Heur/Cypted mit Avira gefunden. Keine Ahnung was das sein soll.

#0
05.05.2008, 20:11
...neu hier

Beiträge: 2
#1 Hallo liebe Leute, ich habe vorhin mit einem Kollegen telefoniert, welcher mir sagte, dass ich doch mal meinen Notebook auf Viren prüfen solle. Folgendes war passiert: Ich habe ihm meinen Datenstick geliehen und beim Installieren des Sticks auf seinem Computer ist sein Virenprogramm angesprungen.
Mein Lappi hat schon ein paar Jahre auf dem Buckel,jedoch habe ich sehr wichtige Dateien drauf, weshalb ich dringend Hilfe benötige. Danke schonmal im Voraus...MFG Andre
Jetzt habe ich Avira durchlaufen lassen und es sagt folgendes:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\asmfiles.cab
[0] Archivtyp: CAB (Microsoft)
--> asm.exe
[FUND] Enthält verdächtigen Code: Heur/Crypted
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488c1be1.qua' verschoben!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\tmp100.tmp.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.ZM.4
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488f1c23.qua' verschoben!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\tmp11D.tmp.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Vapsup.awu
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492703fc.qua' verschoben!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\tmp1BC.tmp
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.aoa.1
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488f1c24.qua' verschoben!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\tmpBF.tmp.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.ABM.5
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488f1c25.qua' verschoben!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\tmpF1.tmp
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.ZM.9
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492703fe.qua' verschoben!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\tmpF4.tmp
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.ZM.9
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488f1c26.qua' verschoben!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\tmpF6.tmp
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.ZM.9
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '492703ff.qua' verschoben!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\tmpFA.tmp
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.ZM.9
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488f1bd8.qua' verschoben!
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temp\tmpFF.tmp
[FUND] Enthält Erkennungsmuster des Droppers DR/Agent.ZM.9
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '488f1c27.qua' verschoben!

Ich habe mehrere Einträge dazu gelesen, aber was ich jetzt so wirklich machen soll, um das Problem zu beheben weiss ich nicht.

Ich habe folgendes unternommen:
1. Systemwiderherstellung deaktiviert
2. Temporäre Dateien gelöscht mit CCleaner
3. Combofix durchlaufen lassen
4. Hijack- Datei durchlaufen lassen

Kopie Combofix-log:

ComboFix 08-05-01.3 - user 2008-05-05 19:09:59.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\user\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\user\Anwendungsdaten\urlredir.cfg
C:\Programme\Dcads Advanced Toolbar
C:\Programme\Dcads Advanced Toolbar\buttons.xml
C:\Programme\Dcads Advanced Toolbar\search.xml
C:\Programme\Dcads Advanced Toolbar\toolbar.dll
C:\Programme\Dcads Advanced Toolbar\uninstall.exe
C:\WINDOWS\system32\dcads-remove.exe
C:\WINDOWS\system32\dcads_sidebar.dll
C:\WINDOWS\system32\dcads_sidebar_uninstall.exe
C:\WINDOWS\system32\DcadsSocial-uninstall.exe
C:\WINDOWS\system32\dcadssuggest.dll
C:\WINDOWS\system32\iebrowserc.dll
C:\WINDOWS\system32\nsa25C.dll
C:\WINDOWS\system32\nsd165.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-05 bis 2008-05-05 ))))))))))))))))))))))))))))))
.

2008-05-05 18:56 . 2008-05-05 18:56 <DIR> d-------- C:\Programme\Trend Micro
2008-05-05 18:19 . 2006-04-20 15:22 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-05 18:19 . 2006-04-20 16:11 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-05-05 18:19 . 2006-04-20 16:11 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-05 18:19 . 2008-05-05 19:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-05 18:19 . 2006-04-20 16:11 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-05 18:19 . 2006-04-20 15:27 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-05-05 18:19 . 2006-04-20 16:11 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-05 18:19 . 2006-04-20 15:28 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-05 18:19 . 2008-05-05 18:19 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-05 18:19 . 2008-05-05 19:09 1,024 --ah----- C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
2008-04-25 16:00 . 2008-04-25 16:00 3,584 --ahs---- C:\Thumbs.db
2008-04-25 15:49 . 2008-04-25 15:50 <DIR> d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Teleca
2008-04-25 15:48 . 2008-04-25 15:48 <DIR> d-------- C:\Dokumente und Einstellungen\user\Anwendungsdaten\Sony Ericsson
2008-04-25 15:46 . 2006-09-05 20:06 90,800 -ra------ C:\WINDOWS\system32\drivers\se59unic.sys
2008-04-25 15:46 . 2006-09-05 20:08 88,624 -ra------ C:\WINDOWS\system32\drivers\se59mgmt.sys
2008-04-25 15:46 . 2006-09-05 20:09 86,432 -ra------ C:\WINDOWS\system32\drivers\se59obex.sys
2008-04-25 15:46 . 2006-09-05 20:06 18,704 -ra------ C:\WINDOWS\system32\drivers\se59nd5.sys
2008-04-25 15:46 . 2006-09-05 20:06 4,128 -ra------ C:\WINDOWS\system32\drivers\se59cr.sys
2008-04-25 15:45 . 2006-09-05 20:07 9,360 -ra------ C:\WINDOWS\system32\drivers\se59mdfl.sys
2008-04-25 15:44 . 2006-09-05 20:07 97,088 -ra------ C:\WINDOWS\system32\drivers\se59mdm.sys
2008-04-25 15:44 . 2006-09-05 20:07 61,536 -ra------ C:\WINDOWS\system32\drivers\se59bus.sys
2008-04-25 15:44 . 2006-09-05 20:09 6,240 -ra------ C:\WINDOWS\system32\drivers\se59cmnt.sys
2008-04-25 15:44 . 2006-09-05 20:09 6,240 -ra------ C:\WINDOWS\system32\drivers\se59cm.sys
2008-04-25 15:44 . 2006-09-05 20:06 5,872 -ra------ C:\WINDOWS\system32\drivers\se59whnt.sys
2008-04-25 15:44 . 2006-09-05 20:06 5,872 -ra------ C:\WINDOWS\system32\drivers\se59wh.sys
2008-04-25 15:35 . 2008-04-25 15:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2008-04-25 15:34 . 2008-04-25 15:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Sony Ericsson Shared
2008-04-25 15:33 . 2008-04-25 15:33 <DIR> d-------- C:\Programme\Sony Ericsson
2008-04-25 15:33 . 2008-04-25 15:36 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-04-25 15:33 . 2008-04-25 15:36 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2008-04-25 15:32 . 2008-04-25 15:32 <DIR> d-------- C:\WINDOWS\Downloaded Installations
5 Datei(en) . 528,769 C:\ComboFix\Bytes
1 Datei(en) . 62 C:\ComboFix\Bytes

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-05 16:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-05 16:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\WinZip
2008-05-05 10:54 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2008-04-24 12:07 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\Image Zone Express
2008-04-18 13:00 --------- d-----w C:\Programme\Norton Security Scan
2008-04-17 13:04 --------- d-----w C:\Programme\ICQ6
2008-04-04 21:11 --------- d-----w C:\Programme\Tennis Elbow 2006
2008-04-01 21:48 --------- d-----w C:\Programme\LimeWire
2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-17 17:57 --------- d-----w C:\Programme\NCH Swift Sound
2008-03-17 17:57 --------- d-----w C:\Dokumente und Einstellungen\user\Anwendungsdaten\NCH Swift Sound
2008-03-17 17:45 --------- d-----w C:\Programme\Ganymede
2008-03-17 17:40 --------- d-----w C:\Programme\Gemeinsame Dateien\Autodesk Shared
2008-03-17 17:40 --------- d-----w C:\Programme\AutoCAD 2002 Deu
2008-03-17 16:47 84,729 ----a-w C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe
2008-03-11 13:45 339,968 ----a-w C:\WINDOWS\system32\mysidesearch_sidebar.dll
2008-02-27 14:22 52,344 ----a-w C:\Dokumente und Einstellungen\user\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2006-04-26 16:18 23,788,920 ----a-w C:\Programme\AdbeRdr707_de_DE.exe
2006-04-25 13:24 5,616,888 ----a-w C:\Programme\winamp521_full_emusic-7plus.exe
2006-04-25 13:04 5,037,072 ----a-w C:\Programme\spybotsd14.exe
2006-04-25 13:03 11,303,072 ----a-w C:\Programme\antivir_workstation_win7u_de_h131.exe
2006-04-25 12:58 4,691,528 ----a-w C:\Programme\icq5_german_setup.exe
2005-10-31 15:56 700,416 ----a-w C:\Programme\StubInstaller.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57 15360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 13:55 5674352]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04 1415824]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-04-01 12:40 172280]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43 83608]
"SoundMan"="SOUNDMAN.EXE" [2003-12-19 09:53 65024 C:\WINDOWS\SOUNDMAN.EXE]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-04 18:36 262401]
"NeroCheck"="C:\WINDOWS\system32\\NeroCheck.exe" [2001-07-09 12:50 155648]
"PCSuiteTrayApplication"="C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.exe" [2006-04-26 08:29 237568]
"BearShare"="C:\Programme\BearShare\BearShare.exe" [ ]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-02-13 20:29 35328]
"Google Desktop Search"="C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" [2007-08-16 00:54 1838592]
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 02:41 49152]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-03-28 01:07 593920]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 09:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26 29696]
HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 04:21:22 288472]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Web.de\\web_de_Update.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2008-05-04 18:36]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2008-05-04 18:36]
R2 AdminSVC;Web.de Browser Update;C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe [2006-10-12 10:54]
S3 PONDIS5;PONDIS5 NDIS Protocol Driver;C:\WINDOWS\System32\PONDIS5.SYS []
S3 se59bus;Sony Ericsson Device 089 driver (WDM);C:\WINDOWS\system32\DRIVERS\se59bus.sys [2006-09-05 20:07]
S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 20:07]
S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se59mdm.sys [2006-09-05 20:07]
S3 se59mgmt;Sony Ericsson Device 089 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se59mgmt.sys [2006-09-05 20:08]
S3 se59nd5;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (NDIS);C:\WINDOWS\system32\DRIVERS\se59nd5.sys [2006-09-05 20:06]
S3 se59obex;Sony Ericsson Device 089 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se59obex.sys [2006-09-05 20:09]
S3 se59unic;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (WDM);C:\WINDOWS\system32\DRIVERS\se59unic.sys [2006-09-05 20:06]
S3 ss_bus;SAMSUNG Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2005-08-30 17:57]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2005-08-30 17:58]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2005-08-30 17:59]

*Newly Created Service* - CATCHME
.
Inhalt des "geplante Tasks" Ordners
"2008-04-18 15:38:11 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Programme\Norton Security Scan\Nss.exe
"2007-11-29 04:40:00 C:\WINDOWS\Tasks\WebReg 20070901054004.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070901054004 /N
"2008-05-03 22:10:00 C:\WINDOWS\Tasks\WebReg 20070922001008.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070922001008 /N
"2008-05-03 22:10:00 C:\WINDOWS\Tasks\WebReg 20070922001011.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070922001011 /N
"2008-05-03 22:10:00 C:\WINDOWS\Tasks\WebReg 20070922001013.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070922001013 /N
"2008-05-03 22:10:00 C:\WINDOWS\Tasks\WebReg 20070922001028.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070922001028 /N
"2008-05-03 22:10:00 C:\WINDOWS\Tasks\WebReg 20070922001029.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070922001029 /N
"2008-05-03 22:10:00 C:\WINDOWS\Tasks\WebReg 20070922001030.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070922001030 /N
"2008-05-03 22:10:00 C:\WINDOWS\Tasks\WebReg 20070922001031.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070922001031 /N
"2008-05-03 22:10:00 C:\WINDOWS\Tasks\WebReg 20070922001032.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070922001032 /N
"2008-05-03 22:10:01 C:\WINDOWS\Tasks\WebReg 20070922001033.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070922001033 /N
"2008-05-03 22:10:01 C:\WINDOWS\Tasks\WebReg 20070922001035.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070922001035 /N
"2008-05-03 22:10:01 C:\WINDOWS\Tasks\WebReg 20070922001036.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070922001036 /N
"2008-05-03 22:10:01 C:\WINDOWS\Tasks\WebReg 20070922001037.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070922001037 /N
"2008-03-28 07:25:00 C:\WINDOWS\Tasks\WebReg 20070924082554.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070924082554 /N
"2008-05-04 16:21:00 C:\WINDOWS\Tasks\WebReg 20070927182151.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070927182151 /N
"2008-05-05 16:28:00 C:\WINDOWS\Tasks\WebReg 20070927182803.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070927182803 /N
"2008-05-04 17:20:00 C:\WINDOWS\Tasks\WebReg 20070927192041.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exe
"2008-05-04 17:20:00 C:\WINDOWS\Tasks\WebReg 20070927192043.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070927192043 /N
"2008-05-04 17:20:00 C:\WINDOWS\Tasks\WebReg 20070927192045.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070927192045 /N
"2008-05-04 17:20:00 C:\WINDOWS\Tasks\WebReg 20070927192048.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070927192048 /N
"2008-05-05 12:46:00 C:\WINDOWS\Tasks\WebReg 20070929144628.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070929144628 /N
"2008-05-05 12:46:00 C:\WINDOWS\Tasks\WebReg 20070929144631.job"
- C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqwrg.exeQ/TaskName 20070929144631 /N
.
**************************************************************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-05 19:16:31
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 5

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-05 19:19:52
ComboFix-quarantined-files.txt 2008-05-05 17:19:46

13 Verzeichnis(se), 3,687,964,672 Bytes frei
16 Verzeichnis(se), 4,396,417,024 Bytes frei

218 --- E O F --- 2008-04-09 21:16:21

Kopie Hijacker:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:45:17, on 05.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5700.0007)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Java\jre1.6.0_01\bin\jucheck.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1145962136474
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1145962124928
O16 - DPF: {AC120B1D-9411-4111-AF52-118052D85D45} (GameDesire Darts Games) - http://67.15.101.3/g_bin/eng/darts_2_0_0_34.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C1} (GameDesire Pool 8) - http://67.15.101.3/g_bin/eng/billard8_2_0_0_28.cab
O16 - DPF: {FDDBE2B8-6602-4AD8-946D-94C5A32FA6C5} (GameDesire Snooker) - http://67.15.101.3/g_bin/eng/snooker_2_0_0_30.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O22 - SharedTaskScheduler: IE Component Categories cache daemon - {553858A7-4922-4e7e-B1C1-97140C1C16EF} - C:\WINDOWS\system32\ieframe.dll
O23 - Service: Web.de Browser Update (AdminSVC) - hablamax - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Web.de\adminsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 8118 bytes

So, mehr weiss ich nicht. Ich bitte nochmal um Hilfe...Vielen Dank
Seitenanfang Seitenende
06.05.2008, 02:53
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo,

«
der Stick ist verseucht, am besten formatieren...

Die einfachste Methode benutzt das Kontextmenü des Windows Explorers: USB-Stick (Wechseldatenträger) markieren, rechte Maustaste drücken, "Formatieren" wählen. (Vollständig)

««
wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

------------------------------------------

«
http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

Zitat

C:\WINDOWS\system32\mysidesearch_sidebar_uninstall.exe
C:\WINDOWS\system32\mysidesearch_sidebar.dll
Klicke auf den Roten MoveIt!

---------------
««
Kopiere rein: Combofix /U
- klicke "OK"

««
scanne noch mal mit Avira, am besten im abgesicherten modus

««
wende combofix noch mal neu an + poste den report
http://virus-protect.org/artikel/tools/combofix.html

««
scanne mit bitdefender + poste den report
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.05.2008, 20:12
...neu hier

Themenstarter

Beiträge: 2
#3 Danke Sabina,also der Stick ist wieder O.K..Der Laptop zeigt immernoch Virenmeldungen,allerdings erst nachdem ich bei Avira die Heuristikeinstellungen verstärkt habe, die Heur/Crypted- Meldung ist weg...Jetzt sagt das Programm mir, ich habe verschiedene Trojaner drauf und zwar seien es mp3- Dateien mit Musik, welche allerdings fehlerfrei funktionierten bisher...Habe sie gelöscht und dann meckerte er nicht mehr...Komisches Ding...Na jut, Danke dir jeden falls und schöne Grüße aus Berlin...
Seitenanfang Seitenende