Trojaner+Virus,keinTaskmanager,keine Registry,Virenscanner findet nichts mehr!

#1 Hallo zusammen,
ich hab seit einigen Tage ein sehr großeres Problem. Erst bekam ich die Meldung das ich einen Virus habe (Virus Alert neben der Uhrzeit). Hab den Rechner einfach formatiert. Danach mit dem Avast gescannt und 3 Trojaner und 2 Würmer runtergehaun. Nun kann ich weder den Taskmanager noch die Registry öffnen.
Bin dann auf das Forum gestoßen, hab mich umgesehn und verschieden Tips von Sabina versucht umzusetzen.
Ich bin nun am verzeifeln,da entweder Einträge fehlen oder ich hab andere die nicht passen. Hab mir auch den Hijacker runtergeladen und laufen lassen genauso wie das Clean Up Programm.
Ebenso andere Einträge wie bisher im Forum bekannt.

Siehe hier:

Hijacker:
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\naPrdMg.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\CleanUp!\cleanup.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\system32\naPrdMg.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [naPrdMg.exe] C:\WINDOWS\system32\naPrdMg.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1715567821-2000478354-725345543-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-18\..\RunOnce: [MicroSoft Visual SP] igxdfdfds.com (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [MicroSoft Visual SP] igxdfdfds.com (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 4765 bytes


Clean Up:

CleanUp! started on 07/28/08 01:35:35.
C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AKAM6BMD\getnum[1].asp - deleted
C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WV0CIJR6\c12345[1].jpg - deleted
C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat - deleted
C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\AKAM6BMD\getnum[1].asp - deleted
C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WV0CIJR6\c12345[1].jpg - deleted
http://66.11.114.16/~nextdoor/old/c12345.jpg - deleted
http://91.195.118.155/dialer_min/getnum.asp?nip=0 - deleted
C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Verlauf\History.IE5\index.dat - deleted
'Typed URLs' (Internet Explorer) - removed from the registry.
'Typed URLs' (MSN) - removed from the registry.
Visited: Earliminator@about:Home - deleted
Visited: Earliminator@http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=runonce&pver=6.0&plcid=0x0407 - deleted
Visited: Earliminator@mk:@MSITStore:C:\Programme\Alwil%20Software\Avast4\German\Help\ChecklistSimple.chm::/checklist.htm - deleted
Visited: Earliminator@http://runonce.msn.com/de/runonce.asp - deleted
C:\Dokumente und Einstellungen\Earliminator\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Earliminator\Local Settings\Application Data\Identities\{446DE36B-DD88-4C7E-8C1B-6AF3A3BE99E5}\Microsoft\Outlook Express\cleanup.log - deleted
C:\Dokumente und Einstellungen\Earliminator\Anwendungsdaten\Microsoft\Outlook Express\News\cleanup.log - deleted
C:\DOKUME~1\EARLIM~1\LOKALE~1\Temp\etilqs_wToUJRkECcBABkM5jVn3 - deleted
C:\DOKUME~1\EARLIM~1\LOKALE~1\Temp\jusched.log - deleted
C:\DOKUME~1\EARLIM~1\LOKALE~1\Temp\plugtmp\crossdomain.xml - deleted
C:\DOKUME~1\EARLIM~1\LOKALE~1\Temp\_avast4_\ - deleted
C:\DOKUME~1\EARLIM~1\LOKALE~1\Temp\etilqs_wToUJRkECcBABkM5jVn3 - deleted
C:\DOKUME~1\EARLIM~1\LOKALE~1\Temp\jusched.log - deleted
C:\DOKUME~1\EARLIM~1\LOKALE~1\Temp\plugtmp\crossdomain.xml - deleted
C:\WINDOWS\SET3.tmp - deleted
C:\WINDOWS\SET7.tmp - deleted
C:\WINDOWS\temp\HTT7.tmp - deleted
C:\WINDOWS\temp\Perflib_Perfdata_4d8.dat - deleted
C:\WINDOWS\temp\_avast4_\Webshlock.txt - deleted
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Earliminator\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Earliminator\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Default User\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Default User\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@1067766890[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@1067912086[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@2o7[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.71i[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adicqserver.71i[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ads.quartermedia[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adserver.71i[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@asn.advolution[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atwola[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@browser1[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@chip[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@comdirect[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@download.mozilla[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@expedia[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@google[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@google[3].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@icq[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@intellitxt[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ivwbox[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@mozilla-europe[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@pack.google[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@quantserve[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@support[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@support[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@support[3].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@verify[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@welcome.icq[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.adviews[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.chip[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.cya1t[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@youtube[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@1067766890[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@1067912086[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@2o7[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ad.71i[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adicqserver.71i[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ads.quartermedia[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@adserver.71i[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@asn.advolution[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@atwola[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@browser1[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@chip[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@comdirect[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@doubleclick[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@download.mozilla[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@expedia[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@google[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@google[3].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@icq[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@intellitxt[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@ivwbox[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@mozilla-europe[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@pack.google[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@quantserve[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@support[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@support[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@support[3].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@verify[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@welcome.icq[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.adviews[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.chip[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@www.cya1t[2].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\administrator@youtube[1].txt - deleted
C:\Dokumente und Einstellungen\Administrator\Cookies\index.dat - deleted
'Run MRU' list - removed from the registry.
'Doc Find Spec MRU' list - removed from the registry.
'FindComputerMRU' list - removed from the registry.
'ComputerNameMRU' list - removed from the registry.
'ContainingTextMRU' list - removed from the registry.
'FilesNamedMRU' list - removed from the registry.
Search Assistant MRU list - removed from the registry.
Explorer Open/Save MRU list - removed from the registry.
Explorer Last Visited MRU list - removed from the registry.
Paint Recent File List - removed from the registry.
WordPad Recent File List - removed from the registry.
Telnet's MRU list - removed from the registry.
Windows Media Player Recent File List - removed from the registry.
WinZip Extract MRU list - removed from the registry.
WinZip File MRU list - removed from the registry.
CleanUp! 4.5.2 recovered 1.5 MB of disk space from 98 files.
CleanUp! finished on 07/28/08 01:35:35.


so ich weiß nicht weiter, hab versucht die Daten zu löschen um in die Registry zu kommen aber klappt einfach nicht.

Wäre froh wenn mir jmnd helfen könnte!!

Mfg

Earl_Schappel
__________
MFG
Earl_Schappel

#2 ViruTotal

Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren
Und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Prüfe mal diese Datei(en) bei http://www.virustotal.com/de

C:\WINDOWS\system32\naPrdMg.exe

Note:Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “waehle „Analisiere die Datei“

Arbeite das mal ab http://board.protecus.de/t23187.htm
__________
MfG Argus

#3 Hallo,Earl_Schappel
bervor du abarbeitest, was Arnold geschrieben hat, mache folgendes:

1,
lade sdix (noch nicht anwenden)
http://virus-protect.org/artikel/tools/sdfix.html
unter C:\ findet man nun den SDFix-Ordner

2.
mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked. + starte den Rechner neu.

Zitat

F2 - REG:system.ini: Shell=Explorer.exe %WINDIR%\system32\naPrdMg.exe

O4 - HKLM\..\Run: [naPrdMg.exe] C:\WINDOWS\system32\naPrdMg.exe

O4 - HKUS\S-1-5-18\..\RunOnce: [MicroSoft Visual SP] igxdfdfds.com (User '?')

O4 - HKUS\.DEFAULT\..\RunOnce: [MicroSoft Visual SP] igxdfdfds.com (User 'Default user')

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

PC neustarten - und in den abgesicherten modus

boote in den abgesicherten Modus (die Taste F8 drücken, während der Rechner neustartet)

gehe in den Ordner C:\SDFix

RunThis.bat doppelt klicken

folge allen Anweisungen, während gescannt wird - dann wird der Rechner neustarten
kopiere mit der rechten Maustaste den Text ab, der erscheint - und in den Beitrag,
__________
MfG Sabina

rund um die PC-Sicherheit

#4 Hallo Sabina,

also ich hab deine Anweisungen befolgt und das kam dabei raus


SDFix: Version 1.209
Run by Administrator on 28.07.2008 at 12:34

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\WINDOWS\SYSTEM32\BPI.EXE - Deleted
C:\WINDOWS\SYSTEM32\BYK.EXE - Deleted
C:\WINDOWS\SYSTEM32\DBI.EXE - Deleted
C:\WINDOWS\SYSTEM32\DFA.EXE - Deleted
C:\WINDOWS\SYSTEM32\DFY.EXE - Deleted
C:\WINDOWS\SYSTEM32\DJT.EXE - Deleted
C:\WINDOWS\SYSTEM32\DMV.EXE - Deleted
C:\WINDOWS\SYSTEM32\DXH.EXE - Deleted
C:\WINDOWS\SYSTEM32\EBM.EXE - Deleted
C:\WINDOWS\SYSTEM32\EUV.EXE - Deleted
C:\WINDOWS\SYSTEM32\JBP.EXE - Deleted
C:\WINDOWS\SYSTEM32\JBT.EXE - Deleted
C:\WINDOWS\SYSTEM32\JKK.EXE - Deleted
C:\WINDOWS\SYSTEM32\KOP.EXE - Deleted
C:\WINDOWS\SYSTEM32\KZN.EXE - Deleted
C:\WINDOWS\SYSTEM32\LBM.EXE - Deleted
C:\WINDOWS\SYSTEM32\LEK.EXE - Deleted
C:\WINDOWS\SYSTEM32\LGG.EXE - Deleted
C:\WINDOWS\SYSTEM32\LRA.EXE - Deleted
C:\WINDOWS\SYSTEM32\LRW.EXE - Deleted
C:\WINDOWS\SYSTEM32\LZR.EXE - Deleted
C:\WINDOWS\SYSTEM32\MRH.EXE - Deleted
C:\WINDOWS\SYSTEM32\MVF.EXE - Deleted
C:\WINDOWS\SYSTEM32\NPB.EXE - Deleted
C:\WINDOWS\SYSTEM32\UMK.EXE - Deleted
C:\WINDOWS\SYSTEM32\UOK.EXE - Deleted
C:\WINDOWS\SYSTEM32\UZW.EXE - Deleted
C:\WINDOWS\SYSTEM32\VDJ.EXE - Deleted
C:\WINDOWS\SYSTEM32\VIC.EXE - Deleted
C:\WINDOWS\SYSTEM32\VMA.EXE - Deleted
C:\WINDOWS\SYSTEM32\WIK.EXE - Deleted
C:\WINDOWS\SYSTEM32\WIS.EXE - Deleted
C:\WINDOWS\SYSTEM32\WZP.EXE - Deleted
C:\WINDOWS\SYSTEM32\XEI.EXE - Deleted
C:\WINDOWS\SYSTEM32\XLE.EXE - Deleted
C:\WINDOWS\SYSTEM32\XWN.EXE - Deleted
C:\WINDOWS\SYSTEM32\XWR.EXE - Deleted
C:\WINDOWS\SYSTEM32\YTB.EXE - Deleted
C:\WINDOWS\SYSTEM32\ZLB.EXE - Deleted
C:\WINDOWS\Photo_SP_P0059.zip - Deleted
C:\WINDOWS\system32\xag.exe - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-28 12:37:21
Windows 5.1.2600 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:04,af,ed,71,d5,7d,95,56,af,3a,f7,8a,a1,3a,6a,f7,be,8c,c3,f0,49,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,d2,3b,97,d0,eb,66,f5,26,66,0e,44,cf,12,73,db,90,64,..
"khjeh"=hex:ef,05,36,4f,3d,bc,56,b9,4d,fb,63,3f,75,37,dd,df,a8,6a,ce,37,6f,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:d7,8a,e1,37,1b,81,31,ef,d6,2d,a9,92,33,38,3e,46,bb,6a,01,cc,93,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:04,af,ed,71,d5,7d,95,56,af,3a,f7,8a,a1,3a,6a,f7,be,8c,c3,f0,49,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,d2,3b,97,d0,eb,66,f5,26,66,0e,44,cf,12,73,db,90,64,..
"khjeh"=hex:ef,05,36,4f,3d,bc,56,b9,4d,fb,63,3f,75,37,dd,df,a8,6a,ce,37,6f,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:d7,8a,e1,37,1b,81,31,ef,d6,2d,a9,92,33,38,3e,46,bb,6a,01,cc,93,..

scanning hidden registry entries ...

scanning hidden files ...

C:\WINDOWS\Temp\_av_proI.tm~a01052

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 1


Remaining Services :


Was auch immer nun er gelöscht hat, er fährt schon mal schneller hoch. Danke erstmal dafür!!!

MFG

Earl


PS:Hab grad getestet, Taskmanager geht wieder, Registry ebenso, solltes das schon gewesen sein???^^
__________
MFG
Earl_Schappel

#5 Hallo,Earl_Schappel

da gibt es noch mehr viren...deshalb:
wende combofix an, klicke die warnmeldung weg + poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#6 Hmm krass, das hätt ich nich gedacht!

Okay hier der Log:

ComboFix 08-07-27.5 - Earliminator 2008-07-28 15:07:43.1 - NTFSx86

ausgeführt von:: C:\Dokumente und Einstellungen\Earliminator\Desktop\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-06-28 bis 2008-07-28 ))))))))))))))))))))))))))))))
.

2008-07-28 12:50 . 2008-07-28 12:51 <DIR> d-------- C:\Dokumente und Einstellungen\Earliminator\Anwendungsdaten\ICQ
2008-07-28 12:33 . 2008-07-28 12:33 <DIR> d-------- C:\WINDOWS\ERUNT
2008-07-28 12:28 . 2008-07-28 12:37 <DIR> d-------- C:\SDFix
2008-07-28 01:35 . 2008-07-28 01:35 <DIR> d-------- C:\Programme\CleanUp!
2008-07-28 01:11 . 2008-07-28 01:11 <DIR> d-------- C:\Programme\Trend Micro
2008-07-28 00:57 . 2008-07-27 15:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Earliminator\Vorlagen
2008-07-28 00:57 . 2008-07-27 16:05 <DIR> dr------- C:\Dokumente und Einstellungen\Earliminator\Startmenü
2008-07-28 00:57 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Earliminator\Netzwerkumgebung
2008-07-28 00:57 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen
2008-07-28 00:57 . 2008-07-28 00:57 <DIR> dr------- C:\Dokumente und Einstellungen\Earliminator\Favoriten
2008-07-28 00:57 . 2008-07-28 00:57 <DIR> dr------- C:\Dokumente und Einstellungen\Earliminator\Eigene Dateien
2008-07-28 00:57 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Earliminator\Druckumgebung
2008-07-28 00:57 . 2008-07-28 12:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Earliminator\Anwendungsdaten
2008-07-28 00:57 . 2008-07-28 00:57 <DIR> d-------- C:\Dokumente und Einstellungen\Earliminator
2008-07-28 00:51 . 2008-07-28 00:51 <DIR> d-------- C:\Programme\DaemonTools_WhenUSave_Installer
2008-07-28 00:50 . 2008-07-28 00:50 <DIR> d-------- C:\Programme\DAEMON Tools
2008-07-27 23:55 . 2008-07-27 23:55 <DIR> d-------- C:\Programme\Alwil Software
2008-07-27 23:47 . 2008-07-27 23:47 104,448 --a------ C:\WINDOWS\system32\cwa.exe
2008-07-27 23:21 . 2008-07-27 23:21 104,448 --a------ C:\WINDOWS\system32\kzf.exe
2008-07-27 22:57 . 2008-07-27 22:57 104,448 --a------ C:\WINDOWS\system32\tdm.exe
2008-07-27 22:54 . 2008-07-27 22:54 104,448 --a------ C:\WINDOWS\system32\bce.exe
2008-07-27 22:52 . 2008-07-27 22:52 682,232 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-07-27 22:44 . 2008-07-27 22:44 104,448 --a------ C:\WINDOWS\system32\keg.exe
2008-07-27 22:42 . 2008-07-28 12:25 60,928 --a------ C:\s4j1v4x7t8b1.exe
2008-07-27 22:41 . 2008-07-27 22:41 <DIR> d-------- C:\My Downloads
2008-07-27 22:41 . 2008-07-27 23:25 104,448 -r-hs---- C:\WINDOWS\system32\naPrdMg.exe
2008-07-27 22:37 . 2008-07-27 22:37 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-07-27 22:13 . 2008-07-27 23:53 <DIR> d-------- C:\WINDOWS\LastGood
2008-07-27 22:13 . 2008-07-27 22:14 <DIR> d-------- C:\Programme\ICQ6
2008-07-27 22:13 . 2008-07-28 00:35 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
2008-07-27 22:11 . 2008-07-27 22:11 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQLite
2008-07-27 19:20 . 2008-07-27 19:25 350 --a------ C:\WINDOWS\system\CMCNFGU.INI
2008-07-27 19:16 . 2008-07-27 19:17 <DIR> d-------- C:\WUTemp
2008-07-27 19:16 . 2001-08-17 22:24 135,040 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2008-07-27 19:16 . 2001-08-17 22:24 135,040 --a--c--- C:\WINDOWS\system32\dllcache\portcls.sys
2008-07-27 19:16 . 2001-08-17 14:01 57,344 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-07-27 19:16 . 2001-08-17 14:01 57,344 --a--c--- C:\WINDOWS\system32\dllcache\drmk.sys
2008-07-27 19:03 . 2001-08-17 14:01 56,448 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-07-27 19:03 . 2001-08-17 14:01 56,448 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-07-27 19:01 . 2008-07-27 19:10 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2008-07-27 19:01 . 2008-07-27 19:01 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\teamspeak2
2008-07-27 19:01 . 2008-07-27 19:01 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-07-27 18:12 . 2008-07-28 02:38 <DIR> d-------- C:\Programme\Visions
2008-07-27 16:31 . 2008-07-27 16:31 0 --a------ C:\WINDOWS\PowerReg.dat
2008-07-27 16:28 . 1998-10-29 15:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-07-27 16:12 . 2008-07-27 16:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET
2008-07-27 16:06 . 2001-08-18 05:54 70,144 --a------ C:\WINDOWS\system32\usbui.dll
2008-07-27 16:06 . 2001-08-17 15:02 9,728 --a------ C:\WINDOWS\system32\drivers\gameenum.sys
2008-07-27 16:06 . 2001-08-17 15:00 2,944 --a------ C:\WINDOWS\system32\drivers\msmpu401.sys
2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe AIR
2008-07-27 16:05 . 2008-07-27 15:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-07-27 16:05 . 2008-07-27 16:05 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü
2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-07-27 16:05 . 2008-07-27 16:05 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-07-27 16:05 . 2008-07-27 22:14 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü
2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten
2008-07-27 16:05 . 2008-07-27 15:14 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2008-07-27 16:04 . 2008-07-28 00:50 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-07-27 16:04 . 2008-07-27 16:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-07-27 16:04 . 2008-07-27 16:05 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-07-27 16:04 . 2008-07-27 16:12 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-07-27 16:03 . 2008-07-27 16:03 <DIR> d-------- C:\Programme\Java
2008-07-27 16:03 . 2008-07-27 16:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-07-27 16:03 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-28 10:25 43,008 ----a-w C:\WINDOWS\system32\ftp.exe
2008-07-28 10:25 17,408 ----a-w C:\WINDOWS\system32\tftp.exe
2008-07-27 22:52 --------- d-----w C:\Programme\Google
2008-07-27 22:35 --------- d-----w C:\Programme\dfdsfs
2008-07-27 20:44 134,656 ----a-w C:\WINDOWS\system32\sfc_os.dll
2008-07-27 20:14 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-27 13:28 --------- d-----w C:\Programme\My Company Name
2008-07-27 13:25 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-07-27 13:16 --------- d-----w C:\Programme\microsoft frontpage
2008-07-27 13:15 --------- d-----w C:\Programme\Online-Dienste
2008-07-27 13:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 14:00 13312]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2001-08-02 07:14 1077277]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-04-19 07:26 7700480]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-04-19 07:26 86016]
"GamerOSD"="C:\Program Files\ASUS\GamerOSD\GamerOSD.exe" [2007-02-14 09:42 380928]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008]
"nwiz"="nwiz.exe" [2007-04-19 07:26 1626112 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-23 14:00 13312]

C:\Dokumente und Einstellungen\Administrator\Startmen�\Programme\Autostart\
PowerReg Scheduler.exe [2008-07-27 16:31:46 256000]

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001


*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-CmUsbSound - cmcnfgu.cpl
HKU-Default-Run-MicroSoft Visual SP - igxdfdfds.com
HKU-Default-Run-MicroSoft HardCore - kdjfsdssl.exe
HKU-Default-RunOnce-Windows has Layer - fixweb.exe
HKU-Default-RunOnce-MicroSoft HardCore - kdjfsdssl.exe


.
------- Zusätzlicher Scan -------
.
O9 -: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-28 15:08:28
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-28 15:09:02
ComboFix-quarantined-files.txt 2008-07-28 13:09:00

Pre-Run: 11 Verzeichnis(se), 111,544,262,656 Bytes frei
Post-Run: 13 Verzeichnis(se), 111,539,634,176 Bytes frei

140
__________
MFG
Earl_Schappel

#7 1.
gehe in die Registry
Start - Ausführen - regedit

alle Schlüssel in 0 ändern

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

rechtsklick auf den Eintrag "AntiVirusDisableNotify"



die 1 wegklicken und 0 reinschreiben, dann abspeichern





--------------------------------------------------------------------

2.
Prüfe mal diese Datei(en) bei http://www.virustotal.com/de

C:\WINDOWS\system32\naPrdMg.exe
C:\WINDOWS\system32\cwa.exe
C:\s4j1v4x7t8b1.exe

Note:Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “waehle „Analisiere die Datei“

3
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\WINDOWS\system32\cwa.exe
C:\WINDOWS\system32\kzf.exe
C:\WINDOWS\system32\tdm.exe
C:\WINDOWS\system32\bce.exe
C:\WINDOWS\system32\keg.exe
C:\s4j1v4x7t8b1.exe
C:\WINDOWS\system32\naPrdMg.exe

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt),kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

4.
wende noch mal Combofix an + poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

#8 So hab nun auch das ausgeführt.

ComboFix 08-07-27.5 - Earliminator 2008-07-28 15:43:22.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.0.1252.1.1031.18.1712 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Earliminator\Desktop\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-06-28 bis 2008-07-28 ))))))))))))))))))))))))))))))
.

2008-07-28 12:50 . 2008-07-28 12:51 <DIR> d-------- C:\Dokumente und Einstellungen\Earliminator\Anwendungsdaten\ICQ
2008-07-28 12:33 . 2008-07-28 12:33 <DIR> d-------- C:\WINDOWS\ERUNT
2008-07-28 12:28 . 2008-07-28 12:37 <DIR> d-------- C:\SDFix
2008-07-28 01:35 . 2008-07-28 01:35 <DIR> d-------- C:\Programme\CleanUp!
2008-07-28 01:11 . 2008-07-28 01:11 <DIR> d-------- C:\Programme\Trend Micro
2008-07-28 00:57 . 2008-07-27 15:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Earliminator\Vorlagen
2008-07-28 00:57 . 2008-07-27 16:05 <DIR> dr------- C:\Dokumente und Einstellungen\Earliminator\Startmenü
2008-07-28 00:57 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Earliminator\Netzwerkumgebung
2008-07-28 00:57 . 2008-07-28 15:44 <DIR> d--h----- C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen
2008-07-28 00:57 . 2008-07-28 00:57 <DIR> dr------- C:\Dokumente und Einstellungen\Earliminator\Favoriten
2008-07-28 00:57 . 2008-07-28 00:57 <DIR> dr------- C:\Dokumente und Einstellungen\Earliminator\Eigene Dateien
2008-07-28 00:57 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Earliminator\Druckumgebung
2008-07-28 00:57 . 2008-07-28 12:50 <DIR> dr-h----- C:\Dokumente und Einstellungen\Earliminator\Anwendungsdaten
2008-07-28 00:57 . 2008-07-28 00:57 <DIR> d-------- C:\Dokumente und Einstellungen\Earliminator
2008-07-28 00:51 . 2008-07-28 00:51 <DIR> d-------- C:\Programme\DaemonTools_WhenUSave_Installer
2008-07-28 00:50 . 2008-07-28 00:50 <DIR> d-------- C:\Programme\DAEMON Tools
2008-07-27 23:55 . 2008-07-27 23:55 <DIR> d-------- C:\Programme\Alwil Software
2008-07-27 22:52 . 2008-07-27 22:52 682,232 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-07-27 22:41 . 2008-07-27 22:41 <DIR> d-------- C:\My Downloads
2008-07-27 22:37 . 2008-07-27 22:37 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-07-27 22:13 . 2008-07-27 23:53 <DIR> d-------- C:\WINDOWS\LastGood
2008-07-27 22:13 . 2008-07-27 22:14 <DIR> d-------- C:\Programme\ICQ6
2008-07-27 22:13 . 2008-07-28 00:35 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQ
2008-07-27 22:11 . 2008-07-27 22:11 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\ICQLite
2008-07-27 19:20 . 2008-07-27 19:25 350 --a------ C:\WINDOWS\system\CMCNFGU.INI
2008-07-27 19:16 . 2008-07-27 19:17 <DIR> d-------- C:\WUTemp
2008-07-27 19:16 . 2001-08-17 22:24 135,040 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2008-07-27 19:16 . 2001-08-17 22:24 135,040 --a--c--- C:\WINDOWS\system32\dllcache\portcls.sys
2008-07-27 19:16 . 2001-08-17 14:01 57,344 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2008-07-27 19:16 . 2001-08-17 14:01 57,344 --a--c--- C:\WINDOWS\system32\dllcache\drmk.sys
2008-07-27 19:03 . 2001-08-17 14:01 56,448 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-07-27 19:03 . 2001-08-17 14:01 56,448 --a--c--- C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-07-27 19:01 . 2008-07-27 19:10 <DIR> d-------- C:\Programme\Teamspeak2_RC2
2008-07-27 19:01 . 2008-07-27 19:01 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\teamspeak2
2008-07-27 19:01 . 2008-07-27 19:01 34,064 --a------ C:\WINDOWS\system32\lhacm.acm
2008-07-27 18:12 . 2008-07-28 02:38 <DIR> d-------- C:\Programme\Visions
2008-07-27 16:31 . 2008-07-27 16:31 0 --a------ C:\WINDOWS\PowerReg.dat
2008-07-27 16:28 . 1998-10-29 15:45 306,688 --a------ C:\WINDOWS\IsUninst.exe
2008-07-27 16:12 . 2008-07-27 16:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ESET
2008-07-27 16:06 . 2001-08-18 05:54 70,144 --a------ C:\WINDOWS\system32\usbui.dll
2008-07-27 16:06 . 2001-08-17 15:02 9,728 --a------ C:\WINDOWS\system32\drivers\gameenum.sys
2008-07-27 16:06 . 2001-08-17 15:00 2,944 --a------ C:\WINDOWS\system32\drivers\msmpu401.sys
2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe AIR
2008-07-27 16:05 . 2008-07-27 15:13 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-07-27 16:05 . 2008-07-27 16:05 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü
2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-07-27 16:05 . 2008-07-27 16:05 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-07-27 16:05 . 2008-07-27 22:14 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü
2008-07-27 16:05 . 2008-07-27 16:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten
2008-07-27 16:05 . 2008-07-27 15:14 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente
2008-07-27 16:04 . 2008-07-28 15:36 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-07-27 16:04 . 2008-07-27 16:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-07-27 16:04 . 2008-07-27 16:05 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-07-27 16:04 . 2008-07-27 16:12 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
2008-07-27 16:03 . 2008-07-27 16:03 <DIR> d-------- C:\Programme\Java
2008-07-27 16:03 . 2008-07-27 16:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-07-27 16:03 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-28 10:25 43,008 ----a-w C:\WINDOWS\system32\ftp.exe
2008-07-28 10:25 17,408 ----a-w C:\WINDOWS\system32\tftp.exe
2008-07-27 22:52 --------- d-----w C:\Programme\Google
2008-07-27 22:35 --------- d-----w C:\Programme\dfdsfs
2008-07-27 20:44 134,656 ----a-w C:\WINDOWS\system32\sfc_os.dll
2008-07-27 20:14 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-07-27 13:28 --------- d-----w C:\Programme\My Company Name
2008-07-27 13:25 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-07-27 13:16 --------- d-----w C:\Programme\microsoft frontpage
2008-07-27 13:15 --------- d-----w C:\Programme\Online-Dienste
2008-07-27 13:14 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
.

((((((((((((((((((((((((((((( snapshot@2008-07-28_15.08.53.35 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-28 13:07:42 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-07-28 13:34:52 48,156 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-07-28 13:07:42 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-07-28 13:34:52 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-07-28 13:07:42 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-07-28 13:34:52 316,594 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-07-28 13:07:42 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-07-28 13:34:52 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-07-28 13:42:25 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_4e4.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-08-23 14:00 13312]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2001-08-02 07:14 1077277]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-04-19 07:26 7700480]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-04-19 07:26 86016]
"GamerOSD"="C:\Program Files\ASUS\GamerOSD\GamerOSD.exe" [2007-02-14 09:42 380928]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 16:38 78008]
"nwiz"="nwiz.exe" [2007-04-19 07:26 1626112 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-23 14:00 13312]

C:\Dokumente und Einstellungen\Administrator\Startmen�\Programme\Autostart\
PowerReg Scheduler.exe [2008-07-27 16:31:46 256000]

R1 asusgsb;ASUS Virtual Video Capture Device Driver;C:\WINDOWS\System32\drivers\asusgsb32.sys [2005-10-20 16:25]
R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-07-19 16:35]
S3 cmudau;C-Media USB Sound Interface;C:\WINDOWS\System32\drivers\cmudau.sys [2004-04-02 13:09]
.
.
------- Zusätzlicher Scan -------
.
O9 -: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-28 15:44:13
Windows 5.1.2600 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-28 15:44:41
ComboFix-quarantined-files.txt 2008-07-28 13:44:39
ComboFix2.txt 2008-07-28 13:36:46
ComboFix3.txt 2008-07-28 13:09:02

Pre-Run: 12 Verzeichnis(se), 111,566,090,240 Bytes frei
Post-Run: 13 Verzeichnis(se), 111,558,447,104 Bytes frei

139
__________
MFG
Earl_Schappel

#9 ««

Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\My Downloads" >>files.txt
dir "C:\WINDOWS\Downloaded Installations" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temporary Internet Files\Content.IE5" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
notepad files.txt

««
wende datfindbat an , die Dateien sind nach Datum geordnet, kopiere von jedem ca. die letzten 2 Monate ab
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#10 Ich hoffe das ich das Verstanden habe^^.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C94-60B9

Verzeichnis von c:\

28.07.2008 17:15 0 dirdat.txt
28.07.2008 17:14 4.050 files.txt
28.07.2008 15:44 10.346 ComboFix.txt
28.07.2008 15:42 2.145.386.496 pagefile.sys
28.07.2008 15:42 3.656 avenger.txt
27.07.2008 15:16 0 MSDOS.SYS
27.07.2008 15:16 0 CONFIG.SYS
27.07.2008 15:16 0 IO.SYS
27.07.2008 15:16 0 AUTOEXEC.BAT
27.07.2008 15:09 194 boot.ini
23.08.2001 14:00 224.032 ntldr
23.08.2001 14:00 4.952 bootfont.bin
23.08.2001 14:00 45.124 NTDETECT.COM
13 Datei(en) 2.145.678.850 Bytes
0 Verzeichnis(se), 111.552.176.128 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C94-60B9

Verzeichnis von C:\WINDOWS\system32

28.07.2008 15:42 88.723 nvapps.xml
28.07.2008 15:34 311.604 perfh009.dat
28.07.2008 15:34 39.992 perfc009.dat
28.07.2008 15:34 316.594 perfh007.dat
28.07.2008 15:34 48.156 perfc007.dat
28.07.2008 15:34 723.744 PerfStringBackup.INI
28.07.2008 12:25 17.408 tftp.exe
28.07.2008 12:25 43.008 ftp.exe
28.07.2008 00:57 25.065 wmpscheme.xml
27.07.2008 23:55 3.002 CONFIG.NT
27.07.2008 22:44 134.656 sfc_os.dll
27.07.2008 19:01 34.064 lhacm.acm
27.07.2008 16:09 0 h323log.txt
27.07.2008 16:03 6.944 jupdate-1.6.0_07-b06.log
27.07.2008 15:19 2.184 wpa.dbl
27.07.2008 15:18 90.296 FNTCACHE.DAT
27.07.2008 15:18 261 $winnt$.inf
27.07.2008 15:16 16.832 amcompat.tlb
27.07.2008 15:16 23.392 nscompat.tlb
27.07.2008 15:15 488 logonui.exe.manifest
27.07.2008 15:15 488 WindowsLogon.manifest
27.07.2008 15:15 749 ncpa.cpl.manifest
27.07.2008 15:15 749 cdplayer.exe.manifest
27.07.2008 15:15 749 wuaucpl.cpl.manifest
27.07.2008 15:15 749 sapi.cpl.manifest
27.07.2008 15:15 749 nwc.cpl.manifest
27.07.2008 15:14 21.740 emptyregdb.dat
19.07.2008 16:43 1.163.960 aswBoot.exe
19.07.2008 16:30 94.392 AvastSS.scr
10.06.2008 02:32 73.728 javacpl.cpl
10.06.2008 02:32 139.264 javaws.exe
10.06.2008 01:21 135.168 javaw.exe
10.06.2008 01:21 135.168 java.exe
19.04.2007 14:14 208.896 NVUNINST.EXE
19.04.2007 07:26 319.488 nvwrsptb.dll
19.04.2007 07:26 323.584 nvwrspt.dll
19.04.2007 07:26 294.912 nvwrspl.dll
19.04.2007 07:26 299.008 nvwrsno.dll
19.04.2007 07:26 319.488 nvwrsnl.dll
19.04.2007 07:26 196.608 nvwrsko.dll
19.04.2007 07:26 212.992 nvwrsja.dll
19.04.2007 07:26 315.392 nvwrsru.dll
19.04.2007 07:26 315.392 nvwrshu.dll
19.04.2007 07:26 278.528 nvwrshe.dll
19.04.2007 07:26 327.680 nvwrsfr.dll
19.04.2007 07:26 303.104 nvwrsfi.dll
19.04.2007 07:26 303.104 nvwrssl.dll
19.04.2007 07:26 425.984 keystone.exe
19.04.2007 07:26 299.008 nvwrssk.dll
19.04.2007 07:26 294.912 nvwrssv.dll
19.04.2007 07:26 323.584 nvwrsit.dll
19.04.2007 07:26 4.543.616 nv4_disp.dll
19.04.2007 07:26 303.104 nvwrstr.dll
19.04.2007 07:26 327.680 nvwrsesm.dll
19.04.2007 07:26 335.872 nvwrses.dll
19.04.2007 07:26 286.720 nvwrseng.dll
19.04.2007 07:26 335.872 nvwrsel.dll
19.04.2007 07:26 311.296 nvwrsde.dll
19.04.2007 07:26 294.912 nvwrsda.dll
19.04.2007 07:26 286.720 nvwrscs.dll
19.04.2007 07:26 282.624 nvwrsar.dll
19.04.2007 07:26 1.019.904 nvwimg.dll
19.04.2007 07:26 1.703.936 nvwdmcpl.dll
19.04.2007 07:26 81.920 nvwddi.dll
19.04.2007 07:26 163.840 nvwrszhc.dll
19.04.2007 07:26 208.896 nvudisp.exe
19.04.2007 07:26 73.728 nvtuicpl.cpl
19.04.2007 07:26 159.810 nvsvc32.exe
19.04.2007 07:26 466.944 nvshell.dll
19.04.2007 07:26 118.784 nvrszht.dll
19.04.2007 07:26 212.992 nvapi.dll
19.04.2007 07:26 249.856 nvrstr.dll
19.04.2007 07:26 1.626.112 nwiz.exe
19.04.2007 07:26 245.760 nvrssv.dll
19.04.2007 07:26 249.856 nvrssl.dll
19.04.2007 07:26 249.856 nvrssk.dll
19.04.2007 07:26 262.144 nvrsru.dll
19.04.2007 07:26 262.144 nvrsptb.dll
19.04.2007 07:26 266.240 nvrspt.dll
19.04.2007 07:26 249.856 nvrspl.dll
19.04.2007 07:26 249.856 nvrsno.dll
19.04.2007 07:26 266.240 nvrsnl.dll
19.04.2007 07:26 258.048 nvrsko.dll
19.04.2007 07:26 262.144 nvrsja.dll
19.04.2007 07:26 274.432 nvrsit.dll
19.04.2007 07:26 253.952 nvrshu.dll
19.04.2007 07:26 323.584 nvrshe.dll
19.04.2007 07:26 278.528 nvrsfr.dll
19.04.2007 07:26 241.664 nvrsfi.dll
19.04.2007 07:26 266.240 nvrsesm.dll
19.04.2007 07:26 274.432 nvrses.dll
19.04.2007 07:26 241.664 nvrseng.dll
19.04.2007 07:26 274.432 nvrsel.dll
19.04.2007 07:26 270.336 nvrsde.dll
19.04.2007 07:26 245.760 nvrsda.dll
19.04.2007 07:26 241.664 nvrscs.dll
19.04.2007 07:26 323.584 nvrsar.dll
19.04.2007 07:26 5.644.288 nvoglnt.dll
19.04.2007 07:26 286.720 nvnt4cpl.dll
19.04.2007 07:26 86.016 nvmctray.dll
19.04.2007 07:26 45.056 nvmccsrs.dll
19.04.2007 07:26 229.376 nvmccs.dll
19.04.2007 07:26 1.474.560 nview.dll
19.04.2007 07:26 581.632 nvhwvid.dll
19.04.2007 07:26 1.339.392 nvdspsch.exe
19.04.2007 07:26 17.056 nvdisp.nvu
19.04.2007 07:26 7.700.480 nvcpl.dll
19.04.2007 07:26 147.456 nvcolor.exe
19.04.2007 07:26 35.840 nvcodins.dll
19.04.2007 07:26 35.840 nvcod.dll
19.04.2007 07:26 167.936 nvwrszht.dll
19.04.2007 07:26 442.368 nvappbar.exe
19.04.2007 07:26 221.184 nvrszhc.dll


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C94-60B9

Verzeichnis von C:\My Downloads

27.07.2008 22:41 <DIR> .
27.07.2008 22:41 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 111.552.487.424 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C94-60B9

Verzeichnis von C:\WINDOWS\Downloaded Installations

27.07.2008 22:37 <DIR> .
27.07.2008 22:37 <DIR> ..
27.07.2008 22:37 <DIR> DAEMON Tools 3.47
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 111.552.487.424 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C94-60B9

Verzeichnis von C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Temporary Internet Files\Content.IE5

28.07.2008 15:46 65.536 index.dat
1 Datei(en) 65.536 Bytes
0 Verzeichnis(se), 111.552.483.328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C94-60B9

Verzeichnis von C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Temp

28.07.2008 16:30 <DIR> .
28.07.2008 16:30 <DIR> ..
28.07.2008 15:47 173 jusched.log
28.07.2008 15:53 <DIR> plugtmp
1 Datei(en) 173 Bytes
3 Verzeichnis(se), 111.552.483.328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C94-60B9

Verzeichnis von C:\WINDOWS\Temp

28.07.2008 15:44 <DIR> .
28.07.2008 15:44 <DIR> ..
28.07.2008 15:42 16.384 Perflib_Perfdata_4e4.dat
28.07.2008 17:11 <DIR> _avast4_
1 Datei(en) 16.384 Bytes
3 Verzeichnis(se), 111.552.483.328 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C94-60B9

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C94-60B9

Verzeichnis von C:\My Downloads

27.07.2008 22:41 <DIR> .
27.07.2008 22:41 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 111.552.081.920 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C94-60B9

Verzeichnis von C:\WINDOWS\Downloaded Installations

27.07.2008 22:37 <DIR> .
27.07.2008 22:37 <DIR> ..
27.07.2008 22:37 <DIR> DAEMON Tools 3.47
0 Datei(en) 0 Bytes
3 Verzeichnis(se), 111.552.081.920 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C94-60B9

Verzeichnis von C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Temporary Internet Files\Content.IE5

28.07.2008 15:46 65.536 index.dat
1 Datei(en) 65.536 Bytes
0 Verzeichnis(se), 111.552.081.920 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C94-60B9

Verzeichnis von C:\Dokumente und Einstellungen\Earliminator\Lokale Einstellungen\Temp

28.07.2008 17:13 <DIR> .
28.07.2008 17:13 <DIR> ..
28.07.2008 15:47 173 jusched.log
28.07.2008 15:53 <DIR> plugtmp
1 Datei(en) 173 Bytes
3 Verzeichnis(se), 111.552.081.920 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C94-60B9

Verzeichnis von C:\WINDOWS\Temp

28.07.2008 15:44 <DIR> .
28.07.2008 15:44 <DIR> ..
28.07.2008 15:42 16.384 Perflib_Perfdata_4e4.dat
28.07.2008 17:13 <DIR> _avast4_
1 Datei(en) 16.384 Bytes
3 Verzeichnis(se), 111.552.081.920 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 5C94-60B9

Verzeichnis von C:\
__________
MFG
Earl_Schappel

#11 ««
Virustotal http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\ftp.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Ok, also erste Datei:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.26.0 2008.07.28 -
AntiVir 7.8.1.12 2008.07.28 -
Authentium 5.1.0.4 2008.07.28 W32/Backdoor2.BIRB
Avast 4.8.1195.0 2008.07.28 -
AVG 8.0.0.130 2008.07.28 Generic_c.KR
BitDefender 7.2 2008.07.28 -
CAT-QuickHeal 9.50 2008.07.28 -
ClamAV 0.93.1 2008.07.28 -
DrWeb 4.44.0.09170 2008.07.28 -
eSafe 7.0.17.0 2008.07.28 -
eTrust-Vet 31.6.5989 2008.07.28 -
Ewido 4.0 2008.07.28 -
F-Prot 4.4.4.56 2008.07.28 W32/Backdoor2.BIRB
F-Secure 7.60.13501.0 2008.07.28 -
Fortinet 3.14.0.0 2008.07.26 -
GData 2.0.7306.1023 2008.07.28 -
Ikarus T3.1.1.34.0 2008.07.28 Win32.SuspectCrc
Kaspersky 7.0.0.125 2008.07.28 -
McAfee 5347 2008.07.25 -
Microsoft 1.3704 2008.07.28 -
NOD32v2 3303 2008.07.28 -
Norman 5.80.02 2008.07.28 -
Panda 9.0.0.4 2008.07.28 -
PCTools 4.4.2.0 2008.07.28 -
Prevx1 V2 2008.07.28 -
Rising 20.55.02.00 2008.07.28 -
Sophos 4.31.0 2008.07.28 -
Sunbelt 3.1.1536.1 2008.07.28 -
Symantec 10 2008.07.28 -
TheHacker 6.2.96.389 2008.07.25 Trojan/Downloader.Small.vwo
TrendMicro 8.700.0.1004 2008.07.28 -
VBA32 3.12.8.1 2008.07.28 -
ViRobot 2008.7.26.1311 2008.07.28 -
VirusBuster 4.5.11.0 2008.07.28 -
Webwasher-Gateway 6.6.2 2008.07.28 -
weitere Informationen
File size: 17408 bytes
MD5...: 53c5e858475619a7e6366a209195b0c9
SHA1..: 4650c95643a434ed0c31b75e3d1e3a26d191ba1b
SHA256: 40242393b343dd2cd9ad6ed57f0f431e25deebae7dcad96fe51e167a1ee41fc5
SHA512: 15d79911a777b5e267a0a9250f25199e99ae8570bc8a19b0b12149573a07eab3
d54dcacaed72b4a942135e5bf6b7ac0045f10b91c5bdd97cb5cd320e7b41d948
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x42dcb199 (Tue Jul 19 07:54:01 2005)
machinetype.......: 0x14c (I386)

( 1 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3 0x200 0.06 fe0fff714a18c74e43afd2823fb5dbae

( 0 imports )

( 0 exports )





2 Datei:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.26.0 2008.07.28 -
AntiVir 7.8.1.12 2008.07.28 TR/Agent.49664.J
Authentium 5.1.0.4 2008.07.28 W32/Backdoor2.BIRB
Avast 4.8.1195.0 2008.07.28 -
AVG 8.0.0.130 2008.07.28 Generic_c.RR
BitDefender 7.2 2008.07.28 -
CAT-QuickHeal 9.50 2008.07.28 -
ClamAV 0.93.1 2008.07.28 -
DrWeb 4.44.0.09170 2008.07.28 -
eSafe 7.0.17.0 2008.07.28 -
eTrust-Vet 31.6.5983 2008.07.26 -
Ewido 4.0 2008.07.28 -
F-Prot 4.4.4.56 2008.07.28 W32/Backdoor2.BIRB
F-Secure 7.60.13501.0 2008.07.28 -
Fortinet 3.14.0.0 2008.07.26 -
GData 2.0.7306.1023 2008.07.28 -
Ikarus T3.1.1.34.0 2008.07.28 Trojan.Agent.49664.J
Kaspersky 7.0.0.125 2008.07.28 -
McAfee 5347 2008.07.25 -
Microsoft 1.3704 2008.07.28 -
NOD32v2 3303 2008.07.28 -
Norman 5.80.02 2008.07.28 -
Panda 9.0.0.4 2008.07.28 -
PCTools 4.4.2.0 2008.07.28 -
Prevx1 V2 2008.07.28 -
Rising 20.55.02.00 2008.07.28 -
Sophos 4.31.0 2008.07.28 -
Sunbelt 3.1.1536.1 2008.07.28 -
Symantec 10 2008.07.28 -
TheHacker 6.2.96.389 2008.07.25 Trojan/Downloader.Small.vwo
TrendMicro 8.700.0.1004 2008.07.28 -
VBA32 3.12.8.1 2008.07.28 -
ViRobot 2008.7.26.1311 2008.07.28 -
VirusBuster 4.5.11.0 2008.07.28 -
Webwasher-Gateway 6.6.2 2008.07.28 Trojan.Agent.49664.J
weitere Informationen
File size: 43008 bytes
MD5...: e00d91325ec75ffcd285b1a5b35e70ca
SHA1..: 86dd7b785f5f47f10da8097361d0fa33ac7d64b5
SHA256: cf415e7066583e2e9bd7f97531173efecde7ba2fb21a7092213b83bc02859b43
SHA512: 2ac848aacbf35622fd5a70b842934ba30604d0ab31affbde442ec1c9dcf64e80
88742f64d4cbdc0b0fdbcf4de6335f60f1f064d14fd5648cdcf2a2b7b32e32af
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401000
timedatestamp.....: 0x42dcb199 (Tue Jul 19 07:54:01 2005)
machinetype.......: 0x14c (I386)

( 1 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3 0x200 0.06 fe0fff714a18c74e43afd2823fb5dbae

( 0 imports )

( 0 exports )

MFG Earl
__________
MFG
Earl_Schappel

#13 0.
nimm den PowerReg Scheduler aus dem Autostart

1.
kopiere in den Avenger

Zitat

Files to delete:
C:\WINDOWS\system32\tftp.exe
C:\WINDOWS\system32\ftp.exe
Folders to delete:
C:\Programme\DaemonTools_WhenUSave_Installer
C:\Programme\DAEMON Tools

dann sollte wieder alles sauber sein....
scanne dann noch mal mit deinem Avast im abgesicherten Modus.
lösche vorher Avenger samt Backup

du kannst auch mit sdfix noch mal im abges.Modus nachscannen...sicherheitshalber....
__________
MfG Sabina

rund um die PC-Sicherheit

#14 So, also was ich merkwürdig finde ist das ich 2 Benutzerkonten als Admin habe, wenn ich in den Abgesicherten Modus gehe kann ich beide auswählen, das PW geschützte (Admin/Admin) kann ich öffnen, bei den 2ten Konto (Earl/Admin) hab ich kein PW drinne gehabt verlangt aber trotzdem eins!!??!!??!!

Ich kann das Konto auch nich im Abgesicherten Modus löschen und im Normalen Modus zeigt er das eigentlich Tatsächliche Admin Konto nicht mehr an!?

Mein Avast hängt sich im Abgesicherten Modus bei C:\Games\Comanche4 auf warum auch immer.

Aber hier hab ich den Report leider nicht im AGM von Hijacker:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:46:30, on 28.07.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [GamerOSD] C:\Program Files\ASUS\GamerOSD\GamerOSD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-1715567821-2000478354-725345543-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 4637 bytes

Sabina ich dank dir erstmal echt RIEßIG³ dafür das du mir soweit geholfen hast und das alles wieder läuft!!!
Ich denk das mit den Konto wird nur ein kleines Problem noch sein, bzw wenns nichts tragisches ist, is mir auch egal^^ Hauptsache es läuft.

MFG

Earl_Schappel
__________
MFG
Earl_Schappel

#15 Das mit dem versteckten admin konto das nur im abgesichertem modus zu sehen ist ist ganz normal für windows xp home.

Das 2 eigentlische earl/admin konto ist das stamm admin konto was du im normal modus auch siehst. das mit der pw abfrage im abgesichertem modus is ein kleiner xp bug. es kommt vor das man im normal modus das pw entfernt und im abgesichertem modus trotzdem danach gerfagt würd.

die schnellste lösung ist es dein konto noch einmal im normal modus mit einem pw
(zb. 1234 ) zu versehen danach im abgesicherten dich mit dem neuen pw (zb. 1234 ) anzumelden und im abgesicherten modus dann das pw zu deaktivieren.