ieav.exe Achtung Malware!

#16 @ Tonstudio: hier ist erstmal das Combofix.log:

Zitat

ComboFix 08-04-28.2 - Ice 2008-04-29 13:08:25.2 - [color=red]FAT32[/color]x86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.322 [GMT 2:00]
ausgeführt von:: D:\ComboFix.exe

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-03-28 bis 2008-04-29 ))))))))))))))))))))))))))))))
.

2008-04-28 23:58 . 2008-04-28 23:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WEBREG
2008-04-28 23:55 . 2008-03-12 16:12 158,672 --------- C:\WINDOWS\hpoins15.dat.temp
2008-04-28 23:55 . 2007-09-20 21:06 1,039 --------- C:\WINDOWS\hpomdl15.dat.temp
2008-04-27 21:29 . 2008-04-27 21:29 <DIR> d-------- C:\Dokumente und Einstellungen\Ice\Anwendungsdaten\SUPERAntiSpyware.com
2008-04-27 21:29 . 2008-04-27 21:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-04-27 19:57 . 2008-04-27 19:57 218,112 --a------ C:\WINDOWS\wona.dll
2008-04-27 19:56 . 2008-04-27 19:56 91,004 --a------ C:\4mh2bp.exe
2008-04-21 20:13 . 2007-01-15 20:39 <DIR> d-------- C:\Programme\AviSynth 2.5
2008-04-21 20:13 . 2004-02-22 10:11 719,872 --a------ C:\WINDOWS\system32\devil.dll
2008-04-21 20:13 . 2006-10-07 17:43 502,784 --a------ C:\WINDOWS\x2.64.exe
2008-04-21 20:13 . 2008-02-07 16:15 408,576 --a------ C:\WINDOWS\system32\Smab.dll
2008-04-21 20:13 . 2007-05-17 17:30 318,976 --a------ C:\WINDOWS\system32\avisynth.dll
2008-04-21 20:13 . 2005-02-28 13:16 240,128 --a------ C:\WINDOWS\system32\x.264.exe
2008-04-21 20:13 . 2006-04-12 09:47 217,073 --a------ C:\WINDOWS\meta4.exe
2008-04-21 20:13 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\yv12vfw.dll
2008-04-21 20:13 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\i420vfw.dll
2008-04-21 20:13 . 2006-04-05 08:09 66,560 --a------ C:\WINDOWS\MOTA113.exe
2008-04-21 20:13 . 2005-07-14 12:31 27,648 --a------ C:\WINDOWS\system32\AVSredirect.dll
2008-03-30 18:30 . 2004-08-03 23:08 20,480 --a------ C:\WINDOWS\system32\drivers\usbuhci.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-26 20:56 --------- d-----w C:\Dokumente und Einstellungen\Ice\Anwendungsdaten\Wireshark
2008-03-18 15:41 --------- d-----w C:\Programme\Sierra
2008-03-17 23:14 --------- d-----w C:\Programme\Sierra On-Line
2008-03-17 21:30 --------- d-----w C:\Programme\directx
2008-03-15 22:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrafficMonitor
2008-03-15 21:12 --------- d-----w C:\Dokumente und Einstellungen\Ice\Anwendungsdaten\Ethereal
2008-03-15 21:11 --------- d-----w C:\Programme\WinPcap
2008-03-13 00:37 --------- d-----w C:\Dokumente und Einstellungen\Ice\Anwendungsdaten\HP
2008-03-13 00:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hewlett-Packard
2008-03-12 14:11 --------- d-----w C:\Dokumente und Einstellungen\Ice\Anwendungsdaten\HPAppData
2008-03-12 14:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HPSSUPPLY
2008-03-12 14:09 --------- d-----w C:\Programme\Gemeinsame Dateien\HP
2008-03-12 14:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2008-03-12 14:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2008-03-12 14:08 --------- d-----w C:\Programme\Hewlett-Packard
2008-03-12 14:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2008-03-12 14:04 --------- d-----w C:\Programme\HP
2007-12-12 15:23 81,920 ----a-w C:\Dokumente und Einstellungen\Ice\Anwendungsdaten\ezpinst.exe
2007-12-12 15:23 47,360 ----a-w C:\Dokumente und Einstellungen\Ice\Anwendungsdaten\pcouffin.sys
2007-11-19 17:39 92,064 ----a-w C:\Dokumente und Einstellungen\Ice\mqdmmdm.sys
2007-11-19 17:39 9,232 ----a-w C:\Dokumente und Einstellungen\Ice\mqdmmdfl.sys
2007-11-19 17:39 79,328 ----a-w C:\Dokumente und Einstellungen\Ice\mqdmserd.sys
2007-11-19 17:39 66,656 ----a-w C:\Dokumente und Einstellungen\Ice\mqdmbus.sys
2007-11-19 17:39 6,208 ----a-w C:\Dokumente und Einstellungen\Ice\mqdmcmnt.sys
2007-11-19 17:39 5,936 ----a-w C:\Dokumente und Einstellungen\Ice\mqdmwhnt.sys
2007-11-19 17:39 4,048 ----a-w C:\Dokumente und Einstellungen\Ice\mqdmcr.sys
2007-11-19 17:39 25,600 ----a-w C:\Dokumente und Einstellungen\Ice\usbsermptxp.sys
2007-11-19 17:39 22,768 ----a-w C:\Dokumente und Einstellungen\Ice\usbsermpt.sys
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{15977918-3A04-4982-8E45-EDC618371EBE}]
2008-04-27 19:57 218112 --a------ C:\WINDOWS\wona.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eraser"="C:\Programme\Eraser\eraser.exe" [2002-12-16 09:26 524688]
"userinit.exe"="REM C:\WINDOWS\userinit.exe" [ ]
"AutoStart-Manager"="REM C:\Programme\LAB1.DE\Autostart-Manager\AutoStart-Manager.exe" [ ]
"P2kAutostart"="REM " []
"SUPERAntiSpyware"="D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-02-29 16:03 1481968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-10-22 12:22 7700480]
"nwiz"="REM nwiz.exe" []
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-10-22 12:22 86016]
"DAEMON Tools-1033"="REM C:\Programme\D-Tools\daemon.exe" [ ]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"ISUSPM"="REM C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [ ]
"ICQ Lite"="REM C:\Programme\ICQLite\ICQLite.exe" [ ]
"HP Software Update"="REM C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [ ]
"SunJavaUpdateSched"="REM C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\Ice\Startmen�\Programme\Autostart\
TimeLeft.lnk - C:\Programme\TimeLeft3\TimeLeft.exe [2007-07-04 17:48:42 1026104]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= D:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
D:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 D:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDog305]
REM C:\WINDOWS\VM305_STI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDogPath]
REM C:\WINDOWS\VM_STI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
REM C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\Explorer.EXE"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=

R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 22:41]
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 22:41]
R3 es1969;ESS 1969-Audiotreiber (WDM);C:\WINDOWS\system32\drivers\es1969.sys [2001-08-17 12:19]
R3 KCIRDA;%KCIRDA.ServiceDesc%;C:\WINDOWS\system32\DRIVERS\KCIrNet.sys [2001-10-04 09:23]
S2 KC180;HOYA Computer Co.,;C:\WINDOWS\system32\Drivers\kcirusb.sys [2001-10-04 09:23]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 21:22]
S3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys [2004-11-03 14:14]
S3 TODslService;T-Online DSL-Manager;"C:\Programme\T-Online\DSL-Manager\TODslSvc.exe" [2006-05-05 16:10]
S3 ZSMC0305;VIMICRO USB PC Camera V;C:\WINDOWS\system32\Drivers\usbVM305.sys [2005-11-30 06:50]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9EC0745F-CAD3-628A-48E9-02B9AFEC8E74}]
C:\WINDOWS\System32\svchost.exe ³¯ã¶ì²
.
Inhalt des "geplante Tasks" Ordners
"2007-03-02 15:15:02 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-29 13:09:21
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-04-29 13:10:00
ComboFix-quarantined-files.txt 2008-04-29 11:09:58
ComboFix2.txt 2008-04-29 10:49:52

11 Verzeichnis(se), 428,097,536 Bytes frei
13 Verzeichnis(se), 419,905,536 Bytes frei

144

auf dem ersten Blick kommt mir diese x264.exe in C:\WINDOWS\system32
ziemlich merkwürdig vor..sie gehört zu dem Video-Konvertierungsprogramm "SUPER 2008"

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:53:15, on 29.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Eraser\eraser.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
D:\Programme\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: VideoData - {15977918-3A04-4982-8E45-EDC618371EBE} - C:\WINDOWS\wona.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] REM nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools-1033] REM "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISUSPM] REM "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [ICQ Lite] REM "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [HP Software Update] REM C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] REM "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - HKCU\..\Run: [userinit.exe] REM C:\WINDOWS\userinit.exe
O4 - HKCU\..\Run: [AutoStart-Manager] REM C:\Programme\LAB1.DE\Autostart-Manager\AutoStart-Manager.exe /AUTOSTART
O4 - HKCU\..\Run: [P2kAutostart] REM
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: TimeLeft.lnk = C:\Programme\TimeLeft3\TimeLeft.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170034111183
O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe

--
End of file - 4995 bytes

#17 Hallo Ice81

1.
Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\wona.dll
C:\4mh2bp.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

------------------------------------------
2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{15977918-3A04-4982-8E45-EDC618371EBE}]
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9EC0745F-CAD3-628A-48E9-02B9AFEC8E74}]

File::
C:\WINDOWS\wona.dll
C:\4mh2bp.exe

boote in den abgesicherten Modus

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

PC neustarten

««««««««

poste hier das log von Combofix

-------------------------------------------------------------
««
Start > Ausführen --> reinschreiben --> cmd
und ok. kopiere rein

Zitat

dir /s /a "c:\svchost*.*" > c:\find.txt & start notepad c:\find.txt

kopiere hier, was erscheint
__________
MfG Sabina

rund um die PC-Sicherheit

#18 so, ich sitze jetzt seit 09:30 und warte bis diese combofix fertig wird.....

bin JETZT bei stage 19

das kann doch nicht sooooooooo lange dauern oder?

Ich habe erst windows wieder neu installiert seit 1 woche

#19 Hallo Highland lad

wende Cleaner an, dann sollte Combofix schneller fertig werden
http://www.ccleaner.de/?protecus.de
__________
MfG Sabina

rund um die PC-Sicherheit

#20 Danke sabina, Ich bin nicht so der whizz kid wie ihr......

#21 ergebnis zu 4mh2bp.exe:

Zitat

AhnLab-V3 2008.4.29.2 2008.04.29 -
AntiVir 7.8.0.10 2008.04.29 TR/Dldr.Peregar.CL
Authentium 4.93.8 2008.04.27 -
Avast 4.8.1169.0 2008.04.29 -
AVG 7.5.0.516 2008.04.29 Downloader.Zlob
BitDefender 7.2 2008.04.29 -
CAT-QuickHeal 9.50 2008.04.28 TrojanDownloader.Delf.gye
ClamAV 0.92.1 2008.04.29 -
DrWeb 4.44.0.09170 2008.04.29 Trojan.DownLoader.59071
eSafe 7.0.15.0 2008.04.28 Suspicious File
eTrust-Vet 31.3.5744 2008.04.29 Win32/Burgspill!generic
Ewido 4.0 2008.04.28 -
F-Prot 4.4.2.54 2008.04.28 -
F-Secure 6.70.13260.0 2008.04.29 Trojan-Downloader.Win32.Delf.gye
FileAdvisor 1 2008.04.29 -
Fortinet 3.14.0.0 2008.04.29 W32/Fake.B!tr.dldr
Ikarus T3.1.1.26 2008.04.29 Virus.Win32.Delf.JHW
Kaspersky 7.0.0.125 2008.04.29 Trojan-Downloader.Win32.Delf.gye
McAfee 5283 2008.04.28 -
Microsoft 1.3408 2008.04.22 Trojan:Win32/Delflob.I
NOD32v2 3062 2008.04.29 Win32/Adware.IeDefender.NDG
Norman 5.80.02 2008.04.29 W32/Delf.dam
Panda 9.0.0.4 2008.04.29 Trj/Downloader.TLR
Prevx1 V2 2008.04.29 Generic.Malware
Rising 20.42.11.00 2008.04.29 Trojan.DL.Win32.Delf.zaj
Sophos 4.28.0 2008.04.29 Mal/DelpDldr-E
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.29 -
TheHacker 6.2.92.296 2008.04.29 -
VBA32 3.12.6.5 2008.04.29 Trojan-Downloader.Win32.Delf.gye
VirusBuster 4.3.26:9 2008.04.28 -
Webwasher-Gateway 6.6.2 2008.04.29 Trojan.Dldr.Peregar.CL

4mh2bp.exe is also offensichtlich ein Trojaner...

hier das Ergebnis zu wona.dll :

Zitat

AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - suspicious Trojan/Worm
eTrust-Vet - - Win32/Burgspill!generic
Ewido - - -
F-Prot - - -
F-Secure - - -
FileAdvisor - - -
Fortinet - - -
Ikarus - - -
Kaspersky - - -
McAfee - - -
Microsoft - - Trojan:Win32/Delflob.I
NOD32v2 - - -
Norman - - -
Panda - - -
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - -

scheinbar noch nicht so bekannt aber ebenfalls ein Trojaner..

#22 Highland lad

Kid ?? - das ist guuuuut , wäre ich gern
poste also dann das Log, dann lösen wir das Problem ...
__________
MfG Sabina

rund um die PC-Sicherheit

#23 Ice81
nun noch die dll, dann arbeite alles weitere ab + poste das neue log von Combofix + die svchost*.*
Dann kommen neue Anweisungen
__________
MfG Sabina

rund um die PC-Sicherheit

#24 hier ist die neue Combofix.log:

Zitat

ComboFix 08-04-28.2 - Ice 2008-04-29 14:44:57.3 - [color=red]FAT32[/color]x86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.387 [GMT 2:00]
ausgeführt von:: D:\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Ice\Desktop\cfscript.txt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]

FILE ::
C:\4mh2bp.exe
C:\WINDOWS\wona.dll
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\4mh2bp.exe
C:\WINDOWS\wona.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-03-28 bis 2008-04-29 ))))))))))))))))))))))))))))))
.

2008-04-28 23:58 . 2008-04-28 23:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WEBREG
2008-04-28 23:55 . 2008-03-12 16:12 158,672 --------- C:\WINDOWS\hpoins15.dat.temp
2008-04-28 23:55 . 2007-09-20 21:06 1,039 --------- C:\WINDOWS\hpomdl15.dat.temp
2008-04-27 21:29 . 2008-04-27 21:29 <DIR> d-------- C:\Dokumente und Einstellungen\Ice\Anwendungsdaten\SUPERAntiSpyware.com
2008-04-27 21:29 . 2008-04-27 21:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-04-21 20:13 . 2007-01-15 20:39 <DIR> d-------- C:\Programme\AviSynth 2.5
2008-04-21 20:13 . 2004-02-22 10:11 719,872 --a------ C:\WINDOWS\system32\devil.dll
2008-04-21 20:13 . 2006-10-07 17:43 502,784 --a------ C:\WINDOWS\x2.64.exe
2008-04-21 20:13 . 2008-02-07 16:15 408,576 --a------ C:\WINDOWS\system32\Smab.dll
2008-04-21 20:13 . 2007-05-17 17:30 318,976 --a------ C:\WINDOWS\system32\avisynth.dll
2008-04-21 20:13 . 2005-02-28 13:16 240,128 --a------ C:\WINDOWS\system32\x.264.exe
2008-04-21 20:13 . 2006-04-12 09:47 217,073 --a------ C:\WINDOWS\meta4.exe
2008-04-21 20:13 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\yv12vfw.dll
2008-04-21 20:13 . 2004-01-25 00:00 70,656 --a------ C:\WINDOWS\system32\i420vfw.dll
2008-04-21 20:13 . 2006-04-05 08:09 66,560 --a------ C:\WINDOWS\MOTA113.exe
2008-04-21 20:13 . 2005-07-14 12:31 27,648 --a------ C:\WINDOWS\system32\AVSredirect.dll
2008-03-30 18:30 . 2004-08-03 23:08 20,480 --a------ C:\WINDOWS\system32\drivers\usbuhci.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-26 20:56 --------- d-----w C:\Dokumente und Einstellungen\Ice\Anwendungsdaten\Wireshark
2008-03-18 15:41 --------- d-----w C:\Programme\Sierra
2008-03-17 23:14 --------- d-----w C:\Programme\Sierra On-Line
2008-03-17 21:30 --------- d-----w C:\Programme\directx
2008-03-15 22:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TrafficMonitor
2008-03-15 21:12 --------- d-----w C:\Dokumente und Einstellungen\Ice\Anwendungsdaten\Ethereal
2008-03-15 21:11 --------- d-----w C:\Programme\WinPcap
2008-03-13 00:37 --------- d-----w C:\Dokumente und Einstellungen\Ice\Anwendungsdaten\HP
2008-03-13 00:10 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Hewlett-Packard
2008-03-12 14:11 --------- d-----w C:\Dokumente und Einstellungen\Ice\Anwendungsdaten\HPAppData
2008-03-12 14:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HPSSUPPLY
2008-03-12 14:09 --------- d-----w C:\Programme\Gemeinsame Dateien\HP
2008-03-12 14:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP Product Assistant
2008-03-12 14:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HP
2008-03-12 14:08 --------- d-----w C:\Programme\Hewlett-Packard
2008-03-12 14:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2008-03-12 14:04 --------- d-----w C:\Programme\HP
2007-12-12 15:23 81,920 ----a-w C:\Dokumente und Einstellungen\Ice\Anwendungsdaten\ezpinst.exe
2007-12-12 15:23 47,360 ----a-w C:\Dokumente und Einstellungen\Ice\Anwendungsdaten\pcouffin.sys
2007-11-19 17:39 92,064 ----a-w C:\Dokumente und Einstellungen\Ice\mqdmmdm.sys
2007-11-19 17:39 9,232 ----a-w C:\Dokumente und Einstellungen\Ice\mqdmmdfl.sys
2007-11-19 17:39 79,328 ----a-w C:\Dokumente und Einstellungen\Ice\mqdmserd.sys
2007-11-19 17:39 66,656 ----a-w C:\Dokumente und Einstellungen\Ice\mqdmbus.sys
2007-11-19 17:39 6,208 ----a-w C:\Dokumente und Einstellungen\Ice\mqdmcmnt.sys
2007-11-19 17:39 5,936 ----a-w C:\Dokumente und Einstellungen\Ice\mqdmwhnt.sys
2007-11-19 17:39 4,048 ----a-w C:\Dokumente und Einstellungen\Ice\mqdmcr.sys
2007-11-19 17:39 25,600 ----a-w C:\Dokumente und Einstellungen\Ice\usbsermptxp.sys
2007-11-19 17:39 22,768 ----a-w C:\Dokumente und Einstellungen\Ice\usbsermpt.sys
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.

((((((((((((((((((((((((((((( snapshot@2008-04-29_13.09.49,72 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-29 10:54:50 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-29 12:46:48 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Eraser"="C:\Programme\Eraser\eraser.exe" [2002-12-16 09:26 524688]
"userinit.exe"="REM C:\WINDOWS\userinit.exe" [ ]
"AutoStart-Manager"="REM C:\Programme\LAB1.DE\Autostart-Manager\AutoStart-Manager.exe" [ ]
"P2kAutostart"="REM " []
"SUPERAntiSpyware"="D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-02-29 16:03 1481968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-10-22 12:22 7700480]
"nwiz"="REM nwiz.exe" []
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2006-10-22 12:22 86016]
"DAEMON Tools-1033"="REM C:\Programme\D-Tools\daemon.exe" [ ]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"ISUSPM"="REM C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" [ ]
"ICQ Lite"="REM C:\Programme\ICQLite\ICQLite.exe" [ ]
"HP Software Update"="REM C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [ ]
"SunJavaUpdateSched"="REM C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= D:\Programme\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
D:\Programme\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 D:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDog305]
REM C:\WINDOWS\VM305_STI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BigDogPath]
REM C:\WINDOWS\VM_STI.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
REM C:\Programme\ICQLite\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\Explorer.EXE"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=

R0 d346bus;d346bus;C:\WINDOWS\system32\DRIVERS\d346bus.sys [2004-03-12 22:41]
R0 d346prt;d346prt;C:\WINDOWS\system32\Drivers\d346prt.sys [2004-03-12 22:41]
R3 es1969;ESS 1969-Audiotreiber (WDM);C:\WINDOWS\system32\drivers\es1969.sys [2001-08-17 12:19]
R3 KCIRDA;%KCIRDA.ServiceDesc%;C:\WINDOWS\system32\DRIVERS\KCIrNet.sys [2001-10-04 09:23]
S2 KC180;HOYA Computer Co.,;C:\WINDOWS\system32\Drivers\kcirusb.sys [2001-10-04 09:23]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 21:22]
S3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys [2004-11-03 14:14]
S3 TODslService;T-Online DSL-Manager;"C:\Programme\T-Online\DSL-Manager\TODslSvc.exe" [2006-05-05 16:10]
S3 ZSMC0305;VIMICRO USB PC Camera V;C:\WINDOWS\system32\Drivers\usbVM305.sys [2005-11-30 06:50]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

.
Inhalt des "geplante Tasks" Ordners
"2007-03-02 15:15:02 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-29 14:47:15
Windows 5.1.2600 Service Pack 2 FAT NTAPI

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\TimeLeft3\TimeLeft.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-04-29 14:48:33 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-29 12:48:30
ComboFix3.txt 2008-04-29 10:49:52
ComboFix2.txt 2008-04-29 11:10:02

11 Verzeichnis(se), 424,488,960 Bytes frei
13 Verzeichnis(se), 411,082,752 Bytes frei

160

und die svchost:

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 48CD-17F2

Verzeichnis von c:\WINDOWS\system32

04.08.2004 00:58 14.336 svchost.exe
1 Datei(en) 14.336 Bytes

Verzeichnis von c:\WINDOWS\ServicePackFiles\i386

04.08.2004 00:58 14.336 svchost.exe
1 Datei(en) 14.336 Bytes

Anzahl der angezeigten Dateien:
2 Datei(en) 28.672 Bytes
0 Verzeichnis(se), 424.464.384 Bytes frei

hab jetz mal den IE ausprobiert..scheint wieder gesund zu sein..^^
DANKE für die kompetente und schnelle Hilfe!...

#25 Ice81

Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

dann mache noch einen Onlinescan mit Kaspersky
http://virus-protect.org/onlinescan.html

dann sollte alles wieder o.k. sein - es sei denn, beim Kasperskyscan (der nix löscht, kommt eine Virenwarnung...dann poste hier das Log)
__________
MfG Sabina

rund um die PC-Sicherheit

#26 http://www.malwareteks.com/FixIEDef.php

damit gehts weg - nachdem ich die maleware 2 monate draufhatte hab ich den fix zufälligerweise gefunden.

der auf 411 spyware angebotene maleware löscher ist weder kostenlos noch hilfreich.

mfg

#27 Ich habe auch das Problem mit dem ieav.exe. Hie rmal mein Hijackthis log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:48:37, on 28.05.2008
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\phonostar\ps_timer.exe
C:\Program Files\OnlineControl\ocontrol.exe
C:\Program Files\trayit\trayit!.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Mail\WinMail.exe
C:\Program Files\Trillian\trillian.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.swr3land.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: (no name) - {1536BA74-8625-4240-99B0-BE65883689C8} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: IE - {FD36BBE5-1AF4-47D3-8681-2214DD85E152} - C:\Windows\odunbegy.dll
O4 - HKLM\..\Run: [AuditVista]
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Program Files\phonostar\ps_timer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - Startup: trayit! - Verknüpfung.lnk = C:\Program Files\trayit\trayit!.exe
O4 - Global Startup: OnlineControl.lnk = C:\Program Files\OnlineControl\ocontrol.exe
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Program Files\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\Windows\system32\PSIService.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 4964 bytes

Kann jemand helfen=?

#28 Mabra41

1.
wende cleaner an + lösche die temp-Dateien
http://www.ccleaner.de/?protecus.de

2.
scanne mit FixIEDef + poste den report
http://virus-protect.org/artikel/tools/fixiedef.html

3.
scanne mit sdfix im abgesicherten Modus + poste den report
http://virus-protect.org/artikel/tools/sdfix.html

4.
wende Combofix an + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit