IE AntiVir - System error

#46 Hallo weis nichts

http://virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

OTMoveIt Kopiere rein: im linken Fenster ,wo steht: Paste List of Files/Folders to Move

C:\WINDOWS\system32\ksisys.dll

Klicke auf den Roten MoveIt!
__________
MfG Sabina

rund um die PC-Sicherheit

#47 C:\WINDOWS\system32\ksisys.dll unregistered successfully.
C:\WINDOWS\system32\ksisys.dll moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.4.2 log created on 06262008_182218


das kam dann im rechten fenster
aber das problem das die seite wo die mir den den sch...ß andrehen wollen kommt nicht mehr)

#48 hey hab auch das problem mit dem komischen fenster bla bla system error...bitte ganz schnell und für kleine doffis erklären wie ich es weg bekomme...danke schon mal

also hab das mit compofix gemacht und der meint follgendes

ComboFix 08-06-20.4 - Hanka 2008-06-28 22:07:12.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.561 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Hanka\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\clbdll.dll
C:\WINDOWS\system32\dcads-remove.exe
C:\WINDOWS\system32\giOVvyay.ini
C:\WINDOWS\system32\giOVvyay.ini2
C:\WINDOWS\system32\xpaafngw.ini
C:\WINDOWS\system32\xsvtkhjp.ini
C:\WINDOWS\system32\yayvVOig.dll

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_clbdriver


((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-28 ))))))))))))))))))))))))))))))
.

2008-06-28 19:23 . 2002-02-18 18:40 6,200 --a------ C:\WINDOWS\system32\INT13EXT.VXD
2008-06-28 18:15 . 2008-06-28 18:15 92,032 --a------ C:\WINDOWS\system32\pjhktvsx.dll
2008-06-28 15:11 . 2008-06-28 15:11 26,624 --a------ C:\WINDOWS\system32\domview.dll
2008-06-28 15:10 . 2008-06-28 15:11 26,624 --a------ C:\WINDOWS\system32\oggwin.dll
2008-06-28 15:05 . 2008-06-28 15:05 28,288 --a------ C:\WINDOWS\system32\wvUnLFVo.dll
2008-06-28 15:04 . 2008-06-28 15:05 28,288 --a------ C:\WINDOWS\system32\ljJDTMgH.dll
2008-06-28 15:04 . 2008-06-28 15:04 28,288 --a------ C:\WINDOWS\system32\geBsqNhG.dll
2008-06-28 14:48 . 2008-06-28 14:48 <DIR> d-------- C:\Dokumente und Einstellungen\Hanka\Anwendungsdaten\Atory
2008-06-28 12:16 . 2008-06-28 12:16 28,288 --a------ C:\WINDOWS\system32\vtUlLEVp.dll
2008-06-28 12:08 . 2008-06-28 12:08 28,288 --a------ C:\WINDOWS\system32\rqRJAspm.dll
2008-06-28 12:06 . 2008-06-28 12:06 28,288 --a------ C:\WINDOWS\system32\urqOIbXR.dll
2008-06-28 12:06 . 2008-06-28 12:06 28,288 --a------ C:\WINDOWS\system32\tuvTnLda.dll
2008-06-28 12:06 . 2008-06-28 12:06 28,288 --a------ C:\WINDOWS\system32\qoMggecb.dll
2008-06-28 12:06 . 2008-06-28 12:06 28,288 --a------ C:\WINDOWS\system32\ddcYrSLE.dll
2008-06-28 12:06 . 2002-08-29 22:00 4,224 --a------ C:\WINDOWS\system32\beep.sys
2008-06-28 12:05 . 2008-06-28 04:49 327,680 --a------ C:\WINDOWS\qegbdmwf.dll
2008-06-28 12:05 . 2008-06-28 04:49 229,376 --a------ C:\WINDOWS\pntqkflv.dll
2008-06-27 13:30 . 2008-06-28 16:01 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-27 11:10 . 2000-05-16 10:40 83,968 --a------ C:\WINDOWS\UnGins.exe
2008-06-23 09:44 . 2008-06-23 09:44 <DIR> d-------- C:\Dokumente und Einstellungen\Hanka\Anwendungsdaten\dvdcss
2008-06-18 23:47 . 2006-02-20 18:59 85,408 -ra------ C:\WINDOWS\system32\drivers\w810mgmt.sys
2008-06-17 13:00 . 2008-06-17 13:00 1,153,536 --a------ C:\WINDOWS\system32\spr.exe
2008-06-17 00:59 . 2008-06-17 00:59 <DIR> d-------- C:\Programme\Corel
2008-06-17 00:58 . 2008-06-17 01:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MAGIX
2008-06-17 00:58 . 2003-04-18 16:29 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll
2008-06-17 00:57 . 2008-06-17 00:57 <DIR> d-------- C:\WINDOWS\system32\MAGIX
2008-06-17 00:57 . 2008-06-17 00:57 <DIR> d-------- C:\Programme\MAGIX
2008-06-17 00:57 . 2008-06-17 00:57 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MAGIX Shared
2008-06-17 00:57 . 2007-06-19 16:26 667,648 --a------ C:\WINDOWS\system32\mgxoschk.dll
2008-06-17 00:57 . 2007-04-27 10:43 120,200 --a------ C:\WINDOWS\system32\DLLDEV32i.dll
2008-06-17 00:57 . 2008-06-17 00:58 6,768 --a------ C:\WINDOWS\mgxoschk.ini
2008-06-14 20:19 . 2008-06-14 20:19 124,688 --a------ C:\WINDOWS\system32\MSWINSCK.OCX
2008-06-14 20:08 . 2008-06-14 20:08 39,424 --a------ C:\WINDOWS\zipinst.exe
2008-06-13 19:09 . 2008-06-13 19:09 0 --a------ C:\WINDOWS\mngui.INI
2008-06-13 08:45 . 2006-02-20 18:59 83,344 -ra------ C:\WINDOWS\system32\drivers\w810obex.sys
2008-06-05 21:27 . 2008-06-05 21:27 <DIR> d-------- C:\WINDOWS\MSSecurityNS
2008-06-05 21:27 . 2008-06-05 21:27 <DIR> d-------- C:\WINDOWS\MSSecurityNi
2008-06-05 21:27 . 2008-06-05 21:27 <DIR> d-------- C:\Programme\Nik Software
2008-06-01 20:00 . 2008-06-01 20:00 400 --a------ C:\WINDOWS\ODBC.INI
2008-06-01 19:59 . 2003-06-18 17:31 17,920 --a------ C:\WINDOWS\system32\mdimon.dll
2008-06-01 19:57 . 2008-06-01 19:58 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-06-01 19:55 . 2008-06-01 19:55 <DIR> d-------- C:\Programme\Microsoft.NET
2008-06-01 19:53 . 2008-06-01 19:53 <DIR> dr-h----- C:\MSOCache
2008-05-29 15:36 . 2006-11-10 19:23 61,600 -ra------ C:\WINDOWS\system32\drivers\SE2Ebus.sys
2008-05-29 15:36 . 2006-11-10 19:24 5,872 -ra------ C:\WINDOWS\system32\drivers\SE2Ewhnt.sys
2008-05-29 15:36 . 2006-11-10 19:24 5,872 -ra------ C:\WINDOWS\system32\drivers\SE2Ewh.sys
2008-05-29 14:53 . 2008-06-27 17:15 <DIR> d-------- C:\Programme\ICQToolbar
2008-05-29 14:49 . 2008-06-06 09:06 <DIR> d-------- C:\Programme\ICQ6

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-28 17:23 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-28 15:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-06-28 09:41 --------- d-----w C:\Dokumente und Einstellungen\Hanka\Anwendungsdaten\LimeWire
2008-06-27 15:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-06-22 15:10 --------- d-----w C:\Programme\Java
2008-06-16 23:07 --------- d-----w C:\Dokumente und Einstellungen\Hanka\Anwendungsdaten\Ulead Systems
2008-06-16 23:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Ulead Systems
2008-06-16 22:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
2008-06-16 09:53 --------- d-----w C:\Dokumente und Einstellungen\Hanka\Anwendungsdaten\ICQ
2008-06-01 09:32 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-06-01 09:32 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2008-06-01 09:32 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-06-01 09:32 10,671 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-06-01 09:32 --------- d-----w C:\Programme\Symantec
2008-06-01 09:12 --------- d-----w C:\Programme\TuneUp Utilities 2006
2008-05-30 07:20 --------- d-----w C:\Programme\Norton 360
2008-05-24 10:19 --------- d-----w C:\Programme\HDCleaner
2008-05-18 10:22 --------- d-----w C:\Programme\Paint.NET
2008-04-16 09:16 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2008-01-25 11:06 1,258,692 ----a-w C:\Programme\dvdshrink.3.2.de.(decss-frei).setup.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8AE578E0-6DF5-41E0-869F-F65A32D2F6BD}]
2008-06-28 15:11 26624 --a------ C:\WINDOWS\system32\oggwin.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D2EEB637-A4A5-4BBB-8C0C-96AF821110C2}]
2008-06-28 12:06 28288 --a------ C:\WINDOWS\system32\urqOIbXR.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"TOSCDSPD"="C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe" [2003-09-15 17:04 65536]
"STYLEXP"="C:\Programme\TGTSoft\StyleXP\StyleXP.exe" [2006-05-24 20:31 1372160]
"RocketDock"="C:\Programme\RocketDock\RocketDock.exe" [2007-09-02 14:58 495616]
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 12:34 5724184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-09-24 18:00 4861952]
"nwiz"="nwiz.exe" [2003-09-24 18:00 323584 C:\WINDOWS\system32\nwiz.exe]
"LTSMMSG"="LTSMMSG.exe" [2003-04-18 10:06 32768 C:\WINDOWS\ltsmmsg.exe]
"SigmaTel StacMon"="C:\Programme\SigmaTel\SigmaTel AC97 Audio-Treiber\stacmon.exe" [2003-08-03 16:01 86073]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2003-05-30 19:25 110592]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2003-05-30 19:23 614400]
"TFNF5"="TFNF5.exe" [2003-07-18 17:41 73728 C:\WINDOWS\system32\TFNF5.exe]
"TouchED"="C:\Programme\TOSHIBA\TouchED\TouchED.Exe" [2003-03-11 15:03 122880]
"00THotkey"="C:\WINDOWS\System32\00THotkey.exe" [2003-05-23 15:23 253952]
"000StTHK"="000StTHK.exe" [2001-06-23 21:28 24576 C:\WINDOWS\system32\000StTHK.exe]
"TPSMain"="TPSMain.exe" [2003-10-02 14:20 266240 C:\WINDOWS\system32\TPSMain.exe]
"ZCfgSvc.exe"="C:\WINDOWS\system32\ZCfgSvc.exe" [2006-08-03 04:19 639040]
"PRONoMgr.exe"="C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe" [2005-07-07 07:08 135168]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 02:06 487424]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2007-06-18 16:10 271360]
"BluetoothAuthenticationAgent"="bthprops.cpl,,BluetoothAuthenticationAgent" []
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 23:59 115816]
"Ulead AutoDetector v2"="C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe" [2007-08-02 21:08 95504]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 05:00 132496]
"80fb31f1"="C:\WINDOWS\system32\pjhktvsx.dll" [2008-06-28 18:15 92032]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]
"Nokia.PCSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-06-19 11:17 1241088]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{D2EEB637-A4A5-4BBB-8C0C-96AF821110C2}"= C:\WINDOWS\system32\urqOIbXR.dll [2008-06-28 12:06 28288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"qegbdmwf"= {3BC91F6B-D8D3-48C9-89FD-C8F151CFEEB7} - C:\WINDOWS\qegbdmwf.dll [2008-06-28 04:49 327680]
"pntqkflv"= {4FEC042B-827F-47D3-94FA-23B245C6A34A} - C:\WINDOWS\pntqkflv.dll [2008-06-28 04:49 229376]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="C:\\Programme\\TGTSoft\\StyleXP\\Logon\\CurrentLogon.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
C:\WINDOWS\system32\LgNotify.dll 2006-08-03 04:20 188482 C:\WINDOWS\system32\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqOIbXR]
urqOIbXR.dll 2008-06-28 12:06 28288 C:\WINDOWS\system32\urqOIbXR.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"AnyDVD"=C:\Programme\SlySoft\AnyDVD\AnyDVDtray.exe
"msnmsgr"="C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 01:58]
S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\SE2Ebus.sys [2006-11-10 19:23]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - COMHOST
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-28 22:18:32
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


C:\WINDOWS\system32\xsvtkhjp.ini 294 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\urqOIbXR.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\1XConfig.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-28 22:26:41 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-28 20:26:27

11 Verzeichnis(se), 64,938,926,080 Bytes frei
14 Verzeichnis(se), 64,875,032,576 Bytes frei

212 --- E O F --- 2008-06-10 18:31:25

#49 Hallo, ich habe das selbe Problem "Attention, username! some dagerous trojan .....

Ich hab mir die seiten hier mal durchgelesen und versuche es schon den ganzen tag, aber ich weiß nicht, wie ich die log auswerten soll (wie macht ihr das bzw. vielleicht könnt ihr mir helfen)?

angeblich hilft dieses Kaspersky, das prog hat auch einen trojaner gefunden und gelöscht allerdings tauchen die fenster immernoch auf. -.-

Danke schonmal an die oder denjenigen, der sich hierfür überhaupt zeit nimmt.

#50 skha

das log werte ich aus
poste das log von Combofix
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#51 lovevip

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8AE578E0-6DF5-41E0-869F-F65A32D2F6BD}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D2EEB637-A4A5-4BBB-8C0C-96AF821110C2}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"80fb31f1"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\urqOIbXR]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"qegbdmwf"=-
"pntqkflv"=-

File::
C:\WINDOWS\system32\xsvtkhjp.ini
C:\WINDOWS\system32\pjhktvsx.dll
C:\WINDOWS\system32\domview.dll
C:\WINDOWS\system32\oggwin.dll
C:\WINDOWS\system32\wvUnLFVo.dll
C:\WINDOWS\system32\ljJDTMgH.dll
C:\WINDOWS\system32\geBsqNhG.dll
C:\WINDOWS\system32\vtUlLEVp.dll
C:\WINDOWS\system32\rqRJAspm.dll
C:\WINDOWS\system32\urqOIbXR.dll
C:\WINDOWS\system32\tuvTnLda.dll
C:\WINDOWS\system32\qoMggecb.dll
C:\WINDOWS\system32\ddcYrSLE.dll
C:\WINDOWS\qegbdmwf.dll
C:\WINDOWS\pntqkflv.dll
C:\WINDOWS\system32\spr.exe

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

«
dann scanne mit Malwarebytes und lasse alles entfernen,was noch gefunden wird
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit

#52 Sabrina
da nichts mehr kam denke ich ,ich bin durch damit!
Fehlermeldung kommt nicht mehr rechner macht wieder was er soll und hat alles super überlebt. wollte nur noch mal ein ganz ganz dickes danke aussprechen !!!
finde echt super das du hier sowas macht !viel dank noch mal
bye weis nichts

#53 vielen vielen dank hat alles geklappt!
super vielen dank...bin ich gleich mal total happy!

liebe grüße

#54

Code

ComboFix 08-06-20.4 - Spell 2008-06-29  1:28:08.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.962 [GMT 2:00]
ausgeführt von:: E:\Dokumente und Einstellungen\Spell\Desktop\ComboFix.exe

[color=red][b]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/b][/color]
.

(((((((((((((((((((((((   Dateien erstellt von 2008-05-28 bis 2008-06-28  ))))))))))))))))))))))))))))))
.

2008-06-28 21:47 . 2008-06-28 21:47    60,751    --a------    E:\WINDOWS\system32\%LocalXml%
2008-06-28 16:36 . 2008-06-28 16:46    96,966    --a------    E:\WINDOWS\system32\drivers\klin.dat
2008-06-28 16:36 . 2008-06-28 16:46    88,774    --a------    E:\WINDOWS\system32\drivers\klick.dat
2008-06-28 16:34 . 2008-06-28 16:34    <DIR>    d--------    E:\Programme\Kaspersky Lab
2008-06-28 16:34 . 2008-06-28 22:17    <DIR>    d--------    E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-06-28 16:34 . 2008-06-28 22:01    9,200,160    --ahs----    E:\WINDOWS\system32\drivers\fidbox.dat
2008-06-28 16:34 . 2008-06-29 01:27    466,976    --ahs----    E:\WINDOWS\system32\drivers\fidbox2.dat
2008-06-28 16:34 . 2008-06-28 22:01    75,052    --ahs----    E:\WINDOWS\system32\drivers\fidbox.idx
2008-06-28 16:34 . 2008-06-29 01:27    4,772    --ahs----    E:\WINDOWS\system32\drivers\fidbox2.idx
2008-06-28 16:13 . 2008-06-28 16:13    <DIR>    d--------    E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-06-28 13:12 . 2008-06-28 13:15    4,212    ---h-----    E:\WINDOWS\system32\zllictbl.dat
2008-06-28 13:11 . 2008-06-28 15:18    <DIR>    d--------    E:\WINDOWS\Internet Logs
2008-06-28 10:17 . 2008-06-28 10:17    <DIR>    d--------    E:\Programme\Trend Micro
2008-06-28 03:45 . 2008-06-28 03:45    <DIR>    d--------    E:\Programme\Microsoft Virtual PC
2008-06-28 03:42 . 2008-06-28 03:42    26,624    --a------    E:\WINDOWS\system32\oggsys.dll
2008-06-28 03:34 . 2008-06-28 03:34    <DIR>    d--------    E:\Dokumente und Einstellungen\Spell\Anwendungsdaten\zweitgeist
2008-06-26 20:55 . 2008-06-26 20:55    <DIR>    d--------    E:\Dokumente und Einstellungen\Spell\Anwendungsdaten\dataWeb
2008-06-26 20:53 . 2008-06-26 20:53    <DIR>    d--------    E:\löschen
2008-06-24 18:28 . 2008-06-24 20:12    <DIR>    d--------    E:\Programme\BildCommander
2008-06-19 17:36 . 2008-06-22 08:18    <DIR>    d--------    E:\Programme\Starcraft
2008-06-08 04:53 . 2008-06-08 04:53    <DIR>    d--------    E:\Programme\Easy Video Capture
2008-06-08 04:52 . 2008-06-08 04:52    <DIR>    d--------    E:\Programme\OpenVideoCapture

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-28 20:04    ---------    d-----w    E:\Dokumente und Einstellungen\Spell\Anwendungsdaten\OpenOffice.org2
2008-06-28 14:28    ---------    d-----w    E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-06-28 14:15    ---------    d---a-w    E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-06-28 01:38    ---------    d-----w    E:\Programme\DivX
2008-06-27 19:11    ---------    d-----w    E:\Programme\ICQToolbar
2008-06-20 10:48    74,616    ----a-w    E:\Dokumente und Einstellungen\Spell\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-06-13 11:36    ---------    d-----w    E:\Dokumente und Einstellungen\Spell\Anwendungsdaten\Autodesk
2008-06-02 00:34    ---------    d-----w    E:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Autodesk
2008-05-15 22:03    ---------    d-----w    E:\Dokumente und Einstellungen\Spell\Anwendungsdaten\Hamachi
2008-05-15 20:24    ---------    d-----w    E:\Programme\Gemeinsame Dateien\Autodesk Shared
2008-05-15 20:24    ---------    d-----w    E:\Programme\AutoCAD 2008
2008-05-09 00:15    ---------    d--h--w    E:\Programme\InstallShield Installation Information
2008-05-09 00:15    ---------    d-----w    E:\Programme\SkillSpace
2008-05-03 20:27    54,376    ----a-w    E:\WINDOWS\system32\AcSignOpt.exe
2008-05-03 20:27    44,648    ----a-w    E:\WINDOWS\system32\AcSignIcon.dll
2008-05-03 20:27    30,312    ----a-w    E:\WINDOWS\system32\AcSignExt.dll
2008-05-03 20:23    15,952    ----a-w    E:\WINDOWS\system32\AcSignExtRes.dll
2008-05-03 20:19    ---------    d-----w    E:\Programme\WinSCP
2008-04-25 16:22    206,088    ----a-w    E:\WINDOWS\system32\klogon.dll
2008-04-03 19:53    103,736    ----a-w    E:\WINDOWS\system32\PnkBstrB.exe
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}]
2008-04-25 18:22    62728    --a------    E:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8AE578E0-6DF5-41E0-869F-F65A32D2F6BD}]
2008-06-28 03:42    26624    --a------    E:\WINDOWS\system32\oggsys.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"DAEMON Tools"="E:\Programme\DAEMON Tools\daemon.exe" [2007-09-18 16:16 171464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="E:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"ATIPTA"="E:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-02-22 21:05 339968]
"ATICCC"="E:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12 90112]
"NeroCheck"="E:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"HP Software Update"="E:\Programme\HP\HP Software Update\HPWuSchd2.exe" [2007-03-11 22:34 49152]
"Adobe Reader Speed Launcher"="E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"QuickTime Task"="E:\Programme\QuickTime\qttask.exe" [2008-03-28 23:37 413696]
"iTunesHelper"="E:\Programme\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048]
"AVP"="E:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-04-25 18:21 201992]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="E:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

E:\Dokumente und Einstellungen\Spell\Startmen�\Programme\Autostart\
OpenOffice.org 2.3.lnk - E:\Programme\OpenOffice.org 2.3\program\quickstart.exe [2007-08-17 22:57:56 393216]

E:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
HP Digital Imaging Monitor.lnk - E:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2007-03-11 22:26:24 210520]
Microsoft Office.lnk - E:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 02:01:04 83360]
Orga-Nicer.lnk - E:\Programme\ASCOMP Software\Orga-Nicer\organicer.exe [2007-11-07 21:44:39 4413936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= l3codecp.acm
"VIDC.DIV4"= divxc32f.dll
"VIDC.DIV3"= divxc32.dll
"MSACM.DIVXA32"= msaud32_divx.acm
"VIDC.HFYU"= huffyuv.dll
"VIDC.MJPG"= pvmjpg21.dll
"vidc.DIV2"= divxc32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Programme\\Internet Explorer\\iexplore.exe"=
"E:\\Programme\\Hamachi\\hamachi.exe"=
"E:\\Programme\\Mozilla Firefox\\firefox.exe"=
"E:\\games\\GameSpy Arcade\\Aphex.exe"=
"E:\\Programme\\ICQ6\\ICQ.exe"=
"E:\\Dokumente und Einstellungen\\Spell\\Desktop\\MathCast088\\MathCast.exe"=
"E:\\Programme\\Messenger\\msmsgs.exe"=
"E:\\Programme\\iTunes\\iTunes.exe"=
"E:\\Programme\\Java\\jre1.6.0_03\\bin\\javaw.exe"=
"E:\\Programme\\QIP\\qip.exe"=
"E:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\KIS 2009\\setup.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;E:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 18:29]
R3 es1969;ESS 1969-Audiotreiber (WDM);E:\WINDOWS\system32\drivers\es1969.sys [2001-08-17 13:19]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;E:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 19:02]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;E:\WINDOWS\system32\DRIVERS\klim5.sys [2008-03-25 20:07]
S3 PVUSB;CESG502 USB Driver;E:\WINDOWS\system32\DRIVERS\CESG502.sys [2008-03-13 00:43]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
hpdevmgmt    REG_MULTI_SZ       hpqcxs08 hpqddsvc

.
Inhalt des "geplante Tasks" Ordners
"2008-04-16 17:09:26 E:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- E:\Programme\Apple Software Update\SoftwareUpdate.exe
"2008-06-28 20:06:11 E:\WINDOWS\Tasks\SDMsgUpdate (TE).job"
- E:\PROGRA~1\SMARTD~1\Messages\SDNotify.exeW-PTE -V900 -SSDU.ini -A -Mhttp://www.smartdraw.com/msgs/messagecheck.aspx -D0 -T -N -X
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-29 01:32:43
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-29  1:35:06
ComboFix-quarantined-files.txt  2008-06-28 23:34:37
ComboFix2.txt  2008-06-28 20:16:15

              10 Verzeichnis(se),  5,854,281,728 Bytes frei
              12 Verzeichnis(se),  5,843,402,752 Bytes frei

138

---------------------------------------------------------
ich bin inzwischen schon ganz kirre, hoffe das ich das jetzt richtig gemacht habem, beim ersten mal hatte ich einen neustart, dieses mal (habs heute vormittag schonmal ausgeführt) gings so und extrem schnell.


Mal eine Frage am Rande, wer bist du wenn man fragen darf und kanns du mir nen Tipp geben, wie man das zeug auswertet (vielleicht gibts was wo man sich belesen kan, dann brauch ich nicht ständig andere zu nerven )
Danke dir aber auf jedenfall ersteinmal.

--------------------------------
Achso und vielleicht hilft dir das weiter, Kaspersky hatte zuletzt Netzwerkangriffe, einen Wurm in einen Trojaner identifiziert, der die bezeichnung "win32.injecter.zy" hatte.

(irgenwie hab ich mir gestern ganzschön was zugezogen -.-)

#55 Hallo skha

«
das Auswerten kann ich nicht so richtig erklären, es sind Erfahrungswerte
siehe: (meine "Arbeitsseite")
http://virus-protect.org/artikel/spyware/ieantivirus-remove.html

«
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8AE578E0-6DF5-41E0-869F-F65A32D2F6BD}]

File::
E:\WINDOWS\system32\oggsys.dll

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

------------

ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"
__________
MfG Sabina

rund um die PC-Sicherheit

#56 Wow o.O danke, wie auch immer du das hinbekommen hast. (oggsys war also der Störenfried? )

Nunja tausend danke erstmal.

#57 Hallo leute! ich hab genau das selbe problem wie oben schon aufgeführt. ich hab ComboFix laufen lassen und hier ist die log datei:

ComboFix 08-06-20.4 - André 2008-06-29 13:43:14.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1505 [GMT 2:00]
ausgeführt von:: D:\Dokumente und Einstellungen\André\Eigene Dateien\Downloads\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\WINDOWS\enlr.exe
D:\WINDOWS\system32\byXNhIcD.dll
D:\WINDOWS\system32\DcIhNXyb.ini
D:\WINDOWS\system32\DcIhNXyb.ini2
D:\WINDOWS\system32\itlrygba.ini

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IPRIP
-------\Service_Iprip


((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-29 ))))))))))))))))))))))))))))))
.

2008-06-29 13:49 . 2008-06-29 13:49 294 ---hs---- D:\WINDOWS\system32\itlrygba.ini
2008-06-29 13:21 . 2008-06-29 13:21 <DIR> d-------- D:\Programme\Trend Micro
2008-06-29 12:49 . 2008-06-29 12:49 92,032 --a------ D:\WINDOWS\system32\abgyrlti.dll
2008-06-29 11:09 . 2008-06-29 04:55 303,104 --a------ D:\WINDOWS\gfetqaxsbop.dll
2008-06-29 11:09 . 2008-06-29 04:55 233,472 --a------ D:\WINDOWS\pntqkflv.dll
2008-06-29 11:09 . 2008-06-29 04:55 200,704 --a------ D:\WINDOWS\qegbdmwf.dll
2008-06-29 11:09 . 2008-06-29 04:55 155,648 --a------ D:\WINDOWS\gxvpsafm.dll
2008-06-29 11:09 . 2008-06-29 04:55 81,920 --a------ D:\WINDOWS\tovafrnm.exe
2008-06-29 11:09 . 2008-06-29 11:09 28,800 --a------ D:\WINDOWS\system32\efcBuvVo.dll
2008-06-29 11:03 . 2008-06-29 11:03 26,624 --a------ D:\WINDOWS\system32\oggwin.dll
2008-06-29 11:03 . 2008-06-29 11:03 26,624 --a------ D:\WINDOWS\system32\domwin.dll
2008-06-29 11:02 . 2008-06-29 11:02 26,624 --a------ D:\WINDOWS\system32\xmlsys.dll
2008-06-29 11:02 . 2008-06-29 11:02 26,624 --a------ D:\WINDOWS\system32\oggsys.dll
2008-06-28 08:06 . 2008-06-28 08:06 <DIR> d-------- D:\WINDOWS\system32\CLSID
2008-06-28 07:48 . 2008-02-20 13:47 27,936 --a------ D:\WINDOWS\system32\drivers\tbhsd.sys
2008-06-28 07:47 . 2008-06-28 07:47 <DIR> d-------- D:\Programme\RapidSolution
2008-06-28 07:47 . 2008-06-28 07:52 <DIR> d-------- D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\RapidSolution
2008-06-28 07:46 . 2008-06-28 07:46 <DIR> d-------- D:\Programme\PixiePack Codec Pack
2008-06-24 17:23 . 2008-06-24 17:23 34,304 --a------ D:\„quiblabla.xls
2008-06-21 21:22 . 2008-06-28 13:34 <DIR> d-------- D:\Programme\TrackMania Nations ESWC
2008-06-21 16:33 . 2008-06-29 11:11 <DIR> d-------- D:\Programme\OriginLab
2008-06-21 08:29 . 2008-06-21 08:29 23,392 --a------ D:\WINDOWS\system32\nscompat.tlb
2008-06-21 08:29 . 2008-06-21 08:29 16,832 --a------ D:\WINDOWS\system32\amcompat.tlb
2008-06-21 08:28 . 2004-08-04 01:57 221,184 --a------ D:\WINDOWS\system32\wmpns.dll
2008-06-18 22:08 . 2008-06-18 22:08 <DIR> d-------- D:\Programme\LimeWire
2008-06-18 15:45 . 2008-06-18 15:45 <DIR> d-------- D:\Programme\CDBurnerXP
2008-06-18 15:41 . 2008-06-18 15:41 <DIR> d-------- D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Ulead Systems
2008-06-15 13:57 . 2008-06-15 13:57 <DIR> d-------- D:\Programme\Gemeinsame Dateien\NSV
2008-06-15 13:04 . 2008-06-20 19:26 <DIR> d-------- D:\Programme\eMule
2008-06-13 23:39 . 2008-06-13 23:39 <DIR> d-------- D:\Programme\MEGLO
2008-06-13 23:29 . 2007-04-07 17:37 28 --a------ D:\WINDOWS\sbinetpro.ini
2008-06-13 23:29 . 2007-01-03 17:37 26 --a------ D:\WINDOWS\skat24pro.ini
2008-06-11 19:30 . 2008-06-14 19:57 273,024 -----c--- D:\WINDOWS\system32\dllcache\bthport.sys
2008-06-09 22:36 . 2008-06-09 22:37 <DIR> d-------- D:\Programme\Winamp Remote
2008-06-09 22:36 . 2008-06-09 22:37 <DIR> d-------- D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\OrbNetworks
2008-06-09 22:35 . 2008-06-28 07:50 <DIR> d-------- D:\Programme\Winamp
2008-06-05 21:30 . 2008-06-05 21:30 <DIR> d-------- D:\WINDOWS\Sun
2008-06-03 17:30 . 2008-03-25 02:37 69,632 --a------ D:\WINDOWS\system32\javacpl.cpl
2008-06-03 17:29 . 2008-06-03 17:30 <DIR> d-------- D:\Programme\Java
2008-06-03 17:27 . 2008-06-03 17:27 <DIR> d-------- D:\Programme\Gemeinsame Dateien\Java
2008-06-01 20:57 . 2008-06-04 16:36 <DIR> d-------- D:\Programme\Zattoo
2008-06-01 09:59 . 2008-06-01 09:59 <DIR> d-------- D:\Programme\FLV Player
2008-05-31 15:07 . 2008-06-09 19:40 <DIR> d-------- D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TrackMania
2008-05-31 14:40 . 2008-06-01 15:33 <DIR> d-------- D:\Programme\TmNationsForever
2008-05-31 14:37 . 2006-12-07 15:01 20,480 --a------ D:\WINDOWS\system32\DreamSaver.scr
2008-05-31 14:06 . 2008-05-31 14:06 <DIR> d-------- D:\Programme\Google
2008-05-31 14:01 . 2008-05-31 14:01 <DIR> d-------- D:\Programme\VideoLAN
2008-05-30 15:14 . 2008-06-20 19:28 <DIR> d-------- D:\Programme\Windows Media Connect 2
2008-05-30 15:14 . 2006-10-04 16:06 1,197,294 -----c--- D:\WINDOWS\system32\dllcache\sysmain.sdb
2008-05-30 15:14 . 2006-10-04 16:06 764,868 -----c--- D:\WINDOWS\system32\dllcache\apph_sp.sdb
2008-05-30 15:14 . 2006-10-04 16:06 217,118 -----c--- D:\WINDOWS\system32\dllcache\apphelp.sdb
2008-05-30 15:13 . 2008-05-30 15:13 <DIR> d-------- D:\WINDOWS\system32\drivers\UMDF
2008-05-29 08:46 . 2008-06-06 20:08 <DIR> d-------- D:\Downloads
2008-05-29 08:44 . 2008-05-29 08:44 <DIR> d-------- D:\Programme\Orbitdownloader

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-29 09:12 --------- d--h--w D:\Programme\InstallShield Installation Information
2008-06-29 08:23 --------- d-----w D:\Programme\MP3Producer
2008-06-20 17:27 --------- d-----w D:\Programme\Nero
2008-06-14 17:57 273,024 ------w D:\WINDOWS\system32\drivers\bthport.sys
2008-06-12 14:51 --------- d-----w D:\Programme\JoWooD
2008-05-16 13:12 22,328 ----a-w D:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-05-16 09:05 --------- d-----w D:\Programme\7-Zip
2008-05-16 08:08 --------- d-----w D:\Programme\NetSetMan
2008-05-15 14:32 --------- d-----w D:\Programme\MultiRes
2008-05-15 14:31 472,576 ----a-w D:\WINDOWS\Radeon Omega Drivers v4.8.442 Uninstall.exe
2008-05-15 14:31 --------- d-----w D:\Programme\Radeon Omega Drivers
2008-05-15 09:58 --------- d-----w D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\MSN6
2008-05-14 10:26 --------- d-----w D:\Programme\Atari
2008-05-13 10:42 --------- d-----w D:\Programme\Informatik
2008-05-11 11:26 --------- d-----w D:\Programme\Alcohol Soft
2008-05-11 09:08 --------- d-----w D:\Programme\T-Online
2008-05-11 09:08 --------- d-----w D:\Programme\Gemeinsame Dateien\Marmiko Shared
2008-05-11 09:08 --------- d-----w D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\T-Online
2008-05-10 10:03 --------- d-----w D:\Programme\Gemeinsame Dateien\Adobe
2008-05-08 12:28 202,752 ----a-w D:\WINDOWS\system32\drivers\rmcast.sys
2008-05-07 13:37 --------- d-----w D:\Programme\Sierra
2008-05-04 09:30 --------- d-----w D:\Programme\BMW M3 Challenge
2008-05-04 09:28 --------- d-----w D:\Programme\Playlogic
2008-05-03 07:13 --------- d-----w D:\Programme\DVD Shrink
2008-05-03 07:13 --------- d-----w D:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\DVD Shrink
2008-05-02 10:05 --------- d-----w D:\Programme\EA GAMES
2008-05-02 10:04 --------- d-----w D:\Programme\Gemeinsame Dateien\InstallShield
2008-04-29 13:24 --------- d-----w D:\Programme\Audacity
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3C0372C2-04C3-4100-BAB1-1D42C552BC48}]
2008-06-19 20:05 144688 --a------ D:\Programme\RapidSolution\RS Audials One\VideoRaptor\plugins\IE\VR_WebRipIePlugin.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8AE578E0-6DF5-41E0-869F-F65A32D2F6BD}]
2008-06-29 11:03 26624 --a------ D:\WINDOWS\system32\oggwin.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E55E1C86-434D-46F9-A253-2DE4AB3F9734}]
2008-06-29 11:09 28800 --a------ D:\WINDOWS\system32\efcBuvVo.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F327577A-E97C-40D6-810A-2B2223087314}]
2008-06-29 04:55 303104 --a------ D:\WINDOWS\gfetqaxsbop.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4E015B1B-BE52-49BD-9434-A3CB37B71A29}"= "D:\WINDOWS\gxvpsafm.dll" [2008-06-29 04:55 155648]

[HKEY_CLASSES_ROOT\clsid\{4e015b1b-be52-49bd-9434-a3cb37b71a29}]
[HKEY_CLASSES_ROOT\gxvpsafm.1]
[HKEY_CLASSES_ROOT\TypeLib\{EDBDCD66-8562-4808-9A69-79D4E3C1ABAD}]
[HKEY_CLASSES_ROOT\gxvpsafm]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"T-Online_Software_6\WLAN-Access Finder"="D:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 17:50 671796]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"94c5d158"="D:\WINDOWS\system32\abgyrlti.dll" [2008-06-29 12:49 92032]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{E55E1C86-434D-46F9-A253-2DE4AB3F9734}"= D:\WINDOWS\system32\efcBuvVo.dll [2008-06-29 11:09 28800]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"pntqkflv"= {6E8AC904-AFF0-475B-91FC-B1888208FCFB} - D:\WINDOWS\pntqkflv.dll [2008-06-29 04:55 233472]
"qegbdmwf"= {ECF460C3-B0CC-4CD4-B28E-2FA1184C55C5} - D:\WINDOWS\qegbdmwf.dll [2008-06-29 04:55 200704]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcBuvVo]
efcBuvVo.dll 2008-06-29 11:09 28800 D:\WINDOWS\system32\efcBuvVo.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv31"= D:\WINDOWS\system32\ir32_32.dll
"vidc.iv32"= D:\WINDOWS\system32\ir32_32.dll
"vidc.ffds"= ffdshow.ax

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"D:\\WINDOWS\\system32\\usmt\\migwiz.exe"=
"D:\\Programme\\Playlogic\\KOTT2\\KOTT2.exe"=
"D:\\Programme\\Soldat\\Soldat.exe"=
"C:\\Program Files\\Informatik\\cstrike.exe"=
"D:\\Programme\\Hamachi\\hamachi.exe"=
"D:\\Programme\\Informatik\\cstrike.exe"=
"D:\\Programme\\Sierra\\Empire Earth II\\EE2.exe"=
"D:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Program Files\\FireFly Studios\\Stronghold\\Stronghold.exe"=
"C:\\Program Files\\Informatik\\hl.exe"=
"C:\\Program Files\\Informatik\\hlds.exe"=
"C:\\Program Files\\FireFly Studios\\Stronghold Crusader\\Stronghold Crusader.exe"=
"D:\\Programme\\Atari\\Shadow Ops Red Mercury\\System\\RM.exe"=
"D:\\Programme\\Sierra\\Empire Earth II\\EE2X.exe"=
"D:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"D:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"D:\\Programme\\TmNationsForever\\TmForever.exe"=
"D:\\Programme\\Zattoo\\zattood.exe"=
"D:\\Programme\\Zattoo\\Zattoo2.exe"=
"C:\\Program Files\\LimeWire\\LimeWire.exe"=
"D:\\Programme\\Zattoo\\Zattoo.exe"=
"D:\\Programme\\Winamp Remote\\bin\\Orb.exe"=
"D:\\Programme\\Winamp Remote\\bin\\OrbTray.exe"=
"D:\\Programme\\Winamp Remote\\bin\\OrbStreamerClient.exe"=
"C:\\Program Files\\Rockstar Games\\GTA2\\gta2.exe"=
"D:\\Programme\\LimeWire\\LimeWire.exe"=
"D:\\Programme\\TrackMania Nations ESWC\\TmNationsESWC.exe"=

R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;D:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 17:16]
R2 NMSAccessU;NMSAccessU;D:\Programme\CDBurnerXP\NMSAccessU.exe [2008-03-09 11:20]
R3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;D:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 09:14]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;D:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 15:03]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;D:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 14:46]
S3 WSIMD;wsimd Service;D:\WINDOWS\system32\DRIVERS\wsimd.sys [2007-07-03 20:46]


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{61E3FE32-07B9-4563-A3E0-2DE2D620FE10}]
D:\Programme\PixiePack Codec Pack\InstallerHelper.exe
.
Inhalt des "geplante Tasks" Ordners
"2008-03-27 09:20:40 D:\WINDOWS\Tasks\Low Battery Alarm Program.job"
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-29 13:49:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


D:\WINDOWS\system32\itlrygba.ini 294 bytes

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
"T-Online_Software_6\\WLAN-Access Finder"="D:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe /StartMinimized"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: D:\WINDOWS\system32\winlogon.exe
-> D:\WINDOWS\system32\efcBuvVo.dll

PROCESS: D:\WINDOWS\explorer.exe
-> D:\WINDOWS\system32\abgyrlti.dll
.
------------------------ Other Running Processes ------------------------
.
D:\WINDOWS\system32\ati2evxx.exe
D:\WINDOWS\system32\ati2evxx.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\WINDOWS\system32\rundll32.exe
D:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
D:\WINDOWS\system32\agrsmsvc.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\WINDOWS\system32\tcpsvcs.exe
D:\Programme\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
D:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-29 13:52:33 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-29 11:52:25

14 Verzeichnis(se), 43,562,758,144 Bytes frei
17 Verzeichnis(se), 43,615,248,384 Bytes frei

226 --- E O F --- 2008-06-20 15:13:35







Ich hoffe, dass mir hier jemand bitte helfen kann.

#58 Hallo, Andrew123

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"pntqkflv"=-
"qegbdmwf"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcBuvVo]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{E55E1C86-434D-46F9-A253-2DE4AB3F9734}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"94c5d158"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8AE578E0-6DF5-41E0-869F-F65A32D2F6BD}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{E55E1C86-434D-46F9-A253-2DE4AB3F9734}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F327577A-E97C-40D6-810A-2B2223087314}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{4E015B1B-BE52-49BD-9434-A3CB37B71A29}"=-
[-HKEY_CLASSES_ROOT\clsid\{4e015b1b-be52-49bd-9434-a3cb37b71a29}]
[-HKEY_CLASSES_ROOT\gxvpsafm.1]
[-HKEY_CLASSES_ROOT\TypeLib\{EDBDCD66-8562-4808-9A69-79D4E3C1ABAD}]
[-HKEY_CLASSES_ROOT\gxvpsafm]

File::
D:\WINDOWS\system32\itlrygba.ini
D:\WINDOWS\system32\abgyrlti.dll
D:\WINDOWS\gfetqaxsbop.dll
D:\WINDOWS\pntqkflv.dll
D:\WINDOWS\qegbdmwf.dll
D:\WINDOWS\gxvpsafm.dll
D:\WINDOWS\tovafrnm.exe
D:\WINDOWS\system32\efcBuvVo.dll
D:\WINDOWS\system32\oggwin.dll
D:\WINDOWS\system32\domwin.dll
D:\WINDOWS\system32\xmlsys.dll
D:\WINDOWS\system32\oggsys.dll

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



danach: Combofix noch einmal anwenden

2.
ComboFix entfernen
Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

3.
dann scanne mit Malwarebytes und lasse alles entfernen,was noch gefunden wird
http://virus-protect.org/artikel/tools/malwarebytes.html
__________
MfG Sabina

rund um die PC-Sicherheit

#59 ok vielen dank. jetzt funktioniert alles wieder!

#60 Und hier ist noch einer der dieses doofe Problem hat. ComboFix hab ich schon mal laufen lassen. und jetzt? Danke für jede Hilfe


lg Jojo

___________________________________________________


ComboFix 08-06-20.4 - Jojo 2008-06-29 18:17:52.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.1.1031.18.2070 [GMT 2:00]
ausgeführt von:: C:\Users\Jojo\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Windows\system32\KBL.LOG

.
((((((((((((((((((((((( Dateien erstellt von 2008-05-28 bis 2008-06-29 ))))))))))))))))))))))))))))))
.

2008-06-29 13:14 . 2008-06-29 13:14 26,624 --a------ C:\Windows\System32\domview.dll
2008-06-28 21:05 . 2008-06-28 21:25 <DIR> d-------- C:\Users\Jojo\AppData\Roaming\LimeWire
2008-06-28 20:44 . 2008-06-28 20:44 <DIR> d-------- C:\Users\Jojo\AppData\Roaming\Talkback
2008-06-28 19:28 . 1998-10-21 18:43 328,704 --a------ C:\Windows\IsUn0407.exe
2008-06-27 00:14 . 2006-09-28 16:05 2,414,360 --a------ C:\Windows\System32\d3dx9_31.dll
2008-06-27 00:09 . 2008-06-27 00:09 <DIR> d-------- C:\Program Files\DAEMON Tools Lite
2008-06-27 00:05 . 2008-06-27 00:05 717,296 --a------ C:\Windows\System32\drivers\sptd.sys
2008-06-27 00:04 . 2008-06-27 00:04 <DIR> d-------- C:\Users\Jojo\AppData\Roaming\DAEMON Tools
2008-06-27 00:03 . 2008-06-27 00:03 <DIR> d-------- C:\Users\Public\CyberLink
2008-06-26 22:04 . 2008-06-26 22:04 <DIR> d-------- C:\Users\All Users\Apple Computer
2008-06-26 22:04 . 2008-06-26 22:04 <DIR> d-------- C:\Users\All Users\Apple
2008-06-26 22:04 . 2008-06-26 22:04 <DIR> d-------- C:\ProgramData\Apple Computer
2008-06-26 22:04 . 2008-06-26 22:04 <DIR> d-------- C:\ProgramData\Apple
2008-06-26 22:04 . 2008-06-26 22:04 <DIR> d-------- C:\Program Files\Apple Software Update
2008-06-26 22:02 . 2008-06-26 22:05 <DIR> d-------- C:\Program Files\QuickTime
2008-06-26 17:55 . 2008-06-26 17:55 <DIR> d-------- C:\Program Files\PicLensIE
2008-06-26 17:12 . 2008-06-26 17:12 <DIR> d-------- C:\Users\Jojo\AppData\Roaming\Leadertech
2008-06-24 23:23 . 2008-06-24 23:23 0 --ah----- C:\Windows\System32\drivers\Msft_User_WpdFs_01_00_00.Wdf
2008-06-24 21:19 . 2008-06-24 21:19 <DIR> d-------- C:\Program Files\Microsoft Visual Studio 8
2008-06-24 19:16 . 2008-06-24 19:56 <DIR> d-------- C:\Users\Jojo\AppData\Roaming\ICQ
2008-06-24 19:15 . 2008-06-24 20:01 <DIR> d-------- C:\Program Files\ICQ6
2008-06-24 16:34 . 2008-06-24 16:37 <DIR> d-------- C:\Program Files\xp-Iso-Builder
2008-06-24 16:34 . 2007-05-12 08:23 224,016 --a------ C:\Windows\System32\tabctl32.ocx
2008-06-24 16:34 . 2007-05-12 08:23 198,656 --a------ C:\Windows\System32\comdlg32.ocx
2008-06-24 16:30 . 2008-06-24 16:30 <DIR> d-------- C:\Users\Jojo\AppData\Roaming\vlc
2008-06-24 16:30 . 2008-06-24 16:30 <DIR> d-------- C:\NVIDIA
2008-06-24 16:29 . 2008-06-24 16:29 <DIR> d-------- C:\Program Files\VideoLAN
2008-06-24 16:25 . 2008-06-24 16:25 <DIR> d-------- C:\Program Files\SystemRequirementsLab
2008-06-24 00:34 . 2008-06-24 00:35 155,859,088 --a------ C:\Windows\MEMORY.DMP
2008-06-23 23:56 . 2008-06-23 23:56 <DIR> d-------- C:\Users\All Users\LightScribe
2008-06-23 23:56 . 2008-06-23 23:56 <DIR> d-------- C:\ProgramData\LightScribe
2008-06-23 23:38 . 2008-06-23 23:38 <DIR> d-------- C:\Users\Jojo\AppData\Roaming\PlayFirst
2008-06-23 23:11 . 2008-06-23 23:11 <DIR> d-------- C:\PerfLogs
2008-06-23 22:34 . 2008-06-23 22:13 152,576 --a------ C:\Windows\System32\SPWizUI.dll
2008-06-23 22:34 . 2008-06-23 22:13 47,560 --a------ C:\Windows\System32\SPReview.exe
2008-06-23 22:25 . 2008-06-24 02:26 <DIR> d-------- C:\Users\Jojo\AppData\Roaming\CyberLink
2008-06-23 22:19 . 2008-06-23 22:19 <DIR> d-------- C:\Users\Jojo\AppData\Roaming\HP
2008-06-23 22:19 . 2008-06-23 22:19 <DIR> d-------- C:\Users\All Users\HP
2008-06-23 22:19 . 2008-06-23 22:19 <DIR> d-------- C:\ProgramData\HP
2008-06-23 22:19 . 2008-01-18 23:33 193,024 --a------ C:\Windows\System32\recdisc.exe
2008-06-23 22:19 . 2008-01-18 23:36 6,656 --a------ C:\Windows\System32\sdspres.dll
2008-06-23 22:14 . 2008-01-18 23:33 44,032 --a------ C:\Windows\System32\cbsra.exe
2008-06-23 22:13 . 2008-06-23 22:35 196,608 --a------ C:\Windows\SPInstall.etl
2008-06-23 19:48 . 2008-06-23 19:48 <DIR> d-------- C:\Users\Jojo\AppData\Roaming\InstallShield
2008-06-23 19:34 . 2008-06-28 19:31 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-06-23 19:33 . 2008-06-27 22:48 66,192 --a------ C:\Users\Jojo\AppData\Roaming\nvModes.dat
2008-06-23 19:32 . 2008-06-23 19:32 <DIR> d-------- C:\Users\All Users\Avira
2008-06-23 19:32 . 2008-06-23 19:32 <DIR> d-------- C:\ProgramData\Avira
2008-06-23 19:32 . 2008-06-23 19:32 <DIR> d-------- C:\Program Files\Avira
2008-06-23 19:09 . 2008-01-18 23:34 15,872 --a------ C:\Windows\System32\hcrstco.dll
2008-06-23 19:09 . 2006-11-02 01:46 8,704 --a------ C:\Windows\System32\hccoin.dll
2008-06-23 19:06 . 2008-06-23 19:06 988,216 --a------ C:\Windows\System32\winload.exe
2008-06-23 19:06 . 2008-06-23 19:06 927,288 --a------ C:\Windows\System32\winresume.exe
2008-06-23 19:06 . 2008-06-23 19:06 615,992 --a------ C:\Windows\System32\ci.dll
2008-06-23 19:06 . 2008-06-23 19:06 378,368 --a------ C:\Windows\System32\srcore.dll
2008-06-23 19:06 . 2008-06-23 19:06 318,464 --a------ C:\Windows\System32\rstrui.exe
2008-06-23 19:06 . 2008-06-23 19:06 46,592 --a------ C:\Windows\System32\setbcdlocale.dll
2008-06-23 19:06 . 2008-06-23 19:06 40,960 --a------ C:\Windows\System32\srclient.dll
2008-06-23 19:06 . 2008-06-23 19:06 19,000 --a------ C:\Windows\System32\kd1394.dll
2008-06-23 19:06 . 2008-06-23 19:06 14,848 --a------ C:\Windows\System32\srdelayed.exe
2008-06-23 19:06 . 2008-06-23 19:06 6,656 --a------ C:\Windows\System32\kbd106n.dll
2008-06-23 19:05 . 2008-06-23 19:05 2,032,128 --a------ C:\Windows\System32\win32k.sys
2008-06-23 19:04 . 2008-06-23 19:04 295,936 --a------ C:\Windows\System32\gdi32.dll
2008-06-23 19:01 . 2008-06-23 19:01 113,664 --a------ C:\Windows\System32\drivers\rmcast.sys
2008-06-23 19:01 . 2008-06-23 19:01 14,848 --a------ C:\Windows\System32\wshrm.dll
2008-06-23 18:59 . 2008-06-23 18:59 4,240,384 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll
2008-06-23 18:59 . 2008-06-23 18:59 1,695,744 --a------ C:\Windows\System32\gameux.dll
2008-06-23 18:55 . 2008-06-23 18:55 1,314,816 --a------ C:\Windows\System32\quartz.dll
2008-06-23 18:54 . 2008-06-23 18:54 428,544 --a------ C:\Windows\System32\EncDec.dll
2008-06-23 18:54 . 2008-06-23 18:54 293,376 --a------ C:\Windows\System32\psisdecd.dll
2008-06-23 18:54 . 2008-06-23 18:54 218,624 --a------ C:\Windows\System32\psisrndr.ax
2008-06-23 18:54 . 2008-06-23 18:54 80,896 --a------ C:\Windows\System32\MSNP.ax
2008-06-23 18:54 . 2008-06-23 18:54 69,632 --a------ C:\Windows\System32\Mpeg2Data.ax
2008-06-23 18:54 . 2008-06-23 18:54 57,856 --a------ C:\Windows\System32\MSDvbNP.ax
2008-06-23 18:53 . 2008-06-23 18:53 <DIR> d-------- C:\Program Files\MSXML 4.0
2008-06-23 18:52 . 2008-06-23 18:52 1,383,424 --a------ C:\Windows\System32\mshtml.tlb
2008-06-23 18:52 . 2008-06-23 18:52 826,880 --a------ C:\Windows\System32\wininet.dll
2008-06-23 18:29 . 2008-06-23 18:29 <DIR> d-------- C:\Users\Jojo\AppData\Roaming\WildTangent
2008-06-23 18:16 . 2008-06-23 18:16 <DIR> dr------- C:\Users\Jojo\Searches
2008-06-23 18:16 . 2008-06-23 18:16 <DIR> dr------- C:\Users\Jojo\Contacts
2008-06-23 18:16 . 2008-06-23 18:16 <DIR> d-------- C:\Users\Jojo\AppData\Roaming\Symantec
2008-06-23 18:15 . 2008-06-23 18:15 81 --a------ C:\Windows\System32\LOG
2008-06-23 18:15 . 2008-06-23 18:15 44 --a------ C:\Windows\system\hpsysdrv.dat
2008-06-23 18:10 . 2008-06-23 18:17 <DIR> d-------- C:\Users\Jojo\AppData\Roaming\Hewlett-Packard
2008-06-23 18:09 . 2008-06-23 18:09 <DIR> d-------- C:\Users\All Users\Electronic Arts
2008-06-23 18:09 . 2008-06-23 18:09 <DIR> d-------- C:\ProgramData\Electronic Arts
2008-06-23 18:04 . 2008-06-27 00:55 <DIR> d-------- C:\Program Files\Electronic Arts
2008-06-23 18:04 . 2006-07-28 09:30 236,824 --a------ C:\Windows\System32\xactengine2_3.dll
2008-06-23 18:04 . 2006-07-28 09:30 62,744 --a------ C:\Windows\System32\xinput1_2.dll
2008-06-23 18:03 . 2005-05-26 15:34 2,297,552 --a------ C:\Windows\System32\d3dx9_26.dll
2008-06-23 18:02 . 2008-06-23 18:02 <DIR> d-------- C:\Program Files\Common Files\LightScribe
2008-06-23 18:01 . 2008-06-23 18:01 0 -rahs---- C:\Windows\System32\drivers\103C_HP_cNB_Pavilion dv9700 Notebook PC_Y5335KV_0U_QCNF81846SF_E459053-041_4A_I30DA_SQuanta_V85.26_F.2F_T080423_WV3-0_L407_M3071_J160_7AMD_8F82_92.00_#071026_N10DE0450;168C001C_(FF490EA#ABD)_XMOBILE_CN10_Z.MRK
2008-06-23 18:00 . 2008-06-23 18:16 <DIR> dr------- C:\Users\Jojo\Videos
2008-06-23 18:00 . 2008-06-23 23:52 <DIR> dr------- C:\Users\Jojo\Saved Games
2008-06-23 18:00 . 2008-06-26 17:12 <DIR> dr------- C:\Users\Jojo\Pictures
2008-06-23 18:00 . 2008-06-25 23:59 <DIR> dr------- C:\Users\Jojo\Music
2008-06-23 18:00 . 2008-06-23 18:16 <DIR> dr------- C:\Users\Jojo\Links
2008-06-23 18:00 . 2008-06-29 18:16 <DIR> dr------- C:\Users\Jojo\Downloads
2008-06-23 18:00 . 2008-06-28 21:05 <DIR> dr------- C:\Users\Jojo\Documents
2008-06-23 18:00 . 2006-11-02 14:37 <DIR> d-------- C:\Users\Jojo\AppData\Roaming\Media Center Programs
2008-06-23 18:00 . 2008-06-23 18:00 <DIR> d--h----- C:\Users\Jojo\AppData
2008-06-23 18:00 . 2008-06-26 17:19 <DIR> d-------- C:\Users\Jojo
2008-06-23 17:59 . 2008-06-23 17:59 <DIR> dr------- C:\Windows\System32\config\systemprofile\Contacts

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-24 19:25 --------- d-----w C:\ProgramData\Microsoft Help
2008-06-24 19:23 --------- d-----w C:\Program Files\MSBuild
2008-06-24 17:18 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-06-24 00:34 --------- d-----w C:\Program Files\Hp
2008-06-24 00:32 --------- d-----w C:\ProgramData\WildTangent
2008-06-24 00:26 --------- d-----w C:\ProgramData\CyberLink
2008-06-23 21:26 174 --sha-w C:\Program Files\desktop.ini
2008-06-23 21:17 --------- d-----w C:\Program Files\Windows Sidebar
2008-06-23 21:17 --------- d-----w C:\Program Files\Windows Photo Gallery
2008-06-23 21:17 --------- d-----w C:\Program Files\Windows Mail
2008-06-23 21:17 --------- d-----w C:\Program Files\Windows Journal
2008-06-23 21:17 --------- d-----w C:\Program Files\Windows Defender
2008-06-23 21:17 --------- d-----w C:\Program Files\Windows Collaboration
2008-06-23 21:17 --------- d-----w C:\Program Files\Windows Calendar
2008-06-23 21:09 --------- d-----w C:\ProgramData\NVIDIA
2008-06-23 20:40 82,432 ----a-w C:\Windows\System32\axaltocm.dll
2008-06-23 20:40 101,888 ----a-w C:\Windows\System32\ifxcardm.dll
2008-06-23 20:36 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-06-23 17:44 --------- d-----w C:\ProgramData\Symantec
2008-06-23 16:59 540,672 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-06-23 16:59 458,752 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-06-23 16:59 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
2008-06-23 16:59 2,153,984 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-06-23 16:59 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-06-23 16:25 --------- d-----w C:\Program Files\Java
2008-06-23 16:17 --------- d-----w C:\ProgramData\Hewlett-Packard
2008-06-23 16:02 --------- d-----w C:\Program Files\HPQ
2008-06-23 15:59 --------- d-sh--w C:\ProgramData\Vorlagen
2008-06-23 15:59 --------- d-sh--w C:\ProgramData\Startmenü
2008-06-23 15:59 --------- d-sh--w C:\ProgramData\Favoriten
2008-06-23 15:59 --------- d-sh--w C:\ProgramData\Dokumente
2008-06-23 15:59 --------- d-sh--w C:\ProgramData\Anwendungsdaten
2008-06-23 15:59 --------- d-sh--w C:\Program Files\Gemeinsame Dateien
2008-05-16 09:48 446,464 ----a-w C:\Windows\System32\nvuninst.exe
2008-05-12 19:42 --------- d-----w C:\Program Files\Online-Dienste
2008-05-12 19:41 --------- d-----w C:\Program Files\HP Games
2008-05-12 19:38 --------- d-----w C:\Program Files\CyberLink
2008-05-12 19:34 --------- d-----w C:\Program Files\Hewlett-Packard
2008-05-12 19:26 --------- d-----w C:\ProgramData\Atheros
2008-05-12 19:26 --------- d-----w C:\Program Files\WinTV
2008-05-12 19:26 --------- d-----w C:\Program Files\Atheros
2008-05-12 19:25 --------- d-----w C:\Program Files\CONEXANT
2008-05-12 19:24 --------- d-----w C:\Program Files\NetWaiting
2008-05-12 19:23 0 ---ha-w C:\Windows\system32\drivers\Msft_Kernel_SynTP_01000.Wdf
2008-05-12 19:22 --------- d-----w C:\Program Files\Synaptics
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{602ADB0E-4AFF-4217-8AA1-95DAC4DFA408}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8AE578E0-6DF5-41E0-869F-F65A32D2F6BD}]
2008-06-29 13:14 26624 --a------ C:\Windows\system32\domview.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EAEE5C74-6D0D-4aca-9232-0DA4A7B866BA}]
2008-06-13 17:14 2084864 --a------ C:\Program Files\PicLensIE\PicLens.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-01-18 23:33 1233920]
"LightScribe Control Panel"="C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe" [2007-08-23 17:36 455968]
"HPAdvisor"="C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2007-10-01 16:10 1783136]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2008-01-18 23:33 125952]
"VistaBatterySaver"="D:\Program Files\SharpSoft\Vista Battery Saver\VistaBatterySaver.exe" [2007-08-16 23:21 471040]
"DAEMON Tools Lite"="C:\Program Files\DAEMON Tools Lite\daemon.exe" [2008-04-01 11:39 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPStart"="C:\Program Files\Synaptics\SynTP\SynTPStart.exe" [2007-09-15 10:29 102400]
"QPService"="C:\Program Files\HP\QuickPlay\QPService.exe" [2007-09-30 19:34 181544]
"QlbCtrl"="C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-09-19 14:31 202032]
"OnScreenDisplay"="C:\Program Files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-09-04 13:54 554320]
"UCam_Menu"="C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" [2007-08-16 23:13 218408]
"HP Health Check Scheduler"="[ProgramFilesFolder]Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [ ]
"hpWirelessAssistant"="C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe" [2007-09-13 08:47 480560]
"WAWifiMessage"="C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe" [2007-01-08 15:53 311296]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"NvSvc"="C:\Windows\system32\nvsvc.dll" [2007-09-19 22:05 86016]
"NvCplDaemon"="C:\Windows\system32\NvCpl.dll" [2007-09-19 22:05 8497696]
"NvMediaCenter"="C:\Windows\system32\NvMcTray.dll" [2007-09-19 22:05 81920]
"HP Software Update"="C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]
"GrooveMonitor"="C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2008-06-26 22:02 413696]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\
Adobe Gamma Loader.exe.lnk - C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2008-06-28 19:31:12 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3codecp"= l3codecp.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{8947AE81-9047-44D5-9CB5-4BA8B3BE9EF4}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{A92C4E3A-13B3-455C-8C0F-8D9965E77636}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{2480B806-1935-4B6E-BCDC-05DF9A143333}"= C:\Program Files\Cyberlink\PowerDirector\PDR.EXE:CyberLink PowerDirector
"{5E633699-3110-47B3-B02A-E11ED601BECF}"= C:\Program Files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)
"{2D0AEE32-D686-49B9-A598-E327D6490E16}"= C:\Program Files\HP\QuickPlay\QP.exe:Quick Play
"{ED26A015-DFDE-4E90-95C4-833A7CBB7D30}"= C:\Program Files\HP\QuickPlay\QPService.exe:Quick Play Resident Program
"TCP Query User{CAFB322D-97BD-40D6-BC58-0759E1C848E5}D:\\program files\\gametap\\bin\\release\\gametap.exe"= UDP:\program files\gametap\bin\release\gametap.exe:GameTap Application
"UDP Query User{8210EA01-6E16-4FE7-A473-EB7B7F7CDA5F}D:\\program files\\gametap\\bin\\release\\gametap.exe"= TCP:\program files\gametap\bin\release\gametap.exe:GameTap Application
"{4E7C0456-6AF2-4B35-B333-673C53EABC9A}"= TCP:6004|C:\Program Files\Microsoft Office\Office12\outlook.exe:Microsoft Office Outlook
"{75AB5132-770A-47D3-8B02-72EFC5D8D2A8}"= UDP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{FE467E5D-6F5A-4399-AF4C-39E5218AC352}"= TCP:C:\Program Files\Microsoft Office\Office12\GROOVE.EXE:Microsoft Office Groove
"{587143FC-D287-4CFB-8DDB-4CDC0CCE811C}"= UDP:C:\Program Files\LimeWire\LimeWire.exe:LimeWire
"{2F1C3B1B-9FEA-4307-8C80-50771E7949F5}"= TCP:C:\Program Files\LimeWire\LimeWire.exe:LimeWire

R2 QPCapSvc;QuickPlay Background Capture Service (QBCS);"C:\Program Files\HP\QuickPlay\Kernel\TV\QPCapSvc.exe" [2007-09-30 19:34]
R2 QPSched;QuickPlay Task Scheduler (QTS);"C:\Program Files\HP\QuickPlay\Kernel\TV\QPSched.exe" [2007-09-30 19:34]
R3 HpqRemHid;HP Remote Control HID Device;C:\Windows\system32\DRIVERS\HpqRemHid.sys [2007-07-11 10:30]
S3 GameConsoleService;GameConsoleService;"C:\Program Files\HP Games\My HP Game Console\GameConsoleService.exe" [2007-07-24 01:33]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{515db927-412c-11dd-adcd-806e6f6e6963}]
\shell\AutoRun\command - F:\AutoPlay.exe -c

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
"C:\Program Files\Common Files\LightScribe\LSRunOnce.exe"
.
Inhalt des "geplante Tasks" Ordners
"2008-06-29 11:05:26 C:\Windows\Tasks\User_Feed_Synchronization-{FE536DDD-E54E-4B95-A104-B3EB1A52AD2A}.job"
- C:\Windows\system32\msfeedssync.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-29 18:21:21
Windows 6.0.6001 Service Pack 1 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-29 18:22:16
ComboFix-quarantined-files.txt 2008-06-29 16:22:13

10 Verzeichnis(se), 81,079,844,864 Bytes frei
20 Verzeichnis(se), 81,109,663,744 Bytes frei

253 --- E O F --- 2008-06-26 13:25:35