System langsam und instabil, daurender Malware und Trojaner Alarm

#0
26.04.2008, 11:08
Member

Beiträge: 23
#1 Hallo community,

ich habe ein problem mit meinem pc.
Das ganze system ist langsam, sobald ich meinen internetexplorer starte erscheinen dauernd popups wie "syskontroller" "festplattenreiniger" und sagen ich solle sie installieren. AntiVir meldet irgendwelche malware und trojaner die ich dann in Quarantäne verschiebe oder lösche. Nach dem löschen tauchen Sie aber immer wieder neu auf. Avast AntiVir meldet die gleichen und dass auch welche im Arbeitsspeicher zugange sind und fordert mich dann auf das system neu zu starten und einen check während dem bootvorgang vorzunehmen.

Unter Internetoptionen habe ich diese Popups auch schon in die Liste der zu blockenden Sites eingefügt. Aber das hilft nicht, sie erscheinen immer wieder. Im Internetexplorer kann ich nur meine startseite öffnen.

Ueber google habe ich protecus gefunden wo jemand das gleiche problem hat.

Habe dann die Schritte unter http://board.protecus.de/t23187.htm befolgt. Combofix hat mir aber keine Logfile erstellen können (war sehr geduldig habe über eine Stunde gewartet). Habe mit HijackThis und datfind.bat eine Logfile erstellen können. (im Anhang)

Danke im Voraus für die Hilfe.

_________________
MfG Dietmar[/img]

Seitenanfang Seitenende
26.04.2008, 12:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo,

1.
wende cleaner an
http://www.ccleaner.de/?protecus.de

2.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

O1 - Hosts: 141.18.5.3 venus
O1 - Hosts: 141.18.5.230 eda-sol1
O1 - Hosts: 141.18.5.231 eda-sol2
O1 - Hosts: 141.18.5.232 eda-win1
O1 - Hosts: 141.18.5.235 eda-win2
O1 - Hosts: 141.18.9.1 atlas
O1 - Hosts: 141.18.9.3 saturn

O2 - BHO: {b47b0de6-477d-0c29-cb54-da9887f0a3a0} - {0a3a0f78-89ad-45bc-92c0-d7746ed0b74b} - C:\WINDOWS\system32\sofvebpd.dll

O2 - BHO: (no name) - {17551728-1B1A-4DA5-8520-C7B72765D1C7} - C:\WINDOWS\system32\vtUkklLD.dll

O2 - BHO: (no name) - {591E921D-3830-45AF-9B50-96F03157175B} - C:\WINDOWS\system32\nnnkjjjJ.dll (file missing)

O2 - BHO: C:\WINDOWS\system32\jfiehayd.dll - {c5af49a2-94f3-42bd-f434-2604812c897d} - C:\WINDOWS\system32\jfiehayd.dll (file missing)

O2 - BHO: (no name) - {f50b3f5e-856e-4757-9bb1-b35d46ca7719} - C:\WINDOWS\system32\byXOiHwV.dll

O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1535.exe 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD3257

O4 - HKLM\..\Run: [jdgf894jrghoiiskd] C:\DOKUME~1\Admin\LOKALE~1\Temp\winlogan.exe

O4 - HKLM\..\Run: [34517776] rundll32.exe "C:\WINDOWS\system32\sfwtjsjy.dll",b

O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\SysKontroller\strpmon.exe" dm=http://syskontroller.com ad=http://syskontroller.com sd=http://painst.syskontroller.com

O4 - HKLM\..\Run: [Salestart(1)] "C:\Programme\Gemeinsame Dateien\FestplattenReiniger\stm.exe" dm=http://festplattenreiniger.com ad=http://festplattenreiniger.com sd=http://pkins.festplattenreiniger.com

O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\Admin\cftmon.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [BM376244ea] Rundll32.exe "C:\WINDOWS\system32\fwkoqbtu.dll",s

O4 - HKCU\..\Run: [jdgf894jrghoiiskd] C:\DOKUME~1\Admin\LOKALE~1\Temp\winlogan.exe

O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOKUME~1\Admin\LOKALE~1\Temp\csrssc.exe

O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe

O20 - Winlogon Notify: byXOiHwV - C:\WINDOWS\SYSTEM32\byXOiHwV.dll

O22 - SharedTaskScheduler: jhsf8d984jief8dsfus98jkefn - {C5AF49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jfiehayd.dll (file missing)

3.
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe
Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\Programme\Gemeinsame Dateien\FestplattenReiniger
C:\Programme\Gemeinsame Dateien\SysKontroller
C:\WINDOWS\mrofinu1535.exe
C:\Dokumente und Einstellungen\Admin\cftmon.exe
C:\WINDOWS\system32\drivers\spools.exe
C:\WINDOWS\system32\DLlkkUtv.ini
C:\WINDOWS\system32\DLlkkUtv.ini2
C:\WINDOWS\system32\yjsjtwfs.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\sofvebpd.dll
C:\WINDOWS\system32\sfwtjsjy.dll
C:\WINDOWS\system32\fwkoqbtu.dll
C:\WINDOWS\system32\clkcnt.txt
C:\WINDOWS\system32\vtUkklLD.dll
C:\WINDOWS\system32\Jjjjknnn.ini
C:\WINDOWS\system32\Jjjjknnn.ini2
C:\WINDOWS\system32\kyhkewja.ini
C:\WINDOWS\system32\ymbutmbu.dll
C:\WINDOWS\system32\ghussxyu.dll
C:\WINDOWS\system32\dilwxeiq.dll
C:\WINDOWS\system32\ajwekhyk.dll
C:\WINDOWS\system32\rwgskytl.dll
C:\WINDOWS\system32\rqRJCvuV.dll
C:\WINDOWS\system32\IEBHO.dll
C:\WINDOWS\system32\byXOiHwV.dll
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\csrssc.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\winlogan.exe
Klicke auf den Roten MoveIt!

4.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als regstore.reg mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden.
Die Datei REGSTORE.REG auf dem Desktop doppelklicken und bestätigen, dass sie der Registry beigefügt wird.

Zitat

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000

[HKEY_CLASSES_ROOT\batfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\comfile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\piffile\shell\open\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""

[HKEY_CLASSES_ROOT\scrfile\shell\config\command]
@="\"%1\" %*"

[HKEY_CLASSES_ROOT\scrfile\shell\open\command]
@="\"%1\" /S"
PC neustarten

5.
wende windowsscan an + poste den report
http://virus-protect.org/artikel/tools/windowsscan.html

6.
wende noch mal Combofix an + poste den report
http://virus-protect.org/artikel/tools/combofix.html

-----------------

Zitat

ist für mich (Info)
http://www.sophos.com/security/analyses/viruses-and-spyware/w32autorundi.html
http://www.sophos.de/security/analyses/adware-and-puas/syskontrollersys_j7jAw5ti.html

HKCR\exefile\shell\open\command
(default)
<System>\drivers\spools.exe "%1" %*

HKLM\SYSTEM\CurrentControlSet\Services\Schedule
ImagePath
<System>\drivers\spools.exe

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.04.2008, 13:40
Member

Themenstarter

Beiträge: 23
#3 Hi,

habe alle Schritte durchgeführt und die folgenden Reports wurden erstellt.

*********************************************************
windowscan report:

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

26.04.2008 0.log 13 35:0
26.04.2008 wiadebug.log 13 35:159
26.04.2008 wiaservc.log 13 35:51
26.04.2008 WindowsUpdate.log 13 35:2.046.568
26.04.2008 bootstat.dat 13 34:2.048
26.04.2008 BM376244ea.txt 13 06:32.328
26.04.2008 pskt.ini 13 05:22
26.04.2008 BM376244ea.xml 12 49:109.809
26.04.2008 cookies.ini 12 03:650
23.04.2008 ydhqzop.sys 23 00:61.874
31.03.2008 Ui.INI 18 24:0
30.03.2008 mdm.ini 22 33:185
28.03.2008 win.ini 19 10:604
27.03.2008 WATCH.INI 14 49:0
27.03.2008 MAXLINK.INI 14 45:492
16.02.2008 nsreg.dat 18 50:0
15.02.2008 WMSysPr9.prx 20 04:316.640
15.02.2008 WMSysPrx.prx 19 30:299.552
15.02.2008 setupapi.log.0.old 18 04:1.165.927
15.02.2008 ODBCINST.INI 17 05:4.346
15.02.2008 ODBC.INI 17 05:660
15.02.2008 vbaddin.ini 16 51:59
15.02.2008 vb.ini 16 51:1.309
15.02.2008 Ascd_tmp.ini 16 14:1.715
15.02.2008 hpdj5100.his 16 12:219.167
15.02.2008 hpdj5100.ini 16 12:10.576
15.02.2008 hpdj5100.hi1 16 05:206.672


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

26.04.2008 DLlkkUtv.ini 13 37:206.891
26.04.2008 DLlkkUtv.ini2 13 34:206.789

26.04.2008 perfc009.dat 02 18:39.992
26.04.2008 perfh007.dat 02 18:316.594
26.04.2008 perfh009.dat 02 18:311.604
26.04.2008 perfc007.dat 02 18:48.156
26.04.2008 PerfStringBackup.INI 02 18:723.744
26.04.2008 wpa.dbl 00 04:2.206
25.04.2008 vtUkklLD.dll 23 26:281.088
24.04.2008 CONFIG.NT 21 34:2.984
24.04.2008 FNTCACHE.DAT 20 26:167.504
23.04.2008 byXOiHwV.dll 22 56:39.936
06.04.2008 MRT.exe 07 56:19.836.024
mit 30.03.2008 Verknpfung 22 36:690
29.03.2008 aswBoot.exe 19 45:1.146.232
29.03.2008 AvastSS.scr 19 23:95.608
20.03.2008 win32k.sys 10 03:1.845.376
19.03.2008 D6F8AEB0.kor 20 27:38
19.03.2008 tjclip.dll 20 24:36.864
01.03.2008 mshtml.dll 18 24:3.591.680
01.03.2008 wininet.dll 14 54:826.368
01.03.2008 webcheck.dll 14 54:233.472
01.03.2008 urlmon.dll 14 54:1.159.680
01.03.2008 pngfilt.dll 14 54:44.544
01.03.2008 url.dll 14 54:105.984
01.03.2008 occache.dll 14 54:102.912
01.03.2008 msrating.dll 14 54:193.024
01.03.2008 mstime.dll 14 54:671.232
01.03.2008 mshtmled.dll 14 54:478.208
01.03.2008 msfeeds.dll 14 53:459.264
01.03.2008 msfeedsbs.dll 14 53:52.224
01.03.2008 inetcpl.cpl 14 53:1.831.424
01.03.2008 jsproxy.dll 14 53:27.648
01.03.2008 iertutil.dll 14 53:267.776
01.03.2008 iernonce.dll 14 53:44.544
01.03.2008 ieframe.dll 14 53:6.066.176
01.03.2008 iedkcs32.dll 14 53:384.512
01.03.2008 ieapfltr.dll 14 53:383.488
01.03.2008 dxtrans.dll 14 53:214.528
01.03.2008 icardie.dll 14 53:63.488
01.03.2008 extmgr.dll 14 53:133.120
01.03.2008 ieakeng.dll 14 53:153.088
01.03.2008 ieaksie.dll 14 53:230.400
01.03.2008 advpack.dll 14 53:124.928
01.03.2008 dxtmsft.dll 14 53:347.136
29.02.2008 ie4uinit.exe 10 54:70.656
22.02.2008 ieudinit.exe 12 00:13.824


***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

# EDA Server




***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****




Microsoft Windows XP [Version 5.1.2600]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 26.04.2008 um 13:37:40,64 ***


*******************************************************
ComboFix 08-04-24.1 - Admin 2008-04-26 13:45:44.5 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.271 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Admin\Desktop\ComboFix.exe
.
_________________________
MfG Dietmar
Dieser Beitrag wurde am 26.04.2008 um 13:59 Uhr von Di editiert.
Seitenanfang Seitenende
26.04.2008, 13:58
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 o.k.
einige Viren sind noch drauf, dennoch versuche jetzt schon mal nach Anwendung vom Cleaner die Combofix zum Laufen zu bringen..klappt es ?
poste das komplette log hier.........

Zitat

ComboFix 08-04-24.1 - Admin 2008-04-26 13:45:44.5 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.271 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Admin\Desktop\ComboFix.exe

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.04.2008, 15:45
Member

Themenstarter

Beiträge: 23
#5 Hallo,


habe CCleaner durchgeführt undComboFix gestartet und komme bis zu "Suche infizierte Dateien"....."Aenderungen nicht rückgängig machen! Wird später wieder hergestellt!"

Dann hat das System neu gestartet und ist dann abgestürtzt.

Nach dem "Willkommen" bekomme ich eine Meldung:

Fehler beim Laden von C:\WINDOWS\system32\fwkoqbtu.dll. Modul nicht gefunden.

___________________
MfG Dietmar
Seitenanfang Seitenende
26.04.2008, 16:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 die Fehlermeldung ist kein Problem, das bekommt man gelöst.

wende comboscan an + poste die 2 logs
http://virus-protect.org/artikel/tools/comboscan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.04.2008, 16:33
Member

Themenstarter

Beiträge: 23
#7 Hallo,

sorry dass es vorhin etwas länger gedauert hat.

*******************************************
main.txt

Deckard's System Scanner v20071014.68
Run by Admin on 2008-04-26 16:27:38
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
10: 2008-04-26 14:27:44 UTC - RP177 - Deckard's System Scanner Restore Point
9: 2008-04-26 11:42:16 UTC - RP176 - ComboFix created restore point
8: 2008-04-26 09:58:42 UTC - RP175 - Software Distribution Service 3.0
7: 2008-04-26 00:38:52 UTC - RP174 - ComboFix created restore point
6: 2008-04-26 00:27:02 UTC - RP173 - ComboFix created restore point


-- First Restore Point --
1: 2008-04-24 17:37:13 UTC - RP168 - Software Distribution Service 3.0


Backed up registry hives.
Performed disk cleanup.



-- HijackThis (run as Admin.exe) -----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:28:58, on 26.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\Avast4\aswUpdSv.exe
E:\Avast4\ashServ.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
E:\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
E:\Avast4\ashMaiSv.exe
E:\Avast4\ashWebSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\Admin\Desktop\dss.exe
C:\DOKUME~1\Admin\Desktop\HJT\Admin.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://board.protecus.de/t33472.htm?highlight=system+langsam+und+instabil
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fritz.box/
O2 - BHO: {17a60727-cdd9-483b-6c54-8df81aebb802} - {208bbea1-8fd8-45c6-b384-9ddc72706a71} - C:\WINDOWS\system32\chhesaek.dll
O2 - BHO: (no name) - {B1E4471B-4B0A-439D-9E58-90F3B0FFBC3C} - C:\WINDOWS\system32\vtUkklLD.dll
O2 - BHO: (no name) - {F50B3F5E-856E-4757-9BB1-B35D46CA7719} - C:\WINDOWS\system32\byXOiHwV.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UltraMon] "E:\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKLM\..\Run: [avast!] E:\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BM376244ea] Rundll32.exe "C:\WINDOWS\system32\wfnrwsmp.dll",s
O4 - HKLM\..\Run: [34517776] rundll32.exe "C:\WINDOWS\system32\jaglkkxc.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\Admin\cftmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\MicrosoftOfficeXP\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: Microsoft WFC Forms Designer - file://N:\VJ98\wfcforms.cab
O16 - DPF: Visual Studio 6 Extensibility Libraries - file://N:\VJ98\vstudio6.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203091194729
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1209159837562
O20 - Winlogon Notify: byXOiHwV - C:\WINDOWS\SYSTEM32\byXOiHwV.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswupdsv) - ALWIL Software - E:\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus (avast! antivirus) - ALWIL Software - E:\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner (avast! mail scanner) - ALWIL Software - E:\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner (avast! web scanner) - ALWIL Software - E:\Avast4\ashWebSv.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - E:\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

--
End of file - 6060 bytes

-- HijackThis Fixed Entries (C:\DOKUME~1\Admin\Desktop\HJT\backups\) -----------

backup-20080426-125908-109 O4 - HKLM\..\Run: [BM376244ea] Rundll32.exe "C:\WINDOWS\system32\fwkoqbtu.dll",s
backup-20080426-125908-131 O1 - Hosts: 141.18.5.235 eda-win2
backup-20080426-125908-139 O4 - HKLM\..\Run: [jdgf894jrghoiiskd] C:\DOKUME~1\Admin\LOKALE~1\Temp\winlogan.exe
backup-20080426-125908-142 O1 - Hosts: 141.18.5.230 eda-sol1
backup-20080426-125908-158 O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
backup-20080426-125908-224 O1 - Hosts: 141.18.5.3 venus
backup-20080426-125908-286 O4 - HKCU\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
backup-20080426-125908-317 O1 - Hosts: 141.18.5.232 eda-win1
backup-20080426-125908-344 O4 - HKCU\..\Run: [Jnskdfmf9eldfd] C:\DOKUME~1\Admin\LOKALE~1\Temp\csrssc.exe
backup-20080426-125908-387 O4 - HKLM\..\Run: [autoload] C:\Dokumente und Einstellungen\Admin\cftmon.exe
backup-20080426-125908-407 O1 - Hosts: 141.18.9.3 saturn
backup-20080426-125908-414 O4 - HKLM\..\Run: [34517776] rundll32.exe "C:\WINDOWS\system32\sfwtjsjy.dll",b
backup-20080426-125908-530 O2 - BHO: (no name) - {f50b3f5e-856e-4757-9bb1-b35d46ca7719} - C:\WINDOWS\system32\byXOiHwV.dll
backup-20080426-125908-606 O2 - BHO: {b47b0de6-477d-0c29-cb54-da9887f0a3a0} - {0a3a0f78-89ad-45bc-92c0-d7746ed0b74b} - C:\WINDOWS\system32\sofvebpd.dll
backup-20080426-125908-615 O22 - SharedTaskScheduler: jhsf8d984jief8dsfus98jkefn - {C5AF49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jfiehayd.dll (file missing)
backup-20080426-125908-662 O20 - Winlogon Notify: byXOiHwV - C:\WINDOWS\SYSTEM32\byXOiHwV.dll
backup-20080426-125908-711 O2 - BHO: (no name) - {F3DEBE6E-93BA-4AC8-A2E4-14597267BAFB} - C:\WINDOWS\system32\vtUkklLD.dll
backup-20080426-125908-746 O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\SysKontroller\strpmon.exe" dm=http://syskontroller.com ad=http://syskontroller.com sd=http://painst.syskontroller.com
backup-20080426-125908-810 O4 - HKLM\..\Run: [Salestart(1)] "C:\Programme\Gemeinsame Dateien\FestplattenReiniger\stm.exe" dm=http://festplattenreiniger.com ad=http://festplattenreiniger.com sd=http://pkins.festplattenreiniger.com
backup-20080426-125908-889 O4 - HKLM\..\Run: [ntuser] C:\WINDOWS\system32\drivers\spools.exe
backup-20080426-125908-897 O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu1535.exe 61A847B5BBF7281337983D466188719AB689201522886B092CBD44BD8689220221DD3257
backup-20080426-125908-921 O1 - Hosts: 141.18.5.231 eda-sol2
backup-20080426-125908-953 O1 - Hosts: 141.18.9.1 atlas
backup-20080426-125908-957 O2 - BHO: C:\WINDOWS\system32\jfiehayd.dll - {c5af49a2-94f3-42bd-f434-2604812c897d} - C:\WINDOWS\system32\jfiehayd.dll (file missing)
backup-20080426-125908-964 O2 - BHO: (no name) - {591E921D-3830-45AF-9B50-96F03157175B} - C:\WINDOWS\system32\nnnkjjjJ.dll (file missing)
backup-20080426-125908-991 O4 - HKCU\..\Run: [jdgf894jrghoiiskd] C:\DOKUME~1\Admin\LOKALE~1\Temp\winlogan.exe

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 avgntmgr - c:\windows\system32\drivers\avgntmgr.sys <Not Verified; AVIRA GmbH; AntiVir®>
R1 AFS2K - c:\windows\system32\drivers\afs2k.sys <Not Verified; Oak Technology Inc.; AFS>
R1 avgntdd - c:\windows\system32\drivers\avgntdd.sys <Not Verified; AVIRA GmbH; AntiVir®>
R1 ydhqzop - c:\windows\ydhqzop.sys
R2 UltraMonUtility (UltraMon Utility Driver) - c:\programme\gemeinsame dateien\realtime soft\ultramonmirrordrv\x32\ultramonutility.sys <Not Verified; Realtime Soft; UltraMon>
R3 UltraMonMirror - c:\windows\system32\drivers\ultramonmirror.sys <Not Verified; Realtime Soft; UltraMon>

S3 catchme - c:\combofix\catchme.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - c:\programme\antivir personaledition classic\sched.exe <Not Verified; Avira GmbH; AntiVir Scheduler>
R2 AVM IGD CTRL Service - e:\fritz!dsl\igdctrl.exe <Not Verified; AVM Berlin; AVM IGD Service>
R2 AVM WLAN Connection Service - c:\programme\avmwlanstick\wlannetservice.exe <Not Verified; AVM Berlin; AVM AVMWlanService>

S3 de_serv (AVM FRITZ!web Routing Service) - c:\programme\gemeinsame dateien\avm\de_serv.exe <Not Verified; AVM Berlin; AVM Rocky>


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {36FC9E60-C465-11CF-8056-444553540000}
Description: USB-Massenspeichergerät
Device ID: USB\VID_0DB0&PID_6982\2002-78
Manufacturer: Kompatibles USB-Speichergerät
Name: USB-Massenspeichergerät
PNP Device ID: USB\VID_0DB0&PID_6982\2002-78
Service: USBSTOR

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: Audiocontroller für Multimedia
Device ID: PCI\VEN_13F6&DEV_0111&SUBSYS_1144153B&REV_10\3&61AAA01&0&38
Manufacturer:
Name: Audiocontroller für Multimedia
PNP Device ID: PCI\VEN_13F6&DEV_0111&SUBSYS_1144153B&REV_10\3&61AAA01&0&38
Service:


-- Files created between 2008-03-26 and 2008-04-26 -----------------------------

2008-04-26 15:40:31 107072 --a------ C:\WINDOWS\system32\chhesaek.dll
2008-04-26 15:37:31 95808 --a------ C:\WINDOWS\system32\jaglkkxc.dll
2008-04-26 15:35:43 106048 --a------ C:\WINDOWS\system32\wfnrwsmp.dll
2008-04-26 14:00:50 0 dr-h----- C:\Dokumente und Einstellungen\Admin\Recent
2008-04-26 13:29:43 196732 --ahs---- C:\WINDOWS\system32\DLlkkUtv.ini2
2008-04-26 02:32:23 0 d-------- C:\cmdcons
2008-04-26 02:26:42 68096 --a------ C:\WINDOWS\zip.exe
2008-04-26 02:26:42 49152 --a------ C:\WINDOWS\VFind.exe
2008-04-26 02:26:42 212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists>
2008-04-26 02:26:42 136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller>
2008-04-26 02:26:42 161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>
2008-04-26 02:26:42 98816 --a------ C:\WINDOWS\sed.exe
2008-04-26 02:26:42 80412 --a------ C:\WINDOWS\grep.exe
2008-04-26 02:26:42 73728 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-04-25 23:26:33 281088 --a------ C:\WINDOWS\system32\vtUkklLD.dll
2008-04-25 23:22:19 0 d--h----- C:\WINDOWS\PIF
2008-04-24 19:24:30 0 dr------- C:\Dokumente und Einstellungen\All Users\Application Data\syskontroller
2008-04-24 19:24:29 0 dr------- C:\Dokumente und Einstellungen\All Users\Application Data\SalesMon
2008-04-24 19:24:28 0 dr------- C:\Dokumente und Einstellungen\All Users\Application Data
2008-04-23 23:00:41 61874 --a------ C:\WINDOWS\ydhqzop.sys
2008-04-23 22:56:20 39936 --a------ C:\WINDOWS\system32\byXOiHwV.dll
2008-03-27 14:43:30 0 d-------- C:\Dokumente und Einstellungen\Admin\WINDOWS
2008-03-27 14:43:14 124336 --a------ C:\WINDOWS\system\itss.dll <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(R) Operating System>
2008-03-27 14:43:14 169120 --a------ C:\WINDOWS\system\itircl.dll <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(R) Operating System>
2008-03-27 14:43:05 776240 --a------ C:\WINDOWS\system\lead52.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Windows>
2008-03-27 14:42:56 81946 --a------ C:\WINDOWS\system32\Vb5ko.dll <Not Verified; Microsoft Corporation; Visual Basic Environment>
2008-03-27 14:42:56 172032 --a------ C:\WINDOWS\system32\SpotSaver.scr <Not Verified; BearPaw; BearPaw ScreenSaver>
2008-03-27 14:42:56 176128 --a------ C:\WINDOWS\system32\PuzzSaver.scr <Not Verified; BearPaw; BearPaw ScreenSaver>
2008-03-27 14:42:56 135168 --a------ C:\WINDOWS\system32\ParaSaver.scr <Not Verified; ; ScreenSaver Application>
2008-03-27 14:42:53 212480 --a------ C:\WINDOWS\system\Pcdlib32.dll <Not Verified; Eastman Kodak; Kodak Photo CD Access Developer Toolkit>
2008-03-27 14:42:53 20480 --a------ C:\WINDOWS\system\Lfwpg70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:53 18944 --a------ C:\WINDOWS\system\Lfwfx70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:53 20992 --a------ C:\WINDOWS\system\lftga70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:53 19456 --a------ C:\WINDOWS\system\Lfras70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:53 22016 --a------ C:\WINDOWS\system\Lfpsd70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:53 111616 --a------ C:\WINDOWS\system\Lfpng70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:53 24064 --a------ C:\WINDOWS\system\Lfpcx70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:53 19456 --a------ C:\WINDOWS\system\Lfmsp70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:53 32768 --a------ C:\WINDOWS\system\lfgif70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:53 24064 --a------ C:\WINDOWS\system\Lfeps70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:53 81920 --a------ C:\WINDOWS\system\Capi2032.dll
2008-03-27 14:42:51 93184 --a------ C:\WINDOWS\system\lftif70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:51 24064 --a------ C:\WINDOWS\system\lfpct70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:51 19456 --a------ C:\WINDOWS\system\lfpcd70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:51 18944 --a------ C:\WINDOWS\system\lfmac70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:51 25088 --a------ C:\WINDOWS\system\lflmb70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:51 29184 --a------ C:\WINDOWS\system\lflma70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:51 95232 --a------ C:\WINDOWS\system\LFKODAK.DLL
2008-03-27 14:42:51 20480 --a------ C:\WINDOWS\system\lfimg70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:51 26112 --a------ C:\WINDOWS\system\lfica70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:51 35328 --a------ C:\WINDOWS\system\lffpx70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:51 306688 --a------ C:\WINDOWS\system\LFFPX7.DLL <Not Verified; ; Reference Implementation>
2008-03-27 14:42:51 224768 --a------ C:\WINDOWS\system\lfcmp70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:51 19968 --a------ C:\WINDOWS\system\lfcal70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:51 24576 --a------ C:\WINDOWS\system\lfbmp70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:51 17920 --a------ C:\WINDOWS\system\lfavi70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:50 350208 --a------ C:\WINDOWS\system\ltkrn70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:50 55296 --a------ C:\WINDOWS\system\ltfil70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:50 175104 --a------ C:\WINDOWS\system\lffax70n.dll <Not Verified; LEAD Technologies, Inc.; LEADTOOLS® DLL for Win32>
2008-03-27 14:42:48 0 d-------- C:\Programme\Mustek 1200 UB Plus
2008-03-27 14:37:01 0 d-------- C:\Programme\OpenOffice.org 2.1


-- Find3M Report ---------------------------------------------------------------

2008-04-26 02:18:33 316594 --a------ C:\WINDOWS\system32\perfh007.dat
2008-04-26 02:18:33 48156 --a------ C:\WINDOWS\system32\perfc007.dat
2008-04-24 23:53:38 0 d-------- C:\Programme\Gemeinsame Dateien
2008-04-24 19:36:00 0 d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\FestplattenReiniger
2008-04-24 19:29:29 0 d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\syskontroller
2008-04-20 22:24:44 0 d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\OpenOffice.org2
2008-04-19 18:34:28 36296 --a------ C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-03-30 22:37:39 0 d--h----- C:\Programme\Zero G Registry
2008-03-19 20:24:44 36864 --a------ C:\WINDOWS\system32\tjclip.dll
2008-03-14 14:51:53 0 d-------- C:\Programme\Messenger
2008-03-02 15:40:52 0 d-------- C:\Programme\avmwlanstick
2008-02-16 18:50:10 0 --a------ C:\WINDOWS\nsreg.dat
2008-02-14 21:12:26 0 -rahs---- C:\MSDOS.SYS
2008-02-14 21:12:26 0 -rahs---- C:\IO.SYS
2008-02-14 21:12:26 0 --a------ C:\CONFIG.SYS
2008-02-14 21:12:26 0 --a------ C:\AUTOEXEC.BAT
2008-02-14 21:10:24 21740 --a------ C:\WINDOWS\system32\emptyregdb.dat
2008-02-14 21:05:57 62 --ahs---- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\desktop.ini


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{208bbea1-8fd8-45c6-b384-9ddc72706a71}]
26.04.2008 15:40 107072 --a------ C:\WINDOWS\system32\chhesaek.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B1E4471B-4B0A-439D-9E58-90F3B0FFBC3C}]
25.04.2008 23:26 281088 --a------ C:\WINDOWS\system32\vtUkklLD.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F50B3F5E-856E-4757-9BB1-B35D46CA7719}]
23.04.2008 22:56 39936 --a------ C:\WINDOWS\system32\byXOiHwV.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [28.10.2002 08:38 C:\WINDOWS\SOUNDMAN.EXE]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [17.12.2002 12:40]
"DeviceDiscovery"="C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [02.12.2002 21:56]
"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [09.07.2001 12:50]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [31.10.2006 18:07]
"UltraMon"="E:\UltraMon\UltraMon.exe" [12.10.2006 22:27]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [23.06.2006 12:24]
"avast!"="E:\Avast4\ashDisp.exe" [29.03.2008 19:37]
"KernelFaultCheck"="C:\WINDOWS\system32\dumprep 0 -k" []
"BM376244ea"="C:\WINDOWS\system32\wfnrwsmp.dll" [26.04.2008 15:35]
"34517776"="C:\WINDOWS\system32\jaglkkxc.dll" [26.04.2008 15:37]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 09:57]
"MSMSGS"="C:\Programme\Messenger\MSMSGS.exe" []
"autoload"="C:\Dokumente und Einstellungen\Admin\cftmon.exe" []

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - E:\Acrobat 7.0\Reader\reader_sl.exe [24.09.2005 00:05:26]
Microsoft Office.lnk - E:\MicrosoftOfficeXP\Office10\OSA.EXE [13.02.2001 02:01:04]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"disableregistrytools"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{F50B3F5E-856E-4757-9BB1-B35D46CA7719}"= C:\WINDOWS\system32\byXOiHwV.dll [23.04.2008 22:56 39936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXOiHwV]
byXOiHwV.dll 23.04.2008 22:56 39936 C:\WINDOWS\system32\byXOiHwV.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\vtUkklLD

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PSEXESVC]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc p2psvc p2pimsvc p2pgasvc PNRPSvc


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{358ba9ac-e85e-11dc-9a7d-0010dce427e8}]
AutoRun\command- D:\pushinst.exe




-- End of Deckard's System Scanner: finished at 2008-04-26 16:30:37 ------------

*****************************************
extra.txt

Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Home Edition (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: Intel(R) Pentium(R) 4 CPU 2.60GHz
Percentage of Memory in Use: 55%
Physical Memory (total/avail): 511.48 MiB / 226.38 MiB
Pagefile Memory (total/avail): 1250.2 MiB / 962.36 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1931.23 MiB

A: is Removable (Unformatted)
C: is Fixed (NTFS) - 39.06 GiB total, 33.56 GiB free.
E: is Fixed (NTFS) - 78.13 GiB total, 49.55 GiB free.
F: is Fixed (NTFS) - 31.85 GiB total, 26.85 GiB free.
M: is CDROM (No Media)
N: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - ST3160021A - 149.05 GiB - 3 partitions
\PARTITION0 (bootable) - Installierbares Dateisystem - 39.06 GiB - C:
\PARTITION1 - Erweitert mit Int 13 (erweitert) - 109.98 GiB - E: - F:

\\.\PHYSICALDRIVE1 - WDC WD400BB-22JHC0 - 37.27 GiB - 3 partitions
\PARTITION0 - Unknown - 2.01 GiB
\PARTITION1 - Unknown - 13.01 GiB
\PARTITION2 - Unknown - 22 GiB
\PARTITION3 - Erweitert mit Int 13 (erweitert) - 258.86 MiB



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.
Windows Internal Firewall is enabled.

AntivirusOverride is set.

AV: Avira AntiVir PersonalEdition Classic v0.0.0.0 (Avira GmbH) [COLOR=RED]Outdated[/COLOR]
AV: avast! antivirus 4.8.1169 [VPS 080425-1] v4.8.1169 (ALWIL Software) [COLOR=RED]Disabled[/COLOR]

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"E:\\BorlandTogether6.2\\jdk\\jre\\bin\\java.exe"="E:\\BorlandTogether6.2\\jdk\\jre\\bin\\java.exe:*:Enabled:java"
"E:\\Borland\\Together6.2\\jdk\\jre\\bin\\java.exe"="E:\\Borland\\Together6.2\\jdk\\jre\\bin\\java.exe:*:Enabled:java"
"E:\\BorlandTogehter\\jdk\\jre\\bin\\java.exe"="E:\\BorlandTogehter\\jdk\\jre\\bin\\java.exe:*:Enabled:java"
"E:\\Maxima-5.11.0\\wxMaxima\\wxMaxima.exe"="E:\\Maxima-5.11.0\\wxMaxima\\wxMaxima.exe:*:Enabled:wxMaxima"


-- Environment Variables -------------------------------------------------------

-- User Profiles ---------------------------------------------------------------

Admin (admin)


-- Add/Remove Programs ---------------------------------------------------------

--> E:\DivX\ConverterUninstall.exe /CONVERTER
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
ABBYY FineReader 4.0 Sprint --> C:\WINDOWS\bitdeins.exe E:\ABBYYF~1.0SP\bitdeins.ini
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 7.0.5 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70500000002}
ATI Display Driver --> rundll32 C:\WINDOWS\System32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_class;)ISPLAY -clean
avast! Antivirus --> E:\Avast4\aswRunDll.exe "E:\Avast4\Setup\setiface.dll",RunSetup
Avira AntiVir PersonalEdition Classic --> C:\Programme\AntiVir PersonalEdition Classic\setup.exe /REMOVE
AVM FRITZ!DSL --> C:\WINDOWS\IsUn0407.exe -fE:\FRITZ!DSL\WebUnins.isu -cE:\FRITZ!DSL\Webunins.dll
AVM FRITZ!WLAN --> C:\Programme\avmwlanstick\instwcli.exe -d1
Borland Together ControlCenter (v.6.2) --> "E:\BorlandTogehter\UninstallerData\Uninstall Together 6.2.exe"
CCleaner (remove only) --> "E:\CCleaner\uninst.exe"
Coroutine for Java --> jcuninstall.exe
DivX 5.0.2 Bundle --> C:\WINDOWS\unvise32.exe E:\DivX\uninstal.log
DivX Content Uploader --> E:\DivX\DivXContentUploaderUninstall.exe /CUPLOADER
DivX Converter --> E:\DivX\ConverterUninstall.exe /CONVERTER
DivX Player --> E:\DivX\DivXPlayerUninstall.exe /PLAYER
DivX Web Player --> E:\DivX\DivXWebPlayerUninstall.exe /PLUGIN
FaJo XP File Security Extension v1.2 --> "E:\FaJo\XP File Security Extension\unins000.exe"
GO --> MsiExec.exe /I{35F5959E-BAA3-4AD3-9A4C-0BFF6BDF7A81}
HijackThis 2.0.2 --> "C:\Dokumente und Einstellungen\Admin\Desktop\HJT\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB914440) --> "C:\WINDOWS\$NtUninstallKB914440$\spuninst\spuninst.exe"
hp deskjet 5100 --> MsiExec.exe /X{FEDA56C4-82F3-46DD-8B50-FC592BBE1C0D}
hp deskjet 5100 series --> rundll32 hpzcon08.dll,VendorJettison hp deskjet 5100 series
HP Photo and Imaging 2.0 - Deskjet Series --> MsiExec.exe /I{E0828692-FD9D-459F-9312-C645C3CA6650}
hp print screen utility --> C:\Program Files\Hewlett-Packard\hp print screen utility\UnInstall\prnunins.exe
HP Speicher-Disc --> MsiExec.exe /X{B376402D-58EA-45EA-BD50-DD924EB67A70}
jetAudio Basic --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{DF8195AF-8E6F-4487-A0EE-196F7E3F4B8A}\setup.exe" -l0x7 -removeonly
K-Lite Codec Pack 2.49 Standard --> "E:\K-Lite Codec Pack\unins000.exe"
Maxima 5.11.0 --> "E:\Maxima-5.11.0\uninst\unins000.exe"
Microsoft AutoRoute 2002 --> MsiExec.exe /I{F7F2DC0A-C22E-49AD-AD37-797309A54E7B}
Microsoft Encarta Enzyklopädie 2003 --> MsiExec.exe /I{03440014-3975-4267-9F39-1DC4745090B7}
Microsoft Office XP Professional mit FrontPage --> MsiExec.exe /I{90280407-6000-11D3-8CFE-0050048383C9}
Microsoft Visual J++ 6.0 (Deutsch) --> "E:\Microsoft Visual Studio\VJ98\Setup\1031\Setup.exe"
Microsoft Visual Studio 6.0 Professional Edition (Deutsch) --> "E:\Microsoft Visual Studio\Setup\1031\Setup.exe"
Microsoft Web Publishing Wizard 1.53 --> RunDll32 ADVPACK.DLL,LaunchINFSection C:\WINDOWS\INF\wpie3x86.inf,WebPostUninstall
Microsoft Works 2003-Setup-Start --> C:\Programme\Microsoft Works Suite 2003\Setup\Launcher.exe N:\
Microsoft Works 7.0 --> MsiExec.exe /I{EDDDC607-91D9-4758-9F57-265FDCD8A772}
Mozilla Thunderbird (2.0.0.12) --> E:\Mozilla Thunderbird\uninstall\helper.exe
MPLAB Tools v7.50 --> C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\10\INTEL3~1\IDriver.exe /M{DF72189F-AC28-4545-8B69-880C9D4A311F}
MSDN Library - Visual Studio 6.0a (Deutsch) --> "E:\Microsoft Visual Studio\MSDN98\98VSa\1031\Setup\Setup.exe"
Mustek 1200 UB Plus v1.3 --> C:\PROGRA~1\MUSTEK~1\Driver\UNINST.EXE
Nero - Burning Rom --> MsiExec.exe /X{A4D7B764-4140-11D4-88EB-0050DA3579C0}
OpenOffice.org 2.1 --> MsiExec.exe /I{8FB1A5EA-7DA8-4D57-80FB-BD923CCCC852}
PowerCinema --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6B103F43-069C-11D6-9EA2-0050BAE317E1}\Setup.exe" -uninst
PowerDVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\setup.exe" -uninstall
Shockwave --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\Install.log
Sicherheitsupdate für Windows XP (KB890046) --> "C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756) --> "C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358) --> "C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423) --> "C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896424) --> "C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428) --> "C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587) --> "C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591) --> "C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725) --> "C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017) --> "C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214) --> "C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400) --> "C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB904706) -->
Sicherheitsupdate für Windows XP (KB905414) --> "C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749) --> "C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB908519) --> "C:\WINDOWS\$NtUninstallKB908519$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911562) --> "C:\WINDOWS\$NtUninstallKB911562$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB911927) --> "C:\WINDOWS\$NtUninstallKB911927$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB912919) --> "C:\WINDOWS\$NtUninstallKB912919$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB913580) --> "C:\WINDOWS\$NtUninstallKB913580$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914388) --> "C:\WINDOWS\$NtUninstallKB914388$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB914389) --> "C:\WINDOWS\$NtUninstallKB914389$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917344) --> "C:\WINDOWS\$NtUninstallKB917344$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917422) --> "C:\WINDOWS\$NtUninstallKB917422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB917953) --> "C:\WINDOWS\$NtUninstallKB917953$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB918118) --> "C:\WINDOWS\$NtUninstallKB918118$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB919007) --> "C:\WINDOWS\$NtUninstallKB919007$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920213) --> "C:\WINDOWS\$NtUninstallKB920213$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920670) --> "C:\WINDOWS\$NtUninstallKB920670$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920683) --> "C:\WINDOWS\$NtUninstallKB920683$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB920685) --> "C:\WINDOWS\$NtUninstallKB920685$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921398) --> "C:\WINDOWS\$NtUninstallKB921398$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB921883) --> "C:\WINDOWS\$NtUninstallKB921883$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922616) --> "C:\WINDOWS\$NtUninstallKB922616$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB922819) --> "C:\WINDOWS\$NtUninstallKB922819$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923191) --> "C:\WINDOWS\$NtUninstallKB923191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923414) --> "C:\WINDOWS\$NtUninstallKB923414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923694) --> "C:\WINDOWS\$NtUninstallKB923694$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789) --> C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB923980) --> "C:\WINDOWS\$NtUninstallKB923980$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924191) --> "C:\WINDOWS\$NtUninstallKB924191$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924270) --> "C:\WINDOWS\$NtUninstallKB924270$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924496) --> "C:\WINDOWS\$NtUninstallKB924496$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB924667) --> "C:\WINDOWS\$NtUninstallKB924667$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB925902) --> "C:\WINDOWS\$NtUninstallKB925902$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926247) --> "C:\WINDOWS\$NtUninstallKB926247$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926255) --> "C:\WINDOWS\$NtUninstallKB926255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB926436) --> "C:\WINDOWS\$NtUninstallKB926436$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927779) --> "C:\WINDOWS\$NtUninstallKB927779$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB927802) --> "C:\WINDOWS\$NtUninstallKB927802$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928255) --> "C:\WINDOWS\$NtUninstallKB928255$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB928843) --> "C:\WINDOWS\$NtUninstallKB928843$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB930178) --> "C:\WINDOWS\$NtUninstallKB930178$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931261) --> "C:\WINDOWS\$NtUninstallKB931261$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB931784) --> "C:\WINDOWS\$NtUninstallKB931784$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB932168) --> "C:\WINDOWS\$NtUninstallKB932168$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB933729) --> "C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935839) --> "C:\WINDOWS\$NtUninstallKB935839$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB935840) --> "C:\WINDOWS\$NtUninstallKB935840$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB936021) --> "C:\WINDOWS\$NtUninstallKB936021$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB938829) --> "C:\WINDOWS\$NtUninstallKB938829$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941568) --> "C:\WINDOWS\$NtUninstallKB941568$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941644) --> "C:\WINDOWS\$NtUninstallKB941644$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB941693) --> "C:\WINDOWS\$NtUninstallKB941693$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943055) --> "C:\WINDOWS\$NtUninstallKB943055$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943460) --> "C:\WINDOWS\$NtUninstallKB943460$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB943485) --> "C:\WINDOWS\$NtUninstallKB943485$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB944653) --> "C:\WINDOWS\$NtUninstallKB944653$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB945553) --> "C:\WINDOWS\$NtUninstallKB945553$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB946026) --> "C:\WINDOWS\$NtUninstallKB946026$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948590) --> "C:\WINDOWS\$NtUninstallKB948590$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB948881) --> "C:\WINDOWS\$NtUninstallKB948881$\spuninst\spuninst.exe"
UltraMon --> MsiExec.exe /I{E67FF1A2-23C1-4102-84E9-42115F77AD32}
Update für Windows XP (KB898461) --> "C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB900485) --> "C:\WINDOWS\$NtUninstallKB900485$\spuninst\spuninst.exe"
Update für Windows XP (KB904942) --> "C:\WINDOWS\$NtUninstallKB904942$\spuninst\spuninst.exe"
Update für Windows XP (KB908531) --> "C:\WINDOWS\$NtUninstallKB908531$\spuninst\spuninst.exe"
Update für Windows XP (KB910437) --> "C:\WINDOWS\$NtUninstallKB910437$\spuninst\spuninst.exe"
Update für Windows XP (KB911280) --> "C:\WINDOWS\$NtUninstallKB911280$\spuninst\spuninst.exe"
Update für Windows XP (KB916595) --> "C:\WINDOWS\$NtUninstallKB916595$\spuninst\spuninst.exe"
Update für Windows XP (KB920872) --> "C:\WINDOWS\$NtUninstallKB920872$\spuninst\spuninst.exe"
Update für Windows XP (KB922582) --> "C:\WINDOWS\$NtUninstallKB922582$\spuninst\spuninst.exe"
Update für Windows XP (KB927891) --> "C:\WINDOWS\$NtUninstallKB927891$\spuninst\spuninst.exe"
Update für Windows XP (KB930916) --> "C:\WINDOWS\$NtUninstallKB930916$\spuninst\spuninst.exe"
Update für Windows XP (KB936357) --> "C:\WINDOWS\$NtUninstallKB936357$\spuninst\spuninst.exe"
Update für Windows XP (KB938828) --> "C:\WINDOWS\$NtUninstallKB938828$\spuninst\spuninst.exe"
Update für Windows XP (KB942763) --> "C:\WINDOWS\$NtUninstallKB942763$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB873339 --> C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835 --> C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836 --> C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885884 --> C:\WINDOWS\$NtUninstallKB885884$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185 --> C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887472 --> C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302 --> C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859 --> "C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781 --> C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
WinRAR archiver --> E:\WinRAR\uninstall.exe


-- Application Event Log -------------------------------------------------------

Event Record #/Type660 / Warning
Event Submitted/Written: 04/26/2008 03:35:13 PM
Event ID/Source: 1015 / EvntAgnt
Event Description:
TraceLevel-Parameter ist nicht in der Registrierung enthalten.
Die verwendete Standardablaufverfolgungsstufe ist 32.

Event Record #/Type659 / Warning
Event Submitted/Written: 04/26/2008 03:35:13 PM
Event ID/Source: 1003 / EvntAgnt
Event Description:
TraceFileName-Parameter ist nicht in der Registrierung enthalten.
Die verwendete Standardablaufverfolgungsdatei ist .

Event Record #/Type655 / Warning
Event Submitted/Written: 04/26/2008 01:50:44 PM
Event ID/Source: 1015 / EvntAgnt
Event Description:
TraceLevel-Parameter ist nicht in der Registrierung enthalten.
Die verwendete Standardablaufverfolgungsstufe ist 32.

Event Record #/Type654 / Warning
Event Submitted/Written: 04/26/2008 01:50:44 PM
Event ID/Source: 1003 / EvntAgnt
Event Description:
TraceFileName-Parameter ist nicht in der Registrierung enthalten.
Die verwendete Standardablaufverfolgungsdatei ist .

Event Record #/Type651 / Warning
Event Submitted/Written: 04/26/2008 01:35:16 PM
Event ID/Source: 1015 / EvntAgnt
Event Description:
TraceLevel-Parameter ist nicht in der Registrierung enthalten.
Die verwendete Standardablaufverfolgungsstufe ist 32.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type3816 / Error
Event Submitted/Written: 04/26/2008 02:59:43 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{1BE1F766-5536-11D1-B726-00C04FB926AF}

Event Record #/Type3815 / Error
Event Submitted/Written: 04/26/2008 02:56:18 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
aavmker4
AFD
aswsp
aswtdi
Fips
intelppm
IPSec
MRxSmb
NetBIOS
NetBT
RasAcd
Rdbss
Tcpip
Tcpip6

Event Record #/Type3814 / Error
Event Submitted/Written: 04/26/2008 02:56:18 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Der Dienst "Einfache TCP/IP-Dienste" ist vom Dienst "Umgebung für die AFD-Netzwerkunterstützung" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%31

Event Record #/Type3813 / Error
Event Submitted/Written: 04/26/2008 02:56:18 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Der Dienst "IPSEC-Dienste" ist vom Dienst "IPSEC-Treiber" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%31

Event Record #/Type3812 / Error
Event Submitted/Written: 04/26/2008 02:56:18 PM
Event ID/Source: 7001 / Service Control Manager
Event Description:
Der Dienst "IPv6-Hilfsdienst" ist vom Dienst "Microsoft IPv6-Protokolltreiber" abhängig, der aufgrund folgenden Fehlers nicht gestartet wurde:
%%31



-- End of Deckard's System Scanner: finished at 2008-04-26 16:30:37 ------------

___________
MfG Dietmar
Seitenanfang Seitenende
26.04.2008, 17:50
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 1.
fixe mit hijacktHis (nicht neustarten)

Zitat

O2 - BHO: {17a60727-cdd9-483b-6c54-8df81aebb802} - {208bbea1-8fd8-45c6-b384-9ddc72706a71} - C:\WINDOWS\system32\chhesaek.dll

O2 - BHO: (no name) - {B1E4471B-4B0A-439D-9E58-90F3B0FFBC3C} - C:\WINDOWS\system32\vtUkklLD.dll

O2 - BHO: (no name) - {F50B3F5E-856E-4757-9BB1-B35D46CA7719} - C:\WINDOWS\system32\byXOiHwV.dll

O4 - HKLM\..\Run: [BM376244ea] Rundll32.exe "C:\WINDOWS\system32\wfnrwsmp.dll",s

O4 - HKLM\..\Run: [34517776] rundll32.exe "C:\WINDOWS\system32\jaglkkxc.dll",b

O4 - HKCU\..\Run: [autoload] C:\Dokumente und Einstellungen\Admin\cftmon.exe

-----------------------------------------------------------------------

2..
Lade Avenger
http://virus-protect.org/artikel/tools/avenger.html

-setze ein Häkchen in: "Automatically disable any rootkits found"
-Das Häkchen "Scan for Rootkits" sollte angehakt sein.

kopiere in das weisse Feld:

Zitat

Drivers to disable:
ydhqzop

Drivers to delete:
ydhqzop

Files to delete:
C:\WINDOWS\pskt.ini
C:\WINDOWS\ydhqzop.sys
C:\WINDOWS\system32\vtUkklLD.dll
C:\WINDOWS\system32\chhesaek.dll
C:\WINDOWS\system32\jaglkkxc.dll
C:\WINDOWS\system32\wfnrwsmp.dll
C:\WINDOWS\system32\DLlkkUtv.ini2
C:\WINDOWS\system32\DLlkkUtv.ini
C:\WINDOWS\system32\byXOiHwV.dll

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

WENN FEHLERMELDUNGEN KOMMEN, klicke 4 oder 5 mal, wenn immer noch nicht neugestartet wird, starte du selbst den Rechner neu

»
poste dann das log von Avenger, was erscheint

-------------
««
scanne mit Malwarebytes + poste den report
http://virus-protect.org/artikel/tools/malwarebytes.html

hoffentlich holt Malwarebytes den veränderten Lsa-Wert raus:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -


««
scanne im abgesicherten modus und berichte, ob der Rootkit (ydhqzop.sys) gelöscht wurde
Sophos Anti-Rootkit
http://www.sophos.de/products/free-tools/sophos-anti-rootkit.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.04.2008, 19:06
Member

Themenstarter

Beiträge: 23
#9 Hallo,

1. ok
2. Avenger kam eine Fehlermeldung:

Error: Invalid script. A valid script must begin with a command directive. Aborting execution!

Habe "Drivers to disable" in "Drivers to disable:" abgeändert.

*******************************************
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "ydhqzop" disabled successfully.
Driver "ydhqzop" deleted successfully.
File "C:\WINDOWS\pskt.ini" deleted successfully.
File "C:\WINDOWS\ydhqzop.sys" deleted successfully.
File "C:\WINDOWS\system32\vtUkklLD.dll" deleted successfully.

Error: file "C:\WINDOWS\system32\chhesaek.dll" not found!
Deletion of file "C:\WINDOWS\system32\chhesaek.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

File "C:\WINDOWS\system32\jaglkkxc.dll" deleted successfully.
File "C:\WINDOWS\system32\wfnrwsmp.dll" deleted successfully.
File "C:\WINDOWS\system32\DLlkkUtv.ini2" deleted successfully.
File "C:\WINDOWS\system32\DLlkkUtv.ini" deleted successfully.
File "C:\WINDOWS\system32\byXOiHwV.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

************************************************
Malwarebytes' Anti-Malware 1.11
Datenbank Version: 685

Scan Art: Komplett Scan (C:\|E:\|F:\|)
Objekte gescannt: 91175
Scan Dauer: 36 minute(s), 8 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 2
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 21

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{d032570a-5f63-4812-a094-87d007c23012} (Spyware.Banker) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f50b3f5e-856e-4757-9bb1-b35d46ca7719} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f50b3f5e-856e-4757-9bb1-b35d46ca7719} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Purchased Products (Rogue.Multiple) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f50b3f5e-856e-4757-9bb1-b35d46ca7719} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM376244ea (Trojan.Agent) -> No action taken.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Deckard\System Scanner\backup\WINDOWS\temp\7CF28762C38CA0D4.tmp (Trojan.Dropper) -> No action taken.
C:\Deckard\System Scanner\backup\WINDOWS\temp\AE8AB41F91F72503.tmp (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\Admin\Desktop\HJT\backups\backup-20080426-125908-530.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Admin\Desktop\HJT\backups\backup-20080426-125908-606.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Admin\Desktop\HJT\backups\backup-20080426-125908-711.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Admin\Desktop\HJT\backups\backup-20080426-185737-110.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Admin\Desktop\HJT\backups\backup-20080426-185737-226.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Admin\Desktop\HJT\backups\backup-20080426-185737-674.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Admin\Desktop\HJT\backups\backup-20080426-194539-388.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Admin\Desktop\HJT\backups\backup-20080426-194539-628.dll (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4G50I0WL\glas[1] (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{00AA45B3-6A6D-44CA-8BA1-7D8A65A8E133}\RP168\A0015663.dll (Rogue.Multiple) -> No action taken.
C:\System Volume Information\_restore{00AA45B3-6A6D-44CA-8BA1-7D8A65A8E133}\RP168\A0015681.exe (Rogue.SystemErrorFixer) -> No action taken.
C:\System Volume Information\_restore{00AA45B3-6A6D-44CA-8BA1-7D8A65A8E133}\RP175\A0019931.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{00AA45B3-6A6D-44CA-8BA1-7D8A65A8E133}\RP177\A0022967.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{00AA45B3-6A6D-44CA-8BA1-7D8A65A8E133}\RP177\A0022990.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{00AA45B3-6A6D-44CA-8BA1-7D8A65A8E133}\RP177\A0022994.dll (Trojan.Vundo) -> No action taken.
C:\_OTMoveIt\MovedFiles\04262008_132314\WINDOWS\system32\ajwekhyk.dll (Trojan.Vundo) -> No action taken.
C:\_OTMoveIt\MovedFiles\04262008_132314\WINDOWS\system32\dilwxeiq.dll (Trojan.Vundo) -> No action taken.
C:\_OTMoveIt\MovedFiles\04262008_132314\WINDOWS\system32\rqRJCvuV.dll (Trojan.Vundo) -> No action taken.
C:\_OTMoveIt\MovedFiles\04262008_132314\WINDOWS\system32\ymbutmbu.dll (Trojan.Vundo) -> No action taken.


___________
MfG Dietmar
Dieser Beitrag wurde am 26.04.2008 um 21:00 Uhr von Di editiert.
Seitenanfang Seitenende
26.04.2008, 21:14
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#10 Malwarebytes Anti-Malware

Zitat

Wenn am Ende infizierungen gefunden werden,anhaacken und entfernen lassen

__________
MfG Argus
Seitenanfang Seitenende
26.04.2008, 21:30
Member

Themenstarter

Beiträge: 23
#11 Hallo,

habe noch im Abgesicherten Modus Sophos Anti-Rootkit durchlaufen lassen, der hat aber nicht gefunden und nichts gelöscht. Beim booten braucht das System etwas lange.

Starte Malwarebytes Anti-Malware und lösche die infizierten Dateien.

____________
Mfg Dietmar
Seitenanfang Seitenende
26.04.2008, 21:37
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#12 NUN wende noch mal Combofix an ... hoff ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
26.04.2008, 22:20
Member

Themenstarter

Beiträge: 23
#13 Hi,

ComboFix ist komplett durchgelaufen.

*******************************************************
ComboFix 08-04-24.1 - Admin 2008-04-26 22:07:22.7 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.231 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Admin\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\1.tmp
C:\WINDOWS\system32\cxkklgaj.ini
C:\WINDOWS\system32\mcrh.tmp

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_6TO4
-------\Legacy_IPRIP
-------\Service_6to4
-------\Service_Iprip
-------\Legacy_MEMSWEEP2
-------\Service_MEMSWEEP2


((((((((((((((((((((((( Dateien erstellt von 2008-03-26 bis 2008-04-26 ))))))))))))))))))))))))))))))
.

2008-04-26 19:17 . 2008-04-26 19:17 61,440 --a------ C:\WINDOWS\system32\drivers\gkacn.sys
2008-04-26 18:42 . 2008-04-26 18:42 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Malwarebytes
2008-04-26 18:41 . 2008-04-26 18:41 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-04-26 16:27 . 2008-04-26 16:27 <DIR> d-------- C:\Deckard
2008-04-26 13:53 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-04-26 13:53 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-04-26 13:23 . 2008-04-26 13:23 <DIR> d-------- C:\_OTMoveIt
2008-04-25 23:22 . 2008-04-25 23:22 <DIR> d--h----- C:\WINDOWS\PIF
2008-04-24 19:36 . 2008-04-24 19:36 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\FestplattenReiniger
2008-04-24 19:31 . 2008-04-24 19:31 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FestplattenReiniger
2008-04-24 19:29 . 2008-04-24 19:29 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\syskontroller
2008-04-24 19:19 . 2008-04-26 20:01 109,779 --a------ C:\WINDOWS\BM376244ea.xml
2008-03-31 18:24 . 2008-03-31 18:24 0 --a------ C:\WINDOWS\Ui.INI
2008-03-30 22:36 . 2008-03-30 22:36 690 --a------ C:\WINDOWS\system32\Verknpfung mit DEVENV.EXE.lnk
2008-03-27 14:50 . 2002-04-15 17:38 196,608 -ra------ C:\WINDOWS\system32\SBMiniDrv.dll
2008-03-27 14:50 . 2001-11-08 10:53 18,120 -ra------ C:\WINDOWS\system32\drivers\gt680x.sys
2008-03-27 14:50 . 2001-11-29 16:47 8,192 -ra------ C:\WINDOWS\system32\drivers\SBfw.usb
2008-03-27 14:49 . 2008-03-27 14:49 0 --a------ C:\WINDOWS\WATCH.INI
2008-03-27 14:45 . 2008-03-27 14:45 492 --a------ C:\WINDOWS\MAXLINK.INI
2008-03-27 14:43 . 2008-03-27 14:43 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\WINDOWS
2008-03-27 14:43 . 1995-05-23 01:30 776,240 --a------ C:\WINDOWS\system\lead52.dll
2008-03-27 14:43 . 1997-09-18 01:30 332,800 --a------ C:\WINDOWS\system\hhctrl.ocx
2008-03-27 14:43 . 1997-09-18 01:30 169,120 --a------ C:\WINDOWS\system\itircl.dll
2008-03-27 14:43 . 1997-09-18 01:30 124,336 --a------ C:\WINDOWS\system\itss.dll
2008-03-27 14:42 . 2008-03-27 14:42 <DIR> d-------- C:\Programme\Mustek 1200 UB Plus
2008-03-27 14:38 . 2008-04-20 22:24 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\OpenOffice.org2
2008-03-27 14:37 . 2008-03-27 14:37 <DIR> d-------- C:\Programme\OpenOffice.org 2.1
4 Datei(en) . 3,702,544 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-26 19:50 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-26 12:08 90,112 ----a-w C:\WINDOWS\DUMP4a38.tmp
2008-04-19 16:34 36,296 ----a-w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-03-30 20:37 --------- d--h--w C:\Programme\Zero G Registry
2008-03-02 13:40 --------- d-----w C:\Programme\avmwlanstick
2008-02-15 15:05 766,365 ----a-w C:\WINDOWS\java\Packages\9JR353X7.ZIP
2008-02-15 15:05 518,922 ----a-w C:\WINDOWS\java\Packages\AT3BTZZ9.ZIP
2008-02-14 19:12 558,142 ----a-w C:\WINDOWS\java\Packages\SXNP7B1J.ZIP
2008-02-14 19:12 155,995 ----a-w C:\WINDOWS\java\Packages\5Z7BPNP7.ZIP
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D9D80BA1-5D13-44AD-BD13-61450C6FE558}]
C:\WINDOWS\system32\vtUkklLD.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\MSMSGS.exe" [ ]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2002-10-28 08:38 47104 C:\WINDOWS\SOUNDMAN.EXE]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" [2002-12-17 12:40 49152]
"DeviceDiscovery"="C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2002-12-02 21:56 40960]
"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 12:50 155648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2006-10-31 18:07 299048]
"UltraMon"="E:\UltraMon\UltraMon.exe" [2006-10-12 22:27 304640]
"AVMWlanClient"="C:\Programme\avmwlanstick\FRITZWLANMini.exe" [2006-06-23 12:24 343552]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXOiHwV]
byXOiHwV.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.3iv2"= 3ivxVfWCodec.dll
"VIDC.HFYU"= huffyuv.dll
"VIDC.VP31"= vp31vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"E:\\BorlandTogehter\\jdk\\jre\\bin\\java.exe"=
"E:\\Maxima-5.11.0\\wxMaxima\\wxMaxima.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3587:TCP"= 3587:TCP:Windows-Peer-zu-Peer-Gruppierung
"3540:UDP"= 3540:UDP:peer Name Resolution-Protokoll (PNRP)
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2006-11-22 14:29]
R1 aswsp;avast! Self Protection;C:\WINDOWS\system32\drivers\aswsp.sys [2008-03-29 19:31]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2006-11-22 14:29]
R2 aswfsblk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35]
R2 UltraMonUtility;UltraMon Utility Driver;C:\Programme\Gemeinsame Dateien\Realtime Soft\UltraMonMirrorDrv\x32\UltraMonUtility.sys [2006-09-24 22:22]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2002-11-04 16:29]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2005-10-18 03:04]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2002-11-04 16:32]
R3 UltraMonMirror;UltraMonMirror;C:\WINDOWS\system32\DRIVERS\UltraMonMirror.sys [2006-09-24 22:23]
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
S3 p2psvc;Peernetzwerk;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{358ba9ac-e85e-11dc-9a7d-0010dce427e8}]
\Shell\AutoRun\command - D:\pushinst.exe

.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-26 22:16:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
E:\Avast4\aswUpdSv.exe
E:\Avast4\ashServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WLanNetService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\snmp.exe
E:\Acrobat 7.0\Reader\reader_sl.exe
E:\Avast4\ashMaiSv.exe
E:\Avast4\ashWebSv.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-26 22:18:47 - machine was rebooted [Admin]
ComboFix-quarantined-files.txt 2008-04-26 20:18:43

10 Verzeichnis(se), 36,008,349,696 Bytes frei
11 Verzeichnis(se), 35,950,931,968 Bytes frei

151 --- E O F --- 2008-04-26 10:00:28

_____________
MfG Dietmar
Seitenanfang Seitenende
27.04.2008, 00:09
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#14 Hallo,

Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\drivers\gkacn.sys

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

------------------------------------------

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D9D80BA1-5D13-44AD-BD13-61450C6FE558}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\byXOiHwV]

File::
C:\WINDOWS\system32\vtUkklLD.dll

Folder::
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4G50I0WL
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\FestplattenReiniger
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FestplattenReiniger
C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\syskontroller
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden

PC neustarten

««
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
OTMoveIt
klicken: CleanUp! button
cleanup.txt wird vom Internet geladen (von Firewall zulassen!)
Begin cleanup process? klicke: Yes. - "Do you want to reboot?" klicke Yes

--------
««
mache einen Onlinescan mit f-Secure + poste den report
http://virus-protect.org/onlinescan.html

««
poste ein neus Log vom HijackThis
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
27.04.2008, 00:27
Member

Themenstarter

Beiträge: 23
#15 Hi,

noch wach :-)?

*****************************
Virustotal analyse:
MD5: 589312a3b46721c5a751e4d5222a89be
First received: -
Datum 2008.04.26 23:19:15 (CET) [<1D]
Ergebnisse 0/32
Permalink: analisis/c12c18bc1f71f43cf55d409d0bd80530

*****************************************
f-secure report:
Scanning Report
Sunday, April 27, 2008 01:00:52 - 02:20:26
Computer name: ARBEITSZIMMER
Scanning type: Scan system for malware, rootkits
Target: C:\ E:\ F:\


--------------------------------------------------------------------------------

Result: 1 malware found
Tracking Cookie (spyware)
System

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 38040
System: 3875
Not scanned: 7
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 1
Submitted: 0
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
C:\WINDOWS\SOFTWAREDISTRIBUTION\EVENTCACHE\{85473277-0BF1-44B6-B71F-C48D97F74BE5}.BIN

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure USS: 2.30.0
F-Secure Hydra: 2.8.8110, 2008-04-26
F-Secure AVP: 7.0.171, 2008-04-26
F-Secure Pegasus: 1.20.0, 2008-02-28
F-Secure Blacklight: 1.0.64
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics

*************************************
hijackthis logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:23:09, on 27.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
E:\Avast4\aswUpdSv.exe
E:\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\avmwlanstick\WlanNetService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\UltraMon\UltraMon.exe
C:\Programme\avmwlanstick\FRITZWLANMini.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Avast4\ashMaiSv.exe
E:\Avast4\ashWebSv.exe
C:\Programme\internet explorer\iexplore.exe
E:\Acrobat 7.0\Reader\AcroRd32.exe
C:\Dokumente und Einstellungen\Admin\Desktop\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://board.protecus.de/t33472.htm?highlight=system+langsam+und+instabil
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fritz.box/
O2 - BHO: (no name) - {D9D80BA1-5D13-44AD-BD13-61450C6FE558} - C:\WINDOWS\system32\vtUkklLD.dll (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [UltraMon] "E:\UltraMon\UltraMon.exe" /auto
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\MicrosoftOfficeXP\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: Microsoft WFC Forms Designer - file://N:\VJ98\wfcforms.cab
O16 - DPF: Visual Studio 6 Extensibility Libraries - file://N:\VJ98\vstudio6.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203091194729
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1209159837562
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O20 - Winlogon Notify: byXOiHwV - byXOiHwV.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswupdsv) - ALWIL Software - E:\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus (avast! antivirus) - ALWIL Software - E:\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner (avast! mail scanner) - ALWIL Software - E:\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner (avast! web scanner) - ALWIL Software - E:\Avast4\ashWebSv.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - E:\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe

--
End of file - 5714 bytes

Guten Morgen...Hab neue Kräfte getankt, jetzt kanns weitergehen
____________
MfG Dietmar
Dieser Beitrag wurde am 27.04.2008 um 10:56 Uhr von Di editiert.
Seitenanfang Seitenende