f68e75e21b5420b180d95140356929afad78ad75afb4d4dfa3
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x3fb10000
timedatestamp.....: 0x3ab06fc6 (Thu Mar 15 07:31:18 2001)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.rsrc 0x1000 0x1c7708 0x1c8000 5.93 88946e7b5614ee8d5f3d7a1aa62736de
.reloc 0x1c9000 0x8 0x1000 0.00 3808644f11ba1ee3cb2b6326fcd2e01a

( 0 imports )

( 0 exports )
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=ecc48f386f8b79d809aeda327aca7b0b

4. hwxjpn:
Bigger than max permited size / Mayor del tamaño máximo permitido

5.chsbrkr:
Datei chsbrkr.dll empfangen 2008.04.18 21:01:44 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/31 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.4.19.0 2008.04.18 -
AntiVir 7.8.0.8 2008.04.18 -
Authentium 4.93.8 2008.04.18 -
Avast 4.8.1169.0 2008.04.17 -
AVG 7.5.0.516 2008.04.18 -
BitDefender 7.2 2008.04.18 -
CAT-QuickHeal 9.50 2008.04.18 -
ClamAV 0.92.1 2008.04.18 -
DrWeb 4.44.0.09170 2008.04.18 -
eSafe 7.0.15.0 2008.04.17 -
eTrust-Vet 31.3.5709 2008.04.18 -
Ewido 4.0 2008.04.18 -
F-Prot 4.4.2.54 2008.04.18 -
F-Secure 6.70.13260.0 2008.04.18 -
FileAdvisor 1 2008.04.18 -
Fortinet 3.14.0.0 2008.04.18 -
Ikarus T3.1.1.26 2008.04.18 -
Kaspersky 7.0.0.125 2008.04.18 -
McAfee 5277 2008.04.18 -
Microsoft 1.3408 2008.04.18 -
NOD32v2 3039 2008.04.18 -
Panda 9.0.0.4 2008.04.18 -
Prevx1 V2 2008.04.18 -
Rising 20.40.42.00 2008.04.18 -
Sophos 4.28.0 2008.04.18 -
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.18 -
TheHacker 6.2.92.282 2008.04.18 -
VBA32 3.12.6.4 2008.04.16 -
VirusBuster 4.3.26:9 2008.04.18 -
Webwasher-Gateway 6.6.2 2008.04.18 -
weitere Informationen
File size: 1677824 bytes
MD5...: 45d550e67301b0e880007fac84af76bf
SHA1..: 1937d1b326f0ca8ec5398db54cdb120a08f73ab1
SHA256: b222cf12c2f5bc008b59bf10fddf09685600a87047ca552588517fbfea31edc7
SHA512: 2051e3b2d4f5e2b122eb773323cb8fb991daaeaf7f6857f885818bba6589b1da
06f5fd08985daffbda918d0a450e2275358ea1dadea7877d76746845e61f1021
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x65a11420
timedatestamp.....: 0x3b7e56bd (Sat Aug 18 11:51:25 2001)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x98f4 0x9a00 6.49 cbf498e31f59dedff820de6183caddda
.data 0xb000 0x838 0xa00 3.62 13cbcd8f331cace976a210f9e8427883
.rsrc 0xc000 0x18e248 0x18e400 5.28 5240c6f57937801e174463b513c1bb75
.reloc 0x19b000 0xdd4 0xe00 1.51 b8e4e8dbc1e70862ffc7dd01671e8607

( 4 imports )
> KERNEL32.dll: CloseHandle, InterlockedDecrement, InterlockedIncrement, FindResourceW, LoadResource, LockResource, CreateMutexW, ReleaseMutex, DisableThreadLibraryCalls, WaitForSingleObject, GetModuleFileNameW
> ADVAPI32.dll: RegSetValueExW, RegCreateKeyExW, RegOpenKeyExW, RegEnumKeyExW, RegCloseKey, RegDeleteKeyW
> ole32.dll: StringFromGUID2, CoCreateFreeThreadedMarshaler
> msvcrt.dll: iswspace, wcsncmp, wcslen, __3@YAXPAX@Z, wcsncat, wcsncpy, __2@YAPAXI@Z, iswctype, wcscat, wcscpy

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer


4. hab ich zweimal probiert, immer zu groß.

Bei der mbam setup exe kommt Probleme mit der Internetverbindung.


Und nun?

#10 Hallo,

die Dateien sind also in Ordnung...

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
otmoveIt
klicken: CleanUp! button
Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes

««
mache noch einen Onlinescan mit f-Secure + poste den report
http://virus-protect.org/onlinescan.html

««
berichte, ob das System stabil läuft.
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hi Sabina,

das erste lief, Combofix entfernen.

2. ging irgendwie gar nicht. otmoveit 2 hatte ich, cleanup stand....

Deswegen hab ich aufgehört.
Und nun?

#12 wahrscheinlich wurde die cleanup.txt nicht geladen, man muss die Firewall berechtigen, die txt durchzulassen

Zitat

cleanup.txt wird vom Internet geladen (von Firewall zulassen!)

na macht nix, dann bleibt es eben drauf ..bitte das Backup nicht anklicken !
Oder du kannst auch manuell alles von OTMoveIt2 löschen.

wie rollert der Rechner ?
Keine Probleme mehr ?
Oder hängt sich das System weiterhin bei jeder Anwendung auf ?

----------------

F-Secure ist "eingefroren" ? So richtig habe ich es nicht verstanden...
dann scanne mit Bitdefender
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#13 Hallo,

also der rechner rollert wieder.
Zuerst waren auch die Icons von ?... dem Media center- (4 so Bausteine auf dem Desktop und wo im Taskmanager ständig auf task)... weg. Aber nun sind die auch wieder da. weis nicht, wieso.

Ich kann wieder Bilder einlesen, Diashows laufen lassen usw.

Es kommen keine Fehlermeldungen mehr.

Ich hab doch nun das 2. Windows XP in C noch drauf. Das hätte ich gern entfernt.
Also Home edition ist werksmäßig drauf und Stefan hatte Professional dazu geklimpert.
Laufwerk C hat ein rotes X.

Wie editiere ich die boot.ini, daß nur eine Zeile zum hochfohren kommt?
Wie lösche ich das Windows2 und - Dateien in C?

#14 Wenn du unter Windows die Partition löschen möchtest, klicke mit rechts auf den Arbeitsplatz und dort auf Verwalten. Es öffnet sich ein Fenster. Dort klicke auf Datenträgerverwaltung und bekommst alle Partitionen angezeigt. Dort kann man die Partitionen per Rechtsklick formatieren und löschen.

Wichtig: Die Partition, auf der Windows XP liegt, meist ist C:\ (wie bei dir der Fall), kann man nicht direkt aus Windows XP heraus formatieren. Dazu bootet mit der Windows CD und wählt die Wiederherstellungskonsole. Dort steht dann der Befehl Format zur Verfügung.
__________
MfG Sabina

rund um die PC-Sicherheit

#15 Hi,

nein, bei mir stehen unter Laufwerk C: einmal WINDOWS und darunter gleich WINDOWS2.
also 2x Windows XP ( Home und Prof ) sind in C:, in einer Partition.

WINDOWS2 soll gelöscht werden!