admin rechte weg und virus alert

#0
07.09.2008, 22:13
...neu hier

Beiträge: 10
#1 Hallo erstmal!
habe folgendes prob:
hatte bis donnerstag McAfee als av genutzt und mich mit diversen malware und viren etc infiziert(virusalert und div.trojaner etc).
hab nun kaspersky installt und laufen lassen nebenbei mit adaware gescant.
virus alert war immer noch da und ich nehme an daran liegt es auch das mine wga prüfung immer abgebrochen wird.
meine admin rechre sind ebenfalls weg ich habe keinen systemsteuerungs eintrag mehr im startmenü .....
hab mal eure anleitung für neue threads abgearbeitet im zuge dessen war nach mbam der eintrag virusalert neben der uhr weg.
na ja hier mal die ganzen log dateien.

Malwarebytes' Anti-Malware 1.26
Datenbank Version: 1125
Windows 5.1.2600 Service Pack 3

07.09.2008 20:41:50
mbam-log-2008-09-07 (20-41-50).txt

Scan-Methode: Vollständiger Scan (H:\|)
Durchsuchte Objekte: 124976
Laufzeit: 27 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 14
Infizierte Verzeichnisse: 8
Infizierte Dateien: 16

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\gksraemq.bswm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\gksraemq.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Adsl Software Ltd (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\dgksvbpn (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\xrdwbfgn (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (55375-640-1183447-23084) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
H:\Programme\PCHealthCenter (Trojan.Fakealert) -> Quarantined and deleted successfully.
H:\Programme\VAV (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd\WinSpywareProtect (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd\WinSpywareProtect\BASE (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd\WinSpywareProtect\DELETED (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd\WinSpywareProtect\LOG (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd\WinSpywareProtect\SAVED (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
H:\Programme\PCHealthCenter\0.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
H:\Programme\PCHealthCenter\1.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
H:\Programme\PCHealthCenter\2.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
H:\Programme\PCHealthCenter\3.gif (Trojan.Fakealert) -> Quarantined and deleted successfully.
H:\Programme\PCHealthCenter\sc.html (Trojan.Fakealert) -> Quarantined and deleted successfully.
H:\Programme\PCHealthCenter\Thumbs.db (Trojan.Fakealert) -> Quarantined and deleted successfully.
H:\Programme\VAV\vav0.dat (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully.
H:\Programme\VAV\vav1.dat (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd\WinSpywareProtect\LOG\20080623095659562.log (Rogue.Multiple) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Quarantined and deleted successfully.
H:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\little32\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\little32\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.
H:\Dokumente und Einstellungen\little32\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.
---------------------------------------------------------------------------------------------------------------
ComboFix 08-09-05.03 - little32 2008-09-07 21:01:46.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.1180 [GMT 2:00]
ausgeführt von:: H:\Dokumente und Einstellungen\little32\Desktop\downloads und saves\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.
ADS - system32: deleted 483330 bytes in 1 streams.

((((((((((((((((((((((( Dateien erstellt von 2008-08-07 bis 2008-09-07 ))))))))))))))))))))))))))))))
.

2008-09-07 20:07 . 2008-09-07 20:41 <DIR> d-------- H:\Programme\Malwarebytes' Anti-Malware
2008-09-07 20:07 . 2008-09-07 20:07 <DIR> d-------- H:\Dokumente und Einstellungen\little32\Anwendungsdaten\Malwarebytes
2008-09-07 20:07 . 2008-09-07 20:07 <DIR> d-------- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-07 20:07 . 2008-09-02 00:16 38,528 --a------ H:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-07 20:07 . 2008-09-02 00:16 17,200 --a------ H:\WINDOWS\system32\drivers\mbam.sys
2008-09-07 20:05 . 2008-09-07 20:05 <DIR> d-------- H:\Programme\CCleaner
2008-09-06 23:38 . 2008-09-06 23:46 96,976 --a------ H:\WINDOWS\system32\drivers\klin.dat
2008-09-06 23:38 . 2008-09-06 23:38 87,855 --a------ H:\WINDOWS\system32\drivers\klick.dat
2008-09-06 23:37 . 2008-09-06 23:37 <DIR> d-------- H:\Programme\Kaspersky Lab
2008-09-06 23:37 . 2008-09-07 21:08 <DIR> d-------- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-09-06 23:37 . 2008-09-07 21:04 2,903,072 --ahs---- H:\WINDOWS\system32\drivers\fidbox.dat
2008-09-06 23:37 . 2008-09-07 21:08 229,408 --ahs---- H:\WINDOWS\system32\drivers\fidbox2.dat
2008-09-06 23:37 . 2008-09-07 21:04 23,760 --ahs---- H:\WINDOWS\system32\drivers\fidbox.idx
2008-09-06 23:37 . 2008-09-07 21:08 1,864 --ahs---- H:\WINDOWS\system32\drivers\fidbox2.idx
2008-09-06 23:26 . 2008-09-06 23:26 <DIR> d-------- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-09-06 22:12 . 2008-09-06 22:12 <DIR> d-------- H:\Dokumente und Einstellungen\little32\Anwendungsdaten\Symantec
2008-09-06 22:09 . 2008-09-06 23:30 <DIR> d-------- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-09-06 21:51 . 2008-09-06 21:56 46,640 --a------ H:\WINDOWS\system32\msln.exe
2008-09-06 21:46 . 2008-09-06 23:35 <DIR> d-------- H:\Programme\Gemeinsame Dateien\Symantec Shared
2008-09-02 23:15 . 2008-09-04 21:44 <DIR> d-------- H:\Programme\PFConfig
2008-09-02 21:18 . 2008-09-02 21:18 <DIR> d-------- H:\Programme\Creative
2008-09-02 21:18 . 2003-06-12 23:25 7,062 --a------ H:\WINDOWS\system32\audiopid.vxd
2008-08-31 01:54 . 2008-09-03 19:34 <DIR> d-------- H:\Programme\Uniblue
2008-08-31 01:54 . 2008-09-04 21:59 <DIR> d-------- H:\Dokumente und Einstellungen\little32\Anwendungsdaten\Uniblue
2008-08-31 01:54 . 2008-09-04 21:59 <DIR> d-------- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DriverScanner
2008-08-31 01:51 . 2008-08-31 01:54 <DIR> d--h-c--- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\{5A76C6B3-3FA8-46D0-AA81-62C3805E38BC}
2008-08-18 22:37 . 2008-08-18 22:37 <DIR> d-------- H:\Programme\MSXML 4.0
2008-08-17 19:54 . 2008-08-17 19:54 <DIR> d-------- H:\Programme\TerraTec
2008-08-17 19:54 . 2008-08-17 19:54 <DIR> d-------- H:\Programme\Gemeinsame Dateien\TerraTec
2008-08-17 19:54 . 2008-08-17 19:54 <DIR> d-------- H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TerraTec
2008-08-17 19:48 . 2008-04-14 04:22 363,520 --a------ H:\WINDOWS\system32\PsisDecd.dll
2008-08-17 19:46 . 2008-08-17 20:44 <DIR> d-------- H:\TerraTec
2008-08-17 19:43 . 2008-08-17 19:43 <DIR> d-------- H:\Dokumente und Einstellungen\little32\Anwendungsdaten\TerraTec
2008-08-17 16:37 . 2008-04-13 20:45 17,152 --a------ H:\WINDOWS\system32\drivers\usbohci.sys
2008-08-17 16:37 . 2008-04-13 20:45 17,152 --a--c--- H:\WINDOWS\system32\dllcache\usbohci.sys
2008-08-16 21:23 . 2008-08-16 21:24 <DIR> d-------- H:\Programme\Intel
2008-08-16 21:23 . 2008-07-18 15:02 248,344 --a------ H:\WINDOWS\system32\PROUnstl.exe
2008-08-16 21:23 . 2006-01-12 14:52 1,904 --------- H:\WINDOWS\system32\SetupBD.din
2008-08-16 21:22 . 2008-08-16 21:22 <DIR> d-------- H:\LAN_allOS_13.1.1_PV_Intel_170798
2008-08-16 20:28 . 2008-04-13 20:45 32,128 --a------ H:\WINDOWS\system32\drivers\usbccgp.sys
2008-08-16 20:28 . 2008-04-13 20:45 32,128 --a--c--- H:\WINDOWS\system32\dllcache\usbccgp.sys
2008-08-16 20:28 . 2008-04-14 04:22 21,504 --a------ H:\WINDOWS\system32\hidserv.dll
2008-08-16 20:28 . 2008-04-14 04:22 21,504 --a--c--- H:\WINDOWS\system32\dllcache\hidserv.dll
2008-08-16 20:28 . 2008-04-14 03:58 14,720 --a------ H:\WINDOWS\system32\drivers\kbdhid.sys
2008-08-16 20:28 . 2008-04-14 03:58 14,720 --a--c--- H:\WINDOWS\system32\dllcache\kbdhid.sys
2008-08-15 20:20 . 2008-08-15 20:20 <DIR> d-------- H:\Dokumente und Einstellungen\little32\Profiles
2008-08-15 20:20 . 2008-08-15 20:20 <DIR> d-------- H:\Dokumente und Einstellungen\little32\data
2008-08-15 20:16 . 2008-08-15 20:16 271,360 --a------ H:\WINDOWS\system32\drivers\atksgt.sys
2008-08-15 20:16 . 2008-08-15 20:16 18,048 --a------ H:\WINDOWS\system32\drivers\lirsgt.sys
2008-08-15 20:12 . 2008-08-17 22:13 <DIR> d-------- H:\Programme\Anno 1701
2008-08-14 09:14 . 2008-08-14 09:14 <DIR> d-------- H:\Programme\Verimount
2008-08-14 09:14 . 2008-08-14 09:14 <DIR> d-------- H:\Dokumente und Einstellungen\little32\Anwendungsdaten\Verimount
2008-08-12 20:58 . 2008-05-01 16:34 331,776 -----c--- H:\WINDOWS\system32\dllcache\msadce.dll
2008-08-12 20:57 . 2008-04-11 21:04 691,712 -----c--- H:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-07 23:43 . 2008-08-07 23:43 98,304 --a------ H:\WINDOWS\system32CmdLineExt.dll
2008-08-07 18:24 . 2002-05-22 09:40 7,552 -ra------ H:\WINDOWS\system32\drivers\hpusbfd.sys
2008-08-07 18:16 . 1998-10-29 16:45 306,688 --a------ H:\WINDOWS\IsUninst.exe
2008-08-07 17:31 . 2008-08-07 17:31 <DIR> d-------- H:\Programme\Hewlett-Packard
2008-08-07 17:31 . 2008-08-07 17:31 <DIR> d-------- H:\Dokumente und Einstellungen\little32\WINDOWS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-06 19:44 --------- d-----w H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\McAfee
2008-09-06 19:32 --------- d-----w H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SiteAdvisor
2008-09-04 19:44 --------- d-----w H:\Programme\TuneUp Utilities 2008
2008-09-04 19:44 --------- d-----w H:\Dokumente und Einstellungen\little32\Anwendungsdaten\uTorrent
2008-09-03 17:50 --------- d-----w H:\Programme\Age of Conan - TestLive
2008-08-17 17:54 --------- d--h--w H:\Programme\InstallShield Installation Information
2008-08-12 23:13 --------- d-----w H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-08-03 17:44 717,296 ----a-w H:\WINDOWS\system32\drivers\sptd.sys
2008-08-03 17:44 --------- d-----w H:\Dokumente und Einstellungen\little32\Anwendungsdaten\DAEMON Tools
2008-08-02 08:08 --------- d-----w H:\Programme\ANNO 1503
2008-08-02 07:59 --------- d-----w H:\Programme\Gemeinsame Dateien\InstallShield
2008-07-31 19:25 --------- d-----w H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Firefly Studios
2008-07-30 18:58 --------- d-----w H:\Programme\FotoWorks
2008-07-30 18:23 --------- d-----w H:\Programme\Firefly Studios
2008-07-30 17:48 --------- d-----w H:\Programme\Java
2008-07-29 21:41 --------- d-----w H:\Programme\Zylom Games
2008-07-29 20:33 --------- d-----w H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\HipSoft
2008-07-29 18:20 24,774 ----a-w H:\WINDOWS\system32\drivers\klopp.dat
2008-07-28 11:28 --------- d-----w H:\Programme\mresreg
2008-07-23 19:11 --------- d-----w H:\Dokumente und Einstellungen\little32\Anwendungsdaten\teamspeak2
2008-07-21 16:34 121,872 ----a-w H:\WINDOWS\system32\drivers\kl1.sys
2008-07-20 02:34 --------- d-----w H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-07-17 08:24 --------- d-----w H:\Dokumente und Einstellungen\little32\Anwendungsdaten\Mount&Blade
2008-07-17 07:04 --------- d-----w H:\Programme\Mount&Blade
2008-07-15 12:02 --------- d-----w H:\Programme\SystemRequirementsLab
2008-06-23 07:57 0 ----a-w H:\Programme\uninstall.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="H:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"NBJ"="H:\Programme\Ahead\Nero BackItUp\nbj.exe" [2005-01-04 1937408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="H:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"NeroFilterCheck"="H:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"Adobe Reader Speed Launcher"="H:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NvCplDaemon"="H:\WINDOWS\system32\NvCpl.dll" [2008-05-02 13529088]
"NvMediaCenter"="H:\WINDOWS\system32\NvMcTray.dll" [2008-05-02 86016]
"SunJavaUpdateSched"="H:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"AVP"="H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" [2008-07-29 206088]
"nwiz"="nwiz.exe" [2008-05-02 H:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="H:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MaxRecentDocs"= 6 (0x6)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="H:\\WINDOWS\\system32\\logonui.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Lamp]
--a------ 2001-04-27 11:00 53248 H:\Programme\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\HPLamp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 04:22 1695232 H:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"H:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"H:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"H:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"H:\\Programme\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe"=
"H:\\Programme\\uTorrent\\uTorrent.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"H:\\Programme\\Anno 1701\\Anno1701.exe"=
"H:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrHelper.exe"=
"H:\\Programme\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"=
"H:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=
"H:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrUpdate\\CinergyDVRUp_Date.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"48865:UDP"= 48865:UDP:*;)isabled:utor1
"48865:TCP"= 48865:TCP:*;)isabled:utor1

R0 klbg;Kaspersky Lab Boot Guard Driver;H:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]
R2 UxTuneUp;TuneUp Designerweiterung;H:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R3 AF05BDA;Cinergy T USB XE service;H:\WINDOWS\system32\DRIVERS\AF05BDA.sys [2006-12-05 117376]
R3 hpusbfd;Hewlett-Packard USB Filter Class;H:\WINDOWS\system32\DRIVERS\hpusbfd.sys [2002-05-22 7552]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;H:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
S3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;H:\WINDOWS\system32\DRIVERS\wg111v3.sys [2007-04-23 224896]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;H:\WINDOWS\System32\TuneUpDefragService.exe [2008-08-22 361216]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1fe0c82c-5c97-11dd-83bc-001b2fc69dc0}]
\Shell\AutoRun\command - J:\LaunchU3.exe -a

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9281A4FC-C581-3449-5FA6-456C6F7B9079}]
H:\WINDOWS\system32:winsock32.exe
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseintr„ge - - - -

HKCU-Run-DAEMON Tools Lite - I:\Programme\DAEMON Tools Lite\daemon.exe
MSConfigStartUp-Uniblue RegistryBooster 2 - H:\Programme\Uniblue\ps\RegistryBooster 2\RegistryBooster.exe
MSConfigStartUp-WinSpywareProtect - H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd\WinSpywareProtect\winspywareprotect.exe


.
------- Zus„tzlicher Scan -------
.
FireFox -: Profile - H:\Dokumente und Einstellungen\little32\Anwendungsdaten\Mozilla\Firefox\Profiles\0k1ptv3i.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.at/ig
FF -: plugin - H:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF -: plugin - H:\Programme\Mozilla Firefox\plugins\npOGAPlugin.dll
FF -: plugin - H:\Programme\Mozilla Firefox\plugins\npzylomgamesplayer.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-07 21:08:53
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere, laufende Prozesse ------------------------
.
H:\Programme\Lavasoft\Ad-Aware\aawservice.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\WINDOWS\system32\rundll32.exe
H:\Programme\NETGEAR\WG111v3\WG111v3.exe
H:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-09-07 21:16:44 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-09-07 19:11:40

Pre-Run: 8 Verzeichnis(se), 37,644,881,920 Bytes frei
Post-Run: 13 Verzeichnis(se), 37,941,616,640 Bytes frei

206 --- E O F --- 2008-08-18 20:37:11
--------------------------------------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:59:21, on 07.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\Programme\Lavasoft\Ad-Aware\aawservice.exe
H:\WINDOWS\system32\spoolsv.exe
H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
H:\WINDOWS\system32\nvsvc32.exe
H:\WINDOWS\System32\svchost.exe
H:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
H:\WINDOWS\system32\RUNDLL32.EXE
H:\Programme\Java\jre1.6.0_07\bin\jusched.exe
H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
H:\WINDOWS\system32\ctfmon.exe
H:\WINDOWS\explorer.exe
H:\WINDOWS\system32\notepad.exe
H:\Programme\Mozilla Firefox\firefox.exe
H:\Dokumente und Einstellungen\little32\Desktop\downloads und saves\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - H:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - H:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [GrooveMonitor] "H:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "H:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "H:\Programme\Ahead\Nero BackItUp\nbj.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG111v3 Smart Wizard.lnk = H:\Programme\NETGEAR\WG111v3\WG111v3.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15105/CTPID.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - H:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - H:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5743 bytes
------------------------------------------------------------------------------------------
07.09.2008 21:08 182.038 nvapps.xml
07.09.2008 21:08 2.206 wpa.dbl
06.09.2008 21:56 46.640 msln.exe
22.08.2008 16:22 361.216 TuneUpDefragService.exe
16.08.2008 21:24 404.104 perfh009.dat
16.08.2008 21:24 76.204 perfc007.dat
16.08.2008 21:24 63.324 perfc009.dat
16.08.2008 21:24 419.310 perfh007.dat
16.08.2008 21:24 974.850 PerfStringBackup.INI
13.08.2008 01:11 359.250 TZLog.log
05.08.2008 20:11 15.888.504 MRT.exe
03.08.2008 21:39 98.304 CmdLineExt.dll
30.07.2008 19:48 6.944 jupdate-1.6.0_07-b06.log
29.07.2008 20:21 218.376 klogon.dll
18.07.2008 15:02 248.344 PROUnstl.exe
11.07.2008 14:42 62.976 tzchange.exe
07.07.2008 22:26 253.952 es.dll
02.07.2008 23:49 6.684 jupdate-1.6.0_06-b02.log
24.06.2008 18:42 74.240 mscms.dll
24.06.2008 10:14 3.592.192 mshtml.dll
23.06.2008 18:14 826.368 wininet.dll
23.06.2008 18:14 1.159.680 urlmon.dll
23.06.2008 18:14 233.472 webcheck.dll
23.06.2008 18:14 477.696 mshtmled.dll
23.06.2008 18:14 102.912 occache.dll
23.06.2008 18:14 193.024 msrating.dll
23.06.2008 18:14 671.232 mstime.dll
23.06.2008 18:14 105.984 url.dll
23.06.2008 18:14 44.544 pngfilt.dll
23.06.2008 18:14 459.264 msfeeds.dll
23.06.2008 18:14 1.831.424 inetcpl.cpl
23.06.2008 18:14 27.648 jsproxy.dll
23.06.2008 18:14 52.224 msfeedsbs.dll
23.06.2008 18:14 267.776 iertutil.dll
23.06.2008 18:14 6.066.176 ieframe.dll
23.06.2008 18:14 44.544 iernonce.dll
23.06.2008 18:14 384.512 iedkcs32.dll
23.06.2008 18:14 383.488 ieapfltr.dll
23.06.2008 18:14 347.136 dxtmsft.dll
23.06.2008 18:14 153.088 ieakeng.dll
23.06.2008 18:14 63.488 icardie.dll
23.06.2008 18:14 133.120 extmgr.dll
23.06.2008 18:14 214.528 dxtrans.dll
23.06.2008 18:14 230.400 ieaksie.dll
23.06.2008 18:14 124.928 advpack.dll
23.06.2008 11:20 13.824 ieudinit.exe
23.06.2008 11:20 70.656 ie4uinit.exe
23.06.2008 08:27 13.312 BASSMOD.dll
21.06.2008 07:23 161.792 ieakui.dll
20.06.2008 19:46 147.968 dnsapi.dll
20.06.2008 19:46 247.296 mswsock.dll
16.06.2008 21:28 265.416 FNTCACHE.DAT
16.06.2008 15:59 180.224 Ncs2Setp.dll
13.06.2008 16:51 1.350.192 ncscolib.dll
13.06.2008 16:39 2.287.616 TUKernel.exe
13.06.2008 16:35 90 spupdwxp.log
11.06.2008 18:27 262.144 wrap_oal.dll
11.06.2008 18:27 86.016 OpenAL32.dll
10.06.2008 10:02 34.064 lhacm.acm
10.06.2008 02:32 73.728 javacpl.cpl
10.06.2008 02:32 139.264 javaws.exe
10.06.2008 01:21 135.168 javaw.exe
10.06.2008 01:21 135.168 java.exe
09.06.2008 17:40 23.392 nscompat.tlb
09.06.2008 17:40 16.832 amcompat.tlb
09.06.2008 16:11 0 h323log.txt
09.06.2008 15:40 145.968 ncs2instutility.dll
09.06.2008 15:30 984 d3d8caps.dat
09.06.2008 15:17 25.065 wmpscheme.xml
09.06.2008 15:15 261 $winnt$.inf
09.06.2008 15:13 488 WindowsLogon.manifest
09.06.2008 15:13 488 logonui.exe.manifest
09.06.2008 15:13 749 wuaucpl.cpl.manifest
09.06.2008 15:13 749 ncpa.cpl.manifest
09.06.2008 15:13 749 nwc.cpl.manifest
09.06.2008 15:13 749 sapi.cpl.manifest
09.06.2008 15:13 749 cdplayer.exe.manifest
09.06.2008 15:12 21.740 emptyregdb.dat
09.06.2008 10:13 604.720 ncs2dmix.dll
09.06.2008 10:12 473.648 accesor.dll
29.05.2008 09:28 28.416 uxtuneup.dll
16.05.2008 11:58 12.632 lsdelete.exe
10.05.2008 01:24 135.168 wshom.ocx
09.05.2008 12:54 180.224 scrobj.dll
09.05.2008 12:54 430.080 vbscript.dll
09.05.2008 12:54 172.032 scrrun.dll
09.05.2008 12:54 90.112 wshext.dll
09.05.2008 12:54 512.000 jscript.dll
08.05.2008 13:24 155.648 wscript.exe
07.05.2008 11:07 135.168 cscript.exe
07.05.2008 07:10 1.293.824 quartz.dll
-----------------------------------------------------------------------------------------------------
Soweit also zu den logfiles!
mein prob ist nun,wie bekomm ich mein system nochmal sauber ohne neu aufzusetzen!?bzw wie komm ich wieder an meine admin rechte um die systemsteuerung wieder öffnen zukönnen und progs zu de-/installen,
ich hab eure anleitung zum beseitigen von virusalert zwar schon gesehen wollte aber vorerst wissen was ich sonst noch alles zu tun habe(ja ich bin ein DAU ;) )
und wie anfangs erwähnt ist der eintrag virusalert in der taskleiste ja nun nach mbam verschwunden.
nebenbei sei erwähnt das ich mit den logfiles nix anfangen kann (sagt mir alles nix),sprich ich hab keine ahnung was mit meinen sys unterumständen noch alles nicht stimmt!

Ich danke schonmal im voraus für eure hilfe!
mfg little32
Seitenanfang Seitenende
07.09.2008, 22:29
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Virustotal
Prüfe mal diese Datei(en) bei Virustotal http://www.virustotal.com/flash/index_en.html

Zitat

H:\WINDOWS\system32\msln.exe
Note: Wenn bei ViruTotal die Meldung kommt ” Die Datei wurde bereits analysiert “wähle „Analysiere die Datei“
Und Berichte

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst
__________
MfG Argus
Seitenanfang Seitenende
07.09.2008, 22:57
...neu hier

Themenstarter

Beiträge: 10
#3 he danke fürdie schnelle antwort hatte mich auf ein paar tage eingestellt ;)
nun hier das was mir virustotal zur datei gesagt hat!
und sry im hjt log kann ich H:\WINDOWS\system32\msln.exe nicht finden!
oder hab ich was falsch verstanden?

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.6.0 2008.09.07 -
AntiVir 7.8.1.28 2008.09.07 -
Authentium 5.1.0.4 2008.09.07 -
Avast 4.8.1195.0 2008.09.07 -
AVG 8.0.0.161 2008.09.07 -
BitDefender 7.2 2008.09.07 -
CAT-QuickHeal 9.50 2008.09.06 -
ClamAV 0.93.1 2008.09.07 -
DrWeb 4.44.0.09170 2008.09.07 -
eSafe 7.0.17.0 2008.09.07 -
eTrust-Vet 31.6.6072 2008.09.05 -
Ewido 4.0 2008.09.07 -
F-Prot 4.4.4.56 2008.09.07 -
F-Secure 8.0.14332.0 2008.09.07 -
Fortinet 3.112.0.0 2008.09.07 -
GData 19 2008.09.07 -
Ikarus T3.1.1.34.0 2008.09.07 -
K7AntiVirus 7.10.443 2008.09.05 -
Kaspersky 7.0.0.125 2008.09.07 -
McAfee 5378 2008.09.05 -
Microsoft 1.3903 2008.09.07 -
NOD32v2 3424 2008.09.07 -
Norman 5.80.02 2008.09.05 -
Panda 9.0.0.4 2008.09.07 -
PCTools 4.4.2.0 2008.09.07 -
Prevx1 V2 2008.09.07 -
Rising 20.60.62.00 2008.09.07 -
Sophos 4.33.0 2008.09.07 -
Sunbelt 3.1.1616.1 2008.09.07 -
Symantec 10 2008.09.07 -
TheHacker 6.3.0.8.075 2008.09.06 -
TrendMicro 8.700.0.1004 2008.09.05 -
VBA32 3.12.8.5 2008.09.07 -
ViRobot 2008.9.5.1365 2008.09.06 -
VirusBuster 4.5.11.0 2008.09.07 -
Webwasher-Gateway 6.6.2 2008.09.07 -
weitere Informationen
File size: 46640 bytes
MD5...: 2d6b7efda9d4a44c7c5bdfe8d0bbc839
SHA1..: bb8b5a4496d3c5e614b15fa612566c9ef788c156
SHA256: 0b1e1bb34eb6fc2c1e3f6176b20b72bde45a0e2bea9ea9342cf8d3e57289e7dd
SHA512: 146b38e0a323e52f32b8036c8c5df998c0da892c13f5c4b6a75c779875e34588
5077ddbc58cab770721d25e0d54e3846c71edba7f878c1e30b95c5c607794789
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (87.2%)
Win32 Executable Generic (8.6%)
Generic Win/DOS Executable (2.0%)
DOS Executable Generic (2.0%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10026c8
timedatestamp.....: 0x46a95727 (Fri Jul 27 02:23:35 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8a20 0x8c00 6.29 a5a9c3c6e77936ff1f8328a652784d4b
.data 0xa000 0x40 0x200 0.60 e8e030083a6aa6ced28939e09efb4142
.rsrc 0xb000 0x3b0 0x400 3.10 55150d77d0d260880d388afd30d91b94
.reloc 0xc000 0x534 0x600 4.61 8f3fc76e0db2af82a10d8247b80a2360

( 1 imports )
> ntdll.dll: NtQuerySystemTime, NtTerminateProcess, NtLoadDriver, RtlInitUnicodeString, NtDisplayString, NtAllocateVirtualMemory, NtFreeVirtualMemory, NtShutdownSystem, NtAdjustPrivilegesToken, NtOpenProcessToken, memset, memcpy, swprintf, wcsncpy, _itow, _i64tow, ZwSetValueKey, ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryValueKey, RtlEqualUnicodeString, ZwOpenKey, NtClose, RtlWriteRegistryValue, ZwDeleteKey, ZwDeleteValueKey, NtFsControlFile, NtReadFile, _allmul, NtFlushBuffersFile, NtWriteFile, NtUnloadDriver, NtOpenFile, _aulldiv, _allshl, _aullshr, RtlGetVersion, NtCreateFile

( 0 exports )
Dieser Beitrag wurde am 07.09.2008 um 23:11 Uhr von little32 editiert.
Seitenanfang Seitenende
07.09.2008, 23:07
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Um ein Rootkit auszuschliessen:
SDFix
Download SDFix zum Desktop

Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt ” der jetzt auf dein Desktop steht in diesen Thread
__________
MfG Argus
Seitenanfang Seitenende
07.09.2008, 23:37
...neu hier

Themenstarter

Beiträge: 10
#5 so hoffe das ist was du meintest ;)

SDFix: Version 1.222
Run by little32 on 07.09.2008 at 23:24

Microsoft Windows XP [Version 5.1.2600]
Running From: H:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-07 23:33:55
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="i:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:7b,2c,e7,99,05,b7,0a,a3,1b,10,14,92,11,32,12,83,4c,dc,88,38,10,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,02,b3,9e,fd,ba,0f,f4,45,9e,48,71,4f,22,88,1b,57,b4,..
"khjeh"=hex:a6,68,15,31,85,17,4b,70,9e,c4,f3,eb,44,68,74,96,c6,86,af,76,f2,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:66,e8,6c,4c,34,f4,9a,05,dc,fd,75,77,d9,4f,76,0b,0c,16,ed,79,ad,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:66,e8,6c,4c,34,f4,9a,05,dc,fd,75,77,d9,4f,76,0b,0c,16,ed,79,ad,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:66,e8,6c,4c,34,f4,9a,05,dc,fd,75,77,d9,4f,76,0b,0c,16,ed,79,ad,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:66,e8,6c,4c,34,f4,9a,05,dc,fd,75,77,d9,4f,76,0b,0c,16,ed,79,ad,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="i:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:7b,2c,e7,99,05,b7,0a,a3,1b,10,14,92,11,32,12,83,4c,dc,88,38,10,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,02,b3,9e,fd,ba,0f,f4,45,9e,48,71,4f,22,88,1b,57,b4,..
"khjeh"=hex:a6,68,15,31,85,17,4b,70,9e,c4,f3,eb,44,68,74,96,c6,86,af,76,f2,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:66,e8,6c,4c,34,f4,9a,05,dc,fd,75,77,d9,4f,76,0b,0c,16,ed,79,ad,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:66,e8,6c,4c,34,f4,9a,05,dc,fd,75,77,d9,4f,76,0b,0c,16,ed,79,ad,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:66,e8,6c,4c,34,f4,9a,05,dc,fd,75,77,d9,4f,76,0b,0c,16,ed,79,ad,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:66,e8,6c,4c,34,f4,9a,05,dc,fd,75,77,d9,4f,76,0b,0c,16,ed,79,ad,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000054
"TracesSuccessful"=dword:00000002
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{62265907-3E44-0A93-4F0D-BCE9AF11ED4A}]
"abjimjoofcnppfgpkgklciolooicmhfnng"=hex:61,61,00,00
"bbjimjoofcnppfgpkgnljjdbfilbdpondhfb"=hex:61,61,00,00

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"H:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"="H:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"H:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"="H:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"H:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"="H:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"H:\\Programme\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe"="H:\\Programme\\Codemasters\\Der Herr der Ringe Online\\lotroclient.exe:*:Enabled:lotroclient"
"H:\\Programme\\uTorrent\\uTorrent.exe"="H:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"H:\\Programme\\Anno 1701\\Anno1701.exe"="H:\\Programme\\Anno 1701\\Anno1701.exe:*:Enabled:Anno 1701"
"H:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrHelper.exe"="H:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrHelper.exe:*:Enabled:TerraTec Home Cinema (Setup)"
"H:\\Programme\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"="H:\\Programme\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe:*:Enabled:TerraTec tvtv Setup"
"H:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"="H:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe:*:Enabled:TerraTec Home Cinema"
"H:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrUpdate\\CinergyDVRUp_Date.exe"="H:\\Programme\\TerraTec\\TerraTec Home Cinema\\CinergyDvrUpdate\\CinergyDVRUp_Date.exe:*:Enabled:TerraTec Auto Update"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

Remaining Files :



Files with Hidden Attributes :

Mon 9 Jun 2008 0 A.SH. --- H:\DOKUME~1\ALLUSE~1\DRM\CACHE\INDIV01.TMP

Finished!
Seitenanfang Seitenende
08.09.2008, 00:56
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Gibt es noch Probleme?
__________
MfG Argus
Seitenanfang Seitenende
09.09.2008, 15:53
...neu hier

Themenstarter

Beiträge: 10
#7 super danke für die tolle hilfe!
von problemen merk ich nix mehr scheint alles super und sauber ;)
danke!
Seitenanfang Seitenende
09.09.2008, 16:10
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#8 Systemwiederherstellung
Info:
http://virus-protect.org/systemwiederherstellung.html
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung -->
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren. - dann wieder aktivieren

Und halte MBAM auch Up-to-date !!

Happy Surfing

ps
Ist dies dein Desktop oder nicht H:\Dokumente und Einstellungen\little32\Desktop\downloads und saves\ComboFix.exe
Wenn nein,entferne Combofix mit rechtermausklick
sonst mit
CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK
__________
MfG Argus
Seitenanfang Seitenende
12.09.2008, 14:45
...neu hier

Themenstarter

Beiträge: 10
#9 hm ich versuch mal hier noch was nachzufragen ! ;)
wae mit keine probs mehr wohl zu voreilig!
mein rechner braucht nun über 3 min. zum hochfaheren!!
er bleibt beim screen vor dem windows start bildschirm (aufforderung für bios oder boot menü) ca. 2.30 min hängen!
hab mal versucht wieder die standard bios einstellungen zu nehemen hat aber auch nix gebracht.
und noch was zwischen diesem "bios start screen" und dem windows start screen hab ich immer einen weißen "ladebalken" (kannte ich nur von win2000??)
woran könnte denn das liegen?
danke schonmal im vorraus
mfg little32
Seitenanfang Seitenende
13.09.2008, 23:10
Moderator

Beiträge: 5694
#10 little32

>>
Erstelle Logfiles mittels datfind.bat und posten (abkopieren)
http://virus-protect.org/datfindbat.html

Starte diese Batchdatei datfind.bat danach öffnet sich ein Notepad/Editor Fenster.
Kopiere diese erstellte Textdatei ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie ist nach Datum geordnet.
(kürze die Textdatei je Verzeichnis auf die letzten 3 Monate !)

>>
Poste ein neues HJT Log.


Gruss Swiss
Seitenanfang Seitenende
14.09.2008, 01:47
...neu hier

Themenstarter

Beiträge: 10
#11 Volume in Laufwerk H: hat keine Bezeichnung.
Volumeseriennummer: 58D4-762A

Verzeichnis von H:\WINDOWS\system32

13.09.2008 22:14 182.038 nvapps.xml
13.09.2008 22:13 2.206 wpa.dbl
12.09.2008 17:30 361.728 TuneUpDefragService.exe
12.09.2008 14:25 404.104 perfh009.dat
12.09.2008 14:25 76.204 perfc007.dat
12.09.2008 14:25 419.310 perfh007.dat
12.09.2008 14:25 63.324 perfc009.dat
12.09.2008 14:25 974.850 PerfStringBackup.INI
06.09.2008 21:56 46.640 msln.exe
26.08.2008 22:28 16.208.504 MRT.exe
13.08.2008 01:11 359.250 TZLog.log
03.08.2008 21:39 98.304 CmdLineExt.dll
30.07.2008 19:48 6.944 jupdate-1.6.0_07-b06.log
29.07.2008 20:21 218.376 klogon.dll
18.07.2008 15:02 248.344 PROUnstl.exe
11.07.2008 14:42 62.976 tzchange.exe
07.07.2008 22:26 253.952 es.dll
02.07.2008 23:49 6.684 jupdate-1.6.0_06-b02.log
24.06.2008 18:42 74.240 mscms.dll
24.06.2008 18:12 295.936 wmpeffects.dll
24.06.2008 10:14 3.592.192 mshtml.dll
23.06.2008 18:14 826.368 wininet.dll
23.06.2008 18:14 233.472 webcheck.dll
23.06.2008 18:14 477.696 mshtmled.dll
23.06.2008 18:14 193.024 msrating.dll
23.06.2008 18:14 1.159.680 urlmon.dll
23.06.2008 18:14 671.232 mstime.dll
23.06.2008 18:14 102.912 occache.dll
23.06.2008 18:14 105.984 url.dll
23.06.2008 18:14 44.544 pngfilt.dll
23.06.2008 18:14 459.264 msfeeds.dll
23.06.2008 18:14 52.224 msfeedsbs.dll
23.06.2008 18:14 1.831.424 inetcpl.cpl
23.06.2008 18:14 267.776 iertutil.dll
23.06.2008 18:14 27.648 jsproxy.dll
23.06.2008 18:14 6.066.176 ieframe.dll
23.06.2008 18:14 44.544 iernonce.dll
23.06.2008 18:14 133.120 extmgr.dll
23.06.2008 18:14 153.088 ieakeng.dll
23.06.2008 18:14 347.136 dxtmsft.dll
23.06.2008 18:14 63.488 icardie.dll
23.06.2008 18:14 230.400 ieaksie.dll
23.06.2008 18:14 383.488 ieapfltr.dll
23.06.2008 18:14 384.512 iedkcs32.dll
23.06.2008 18:14 214.528 dxtrans.dll
23.06.2008 18:14 124.928 advpack.dll
23.06.2008 11:20 13.824 ieudinit.exe
23.06.2008 11:20 70.656 ie4uinit.exe
23.06.2008 08:27 13.312 BASSMOD.dll
21.06.2008 07:23 161.792 ieakui.dll
20.06.2008 19:46 247.296 mswsock.dll
20.06.2008 19:46 147.968 dnsapi.dll
16.06.2008 21:28 265.416 FNTCACHE.DAT
16.06.2008 15:59 180.224 Ncs2Setp.dll
13.06.2008 16:51 1.350.192 ncscolib.dll
13.06.2008 16:39 2.287.616 TUKernel.exe
13.06.2008 16:35 90 spupdwxp.log
11.06.2008 18:27 262.144 wrap_oal.dll
11.06.2008 18:27 86.016 OpenAL32.dll
10.06.2008 10:02 34.064 lhacm.acm
09.06.2008 17:40 16.832 amcompat.tlb
09.06.2008 17:40 23.392 nscompat.tlb
09.06.2008 16:11 0 h323log.txt
09.06.2008 15:40 145.968 ncs2instutility.dll
09.06.2008 15:30 984 d3d8caps.dat
09.06.2008 15:17 25.065 wmpscheme.xml
09.06.2008 15:15 261 $winnt$.inf
09.06.2008 15:13 488 WindowsLogon.manifest
09.06.2008 15:13 488 logonui.exe.manifest
09.06.2008 15:13 749 nwc.cpl.manifest
09.06.2008 15:13 749 cdplayer.exe.manifest
09.06.2008 15:13 749 ncpa.cpl.manifest
09.06.2008 15:13 749 wuaucpl.cpl.manifest
09.06.2008 15:13 749 sapi.cpl.manifest
09.06.2008 15:12 21.740 emptyregdb.dat
09.06.2008 10:13 604.720 ncs2dmix.dll
09.06.2008 10:12 473.648 accesor.dll
------------------------------------------------------------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:51:39, on 14.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
H:\WINDOWS\Explorer.EXE
H:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
H:\WINDOWS\system32\RUNDLL32.EXE
H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Programme\Mozilla Firefox\firefox.exe
H:\Dokumente und Einstellungen\little32\Desktop\downloads und saves\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - H:\PROGRA~1\TerraTec\TERRAT~1\THCDES~1.DLL
O4 - HKLM\..\Run: [GrooveMonitor] "H:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] H:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "H:\Programme\Ahead\Nero BackItUp\nbj.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://H:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6C269571-C6D7-4818-BCA4-32A035E8C884} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15101/CTSUEng.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15105/CTPID.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - H:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - H:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - H:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - H:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4523 bytes

so hier die gewünschten infos danke schonmal für die rasche hilfe
mfg little32
Dieser Beitrag wurde am 14.09.2008 um 01:53 Uhr von little32 editiert.
Seitenanfang Seitenende
14.09.2008, 01:59
Moderator

Beiträge: 5694
#12 little32

Das ist nicht das gesamte Log es gibt noch andere Verzeichnisse welche du ebenfalls posten solltest.

Dann prüfe folgende Datei bei www.virustotal.com/de und poste das Ergebnis:
H:\WINDOWS\system32\msln.exe

Gruss Swiss
Seitenanfang Seitenende
14.09.2008, 02:07
...neu hier

Themenstarter

Beiträge: 10
#13 sry aber das ist das ganze HJT log (alles was ich im edtor hatte)
und die letzten 3 monate von datfind.bat
und hier das ergebnis der prüfung
Informationen...
Datei msln.exe empfangen 2008.09.14 02:04:28 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/36 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.13.0 2008.09.12 -
AntiVir 7.8.1.28 2008.09.12 -
Authentium 5.1.0.4 2008.09.13 -
Avast 4.8.1195.0 2008.09.13 -
AVG 8.0.0.161 2008.09.13 -
BitDefender 7.2 2008.09.14 -
CAT-QuickHeal 9.50 2008.09.13 -
ClamAV 0.93.1 2008.09.13 -
DrWeb 4.44.0.09170 2008.09.14 -
eSafe 7.0.17.0 2008.09.11 -
eTrust-Vet 31.6.6087 2008.09.12 -
Ewido 4.0 2008.09.13 -
F-Prot 4.4.4.56 2008.09.14 -
F-Secure 8.0.14332.0 2008.09.14 -
Fortinet 3.113.0.0 2008.09.13 -
GData 19 2008.09.14 -
Ikarus T3.1.1.34.0 2008.09.14 -
K7AntiVirus 7.10.454 2008.09.13 -
Kaspersky 7.0.0.125 2008.09.14 -
McAfee 5383 2008.09.12 -
Microsoft 1.3903 2008.09.14 -
NOD32v2 3440 2008.09.13 -
Norman 5.80.02 2008.09.12 -
Panda 9.0.0.4 2008.09.13 -
PCTools 4.4.2.0 2008.09.13 -
Prevx1 V2 2008.09.14 -
Rising 20.61.42.00 2008.09.12 -
Sophos 4.33.0 2008.09.13 -
Sunbelt 3.1.1633.1 2008.09.13 -
Symantec 10 2008.09.14 -
TheHacker 6.3.0.9.082 2008.09.14 -
TrendMicro 8.700.0.1004 2008.09.12 -
VBA32 3.12.8.5 2008.09.13 -
ViRobot 2008.9.12.1375 2008.09.12 -
VirusBuster 4.5.11.0 2008.09.13 -
Webwasher-Gateway 6.6.2 2008.09.13 -
weitere Informationen
File size: 46640 bytes
MD5...: 2d6b7efda9d4a44c7c5bdfe8d0bbc839
SHA1..: bb8b5a4496d3c5e614b15fa612566c9ef788c156
SHA256: 0b1e1bb34eb6fc2c1e3f6176b20b72bde45a0e2bea9ea9342cf8d3e57289e7dd
SHA512: 146b38e0a323e52f32b8036c8c5df998c0da892c13f5c4b6a75c779875e34588
5077ddbc58cab770721d25e0d54e3846c71edba7f878c1e30b95c5c607794789
PEiD..: -
TrID..: File type identification
Win64 Executable Generic (87.2%)
Win32 Executable Generic (8.6%)
Generic Win/DOS Executable (2.0%)
DOS Executable Generic (2.0%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10026c8
timedatestamp.....: 0x46a95727 (Fri Jul 27 02:23:35 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8a20 0x8c00 6.29 a5a9c3c6e77936ff1f8328a652784d4b
.data 0xa000 0x40 0x200 0.60 e8e030083a6aa6ced28939e09efb4142
.rsrc 0xb000 0x3b0 0x400 3.10 55150d77d0d260880d388afd30d91b94
.reloc 0xc000 0x534 0x600 4.61 8f3fc76e0db2af82a10d8247b80a2360

( 1 imports )
> ntdll.dll: NtQuerySystemTime, NtTerminateProcess, NtLoadDriver, RtlInitUnicodeString, NtDisplayString, NtAllocateVirtualMemory, NtFreeVirtualMemory, NtShutdownSystem, NtAdjustPrivilegesToken, NtOpenProcessToken, memset, memcpy, swprintf, wcsncpy, _itow, _i64tow, ZwSetValueKey, ZwEnumerateKey, ZwEnumerateValueKey, ZwQueryValueKey, RtlEqualUnicodeString, ZwOpenKey, NtClose, RtlWriteRegistryValue, ZwDeleteKey, ZwDeleteValueKey, NtFsControlFile, NtReadFile, _allmul, NtFlushBuffersFile, NtWriteFile, NtUnloadDriver, NtOpenFile, _aulldiv, _allshl, _aullshr, RtlGetVersion, NtCreateFile

( 0 exports )
Seitenanfang Seitenende
14.09.2008, 03:24
Moderator

Beiträge: 5694
#14 Ich meinte von Datfind.bat ;)

Gruss Swiss
Seitenanfang Seitenende
14.09.2008, 17:07
Moderator

Beiträge: 5694
#15 Scanne mit Ewido Micro und poste das Log: http://downloads.ewido.net/ewido_micro.exe

Gruss Swiss
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: