Home » Spyware & Browser Hijacker Support Forum » AntiVirus 2009 ohne klares SYMPTOM » Themenansicht

AntiVirus 2009 ohne klares SYMPTOM
#0
16.08.2008, 22:14
riton
Member

Beiträge: 21
#1 Hallo,
Entschuldigung, ich möchte nicht das gleiche fragen.
Soll ich das gleiche machen, wie hier steht???:
[url]http://board.protecus.de/t34479.htm?highlight=antivirus+2009
aber was soll ich eintragen (Sabina, 2. Punkt- Avenger)

[/url]http://board.protecus.de/t34124.htm?highlight=antivirus+2009

Soll ich das alles surchziehen? Aber was fixen ;)

P.S. das war Antivirus 2009 installation (automatisch). Als ich das erkennen habe, habe ich internet Verbindung ausgeschaltet.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:07:27, on 16.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Apoint\Apoint.exe
C:\WINDOWS\system32\KADxMain.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Apoint\ApMsgFwd.exe
C:\Programme\Apoint\Apntex.exe
C:\Programme\Apoint\HidFind.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://update.microsoft.com/microsoftupdate
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint\Apoint.exe
O4 - HKLM\..\Run: [KADxMain] C:\WINDOWS\system32\KADxMain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\S-1-5-21-861567501-1078081533-839522115-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User '?')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User '?')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {01113300-3E00-11D2-8470-0060089874ED} (Support.com Configuration Class) - http://pccheckup.dellfix.com/sdccommon/download/tgctlcm.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1207053673718
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5361/mcfscan.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Programme\SigmaTel\C-Major Audio\WDM\StacSV.exe
O23 - Service: stllssvr - Unknown owner - C:\Programme\Gemeinsame Dateien\SureThing Shared\stllssvr.exe (file missing)
O23 - Service: NTRU TSS v1.2.1.12 TCS (tcsd_win32.exe) - Unknown owner - C:\Programme\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 10429 bytes
Seitenanfang Seitenende
16.08.2008, 22:18
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 Hallo riton

natürlich kein Avengerscript von anderen Usern anwenden...

Zitat

Als ich das erkennen habe, habe ich internet Verbindung ausgeschaltet.
Vielleicht hat sich ja nix installiert.....

«
mit cleaner die temporären Dateien löschen
http://www.ccleaner.de/?protecus.de

«
scanne mit Malwarebytes - alles gefundene entfernen lassen
http://virus-protect.org/artikel/tools/malwarebytes.html

«
arbeite Combofix ab und poste den report
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
16.08.2008, 23:55
riton
Member

Themenstarter

Beiträge: 21
#3 Hallo Sabina! VIELEN Dank für Ihre Hilfe!

Zitat

Vielleicht hat sich ja nix installiert.....
Hoffentlich. das war etwa bis 1/3 (Prozessindikator)

Ich habe alles gemacht. Da sind posts:

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1056
Windows 5.1.2600 Service Pack 3

23:28:29 16.08.2008
mbam-log-8-16-2008 (23-28-29).txt

Scan-Methode: Vollständiger Scan (C:\|E:\|)
Durchsuchte Objekte: 135549
Laufzeit: 42 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Vorher hatte ich:

Infizierte Dateien:
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Delete on reboot.

Infizierte Dateien:
C:\Programme\WinRAR\Default.sfx (Trojan.Downloader) -> Quarantined and deleted successfully.


ComboFix 08-08-15.04 - Lelya 2008-08-16 23:37:54.1 - NTFSx86

ausgeführt von:: C:\Dokumente und Einstellungen\Kalex\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\dude\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF
-------\Service_NPF


((((((((((((((((((((((( Dateien erstellt von 2008-07-16 bis 2008-08-16 ))))))))))))))))))))))))))))))
.

2008-08-16 18:26 . 2008-08-16 18:40 <DIR> d-------- C:\Programme\Spyware Doctor
2008-08-16 18:26 . 2008-08-16 18:26 <DIR> d-------- C:\Dokumente und Einstellungen\Kalex\Anwendungsdaten\PC Tools
2008-08-16 18:26 . 2008-08-16 22:44 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-08-16 18:26 . 2008-06-10 21:22 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-08-16 18:26 . 2008-06-02 15:19 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-08-16 18:26 . 2008-06-02 15:19 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-08-16 18:26 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-08-16 11:13 . 2008-08-16 11:13 <DIR> d-------- C:\hi
2008-08-16 11:01 . 2008-08-16 11:01 <DIR> d-------- C:\Dokumente und Einstellungen\dude\Anwendungsdaten\Malwarebytes
2008-08-15 18:35 . 2008-08-15 19:18 <DIR> d-------- C:\Programme\Runscaner
2008-08-15 17:58 . 2008-08-15 17:59 <DIR> d-------- C:\Programme\CCleaner
2008-08-15 15:34 . 2008-08-15 15:34 <DIR> d-------- C:\Dokumente und Einstellungen\Kalex\Anwendungsdaten\Malwarebytes
2008-08-15 15:34 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-15 15:34 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-15 15:33 . 2008-08-15 15:34 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-15 15:33 . 2008-08-15 15:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-15 02:02 . 2008-08-15 02:02 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-08-15 00:14 . 2008-08-16 15:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2008-08-15 00:13 . 2008-08-15 01:39 <DIR> d-------- C:\Programme\Security Task Manager
2008-08-13 22:16 . 2008-08-13 22:16 868,408 --a------ C:\WINDOWS\system32\Ecran_de_veille_CIO_Ete.scr
2008-08-13 13:31 . 2008-05-01 16:34 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-13 13:30 . 2008-04-11 21:04 691,712 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-11 22:09 . 2008-08-11 22:09 <DIR> d-------- C:\Programme\Apple Software Update
2008-08-11 22:09 . 2008-08-11 22:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2008-08-08 00:03 . 2008-08-11 22:09 <DIR> d-------- C:\Programme\Apple Software Update(2)
2008-08-04 13:29 . 2008-08-04 13:36 <DIR> d--hs---- C:\Dokumente und Einstellungen\Kalex\Phone Browser
2008-07-27 14:14 . 2008-03-10 16:29 <DIR> d--h----- C:\Dokumente und Einstellungen\dude\Vorlagen
2008-07-27 14:14 . 2008-03-10 16:24 <DIR> dr------- C:\Dokumente und Einstellungen\dude\Startmen
2008-07-27 14:14 . 2008-03-10 16:24 <DIR> d--h----- C:\Dokumente und Einstellungen\dude\Netzwerkumgebung
2008-07-27 14:14 . 2008-03-10 16:24 <DIR> d--h----- C:\Dokumente und Einstellungen\dude\Lokale Einstellungen
2008-07-27 14:14 . 2008-07-27 14:14 <DIR> dr------- C:\Dokumente und Einstellungen\dude\Favoriten
2008-07-27 14:14 . 2008-08-02 13:43 <DIR> dr------- C:\Dokumente und Einstellungen\dude\Eigene Dateien
2008-07-27 14:14 . 2008-03-10 16:24 <DIR> d--h----- C:\Dokumente und Einstellungen\dude\Druckumgebung
2008-07-27 14:14 . 2008-03-10 16:59 <DIR> d-------- C:\Dokumente und Einstellungen\dude\Anwendungsdaten\Intel
2008-07-27 14:14 . 2008-07-27 14:14 <DIR> d-------- C:\Dokumente und Einstellungen\dude\Anwendungsdaten\Dell
2008-07-27 14:14 . 2008-08-16 11:01 <DIR> dr-h----- C:\Dokumente und Einstellungen\dude\Anwendungsdaten
2008-07-27 14:14 . 2008-08-11 22:10 <DIR> d-------- C:\Dokumente und Einstellungen\dude
2008-07-27 08:36 . 2008-07-27 08:36 <DIR> d-------- C:\Dokumente und Einstellungen\Kalex\Anwendungsdaten\Toshiba
2008-07-26 22:42 . 2008-07-26 22:42 <DIR> d-------- C:\Programme\Motvik(web camera)
2008-07-26 09:37 . 2008-07-26 09:37 <DIR> d-------- C:\Programme\QIP Infium

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-16 21:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-08-15 20:54 --------- d-----w C:\Programme\Windows Live Safety Center
2008-08-15 06:32 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-08-14 16:54 --------- d-----w C:\Dokumente und Einstellungen\Kalex\Anwendungsdaten\Skype
2008-08-14 16:28 --------- d-----w C:\Dokumente und Einstellungen\Kalex\Anwendungsdaten\skypePM
2008-08-12 13:58 --------- d-----w C:\Programme\DSL Connection Manager
2008-08-11 20:25 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-08-08 20:58 5 ----a-w C:\WINDOWS\system32\drivers\DELL_LAT_D630.MRK
2008-08-08 20:58 5 ----a-w C:\WINDOWS\system32\drivers\1028_DELL_LAT_D630.MRK
2008-08-03 13:57 --------- d-----w C:\Programme\Borland
2008-07-11 20:39 --------- d-----w C:\Dokumente und Einstellungen\Kalex\Anwendungsdaten\Apple Computer
2008-07-11 20:27 --------- d-----w C:\Programme\QuickTime
2008-07-11 20:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-07-05 20:18 --------- d-----w C:\Dokumente und Einstellungen\Kalex\Anwendungsdaten\QIP
2008-06-30 21:21 --------- d-----w C:\Dokumente und Einstellungen\Kalex\Anwendungsdaten\Nokia Multimedia Player
2008-06-27 21:31 --------- d-----w C:\Dokumente und Einstellungen\Kalex\Anwendungsdaten\Thunderbird
2008-06-27 21:15 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-06-21 07:33 --------- d-----w C:\Programme\Nokia
2008-06-21 07:33 --------- d-----w C:\Programme\Gemeinsame Dateien\Nokia
2008-06-20 21:59 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2008-06-20 21:46 0 ---ha-w C:\WINDOWS\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf
2008-06-20 21:46 0 ---ha-w C:\WINDOWS\system32\drivers\Msft_Kernel_ccdcmb_01005.Wdf
2008-06-20 21:43 --------- d-----w C:\Programme\Gemeinsame Dateien\PCSuite
2008-06-20 11:51 361,600 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 11:40 138,496 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 11:08 225,856 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-02 14:47 1,394 ----a-w C:\Dokumente und Einstellungen\Kalex\Anwendungsdaten\WWB7_32.DAT
2008-03-31 17:03 32 ----a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-05-06 21:35 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008050620080507\index.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-30 14:45 1829712]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-28 20:05 8429568]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-28 20:05 81920]
"IntelZeroConfig"="C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-07-25 17:32 823296]
"IntelWireless"="C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-07-25 17:30 974848]
"Apoint"="C:\Programme\Apoint\Apoint.exe" [2007-01-25 18:34 159744]
"KADxMain"="C:\WINDOWS\system32\KADxMain.exe" [2006-11-02 15:05 282624]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 16:56 266497]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 10:50 413696]
"nwiz"="nwiz.exe" [2007-04-28 20:05 1626112 C:\WINDOWS\system32\nwiz.exe]
"NVHotkey"="nvHotkey.dll" [2007-04-28 20:05 67584 C:\WINDOWS\system32\nvhotkey.dll]
"SigmatelSysTrayApp"="stsystra.exe" [2007-02-19 15:26 303104 C:\WINDOWS\stsystra.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 04:22 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Bluetooth Manager.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Bluetooth Manager.lnk
backup=C:\WINDOWS\pss\Bluetooth Manager.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dell QuickSet]
--a------ 2007-02-20 12:29 1191936 C:\Programme\Dell\QuickSet\quickset.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 04:22 1695232 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 16:40 155648 C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Nortel Networks\\Extranet.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"20:TCP"= 20:TCP:o2 DSL FTP 20
"23:TCP"= 23:TCP:o2 DSL Telnet 23
"80:TCP"= 80:TCP:o2 DSL HTTP 80
"161:UDP"= 161:UDP:o2 DSL SNMP 161

R2 accsvc;AccSys WiFi Component;C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2006-05-09 10:52]
R3 Eacfilt;Eacfilt Miniport;C:\WINDOWS\system32\DRIVERS\eacfilt.sys [2006-04-27 15:30]
R3 IPSECSHM;Nortel IPSECSHM Adapter;C:\WINDOWS\system32\DRIVERS\ipsecw2k.sys [2006-04-27 15:30]
S3 DXEC01;DXEC01;C:\WINDOWS\system32\drivers\dxec01.sys [2006-11-02 13:32]
S3 IPSECEXT;Nortel Extranet Access Protocol;C:\WINDOWS\system32\DRIVERS\ipsecw2k.sys [2006-04-27 15:30]
S3 nmwcdnsu;Nokia USB Flashing Phone Parent;C:\WINDOWS\system32\drivers\nmwcdnsu.sys [2008-02-01 15:17]
S3 nmwcdnsuc;Nokia USB Flashing Generic;C:\WINDOWS\system32\drivers\nmwcdnsuc.sys [2008-02-01 15:17]
.
Inhalt des "geplante Tasks" Ordners

2008-08-13 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Kalex\Anwendungsdaten\Mozilla\Firefox\Profiles\szpy9uvv.default\
FF -: plugin - C:\Programme\Adobe\Acrobat 8.0\Acrobat\browser\nppdf32.dll
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - C:\Programme\Mozilla Firefox\plugins\npdjvu.dll


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-16 23:43:36
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...


**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\scardsvr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Dell\QuickSet\NicConfigSvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Intel\Wireless\Bin\WLKEEPER.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Apoint\ApMsgFwd.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\Apoint\hidfind.exe
C:\Programme\Apoint\ApntEx.exe
C:\Programme\Intel\Wireless\Bin\Dot1XCfg.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-08-16 23:46:11 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-08-16 21:45:08

Pre-Run: 9 Verzeichnis(se), 12,396,064,768 Bytes frei
Post-Run: 11 Verzeichnis(se), 12,297,105,408 Bytes frei

197 --- E O F --- 2008-07-08 18:00:12
Seitenanfang Seitenende
17.08.2008, 12:36
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 was ist das ?
2008-08-16 11:13 <DIR> d-------- C:\hi

ansonsten, es sollte alles wieder o.k. sein.. oder kommen noch Popups ?
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.08.2008, 13:25
riton
Member

Themenstarter

Beiträge: 21
#5 Hallo,
VIELEN DANK!!!

Jetzt habe ich neue Verknüpfungen auf Desktop ;)??? : IE, Netzwerkverbindung und kein Sound

Zitat

2008-08-16 11:13 <DIR> d-------- C:\hi
HijackThis hat das vielleicht erzeugt. Da steckt sich nur log file(Erstellt gestern).

Soll ich mir Sorge machen? über:
1. Durchsuchung =>
Infizierte Dateien:
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Delete on reboot.

Dann 2. Durchsuchung =>
Infizierte Dateien:
C:\Programme\WinRAR\Default.sfx (Trojan.Downloader) -> Quarantined and deleted successfully.

;)((

Ich hatte keine Popups, kein richtiges Symptom ;)( ???

Wie hier steht:
http://www.windowsvistaplace.com/antivirus2009-antivirus-2009-removal-instructions/spyware-removal
http://www.beepworld.de/cgi-bin/forum_de/f18/antivirus-2009-a-211905-2.html

Aber nach der Infizierung (oder hoffentlich doch nicht) hatte ich:

Zitat

Ereigniskennung 63
Beschreibung: Ein Anbieter, OffProv11, wurde im WMI-Namespace, Root\MSAPPS11, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden.

ereigniskennung 40: WMI-ADAP konnte das Objekt "Win32_PerfRawData_ASPNET_2050727_ASPNETAppsv20507 27" für Leistungsbibliothek "ASP.NET_2.0.50727" nicht erstellen, weil Fehler "0x80041001" zurückgegeben wurde.

ereigniskennung 35 : WMI-ADAP konnte die Leistungsbibliothek ASP.NET_2.0.50727 aufgrund von ungültigen zurückgegebenen Daten nicht laden: 0x0

Soll ich jetzt mein System wiederherstellen?

DANKE!!!!!
Dieser Beitrag wurde am 17.08.2008 um 15:07 Uhr von riton editiert.
Seitenanfang Seitenende
17.08.2008, 16:51
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 Hallo riton

am besten, die Soundtreiber wieder installieren, Combofix hat die rausgeholt.
Dann sollte wieder alles funktionieren

du kannst auch eine Systemwiederherstellung machen, oder ein sauberes Backup einspielen.

-----------------------

Antivirus2009
http://virus-protect.org/artikel/spyware/antivirus2009-remove.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
17.08.2008, 18:09
riton
Member

Themenstarter

Beiträge: 21
#7 Hallo Sabina!
VIELEN DANKKKK!!!!!!!!!!!!!
SUPER LEISTUNG!!!!!! Du rettest mich!
Das wars! a-a-a-a ;) Danke!

Sorry(Wdh), kannst du bitte sagen...

Soll ich mir Sorge machen? über:
1. Durchsuchung =>
Infizierte Dateien:
C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Delete on reboot.

Dann 2. Durchsuchung =>
Infizierte Dateien:
C:\Programme\WinRAR\Default.sfx (Trojan.Downloader) -> Quarantined and deleted successfully.

Danke! Forum ist toll!
Seitenanfang Seitenende
17.08.2008, 23:49
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 beides, was Combofix da rausgeholt hat... sind beides Dateien, wo ich nicht sicher bin, ob es denn wirklich Malware ist.
wegen der entfernten sys hat ja dein Sound nicht mehr funktioniert.
Man müsste mal mit den Machern von Combofix drüber diskutieren.......
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
18.08.2008, 11:21
riton
Member

Themenstarter

Beiträge: 21
#9 Das hat Malwarebytes rausgeholt. aber win rar funktioniert trotzdem ???...

Vielen DANK!!!!!!!!

Mfg riton
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1