Trojaner "an Board" /Systemwiederherstellung+Auto-Updates nicht OK

#1 Hallo,

ich habe leider um 20.14 h, als ich etwas unter Xp installieren wollte eine Trojaner Wahnung von Avast! gemeldet bekommen. Hatte dann einen unbekannten Eintrag in der msconfig, den ich sofort entfernt habe. Im Ordner Programme befand sich der neue Ordner 'PC-Health', der unter anderem 'Microsoft-ähnliche' Bildchen enthielt. Habe diesen ebenfalls gelöscht.
Der Virus-Scanner funktioniert wohl noch einwandfrei, allerdings lassen sich die "Automatischen Updates" nicht mehr aktivieren.
Der Scanner hatte vorhin nochmal Viren im Temp-Ordner gemeldet. Habe den Inhalt aller Temp-Ordner mit 'CCleaner' gelöscht

Ich wollte heute bevor ich den Virus bekamm eine System-Wiederherstellung machen. Das hat mit anderen 'einfachen' Gründen zu tun - nicht mit dem Virus.
Leider ist da jetzt nur noch ein Eintrag: heute, 20.14 h - "Last good configuration". Der stammt nicht von mir!

Habe nun das System mit verschiedenen Scanner getestet. Keine Viren mehr.


Bitte helft mir dabei, das meine Systemwiederherstellung in den Zustand kommt, in der Sie vor 20.14 h war!

#2 Habe "Combofix" laufen lassen und jetzt läuft alles wieder so wie es soll.
Die Systemwiederherstellung habe ich zurückgesetzt.
Wenn jemand weiß, wie man bei einer durch einen Virus verursachten Systemwiederherstellungsänderung (keine Einträge dort mehr) doch eine machen kann bzw. diese mit all ihren Einträgen wiederherstellen kann würde ich mich freuen, das noch zu erfahren!

#3 Sol_UP

Bitte poste hier einmal das Combofix-Log.

Dannach lege noch ein HJT Log bei:
http://virus-protect.org/hjtkurz.html

Gruss Swiss

#4 Habe die Systemwiederherstellung doch noch nicht deaktiviert gehabt, da ich schnell Antwort bekommen habe und nun warten will, bis das hier alles abgeschlossen ist.

Kann ich den Ordner 'erdnt' (wo das Backup vom 'Combo Fix' drin ist) im ordner 'WinXP' nachher löschen?

Das Log vom 'Combo-Fix' ist ein Neues, da ich vorhin alles von Combo-Fix gelöscht hatte.


ComboFix 08-09-13.03 - Uli 2008-09-13 23:57:41.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.641 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Uli.BIE\Desktop\ComboFix.exe

[color=red]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/color]
.

((((((((((((((((((((((( Dateien erstellt von 2008-08-13 bis 2008-09-13 ))))))))))))))))))))))))))))))
.

2008-09-13 23:31 . 2008-09-13 23:31 <DIR> d-------- C:\Programme\CDBurnerXP
2008-09-13 23:06 . 2008-09-13 23:06 <DIR> d-------- C:\Dokumente und Einstellungen\Uli.BIE\Anwendungsdaten\Canneverbe_Limited
2008-09-13 22:27 . 2008-09-13 22:42 <DIR> d--hs---- C:\RECYCLER(3)
2008-09-13 21:51 . 2008-09-13 22:42 <DIR> d--hs---- C:\RECYCLER(2)
2008-09-10 03:11 . 2008-09-10 03:11 <DIR> d-------- C:\Programme\QuickTime Alternative
2008-09-10 03:11 . 2008-09-10 03:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Apple Computer
2008-09-10 03:11 . 2008-05-27 10:50 90,112 --a------ C:\WINXP\system32\QuickTimeVR.qtx
2008-09-10 03:11 . 2008-05-27 10:50 57,344 --a------ C:\WINXP\system32\QuickTime.qts
2008-09-02 20:56 . 2008-09-02 20:56 9,205 --a------ C:\WINXP\FontData.fdb
2008-09-02 03:35 . 2008-09-02 03:35 127 --a------ C:\WINXP\system32\bio3.ini
2008-09-02 03:34 . 2008-09-02 03:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2008-09-02 00:35 . 2008-09-10 18:12 2,516 --ahs---- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\KGyGaAvL.sys
2008-09-02 00:35 . 2008-09-02 00:35 8 -r-hs---- C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\3674A28666.sys
2008-09-02 00:06 . 2008-09-04 05:01 1,324 --a------ C:\WINXP\system32\d3d9caps.dat
2008-09-01 23:39 . 2008-09-01 23:39 <DIR> d-------- C:\Dokumente und Einstellungen\Uli.BIE\Anwendungsdaten\Bitstream
2008-09-01 21:39 . 2008-09-13 23:28 <DIR> d-------- C:\Dokumente und Einstellungen\Uli.BIE\Anwendungsdaten\Corel
2008-09-01 21:33 . 2008-09-13 23:28 <DIR> d-------- C:\Programme\CorelDRAW Graphics Suite X4
2008-08-30 20:39 . 2008-08-30 20:39 56 --ah----- C:\WINXP\system32\ezsidmv.dat
2008-08-23 03:50 . 2007-09-07 14:55 12,744 --a------ C:\WINXP\system32\drivers\Entech64.sys
2008-08-23 03:50 . 2007-09-07 14:55 6,173 --a------ C:\WINXP\system32\drivers\Entech.vxd
2008-08-23 03:50 . 2001-11-19 20:05 3,972 --a------ C:\WINXP\system32\drivers\PciBus.sys
2008-08-20 04:31 . 2008-08-20 04:31 <DIR> d-------- C:\WINXP\system32\Futuremark
2008-08-20 04:31 . 2008-05-29 12:33 27,672 -ra------ C:\WINXP\system32\drivers\Entech.sys
2008-08-17 00:34 . 2008-08-17 00:34 <DIR> d-------- C:\Programme\MSXML 4.0
2008-08-17 00:19 . 2008-08-17 00:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DirectX
2008-08-15 00:25 . 2008-04-11 21:04 691,712 --------- C:\WINXP\system32\dllcache\inetcomm.dll
2008-08-15 00:25 . 2008-05-01 16:34 331,776 --------- C:\WINXP\system32\dllcache\msadce.dll
2008-08-14 05:56 . 2008-08-14 07:23 <DIR> d-------- C:\WINXP\system32\DirectX(2)
2008-08-14 03:07 . 2008-08-14 03:07 731,142 --a------ C:\Programme\Gemeinsame Dateien\unins000.exe
2008-08-14 03:07 . 2008-04-27 22:27 655,872 --a------ C:\WINXP\system32\msvcr90.dll
2008-08-14 03:07 . 2007-10-24 01:47 635,904 --a------ C:\WINXP\system32\msvcr80.dll
2008-08-14 03:07 . 2008-04-27 22:27 572,928 --a------ C:\WINXP\system32\msvcp90.dll
2008-08-14 03:07 . 2007-10-24 01:47 558,080 --a------ C:\WINXP\system32\msvcp80.dll
2008-08-14 03:07 . 2007-03-21 20:52 479,232 --a------ C:\WINXP\system32\msvcm80.dll
2008-08-14 03:07 . 2008-04-27 16:48 225,280 --a------ C:\WINXP\system32\msvcm90.dll
2008-08-14 03:07 . 2008-07-15 16:16 208,899 --a------ C:\WINXP\system32\d3d10_1core.dll
2008-08-14 03:07 . 2008-07-15 16:28 159,750 --a------ C:\WINXP\system32\d3d10_1.dll
2008-08-14 03:07 . 2008-09-12 21:55 4,486 --a------ C:\Programme\Gemeinsame Dateien\unins000.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-13 21:40 --------- d-----w C:\Dokumente und Einstellungen\Uli.BIE\Anwendungsdaten\BOM
2008-09-13 21:33 --------- d-----w C:\Programme\Biet-O-Matic
2008-09-13 21:18 --------- d-----w C:\Programme\eMule
2008-09-13 18:06 --------- d-----w C:\Programme\uTorrent
2008-09-13 18:06 --------- d-----w C:\Dokumente und Einstellungen\Uli.BIE\Anwendungsdaten\uTorrent
2008-09-12 17:45 --------- d-----w C:\Dokumente und Einstellungen\Uli.BIE\Anwendungsdaten\OpenOffice.org2
2008-09-11 04:25 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-30 19:01 --------- d-----w C:\Dokumente und Einstellungen\Uli.BIE\Anwendungsdaten\Skype
2008-08-30 18:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-08-30 18:39 --------- d-----w C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Skype
2008-08-30 18:22 --------- d-----w C:\Dokumente und Einstellungen\Uli.BIE\Anwendungsdaten\skypePM
2008-08-30 18:02 --------- d-----w C:\Programme\mp3DirectCut
2008-08-30 16:02 --------- d-----w C:\Programme\IsoBuster
2008-08-30 15:51 --------- d-----w C:\Dokumente und Einstellungen\Uli.BIE\Anwendungsdaten\Audacity
2008-08-23 04:34 --------- d-----w C:\Programme\MuseBook Metronome 1.2
2008-08-23 01:51 86,016 ----a-w C:\WINXP\system32\OpenAL32.dll
2008-08-23 01:22 --------- d---a-w C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\TEMP
2008-08-14 05:25 --------- d-----w C:\Programme\NVIDIA Corporation
2008-08-10 17:50 --------- d-----w C:\Programme\Audacity
2008-08-09 04:04 --------- d-----w C:\Dokumente und Einstellungen\Uli.BIE\Anwendungsdaten\Engelmann Media
2008-08-09 04:01 --------- d-----w C:\Programme\Windows Media Components
2008-08-09 03:53 --------- d-----w C:\Programme\Windows Media Connect 2
2008-08-09 02:27 --------- d-----w C:\Programme\MovieSaver2.0
2008-08-07 21:08 107,888 ----a-w C:\WINXP\system32\CmdLineExt.dll
2008-08-07 20:44 98,304 ----a-w C:\WINXP\DUMP4bfd.tmp
2008-07-26 04:57 278,984 ----a-w C:\WINXP\system32\drivers\atksgt.sys
2008-07-18 20:10 94,920 ----a-w C:\WINXP\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINXP\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINXP\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINXP\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINXP\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINXP\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\WINXP\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINXP\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINXP\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINXP\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINXP\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINXP\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINXP\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINXP\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINXP\system32\dllcache\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINXP\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINXP\system32\muweb.dll
2008-07-15 14:28 1,029,126 ----a-w C:\WINXP\system32\d3d10.dll
2008-07-15 14:25 39,942 ----a-w C:\WINXP\system32\dwmapi.dll
2008-07-15 14:25 171,526 ----a-w C:\WINXP\system32\dxgi.dll
2008-07-15 14:16 188,419 ----a-w C:\WINXP\system32\d3d10core.dll
2008-07-15 14:08 888,326 ----a-w C:\WINXP\system32\kernel32new.dll
2008-07-15 14:08 680,454 ----a-w C:\WINXP\system32\msvcrtnew.dll
2008-07-07 20:26 253,952 ----a-w C:\WINXP\system32\es.dll
2008-07-07 20:26 253,952 ------w C:\WINXP\system32\dllcache\es.dll
2008-07-02 19:12 273,408 ----a-w C:\WINXP\system32\EMRegSys.dll
2008-06-24 16:42 74,240 ----a-w C:\WINXP\system32\mscms.dll
2008-06-24 16:42 74,240 ------w C:\WINXP\system32\dllcache\mscms.dll
2008-06-24 16:12 295,936 ----a-w C:\WINXP\system32\wmpeffects.dll
2008-06-23 08:23 70,656 ------w C:\WINXP\system32\dllcache\ie4uinit.exe
2008-06-23 08:23 625,664 ------w C:\WINXP\system32\dllcache\iexplore.exe
2008-06-23 08:23 13,824 ------w C:\WINXP\system32\dllcache\ieudinit.exe
2008-06-21 05:23 161,792 ------w C:\WINXP\system32\dllcache\ieakui.dll
2008-06-20 17:46 247,296 ----a-w C:\WINXP\system32\mswsock.dll
2008-06-20 17:46 247,296 ------w C:\WINXP\system32\dllcache\mswsock.dll
2008-06-20 17:46 147,968 ------w C:\WINXP\system32\dllcache\dnsapi.dll
2008-06-20 11:51 361,600 ------w C:\WINXP\system32\dllcache\tcpip.sys
2008-06-20 11:40 138,496 ------w C:\WINXP\system32\dllcache\afd.sys
2008-06-20 11:08 225,856 ------w C:\WINXP\system32\dllcache\tcpip6.sys
2008-06-14 17:32 273,024 ------w C:\WINXP\system32\dllcache\bthport.sys
2008-03-09 05:25 236 ---ha-w C:\Programme\Gemeinsame Dateien\dx.reg
2008-05-01 20:44 16,384 --sha-w C:\WINXP\system32\config\systemprofile\Cookies\index.dat
2008-05-01 20:44 32,768 --sha-w C:\WINXP\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
2008-05-01 20:44 32,768 --sha-w C:\WINXP\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
2008-05-01 20:44 32,768 --sha-w C:\WINXP\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008050120080502\index.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINXP\system32\ctfmon.exe" [2008-04-14 15360]
"CCleaner"="C:\Programme\CCleaner\CCleaner.exe" [2008-08-22 1234160]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RivaTunerStartupDaemon"="C:\Programme\RivaTuner v2.09\RivaTuner.exe" [2008-04-28 2707456]
"NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [2004-12-20 131072]
"EPSON Stylus C62 Series"="C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE" [2002-07-01 74752]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2008-07-19 78008]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" [2008-06-23 C:\WINXP\system32\advpack.dll]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=tdmrep.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm
"vidc.hfyu"= huffyuv.dll
"msacm.divxa32"= DivXa32.acm
"msacm.l3acm"= l3codecp.acm

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users.WINXP^Startmenü^Programme^Autostart^BDARemote.lnk]
path=C:\Dokumente und Einstellungen\All Users.WINXP\Startmenü\Programme\Autostart\BDARemote.lnk
backup=C:\WINXP\pss\BDARemote.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINXP\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CCleaner]
--a------ 2008-08-22 19:26 1234160 C:\Programme\CCleaner\CCleaner.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
--a------ 2008-03-10 23:02 5724184 C:\Programme\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2008-02-22 04:25 144784 C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"C:\\Programme\\uTorrent\\uTorrent.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\eMule\\emule.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=
"C:\\Games\\LevelR\\LevelR.bin"=

R0 Si3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINXP\system32\DRIVERS\si3112r.sys [2002-10-16 84529]
R1 aswSP;avast! Self Protection;C:\WINXP\system32\drivers\aswSP.sys [2008-07-19 78416]
R2 aswFsBlk;aswFsBlk;C:\WINXP\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
R2 NMSAccessU;NMSAccessU;C:\Programme\CDBurnerXP\NMSAccessU.exe [2008-06-15 71096]
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINXP\System32\DRIVERS\ASPI32.sys [2002-07-17 16512]
S3 ASUSHWIO;ASUSHWIO;C:\WINXP\system32\drivers\ASUSHWIO.sys [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{58e78906-0731-11dd-9cac-806d6172696f}]
\shell\play\Command - "C:\Programme\Windows Media Player\wmplayer.exe" /prefetch:4 /deviceVD "%L"
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

BHO-{5D3DC08D-381D-42CE-8562-5F627626C2D9} - C:\WINXP\system32\yayyWmmL.dll
BHO-{9abb21b0-2711-412a-b108-5a1a1959b99f} - C:\WINXP\system32\tdmrep.dll
ShellExecuteHooks-{5D3DC08D-381D-42CE-8562-5F627626C2D9} - C:\WINXP\system32\yayyWmmL.dll
MSConfigStartUp-7485d7b1 - C:\WINXP\system32\corysnww.dll
MSConfigStartUp-CryptLoad - C:\Dokumente und Einstellungen\Uli.BIE\Desktop\CryptLoad_1.0.4\RouterClient.exe
MSConfigStartUp-RegCom32 - C:\DOKUME~1\Uli.BIE\LOKALE~1\Temp\critical_updates.exe


.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Uli.BIE\Anwendungsdaten\Mozilla\Firefox\Profiles\9tqo6pa1.default\
FF -: plugin - C:\WINXP\system32\C2MP\npdivx32.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-13 23:59:21
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-14 0:01:28
ComboFix-quarantined-files.txt 2008-09-13 22:01:18

Pre-Run: 8 Verzeichnis(se), 95,834,472,448 Bytes frei
Post-Run: 13 Verzeichnis(se), 95,833,583,616 Bytes frei

203 --- E O F --- 2008-09-09 19:20:38


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:05:56, on 14.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20861)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\ctfmon.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\system32\PnkBstrB.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\UAService7.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINXP\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Programme\RivaTuner v2.09\RivaTuner.exe" /S
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINXP\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [CCleaner] "C:\Programme\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - https://maxdomeaccount.1und1.de/presentation/script/HWTest.CAB
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1205131316478
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1205135444234
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E85362EF-40D4-4E5D-BE07-D6B036CCA277} (GoPets Control) - https://secure.gopetslive.com/dev/gopets.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O16 - DPF: {F8C5C0F1-D884-43EB-A5A0-9E1C4A102FA8} (GoPetsWeb Control) - https://secure.gopetslive.com/dev/GoPetsWeb.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: tdmrep.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe (file missing)
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINXP\system32\PnkBstrB.exe
O23 - Service: Prime95 Service - Unknown owner - C:\Dokumente und Einstellungen\Uli.BIE\Desktop\prime95.exe (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINXP\system32\UAService7.exe

--
End of file - 6599 bytes

#5 Sol_UP

Also du hast einfach keine früheren Systemwiederhrstellungspunkte mehr? Wenn du diese deaktiviert und wieder aktiviert hast, dann sind alle gemachten Punkte weg.


>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor dem genannten Eintrag bei

Zitat

O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU

O16 - DPF: {E85362EF-40D4-4E5D-BE07-D6B036CCA277} (GoPets Control) - https://secure.gopetslive.com/dev/gopets.cab

O20 - AppInit_DLLs: tdmrep.dll

und wähle fix checked.

>>
mache einen Scan mit Malwarebytes -
http://virus-protect.org/artikel/tools/malwarebytes.html

vergiss nicht, Mbam vor dem ersten Suchlauf zu aktualisieren und alles entfernen zu lassen, was gefunden wird

>>
wende sdfix im abgesicherten Modus an
http://virus-protect.org/artikel/tools/sdfix.html

Gruss Swiss

#6 Ich hatte mich vielleicht falsch ausgedrückt, sorry: Ich war kurz davor, die Systemwiederherstellung zu deaktivieren. Hatte dieses aber dann doch nicht getan.
Allerdings wie gesagt, gibt es da momentan nur den oben genannten Eintrag und jetzt den von Combofix. Vielleicht kann man ja doch noch irgendwie auf die Einträge davor kommen, denn die speicherkapzität der Festplatte müsste so ca. 10 GB mehr betragen, wenn die Systemwiederherstellung vom Virus deaktiviert wurde und das ist sie nicht.

Soll ich trotzdem so vorgehen wie Du es beschrieben hast, Tonstudio?

Gibt es eine Möglichkeit eine E-Mail zu bekommen, bei Antwort? (Einstellung im Profil - ich finde da nichts)

Zitat

O16 - DPF: {E85362EF-40D4-4E5D-BE07-D6B036CCA277} (GoPets Control) - https://secure.gopetslive.com/dev/gopets.cab

- Das ist ein Eintrag von "GoPets", welches ein Spiel für den WLMessenger ist. Brauche ich aber eh nicht mehr.

#7 Ja mach was ich geschrieben habe.

Aber bei dem mit der Systemwiederherstellung weiss ich leider keinen Rat wenn die date nicht mehr vorhanden sind. Vielleicht kann hier noch jemand anderes helfen.

Gruss Swiss

#8 1.)Kann ich den Ordner 'erdnt' und 'erunt' im ordner 'WinXP' löschen?

2.)Gibt es eine Möglichkeit/Einstellung eine E-Mail-Benachrichtigung hier fürs Forum einzustellen? (Profil etc.)

3.) Wo kommen diese Ordner her: NV13041736.TMP / NV19521940.TMP ?

4.)Die inf. Files, die mit mit "Anti-Malware" festgestellt wurden befinden sich in Quarantäne (in dem Programm). Kann ich die eigentlich ganz löschen?


Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1157
Windows 5.1.2600 Service Pack 3

15.09.2008 23:13:57
mbam-log-2008-09-15 (23-13-51).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 127103
Laufzeit: 1 hour(s), 23 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 38

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Alwil Software\Avast4\DATA\moved\2.exe.vir (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP494\A1079508.exe (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP494\A1079511.exe (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP495\A1081051.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP496\A1081073.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP496\A1081074.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP496\A1081075.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP496\A1081076.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP496\A1081077.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP497\A1084230.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP499\A1085257.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP499\A1085262.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP499\A1085280.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP499\A1085733.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP499\A1085741.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP499\A1085883.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP499\A1085884.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP499\A1085885.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP499\A1085886.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP499\A1085887.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP499\A1085888.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP499\A1085889.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP499\A1085890.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP499\A1085891.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP504\A1121128.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP504\A1121129.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP504\A1121136.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP504\A1121139.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP504\A1121140.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP504\A1121141.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP504\A1121273.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP504\A1121705.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP504\A1121785.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP504\A1121786.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP504\A1121787.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\gabbbfyw.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\yayyWmmL.dll (Trojan.Vundo) -> No action taken.
C:\WINXP\system32\nnnoNDwV(2)(2).dll (Trojan.Vundo) -> No action taken.



SDFix: Version 1.225
Run by Uli on 15.09.2008 at 23:22

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\Dokumente und Einstellungen\Uli.BIE\Desktop\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

No Trojan Files Found






Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-15 23:28:15
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:61,71,2c,70,a0,54,cc,ba,8a,6f,a0,47,65,2e,15,75,b3,e5,6c,10,3b,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:61,71,2c,70,a0,54,cc,ba,8a,6f,a0,47,65,2e,15,75,b3,e5,6c,10,3b,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"h0"=dword:00000000
"khjeh"=hex:61,71,2c,70,a0,54,cc,ba,8a,6f,a0,47,65,2e,15,75,b3,e5,6c,10,3b,..

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="tdmrep.dll"
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\\Programme\\uTorrent\\uTorrent.exe"="C:\\Programme\\uTorrent\\uTorrent.exe:*:Enabled:æTorrent"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Programme\\eMule\\emule.exe"="C:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"C:\\Programme\\Mozilla Firefox\\firefox.exe"="C:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"C:\\Games\\LevelR\\LevelR.bin"="C:\\Games\\LevelR\\LevelR.bin:*:Enabled:LEVEL-R"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype. Take a deep breath "

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :



Files with Hidden Attributes :

Wed 21 May 2008 24 ..SH. --- "C:\WINXP\SFE748CD8.tmp"
Mon 14 Apr 2008 60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe"
Tue 2 Sep 2008 8 ..SHR --- "C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\3674A28666.sys"
Wed 10 Sep 2008 2,516 A.SH. --- "C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\KGyGaAvL.sys"
Wed 4 Jun 2008 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users.WINXP\DRM\DRMv1.bak"
Wed 4 Jun 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users.WINXP\DRM\Cache\Indiv01.tmp"
Wed 19 Mar 2008 0 A..H. --- "C:\WINXP\SoftwareDistribution\Download\f7db876e78b88fd8276fd7d29cb7e4eb\BIT3.tmp"
Mon 10 Mar 2008 0 A..H. --- "C:\WINXP\SoftwareDistribution\Download\f7db876e78b88fd8276fd7d29cb7e4eb\BITA.tmp"

Finished!



Schon mal vielen Dank für die gute Hilfe!

#9 Sol_UP

>>

Zitat

1.)Kann ich den Ordner 'erdnt' und 'erunt' im ordner 'WinXP' löschen?

Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Entferne auf C:\SDFix\ backups -->papierkorb leeren

>>
Systemwiederherstellung deaktivieren (XP):
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen.
Also wieder aktivieren

>>

Zitat

3.) Wo kommen diese Ordner her: NV13041736.TMP / NV19521940.TMP ?

Wo sind diese?

>>

Zitat

4.)Die inf. Files, die mit mit "Anti-Malware" festgestellt wurden befinden sich in Quarantäne (in dem Programm). Kann ich die eigentlich ganz löschen?

Ja kannst du.

>>

Zitat

2.)Gibt es eine Möglichkeit/Einstellung eine E-Mail-Benachrichtigung hier fürs Forum einzustellen? (Profil etc.)

Wie meinst du das??

>>
scanne mit kaspersky und poste den scanreport
http://virus-protect.org/onlinescan.html


Gruss Swiss

#10 Der Scan mit Kaspersky wird gerade durchgeführt.

zu 3.) Die oben genannten Ordner befinden sich im Windows-Verzeichnis (WinXP)
Die Ordner löschen?

zu 2.) In anderen Foren kann man bei einem Posting oft "unten" 'E-Mail-Benachrichtigung bei Anwort' anklicken. Gibt es sowas hier auch?

Eine Frage nebenbei: Kann man den Ordner "Xerox" (ist wohl bekannt) irgendwie ganz fernhalten?


Wie gesagt das 'Log' von Kaspersky kommt gleich noch!


Muss Euch mal loben für die gute Arbeit! (:

#11 Sol_Up

Zitat

zu 3.) Die oben genannten Ordner befinden sich im Windows-Verzeichnis (WinXP)
Die Ordner löschen?

Das sind doch keine Ordner sondern Temp Dateien?
Bitte poste das genau Verzeichniss.
Dann lass die beiden Dateien bei www.virustotal.com/de prüfen.

Zitat

zu 2.) In anderen Foren kann man bei einem Posting oft "unten" 'E-Mail-Benachrichtigung bei Anwort' anklicken. Gibt es sowas hier auch?

Ganz unten rechts steht doch: Bei Antworten zu diesem Thema benachrichtigen

Zitat

Eine Frage nebenbei: Kann man den Ordner "Xerox" (ist wohl bekannt) irgendwie ganz fernhalten?

Was meinst du mit fernhalten?

Zitat

Muss Euch mal loben für die gute Arbeit! (:

Vielen Dank

Gruss Swiss

#12 zu3:

Zitat

Das sind doch keine Ordner sondern Temp Dateien?
Bitte poste das genau Verzeichniss.
Dann lass die beiden Dateien bei www.virustotal.com/de prüfen.

Bitte dazu den Anhang anschauen! Es sind Ordner.



zu2: Habe den E-Mail Notifier gefunden. (:

_______________________________________________
Eine Frage nebenbei: Kann man den Ordner "Xerox" (ist wohl bekannt) irgendwie ganz fernhalten?

Zitat

Was meinst du mit fernhalten?

Ich habe ihn mit dem "Unlocker" gelöscht und dann auch im abgesicherten Modus, aber der ist bei Neustart immer wieder da.
_____________________________________________

Ich hatte eine infizierte Datei laut "Kaspersky-Online-Scanner". Diese hat Avast! beim nachträglichen Scannen dann auch sofort erkannt. Habe die Datei gelöscht.
Wie man im Log sehen kann war die Datei im Cache vom Firefox. Komischerweise habe ich dem Verzeichnis 12 Unterordner Cache(1) bis Cache(12) gefunden. Ich habe die alle gelöscht und nur das Verzeichnis mit dem Namen "Cache" (ohne eine Zahl hinten dran) behalten.


-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Mittwoch, 17. September 2008 18:02:57
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 17/09/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 1245747
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 70468
Viren gefunden: 1
Infizierte Objekte gefunden: 1
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:00:50

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users.WINXP\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Uli.BIE\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Uli.BIE\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Uli.BIE\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Uli.BIE\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen

C:\Dokumente und Einstellungen\Uli.BIE\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\9tqo6pa1.default\Cache(4)\AFD48741d01 Infizierte Objekte: Trojan-Downloader.Win32.Obfuscated.dlr übersprungen

C:\Dokumente und Einstellungen\Uli.BIE\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Uli.BIE\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Uli.BIE\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008091720080918\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Uli.BIE\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Uli.BIE\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\aswResp.dat Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\Avast4.db Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\AshWebSv.ws Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\aswMaiSv.log Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\nshield.log Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\log\selfdef.log Das Objekt ist gesperrt übersprungen
C:\Programme\Alwil Software\Avast4\DATA\report\Residenter Schutz.txt Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{165BE378-FE13-49B3-A076-F50A44FB63BF}\RP508\change.log Das Objekt ist gesperrt übersprungen
C:\WINXP\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINXP\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINXP\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINXP\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\ACEEvent.evt Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\Antivirus.Evt Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINXP\Temp\Perflib_Perfdata_70c.dat Das Objekt ist gesperrt übersprungen
C:\WINXP\Temp\_avast4_\Webshlock.txt Das Objekt ist gesperrt übersprungen
C:\WINXP\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINXP\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINXP\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

#13 Sol_UP

Bitte poste den genauen Pfad von Xerox.

Ich kann sonst nichts mehr erkennen.
Wieso Firefox so viele Cache Order anleggt kann ich nicht sagen.

Gruss Swiss

#14 c:\Programme\Xerox.


Da ich keine Antwort auf die Ordner-Frage bekomme lösche ich sie. Wird wohl passen! (:

#15 Kennt sich dem Jemand mit dem "Xerox"-Ordner aus?

Und weiß jemand Bescheid wegen der Temp-Ordner im Hauptverzeichnis von WINXP?