Windows Security Center Virus

#0
03.10.2008, 20:46
...neu hier

Beiträge: 9
#1 hi,
ich habe folgendes Problem.
Auf dem Laptop meiner Mum hat sich irgendwie so n komischer Virus installiert.
Der sieht aus wie das Windows Security Center und der behauptet immer da wären Viren auf dem rechner, und dass man doch sich so ein programm kaufen soll, dass die viren dann beseitigt. Und wenn man mit dem browser irgendwas macht, dann öffnen sich andauernd neue fester mit werbung die dann aber auch immer im vordergrund bleibt bis man sie schliesst, und dazwischen öffnet sich dann auch ne page wo eben dieses "antivirusprogram" ist, welches dann gleich automatisch schonmal nen virenscan von dem rechner macht.
Ausserdem ist der Laptop jetzt um einiges langsamer als davor.

ich hab selber schon im internet nach diesem virus gesucht, hab aber ausser ner problembeschreibung noch nicht viel gefunden.
( http://www.securitymanager.de/community/forum/13/615/615.html )
mein vater hat auch im internet geguckt und meinte dass es ein ziehmlich neuer virus sei, und dass er als lösung immer nur format:c gefunden habe.
Ich hoffe mal, dass ihr besser seid, als das was mein Dad gefunden hat ;)

ok, da der malwarebytes gerade noch durchläuft fang ich mal mit Combofix an;)bzw ich aktualisiers glei, hab davor vergessen die temp dateien zu löschen und kann grad keine neustarts machen während dem schreiben und maldingens läuft)

Zitat

--- aktuelles log 2 beiträge weiter unten ---
hijackthis

Zitat

--- aktuelles log 2 beiträge weiter unten ---
uninstall list

Zitat

Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)
Adobe Flash Player ActiveX
Adobe Flash Player Plugin
Adobe Reader 8.1.2 - Deutsch
Apple Software Update
CCleaner (remove only)
Google Earth
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
Google Updater
HandyBits EasyCrypto Deluxe
Haufe iDesk-Browser
Haufe iDesk-Service
HijackThis 2.0.2
Intel(R) 537EA Modem
Java(TM) 6 Update 2
Malwarebytes' Anti-Malware
Microsoft .NET Framework 2.0
Microsoft Office Professional Edition 2003
Microsoft Visual C++ 2005 Redistributable
Nero Media Player
Nero OEM
NeroVision Express 2
Picasa 2
QuickTime
Rainlendar2 (remove only)
RON Tool Innbanner
Spybot - Search & Destroy
Steuer 2007
Steuer Hilfesammlung
Texas Instruments PCI7620 drivers.
WinRAR
X10 Hardware(TM)
batchdatei

Zitat

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C868-1402

Verzeichnis von C:\WINDOWS\system32

2008-10-03 19:57 4,096 winlogonpc.exe
2008-10-03 19:57 4,096 hoproxy.dll
2008-10-03 19:57 4,096 sncntr.exe
2008-10-03 19:57 4,096 mwin32.exe
2008-10-03 19:57 4,096 VBIEWER.OCX
2008-10-03 19:57 4,096 taack.exe
2008-10-03 19:57 4,096 hxiwlgpm.dat
2008-10-03 19:57 4,096 hxiwlgpm.exe
2008-10-03 19:57 4,096 taack.dat
2008-10-03 19:57 4,096 psoft1.exe
2008-10-03 19:57 4,096 psof1.exe
2008-10-03 19:57 4,096 ps1.exe
2008-10-03 19:57 4,096 bsva-egihsg52.exe
2008-10-03 19:57 4,096 msnbho.dll
2008-10-03 19:57 4,096 ssurf022.dll
2008-10-03 19:57 4,096 medup020.dll
2008-10-03 19:57 4,096 medup012.dll
2008-10-03 19:57 4,096 netode.exe
2008-10-03 19:57 4,096 msgp.exe
2008-10-03 19:57 4,096 mtr2.exe
2008-10-03 19:57 4,096 temp#01.exe
2008-10-03 19:57 4,096 h@tkeysh@@k.dll
2008-10-03 19:57 4,096 dpcproxy.exe
2008-10-03 19:57 4,096 regm64.dll
2008-10-03 19:57 4,096 ssvchost.exe
2008-10-03 19:57 4,096 regc64.dll
2008-10-03 19:57 4,096 ssvchost.com
2008-10-03 19:57 4,096 msvchost.exe
2008-10-03 19:57 4,096 thun32.dll
2008-10-03 19:57 4,096 thun.dll
2008-10-03 19:57 4,096 Rundl1.exe
2008-10-03 19:57 4,096 newsd32.exe
2008-10-03 19:57 4,096 emesx.dll
2008-10-03 19:57 4,096 anticipator.dll
2008-10-03 19:57 4,096 akttzn.exe
2008-10-03 19:57 4,096 vcatchpi.dll
2008-10-03 19:57 4,096 winsystem.exe
2008-10-03 19:57 4,096 bdn.com
2008-10-03 19:57 4,096 mssecu.exe
2008-10-03 19:57 4,096 awtoolb.dll
2008-10-03 19:57 4,096 WINWGPX.EXE
2008-10-03 19:57 4,096 sysreq.exe
2008-10-03 19:57 4,096 vbsys2.dll
2008-10-03 19:57 102,400 fkvmzmba.exe
2008-10-03 19:25 102,400 uzcxqdod.exe
2008-10-03 19:15 0 tmp.txt
2008-10-03 19:15 2,432 tmp.reg
2008-10-03 19:00 102,400 xyjalwfo.exe
2008-10-03 18:48 102,400 mfitktcd.exe
2008-10-03 17:51 102,400 puxmnojo.exe
2008-10-03 17:40 71,168 jlqshtej.dll
2008-10-03 17:40 123,904 oiahmk.dll
2008-10-03 17:40 123,904 tsokvlbn.dll
2008-10-03 17:40 15 c34bd0d3-.txt
2008-10-03 17:36 102,400 cvknwfsf.exe
2008-10-03 17:36 101,888 hpgcqoil.dll
2008-10-03 14:03 102,400 ovqrgdgv.exe
2008-10-03 13:11 102,400 zahyvopu.exe
2008-10-03 10:38 102,400 ktinwpwr.exe
2008-10-02 19:57 123,904 hovmuk.dll
2008-10-02 19:57 123,904 hkyfuyek.dll
2008-10-02 14:43 123,904 uixusc.dll
2008-10-02 14:43 123,904 wlmstwko.dll
2008-10-02 14:37 71,824 gkvzulkgkfa.exe
2008-10-02 11:22 2,206 wpa.dbl
2008-09-23 17:55 664 d3d9caps.dat
2008-09-10 19:58 110,992 FNTCACHE.DAT
2008-08-26 11:16 1,580 tsdigsgn.dat
2008-08-26 11:16 26,624 ssmenu.dll
2008-08-26 11:16 66,048 VCLSMP50.bpl
2008-08-26 11:16 2,020,864 VCL50.bpl
2008-08-26 11:16 248,832 VCLX50.bpl
2008-07-14 15:03 5,214 jupdate-1.6.0_02-b06.log
2008-07-14 15:02 395,534 perfh009.dat
2008-07-14 15:02 59,774 perfc009.dat
2008-07-14 15:02 409,192 perfh007.dat
2008-07-14 15:02 71,994 perfc007.dat
2008-07-14 15:02 837,804 PerfStringBackup.INI

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C868-1402

Verzeichnis von C:\DOKUME~1\ADMINI~1.GIA\LOKALE~1\Temp

2008-10-03 20:49 95,212 datfind.txt
2008-10-03 20:43 114,688 ~DFEF54.tmp
2008-10-03 20:13 311,296 ~DFC1A4.tmp
2008-10-03 20:03 22,486 x.ico
2008-10-03 20:01 855 jusched.log
2008-10-03 19:58 11,908 log.txt
2008-10-03 19:57 122,880 infosyssh.dll
2008-10-03 19:56 16,384 ~DFC97D.tmp
8 Datei(en) 695,709 Bytes
0 Verzeichnis(se), 24,950,693,888 Bytes frei
.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C868-1402

Verzeichnis von C:\WINDOWS

2008-10-03 20:48 113,000 BMcb5b2731.xml
2008-10-03 19:59 417 BMcb5b2731.txt
2008-10-03 19:58 21 pskt.ini
2008-10-03 19:57 4,096 zip3.tmp
2008-10-03 19:57 4,096 zipped.tmp
2008-10-03 19:57 4,096 zip1.tmp
2008-10-03 19:57 4,096 userconfig9x.dll
2008-10-03 19:57 4,096 zip2.tmp
2008-10-03 19:57 4,096 FVProtect.exe
2008-10-03 19:57 4,096 base64.tmp
2008-10-03 19:57 4,096 a.bat
2008-10-03 19:57 4,096 iTunesMusic.exe
2008-10-03 19:57 4,096 winsystem.exe
2008-10-03 19:57 4,096 bdn.com
2008-10-03 19:57 4,096 mssecu.exe
2008-10-03 19:55 246 system.ini
2008-10-03 19:55 2,048 bootstat.dat
2008-10-03 19:54 32,644 SchedLgU.Txt
2008-10-03 14:01 624 wininit.ini
2008-10-02 14:50 81,920 DUMP566d.tmp
2008-10-02 14:49 81,920 DUMP27ea.tmp
2008-09-30 17:53 49 NeroDigital.ini
2008-08-26 11:16 36 TSNPL.dat
2008-08-14 07:53 42,350 ModemLog_Intel(R) 537EA Modem.txt
2008-07-14 18:56 25 steuer2007.INI
2008-07-14 18:56 253 tm.ini
2008-07-14 18:52 35 tdf.dii

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C868-1402

Verzeichnis von C:\WINDOWS\temp

.
.
.
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C868-1402

Verzeichnis von C:\WINDOWS\Downloaded Program Files

2008-04-26 15:23 65 desktop.ini
2007-05-16 08:22 399 gp.inf
2007-04-11 14:55 1,292 erma.inf
3 Datei(en) 1,756 Bytes
0 Verzeichnis(se), 24,950,689,792 Bytes frei
.
.
.
malware

Zitat

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1226
Windows 5.1.2600 Service Pack 2

2008-10-03 21:06:05
mbam-log-2008-10-03 (21-05-48).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 79659
Laufzeit: 48 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 13
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 4
Infizierte Dateien: 99

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\oiahmk.dll (Trojan.Vundo) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9e2b6c3a-7289-46c3-ba56-4dda5bee9386} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9e2b6c3a-7289-46c3-ba56-4dda5bee9386} (Trojan.Vundo.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{191AC1A7-66E5-1C75-D7C9-014D8DAD4EF2} (Trojan.FakeAlert.H) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0656a137-b161-cadd-9777-e37a75727e78} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0b682cc1-fb40-4006-a5dd-99edd3c9095d} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{0e1230f8-ea50-42a9-983c-d22abc2eeb4c} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{9dd4258a-7138-49c4-8d34-587879a5c7a4} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b8c0220d-763d-49a4-95f4-61dfdec66ee6} (Fake.Dropped.Malware) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c3bcc488-1ae7-11d4-ab82-0010a4ec2338} (Fake.Dropped.Malware) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\shactset (Trojan.FakeAlert.H) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\appmsg (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ev19ngf0jv (Trojan.FakeAlert.H) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prunnet (Trojan.Agent) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\prunnet (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bmcb5b2731 (Trojan.Agent) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\WINDOWS\mslagent (Adware.EGDAccess) -> No action taken.
C:\Programme\akl (Fake.Dropped.Malware) -> No action taken.
C:\Programme\Inet Delivery (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\oiahmk.dll (Trojan.Vundo.H) -> No action taken.
C:\Programme\xsbbbfg\shactset.dll (Trojan.FakeAlert.H) -> No action taken.
C:\WINDOWS\system32\fkvmzmba.exe (Trojan.FakeAlert.H) -> No action taken.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wludyvsr\ilydopoz.exe (Trojan.FakeAlert.H) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WDOXIJOH\nd82m0[1] (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WLKJ83GV\upd105320[1] (Trojan.Vundo) -> No action taken.
C:\QooBox\Quarantine\C\WINDOWS\system32\ddcDvvVO.dll.vir (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP90\A0011467.exe (Adware.CommAd) -> No action taken.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP90\A0011472.exe (Trojan.Downloader) -> No action taken.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP91\A0011589.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP91\A0011647.exe (Trojan.DNSChanger) -> No action taken.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP91\A0011650.exe (Adware.Webhancer) -> No action taken.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP91\A0011651.exe (Adware.Webhancer) -> No action taken.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP91\A0011656.dll (Trojan.Vundo) -> No action taken.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP91\A0011796.dll (Adware.Webhancer) -> No action taken.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP91\A0011797.dll (Adware.Webhancer) -> No action taken.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP91\A0011823.exe (Trojan.Downloade) -> No action taken.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP91\A0011825.exe (Trojan.Inject) -> No action taken.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP92\A0012358.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\uixusc.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\wlmstwko.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hkyfuyek.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hovmuk.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\jlqshtej.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\tsokvlbn.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\rontz\FK7622Z.exe (Adware.Webhancer) -> No action taken.
C:\WINDOWS\R2lhbm5pbmE\asappsrv.dll (Adware.CommAd) -> No action taken.
C:\WINDOWS\mslagent\2_mslagent.dll (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\mslagent\mslagent.exe (Adware.EGDAccess) -> No action taken.
C:\WINDOWS\mslagent\uninstall.exe (Adware.EGDAccess) -> No action taken.
C:\Programme\akl\akl.dll (Fake.Dropped.Malware) -> No action taken.
C:\Programme\akl\akl.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\akl\uninstall.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\akl\unsetup.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\Inet Delivery\inetdl.exe (Fake.Dropped.Malware) -> No action taken.
C:\Programme\Inet Delivery\intdel.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\prun.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\a.bat (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\base64.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\FVProtect.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\userconfig9x.dll (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\winsystem.exe (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip1.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip2.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zip3.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\zipped.tmp (Fake.Dropped.Malware) -> No action taken.
C:\WINDOWS\bdn.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\iTunesMusic.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\mssecu.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\akttzn.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\anticipator.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\awtoolb.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\bdn.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\bsva-egihsg52.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\dpcproxy.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\emesx.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\h@tkeysh@@k.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hoproxy.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hxiwlgpm.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\medup012.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\medup020.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msgp.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msnbho.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mssecu.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\msvchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mtr2.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\mwin32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\netode.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\newsd32.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ps1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\psof1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\psoft1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\regc64.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\regm64.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\Rundl1.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sncntr.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssurf022.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssvchost.com (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\ssvchost.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\sysreq.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\taack.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\taack.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\temp#01.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\thun.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\thun32.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\VBIEWER.OCX (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vcatchpi.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\winlogonpc.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\winsystem.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\WINWGPX.EXE (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\hpgcqoil.dll (Trojan.Agent) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\rasesnet.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\vbsys2.dll (Trojan.Clicker) -> No action taken.
C:\WINDOWS\pskt.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BMcb5b2731.xml (Trojan.Vundo) -> No action taken.
C:\WINDOWS\BMcb5b2731.txt (Trojan.Vundo) -> No action taken.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\TDSSa30e.tmp (Trojan.FakeAlert) -> No action taken.
Dieser Beitrag wurde am 03.10.2008 um 21:28 Uhr von Schokoknacker editiert.
Seitenanfang Seitenende
03.10.2008, 21:01
Member

Beiträge: 3716
#2 bitte noch malwarebytes und dann ein neues hijackthis log
Seitenanfang Seitenende
03.10.2008, 21:23
...neu hier

Themenstarter

Beiträge: 9
#3 ok, gut melwarebytes hab ich schon in den oberen text reineditiert gehabt.
und hier is dann noch das combofix und hijackthis
hjt

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:22, on 2008-10-03
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wludyvsr\ilydopoz.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\prun.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\fkvmzmba.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Programme\Java\jre1.6.0_02\bin\jucheck.exe
C:\WINDOWS\system32\fkvmzmba.exe
D:\Programme\Trend Micro\HijackThis\HJT.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: {6839eeb5-add4-65ab-3c64-9827a3c6b2e9} - {9e2b6c3a-7289-46c3-ba56-4dda5bee9386} - C:\WINDOWS\system32\oiahmk.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [prunnet] "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\prun.exe"
O4 - HKLM\..\Run: [BMcb5b2731] Rundll32.exe "C:\WINDOWS\system32\hpgcqoil.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [prunnet] "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\prun.exe"
O4 - HKCU\..\Run: [appmsg] C:\WINDOWS\system32\fkvmzmba.exe
O4 - HKCU\..\Run: [cfgapi] C:\WINDOWS\system32\pszudkpe.exe
O4 - HKLM\..\Policies\Explorer\Run: [eV19ngF0Jv] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wludyvsr\ilydopoz.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - AppInit_DLLs: oiahmk.dll
O21 - SSODL: shactset - {191AC1A7-66E5-1C75-D7C9-014D8DAD4EF2} - C:\Programme\xsbbbfg\shactset.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5933 bytes
combofix

Zitat

ComboFix 08-10-03.01 - Administrator 2008-10-03 21:10:02.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.271 [GMT 2:00]
ausgeführt von:: D:\viren\ComboFix.exe

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\TEMP\Lokale Einstellungen\Temporary Internet Files\
C:\Programme\akl
C:\Programme\akl\akl.dll
C:\Programme\akl\akl.exe
C:\Programme\akl\uninstall.exe
C:\Programme\akl\unsetup.exe
C:\Programme\Inet Delivery
C:\Programme\Inet Delivery\inetdl.exe
C:\Programme\Inet Delivery\intdel.exe
C:\WINDOWS\a.bat
C:\WINDOWS\base64.tmp
C:\WINDOWS\bdn.com
C:\WINDOWS\BMcb5b2731.txt
C:\WINDOWS\BMcb5b2731.xml
C:\WINDOWS\FVProtect.exe
C:\WINDOWS\iTunesMusic.exe
C:\WINDOWS\mslagent
C:\WINDOWS\mslagent\2_mslagent.dll
C:\WINDOWS\mslagent\mslagent.exe
C:\WINDOWS\mslagent\uninstall.exe
C:\WINDOWS\mssecu.exe
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\akttzn.exe
C:\WINDOWS\system32\anticipator.dll
C:\WINDOWS\system32\awtoolb.dll
C:\WINDOWS\system32\bdn.com
C:\WINDOWS\system32\bsva-egihsg52.exe
C:\WINDOWS\system32\dpcproxy.exe
C:\WINDOWS\system32\emesx.dll
C:\WINDOWS\system32\h@tkeysh@@k.dll
C:\WINDOWS\system32\hoproxy.dll
C:\WINDOWS\system32\hxiwlgpm.dat
C:\WINDOWS\system32\hxiwlgpm.exe
C:\WINDOWS\system32\medup012.dll
C:\WINDOWS\system32\medup020.dll
C:\WINDOWS\system32\msgp.exe
C:\WINDOWS\system32\msnbho.dll
C:\WINDOWS\system32\mssecu.exe
C:\WINDOWS\system32\msvchost.exe
C:\WINDOWS\system32\mtr2.exe
C:\WINDOWS\system32\mwin32.exe
C:\WINDOWS\system32\netode.exe
C:\WINDOWS\system32\newsd32.exe
C:\WINDOWS\system32\ps1.exe
C:\WINDOWS\system32\psof1.exe
C:\WINDOWS\system32\psoft1.exe
C:\WINDOWS\system32\regc64.dll
C:\WINDOWS\system32\regm64.dll
C:\WINDOWS\system32\Rundl1.exe
C:\WINDOWS\system32\smp
C:\WINDOWS\system32\smp\msrc.exe
C:\WINDOWS\system32\sncntr.exe
C:\WINDOWS\system32\ssurf022.dll
C:\WINDOWS\system32\ssvchost.com
C:\WINDOWS\system32\ssvchost.exe
C:\WINDOWS\system32\sysreq.exe
C:\WINDOWS\system32\taack.dat
C:\WINDOWS\system32\taack.exe
C:\WINDOWS\system32\temp#01.exe
C:\WINDOWS\system32\thun.dll
C:\WINDOWS\system32\thun32.dll
C:\WINDOWS\system32\VBIEWER.OCX
C:\WINDOWS\system32\vbsys2.dll
C:\WINDOWS\system32\vcatchpi.dll
C:\WINDOWS\system32\winlogonpc.exe
C:\WINDOWS\system32\winsystem.exe
C:\WINDOWS\system32\WINWGPX.EXE
C:\WINDOWS\userconfig9x.dll
C:\WINDOWS\winsystem.exe
C:\WINDOWS\zip1.tmp
C:\WINDOWS\zip2.tmp
C:\WINDOWS\zip3.tmp
C:\WINDOWS\zipped.tmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-03 bis 2008-10-03 ))))))))))))))))))))))))))))))
.

2008-10-03 20:12 . 2008-10-03 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-03 20:12 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-03 20:12 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-03 19:58 . 2008-10-03 21:12 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP\Lokale Einstellungen
2008-10-03 19:58 . 2008-10-03 19:58 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP
2008-10-03 19:57 . 2008-10-03 19:57 102,400 --a------ C:\WINDOWS\system32\fkvmzmba.exe
2008-10-03 19:55 . 2008-10-03 20:10 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.GIANNINA
2008-10-03 19:25 . 2008-10-03 19:25 102,400 --a------ C:\WINDOWS\system32\uzcxqdod.exe
2008-10-03 19:02 . 2008-10-03 19:15 2,432 --a------ C:\WINDOWS\system32\tmp.reg
2008-10-03 19:00 . 2008-10-03 19:00 102,400 --a------ C:\WINDOWS\system32\xyjalwfo.exe
2008-10-03 18:48 . 2008-10-03 18:48 102,400 --a------ C:\WINDOWS\system32\mfitktcd.exe
2008-10-03 17:51 . 2008-10-03 17:51 102,400 --a------ C:\WINDOWS\system32\puxmnojo.exe
2008-10-03 17:40 . 2008-10-03 17:40 123,904 --a------ C:\WINDOWS\system32\tsokvlbn.dll
2008-10-03 17:40 . 2008-10-03 17:40 123,904 --a------ C:\WINDOWS\system32\oiahmk.dll
2008-10-03 17:40 . 2008-10-03 17:40 71,168 --a------ C:\WINDOWS\system32\jlqshtej.dll
2008-10-03 17:36 . 2008-10-03 17:36 102,400 --a------ C:\WINDOWS\system32\cvknwfsf.exe
2008-10-03 17:36 . 2008-10-03 17:36 101,888 --a------ C:\WINDOWS\system32\hpgcqoil.dll
2008-10-03 14:03 . 2008-10-03 14:03 102,400 --a------ C:\WINDOWS\system32\ovqrgdgv.exe
2008-10-03 13:11 . 2008-10-03 13:11 102,400 --a------ C:\WINDOWS\system32\zahyvopu.exe
2008-10-03 10:38 . 2008-10-03 10:38 <DIR> d-------- C:\Programme\xsbbbfg
2008-10-03 10:38 . 2008-10-03 10:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wludyvsr
2008-10-03 10:38 . 2008-10-03 10:38 102,400 --a------ C:\WINDOWS\system32\ktinwpwr.exe
2008-10-02 23:47 . 2008-10-03 14:01 624 --a------ C:\WINDOWS\wininit.ini
2008-10-02 22:33 . 2008-10-02 22:34 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-10-02 22:33 . 2008-10-02 22:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-02 19:57 . 2008-10-02 19:57 123,904 --a------ C:\WINDOWS\system32\hovmuk.dll
2008-10-02 19:57 . 2008-10-02 19:57 123,904 --a------ C:\WINDOWS\system32\hkyfuyek.dll
2008-10-02 19:51 . 2004-08-04 00:57 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-10-02 14:43 . 2008-10-02 14:43 123,904 --a------ C:\WINDOWS\system32\wlmstwko.dll
2008-10-02 14:43 . 2008-10-02 14:43 123,904 --a------ C:\WINDOWS\system32\uixusc.dll
2008-10-02 14:37 . 2008-10-02 14:37 <DIR> d-------- C:\WINDOWS\system32\rontz
2008-10-02 14:37 . 2008-10-02 20:51 <DIR> d-------- C:\WINDOWS\system32\psc
2008-10-02 14:37 . 2008-10-02 14:37 <DIR> d-------- C:\WINDOWS\system32\gc1
2008-10-02 14:37 . 2008-10-03 10:47 <DIR> d-------- C:\WINDOWS\system32\EV19
2008-10-02 14:37 . 2008-10-02 20:48 <DIR> d--hs---- C:\WINDOWS\R2lhbm5pbmE
2008-10-02 14:37 . 2008-10-02 14:37 <DIR> d-------- C:\Temp\xp34
2008-10-02 14:37 . 2008-10-03 19:46 <DIR> d-------- C:\Temp
2008-10-02 14:37 . 2008-10-02 14:37 71,824 --a------ C:\WINDOWS\system32\gkvzulkgkfa.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-03 19:15 102,400 ----a-w C:\WINDOWS\system32\pszudkpe.exe
2008-10-03 10:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-10-02 12:50 81,920 ----a-w C:\WINDOWS\DUMP566d.tmp
2008-10-02 12:49 81,920 ----a-w C:\WINDOWS\DUMP27ea.tmp
2008-09-27 15:36 --------- d-----w C:\Programme\Picasa2
2008-08-26 15:24 --------- d-s---w C:\Programme\Gemeinsame Dateien\Teknum Systems
2008-08-26 09:16 26,624 ----a-w C:\WINDOWS\system32\ssmenu.dll
2008-08-26 09:16 --------- d-----w C:\Programme\HandyBits
2005-08-02 14:46 187,904 --sha-r C:\WINDOWS\R2lhbm5pbmE\asappsrv.dll
2005-07-29 14:24 472 --sha-r C:\WINDOWS\R2lhbm5pbmE\lZ51vAcDvAH.vbs
.

------- Sigcheck -------

2006-01-31 15:47 359808 77c0c5e7d6cfe2052b8cf28b8722f528 C:\WINDOWS\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9e2b6c3a-7289-46c3-ba56-4dda5bee9386}]
2008-10-03 17:40 123904 --a------ C:\WINDOWS\system32\oiahmk.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"prunnet"="C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\prun.exe" [2008-10-02 32768]
"appmsg"="C:\WINDOWS\system32\fkvmzmba.exe" [2008-10-03 102400]
"cfgapi"="C:\WINDOWS\system32\pszudkpe.exe" [2008-10-03 102400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2003-05-16 163840]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696]
"prunnet"="C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\prun.exe" [2008-10-02 32768]
"BMcb5b2731"="C:\WINDOWS\system32\hpgcqoil.dll" [2008-10-03 101888]
"SoundMan"="SOUNDMAN.EXE" [2003-11-13 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-04 44544]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"eV19ngF0Jv"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wludyvsr\ilydopoz.exe" [2008-10-03 73728]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-05-05 124400]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"shactset"= {191AC1A7-66E5-1C75-D7C9-014D8DAD4EF2} - C:\Programme\xsbbbfg\shactset.dll [2008-10-03 131072]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=oiahmk.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=

.
Inhalt des "geplante Tasks" Ordners
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-03 21:15:22
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


C:\WINDOWS\system32\pszudkpe.exe 102400 bytes executable

Scan erfolgreich abgeschlossen
versteckte Dateien: 1

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\hpgcqoil.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-03 21:17:57 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-03 19:17:52
ComboFix2.txt 2008-10-03 17:58:35

Vor Suchlauf: 6 Verzeichnis(se), 24,942,022,656 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 24,931,258,368 Bytes frei

219
Seitenanfang Seitenende
03.10.2008, 21:42
Member

Beiträge: 3716
#4 hallo hast du als aktion remove bei malwarebytes gewähhlt?
übwerprüfe folgende dateien:
C:\WINDOWS\system32\uzcxqdod.exe
C:\WINDOWS\system32\xyjalwfo.exe
C:\WINDOWS\system32\mfitktcd.exe
C:\WINDOWS\system32\puxmnojo.exe
C:\WINDOWS\system32\tsokvlbn.dll
C:\WINDOWS\system32\oiahmk.dll
C:\WINDOWS\system32\jlqshtej.dll
C:\WINDOWS\system32\cvknwfsf.exe
C:\WINDOWS\system32\hpgcqoil.dll
C:\WINDOWS\system32\ovqrgdgv.exe
C:\WINDOWS\system32\zahyvopu.exe
C:\WINDOWS\system32\zahyvopu.exe
C:\WINDOWS\system32\ktinwpwr.exe
C:\WINDOWS\system32\hovmuk.dll
C:\WINDOWS\system32\hkyfuyek.dll
C:\WINDOWS\system32\wlmstwko.dll
C:\WINDOWS\system32\uixusc.dll
C:\WINDOWS\system32\gkvzulkgkfa.exe

hier:
http://virusscan.Jotti.org/de/
lade jede datei hoch, in dem du den pfad abkopierst, einfügst, wartest bis ergebniss da ist und dann das ergebniss hier posten.
Seitenanfang Seitenende
03.10.2008, 22:34
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#5 Hallo Schokoknacker

1.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern



Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"eV19ngF0Jv"=-
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9e2b6c3a-7289-46c3-ba56-4dda5bee9386}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"shactset"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"prunnet"=-
"appmsg"=-
"cfgapi"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"prunnet"=-
"BMcb5b2731"=-

File::
C:\WINDOWS\system32\pszudkpe.exe
C:\WINDOWS\system32\fkvmzmba.exe
C:\WINDOWS\system32\uzcxqdod.exe
C:\WINDOWS\system32\xyjalwfo.exe
C:\WINDOWS\system32\mfitktcd.exe
C:\WINDOWS\system32\puxmnojo.exe
C:\WINDOWS\system32\tsokvlbn.dll
C:\WINDOWS\system32\oiahmk.dll
C:\WINDOWS\system32\jlqshtej.dll
C:\WINDOWS\system32\cvknwfsf.exe
C:\WINDOWS\system32\hpgcqoil.dll
C:\WINDOWS\system32\ovqrgdgv.exe
C:\WINDOWS\system32\zahyvopu.exe
C:\WINDOWS\system32\ktinwpwr.exe
C:\WINDOWS\system32\gkvzulkgkfa.exe
C:\WINDOWS\system32\hovmuk.dll
C:\WINDOWS\system32\hkyfuyek.dll
C:\WINDOWS\system32\wlmstwko.dll
C:\WINDOWS\system32\uixusc.dll

Folder::
C:\Programme\xsbbbfg
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wludyvsr
C:\WINDOWS\system32\rontz
C:\WINDOWS\system32\psc
C:\WINDOWS\system32\gc1
C:\WINDOWS\system32\EV19
C:\WINDOWS\R2lhbm5pbmE
C:\Temp\xp34
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen



Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu
----------------------------------------------------------------------------
in C:\ComboFix.txt ist alles gespeichert, poste das neue Log bitte hier


2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute
- bestätige, dass der Rechner neu gestartet wird - klicke "yes"


3.
wende Cleaner an - lösche alle temporären Dateien
http://www.ccleaner.de/?protecus.de

4.
scanne noch mal mit Malwarebytes, lasse aber alles löschen, was gefunden wird
No action taken..... ist nicht angebracht...
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
04.10.2008, 12:54
...neu hier

Themenstarter

Beiträge: 9
#6 hmm, yo bei dem malwear hab ich nichts umgestellt und ihn einfach laufen lassen ... dieses "nichts tun" in der log hat mich dann auch ersmal an den kopf fassen lassen ^^

Zitat

C:\WINDOWS\system32\uzcxqdod.exe

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -
Bit9 rapportiert: {BIT9_THREAT}

A-Squared Keine Viren gefunden
AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Win32:PureMorph gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
CPsecure Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
F-Secure Anti-Virus Trojan.Win32.Obfuscated.gx gefunden
G DATA Win32:PureMorph gefunden
Ikarus Virus.Trojan.Win32.Obfuscated.gx gefunden
Kaspersky Anti-Virus Trojan.Win32.Obfuscated.gx gefunden
NOD32 a variant of Win32/TrojanDownloader.FakeAlert.IQ gefunden
Norman Virus Control Keine Viren gefunden
Panda Antivirus Keine Viren gefunden
Sophos Antivirus Mal/EncPk-DG gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden
hmm, irgendwie geht der scanner grad nicht ... ich probier dann jetzt ersmal das andere

cfscript.txt mit combofix geöffnet, hier die log

Zitat

ComboFix 08-10-03.06 - Administrator 2008-10-04 13:23:52.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.347 [GMT 2:00]
ausgeführt von:: D:\viren\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Administrator.GIANNINA\Desktop\cfscript.txt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]

FILE ::
C:\WINDOWS\system32\cvknwfsf.exe
C:\WINDOWS\system32\fkvmzmba.exe
C:\WINDOWS\system32\gkvzulkgkfa.exe
C:\WINDOWS\system32\hkyfuyek.dll
C:\WINDOWS\system32\hovmuk.dll
C:\WINDOWS\system32\hpgcqoil.dll
C:\WINDOWS\system32\jlqshtej.dll
C:\WINDOWS\system32\ktinwpwr.exe
C:\WINDOWS\system32\mfitktcd.exe
C:\WINDOWS\system32\oiahmk.dll
C:\WINDOWS\system32\ovqrgdgv.exe
C:\WINDOWS\system32\pszudkpe.exe
C:\WINDOWS\system32\puxmnojo.exe
C:\WINDOWS\system32\tsokvlbn.dll
C:\WINDOWS\system32\uixusc.dll
C:\WINDOWS\system32\uzcxqdod.exe
C:\WINDOWS\system32\wlmstwko.dll
C:\WINDOWS\system32\xyjalwfo.exe
C:\WINDOWS\system32\zahyvopu.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wludyvsr
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wludyvsr\ilydopoz.exe
C:\Programme\xsbbbfg
C:\Programme\xsbbbfg\shactset.dll
C:\Temp\xp34
C:\Temp\xp34\cPH.log
C:\WINDOWS\BMcb5b2731.txt
C:\WINDOWS\BMcb5b2731.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\R2lhbm5pbmE
C:\WINDOWS\R2lhbm5pbmE\asappsrv.dll
C:\WINDOWS\R2lhbm5pbmE\lZ51vAcDvAH.vbs
C:\WINDOWS\system32\cvknwfsf.exe
C:\WINDOWS\system32\EV19
C:\WINDOWS\system32\EV19\EV191065.exe
C:\WINDOWS\system32\fkvmzmba.exe
C:\WINDOWS\system32\gc1
C:\WINDOWS\system32\gc1\BHW44V39.exe
C:\WINDOWS\system32\gkvzulkgkfa.exe
C:\WINDOWS\system32\hkyfuyek.dll
C:\WINDOWS\system32\hovmuk.dll
C:\WINDOWS\system32\hpgcqoil.dll
C:\WINDOWS\system32\jlqshtej.dll
C:\WINDOWS\system32\ktinwpwr.exe
C:\WINDOWS\system32\mfitktcd.exe
C:\WINDOWS\system32\oiahmk.dll
C:\WINDOWS\system32\ovqrgdgv.exe
C:\WINDOWS\system32\psc
C:\WINDOWS\system32\pszudkpe.exe
C:\WINDOWS\system32\puxmnojo.exe
C:\WINDOWS\system32\rontz
C:\WINDOWS\system32\rontz\FK7622Z.exe
C:\WINDOWS\system32\tsokvlbn.dll
C:\WINDOWS\system32\uixusc.dll
C:\WINDOWS\system32\uzcxqdod.exe
C:\WINDOWS\system32\wlmstwko.dll
C:\WINDOWS\system32\xyjalwfo.exe
C:\WINDOWS\system32\zahyvopu.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-04 bis 2008-10-04 ))))))))))))))))))))))))))))))
.

2008-10-04 11:42 . 2008-10-04 11:42 102,400 --a------ C:\WINDOWS\system32\vwbalmnu.exe
2008-10-03 20:13 . 2008-10-03 20:13 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Anwendungsdaten\Malwarebytes
2008-10-03 20:12 . 2008-10-03 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-03 20:12 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-03 20:12 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-03 19:58 . 2008-10-03 21:18 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP\Lokale Einstellungen
2008-10-03 19:58 . 2008-10-03 19:58 <DIR> d-------- C:\Dokumente und Einstellungen\TEMP
2008-10-03 19:55 . 2008-04-26 15:20 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Vorlagen
2008-10-03 19:55 . 2008-04-26 16:09 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Startmenü
2008-10-03 19:55 . 2008-04-26 16:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Netzwerkumgebung
2008-10-03 19:55 . 2008-04-26 16:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Lokale Einstellungen
2008-10-03 19:55 . 2008-10-03 19:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Favoriten
2008-10-03 19:55 . 2008-10-03 19:56 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Eigene Dateien
2008-10-03 19:55 . 2008-04-26 16:09 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Druckumgebung
2008-10-03 19:55 . 2008-10-03 20:13 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Anwendungsdaten
2008-10-03 19:55 . 2008-10-03 20:10 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.GIANNINA
2008-10-03 19:02 . 2008-10-03 19:15 2,432 --a------ C:\WINDOWS\system32\tmp.reg
2008-10-02 23:47 . 2008-10-03 14:01 624 --a------ C:\WINDOWS\wininit.ini
2008-10-02 22:33 . 2008-10-02 22:34 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-10-02 22:33 . 2008-10-02 22:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-02 19:51 . 2004-08-04 00:57 221,184 --a------ C:\WINDOWS\system32\wmpns.dll
2008-10-02 14:37 . 2008-10-04 13:24 <DIR> d-------- C:\Temp

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-04 11:20 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-10-02 12:50 81,920 ----a-w C:\WINDOWS\DUMP566d.tmp
2008-10-02 12:49 81,920 ----a-w C:\WINDOWS\DUMP27ea.tmp
2008-09-27 15:36 --------- d-----w C:\Programme\Picasa2
2008-08-26 15:24 --------- d-s---w C:\Programme\Gemeinsame Dateien\Teknum Systems
2008-08-26 09:16 26,624 ----a-w C:\WINDOWS\system32\ssmenu.dll
2008-08-26 09:16 --------- d-----w C:\Programme\HandyBits
.

------- Sigcheck -------

2006-01-31 15:47 359808 77c0c5e7d6cfe2052b8cf28b8722f528 C:\WINDOWS\system32\drivers\tcpip.sys
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IntelliPoint"="C:\Programme\Microsoft IntelliPoint\point32.exe" [2003-05-16 163840]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 132496]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-05-27 413696]
"SoundMan"="SOUNDMAN.EXE" [2003-11-13 C:\WINDOWS\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="move" [X]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-04 44544]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2008-05-05 124400]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=oiahmk.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=

.
Inhalt des "geplante Tasks" Ordners

2008-07-23 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-04 13:27:16
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\ComboFix\pv.cfexe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-04 13:29:09 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-10-04 11:29:05
ComboFix2.txt 2008-10-03 19:17:59
ComboFix3.txt 2008-10-03 17:58:35

Vor Suchlauf: 6 Verzeichnis(se), 24,937,205,760 Bytes frei
Nach Suchlauf: 8 Verzeichnis(se), 24,937,836,544 Bytes frei

172
Avengerlog

Zitat

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry value "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.
malwear

Zitat

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1226
Windows 5.1.2600 Service Pack 2

2008-10-04 14:07:24
mbam-log-2008-10-04 (14-07-24).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 79166
Laufzeit: 19 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 37

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\xpre (Trojan.Downloader) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WDOXIJOH\nd82m0[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WLKJ83GV\upd105320[1] (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\R2lhbm5pbmE\asappsrv.dll.vir (Adware.CommAd) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\ddcDvvVO.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\hkyfuyek.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\hovmuk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\jlqshtej.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\oiahmk.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\tsokvlbn.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\uixusc.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\wlmstwko.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\rontz\FK7622Z.exe.vir (Adware.Webhancer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP90\A0011467.exe (Adware.CommAd) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP90\A0011472.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP91\A0011589.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP91\A0011647.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP91\A0011650.exe (Adware.Webhancer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP91\A0011651.exe (Adware.Webhancer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP91\A0011656.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP91\A0011796.dll (Adware.Webhancer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP91\A0011797.dll (Adware.Webhancer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP91\A0011823.exe (Trojan.Downloade) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP91\A0011825.exe (Trojan.Inject) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP92\A0012358.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP93\A0012587.dll (Adware.CommAd) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP93\A0012594.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP93\A0012595.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP93\A0012597.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP93\A0012600.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP93\A0012604.exe (Adware.Webhancer) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP93\A0012605.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP93\A0012606.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP93\A0012608.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{0EB7E738-5A03-4FD8-8AC0-E83374FD6285}\RP93\A0012676.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\prun.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\rasesnet.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\TDSSa30e.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
hmm, jetzt sind die dateien die virenfinder mir genannt hat alle 0 bites groß und können nicht analysiert werden von dem onlinevirenscan ... wahrscheinlich hat die malwear jetzt alle gelöscht ???




aber es scheint jetzt weg zu sein ... hoffentlich ist das nicht nur so n dummer vorführeffekt ^^

echt, vielen vielen Dank an euch :)
Dieser Beitrag wurde am 04.10.2008 um 14:36 Uhr von Schokoknacker editiert.
Seitenanfang Seitenende
05.10.2008, 00:16
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#7 Hallo Schokoknacker

1.
lösche, falls du es findest: C:\WINDOWS\system32\vwbalmnu.exe

2008-10-04 11:42 . 2008-10-04 11:42 102,400 --a------ C:\WINDOWS\system32\vwbalmnu.exe

---------------------------------------------

2.
ComboFix entfernen
Ausführen bei Windows XP :

Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

3.
lade zoek + poste hier den Report
http://virus-protect.org/artikel/tools/zoek.html

4.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs
- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute
- bestätige, dass der Rechner neu gestartet wird - klicke "yes"

5.
lade RSIT.exe - anwenden laut Anleitung
und poste den report
http://virus-protect.org/artikel/tools/random.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
05.10.2008, 12:08
...neu hier

Themenstarter

Beiträge: 9
#8 ======C:\WINDOWS====
----a-w 0 2008-10-05 10:01:37 C:\WINDOWS\0.log
--s-a-w 2,048 2008-10-05 10:01:35 C:\WINDOWS\bootstat.dat
----a-w 81,920 2008-10-02 12:49:18 C:\WINDOWS\DUMP27ea.tmp
----a-w 81,920 2008-10-02 12:50:10 C:\WINDOWS\DUMP566d.tmp
----a-w 42,350 2008-08-14 05:53:24 C:\WINDOWS\ModemLog_Intel(R) 537EA Modem.txt
----a-w 49 2008-09-30 15:53:11 C:\WINDOWS\NeroDigital.ini
----a-w 400 2008-10-04 13:09:20 C:\WINDOWS\ODBC.INI
----a-w 32,644 2008-10-05 09:07:11 C:\WINDOWS\SchedLgU.Txt
----a-w 0 2008-10-04 12:54:42 C:\WINDOWS\Sti_Trace.log
----a-w 246 2008-10-04 11:27:15 C:\WINDOWS\system.ini
----a-w 36 2008-08-26 09:16:04 C:\WINDOWS\TSNPL.dat
----a-w 281 2008-10-04 13:08:24 C:\WINDOWS\Verknüpfung mit (D) BACKUP.lnk
----a-w 430 2008-10-04 12:55:05 C:\WINDOWS\wiadebug.log
----a-w 50 2008-10-04 12:54:43 C:\WINDOWS\wiaservc.log
----a-w 21,047 2008-10-05 10:01:52 C:\WINDOWS\WindowsUpdate.log
----a-w 624 2008-10-03 12:01:33 C:\WINDOWS\wininit.ini

Entries: 16 (15)
Directories: 0 Files: 16
Bytes: 264,045 Blocks: 522
======C:\WINDOWS\system32=====
----a-w 15 2008-10-03 15:40:10 C:\WINDOWS\System32\c34bd0d3-.txt
----a-w 664 2008-09-23 15:55:30 C:\WINDOWS\System32\d3d9caps.dat
----a-w 110,992 2008-09-10 17:58:19 C:\WINDOWS\System32\FNTCACHE.DAT
----a-w 26,624 2008-08-26 09:16:01 C:\WINDOWS\System32\ssmenu.dll
----a-w 2,432 2008-10-03 17:15:46 C:\WINDOWS\System32\tmp.reg
----a-w 0 2008-10-03 17:15:46 C:\WINDOWS\System32\tmp.txt
----a-w 1,580 2008-08-26 09:16:02 C:\WINDOWS\System32\tsdigsgn.dat
----a-w 2,020,864 2008-08-26 09:16:01 C:\WINDOWS\System32\VCL50.bpl
----a-w 66,048 2008-08-26 09:16:01 C:\WINDOWS\System32\VCLSMP50.bpl
----a-w 248,832 2008-08-26 09:16:00 C:\WINDOWS\System32\VCLX50.bpl
----a-w 2,206 2008-10-02 09:22:11 C:\WINDOWS\System32\wpa.dbl

Entries: 11 (11)
Directories: 0 Files: 11
Bytes: 2,480,257 Blocks: 4,848
======C:\WINDOWS\system32\drivers=====
----a-w 17,200 2008-09-09 22:03:56 C:\WINDOWS\System32\drivers\mbam.sys
----a-w 38,528 2008-09-09 22:04:02 C:\WINDOWS\System32\drivers\mbamswissarmy.sys

Entries: 2 (2)
Directories: 0 Files: 2
Bytes: 55,728 Blocks: 110
=======C:\Programme=====
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
=======C:=====
----a-w 1,132 2008-10-04 11:36:27 C:\avenger.txt
----a-w 9,133 2008-10-04 11:29:10 C:\ComboFix.txt
--sha-w 805,306,368 2008-10-05 10:01:32 C:\pagefile.sys
----a-w 267,395 2008-10-03 17:19:17 C:\rapport.txt

Entries: 4 (3)
Directories: 0 Files: 4
Bytes: 805,584,028 Blocks: 1,573,408
======C:\Dokumente und Einstellungen\Administrator.GIANNINA\Anwendungsdaten======
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
======C:\Temp======
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
======C:\Dokumente und Einstellungen\Administrator.GIANNINA======
---ha-w 1,310,720 2008-10-05 09:07:08 C:\Dokumente und Einstellungen\Administrator.GIANNINA\NTUSER.DAT
---ha-w 24,576 2008-10-05 10:07:15 C:\Dokumente und Einstellungen\Administrator.GIANNINA\NtUser.dat.LOG
--sh--w 300 2008-10-05 09:07:08 C:\Dokumente und Einstellungen\Administrator.GIANNINA\ntuser.ini

Entries: 3 (0)
Directories: 0 Files: 3
Bytes: 1,335,596 Blocks: 2,609
======C:\WINDOWS\Downloaded Program Files====
Entries: 0 (0)
Directories: 0 Files: 0
Bytes: 0 Blocks: 0
=============



avenger

Zitat

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry value "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.
rsit1

Zitat

info.txt logfile of random's system information tool 1.04 2008-10-05 12:14:04

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)-->MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Apple Software Update-->MsiExec.exe /I{02DFF6B1-1654-411C-8D7B-FD6052EF016F}
CCleaner (remove only)-->"D:\Programme\CCleaner\uninst.exe"
Google Earth-->MsiExec.exe /I{97C0EA4A-1A0B-4C53-ACEB-49984DA79C90}
Google Toolbar for Internet Explorer-->MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29}
Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\programme\google\googletoolbar1.dll"
Google Updater-->"C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall
HandyBits EasyCrypto Deluxe-->"C:\Programme\Gemeinsame Dateien\Teknum Systems\tsUninst.exe" "C:\Programme\HandyBits\EasyCrypto\HandyBits EasyCrypto Deluxe.del"
Haufe iDesk-Browser-->MsiExec.exe /X{043671DC-DE3A-4A5B-B7A2-34F7DF6F5523}
Haufe iDesk-Service-->MsiExec.exe /X{A4E86B6A-6EEC-41FD-8960-26947F0E3353}
HijackThis 2.0.2-->"D:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Intel(R) 537EA Modem-->rundll32 IntelCdi.dll,iSMUninstallation "Intel(R) 537EA Modem"
Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Malwarebytes' Anti-Malware-->"D:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Nero Media Player-->C:\WINDOWS\UNNMP.exe /UNINSTALL
Nero OEM-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NeroVision Express 2-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
Picasa 2-->"C:\Programme\Picasa2\Uninstall.exe"
QuickTime-->MsiExec.exe /I{08CA9554-B5FE-4313-938F-D4A417B81175}
Rainlendar2 (remove only)-->"D:\Programme\Rainlendar2\uninst.exe"
RON Tool Innbanner-->C:\WINDOWS\system32\gkvzulkgkfa.exe
Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe"
Steuer 2007-->C:\Programme\InstallShield Installation Information\{5E8C42DD-7E43-462C-84CC-99E5BBE3E101}\Setup.exe -runfromtemp -l0x0007 -removeonly
Steuer Hilfesammlung-->MsiExec.exe /X{B754B683-E23C-4583-9312-50AD86836B42}
Texas Instruments PCI7620 drivers.-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{F16F258A-6300-4A1C-BC49-7929EFF455E2}
WinRAR-->C:\Programme\WinRAR\uninstall.exe
X10 Hardware(TM)-->C:\WINDOWS\UNWISE.EXE C:\PROGRA~1\X10HAR~1\Install.log

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Programme\Haufe\iDesk\iDeskService;C:\Programme\QuickTime\QTSystem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0209
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Programme\Java\jre1.6.0_02\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre1.6.0_02\lib\ext\QTJava.zip

-----------------EOF-----------------
rsit2

Zitat

Logfile of random's system information tool 1.04 (written by random/random)
Run by Administrator at 2008-10-05 12:13:46
Microsoft Windows XP Professional Service Pack 2
System drive C: has 24 GB (84%) free of 29 GB
Total RAM: 511 MB (61% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:14, on 2008-10-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator.GIANNINA\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MB6DKFY5\RSIT[1].exe
D:\Programme\Trend Micro\HijackThis\Administrator.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Rainlendar2] D:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5605 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2008-07-07 1562448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll [2007-07-12 501136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - c:\programme\google\googletoolbar1.dll [2008-05-05 2427968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll [2008-09-23 737776]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\programme\google\googletoolbar1.dll [2008-05-05 2427968]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2003-11-13 62464]
"IntelliPoint"=C:\Programme\Microsoft IntelliPoint\point32.exe [2003-05-16 163840]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"SunJavaUpdateSched"=C:\Programme\Java\jre1.6.0_02\bin\jusched.exe [2007-07-12 132496]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2008-05-27 413696]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2004-10-13 1694208]
"Rainlendar2"=D:\Programme\Rainlendar2\Rainlendar2.exe [2007-12-30 1365504]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
nwprovau

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoSMHelp"=1
"NoSMConfigurePrograms"=1
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=
"NoDrives"=
"NoDriveAutoRun"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2008-10-05 12:13:46 ----D---- C:\rsit
2008-10-05 12:09:31 ----D---- C:\Avenger
2008-10-05 12:09:31 ----A---- C:\avenger.txt
2008-10-05 12:04:58 ----D---- C:\ComboFix
2008-10-04 13:45:09 ----SHD---- C:\RECYCLER
2008-10-04 13:34:29 ----D---- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Anwendungsdaten\WinRAR
2008-10-04 13:29:13 ----D---- C:\WINDOWS\temp
2008-10-04 13:29:10 ----A---- C:\ComboFix.txt
2008-10-03 20:13:00 ----D---- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Anwendungsdaten\Malwarebytes
2008-10-03 20:12:52 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-03 19:58:34 ----D---- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Anwendungsdaten\Macromedia
2008-10-03 19:58:34 ----D---- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Anwendungsdaten\Adobe
2008-10-03 19:58:19 ----D---- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Anwendungsdaten\Google
2008-10-03 19:55:59 ----D---- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Anwendungsdaten\Identities
2008-10-03 19:55:22 ----ASH---- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Anwendungsdaten\desktop.ini
2008-10-03 19:55:21 ----SD---- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Anwendungsdaten\Microsoft
2008-10-03 19:41:30 ----D---- C:\WINDOWS\erdnt
2008-10-03 19:02:47 ----A---- C:\WINDOWS\system32\tmp.txt
2008-10-03 18:54:16 ----A---- C:\rapport.txt
2008-10-02 23:47:18 ----A---- C:\WINDOWS\wininit.ini
2008-10-02 22:33:46 ----D---- C:\Programme\Spybot - Search & Destroy
2008-10-02 22:33:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-02 19:51:19 ----A---- C:\WINDOWS\system32\wmpns.dll
2008-10-02 14:47:14 ----D---- C:\WINDOWS\Minidump
2008-10-02 14:43:08 ----A---- C:\WINDOWS\system32\c34bd0d3-.txt
2008-10-02 14:37:26 ----D---- C:\Temp
2008-10-02 14:35:46 ----D---- C:\Programme\WinRAR

======List of files/folders modified in the last 1 months======

2008-10-05 12:13:43 ----D---- C:\WINDOWS\Prefetch
2008-10-05 12:09:31 ----D---- C:\WINDOWS\system32\drivers
2008-10-05 12:09:00 ----A---- C:\WINDOWS\SchedLgU.Txt
2008-10-05 12:05:32 ----SHD---- C:\System Volume Information
2008-10-05 12:05:32 ----D---- C:\WINDOWS\system32\Restore
2008-10-05 12:05:17 ----D---- C:\WINDOWS
2008-10-05 12:05:11 ----D---- C:\WINDOWS\system32
2008-10-04 15:09:20 ----A---- C:\WINDOWS\ODBC.INI
2008-10-04 15:09:19 ----SHD---- C:\WINDOWS\Installer
2008-10-04 13:28:33 ----D---- C:\WINDOWS\system32\CatRoot2
2008-10-04 13:27:15 ----A---- C:\WINDOWS\system.ini
2008-10-04 13:25:47 ----D---- C:\WINDOWS\system32\config
2008-10-04 13:25:02 ----D---- C:\Programme\Gemeinsame Dateien
2008-10-04 13:25:01 ----D---- C:\WINDOWS\AppPatch
2008-10-04 13:24:07 ----RD---- C:\Programme
2008-10-04 13:20:41 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-10-03 20:10:16 ----D---- C:\WINDOWS\Debug
2008-10-03 19:58:39 ----D---- C:\Dokumente und Einstellungen
2008-10-03 10:41:31 ----D---- C:\WINDOWS\Registration
2008-10-02 20:04:35 ----SD---- C:\WINDOWS\Downloaded Program Files
2008-10-02 14:50:10 ----A---- C:\WINDOWS\DUMP566d.tmp
2008-10-02 14:49:18 ----A---- C:\WINDOWS\DUMP27ea.tmp
2008-09-30 17:53:11 ----A---- C:\WINDOWS\NeroDigital.ini
2008-09-27 17:36:47 ----D---- C:\Programme\Picasa2
2008-09-19 11:48:36 ----HD---- C:\WINDOWS\inf
2008-09-10 16:15:26 ----RSD---- C:\WINDOWS\Fonts

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-04 40192]
R2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2004-08-03 87424]
R2 NwlnkIpx;NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll; C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys [2004-08-03 88448]
R2 NwlnkNb;NWLink-NetBIOS; C:\WINDOWS\system32\DRIVERS\nwlnknb.sys [2001-08-18 63232]
R2 NwlnkSpx;NWLink SPX/SPXII-Protokoll; C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys [2001-08-18 55936]
R3 ALCXSENS;Service for WDM 3D Audio Driver; C:\WINDOWS\system32\drivers\ALCXSENS.SYS [2003-11-13 391680]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2003-11-13 481596]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2006-01-31 60800]
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-03 14080]
R3 IntelC51;IntelC51; C:\WINDOWS\system32\DRIVERS\IntelC51.sys [2004-01-19 1086853]
R3 IntelC52;IntelC52; C:\WINDOWS\system32\DRIVERS\IntelC52.sys [2004-01-19 619369]
R3 IntelC53;IntelC53; C:\WINDOWS\system32\DRIVERS\IntelC53.sys [2004-01-19 77925]
R3 MODEMCSA;Unimodem-Datenstromfiltergerät; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128]
R3 mohfilt;mohfilt; C:\WINDOWS\system32\DRIVERS\mohfilt.sys [2004-01-19 31440]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2006-01-31 61824]
R3 NSCIRDA;NSC-Infrarotgerätetreiber; C:\WINDOWS\system32\DRIVERS\nscirda.sys [2004-08-03 28672]
R3 NWRDR;NetWare Rdr; C:\WINDOWS\system32\DRIVERS\nwrdr.sys [2004-08-03 163584]
R3 Point32;Microsoft IntelliPoint Filter Driver; C:\WINDOWS\system32\DRIVERS\point32.sys [2003-05-16 19072]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
R3 tifm;tifm; C:\WINDOWS\system32\drivers\tifm.sys [2003-07-07 63488]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
S3 catchme;catchme; \??\C:\ComboFix\catchme.sys []
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-18 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 gusvc;Google Updater Service; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-05-05 137200]
R2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
R2 NWCWorkstation;Client Service für NetWare; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480]

-----------------EOF-----------------
Dieser Beitrag wurde am 05.10.2008 um 12:15 Uhr von Schokoknacker editiert.
Seitenanfang Seitenende
05.10.2008, 12:15
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#9 Hallo Schokoknacker

lade RSIT.exe - anwenden laut Anleitung
und poste den report
http://virus-protect.org/artikel/tools/random.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.10.2008, 11:25
...neu hier

Themenstarter

Beiträge: 9
#10 hehe, ihr seid zu schnell für mich ^^
hatte es noch reineditiert, aber hast du schon geantwortet gehabt ...
also nochmal ;)

rsit1

Zitat

info.txt logfile of random's system information tool 1.04 2008-10-05 12:14:04

======Uninstall list======

-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742)-->MsiExec.exe /X{6846389C-BAC0-4374-808E-B120F86AF5D7}
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player Plugin-->C:\WINDOWS\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Reader 8.1.2 - Deutsch-->MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Apple Software Update-->MsiExec.exe /I{02DFF6B1-1654-411C-8D7B-FD6052EF016F}
CCleaner (remove only)-->"D:\Programme\CCleaner\uninst.exe"
Google Earth-->MsiExec.exe /I{97C0EA4A-1A0B-4C53-ACEB-49984DA79C90}
Google Toolbar for Internet Explorer-->MsiExec.exe /I{DBEA1034-5882-4A88-8033-81C4EF0CFA29}
Google Toolbar for Internet Explorer-->regsvr32 /u /s "c:\programme\google\googletoolbar1.dll"
Google Updater-->"C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall
HandyBits EasyCrypto Deluxe-->"C:\Programme\Gemeinsame Dateien\Teknum Systems\tsUninst.exe" "C:\Programme\HandyBits\EasyCrypto\HandyBits EasyCrypto Deluxe.del"
Haufe iDesk-Browser-->MsiExec.exe /X{043671DC-DE3A-4A5B-B7A2-34F7DF6F5523}
Haufe iDesk-Service-->MsiExec.exe /X{A4E86B6A-6EEC-41FD-8960-26947F0E3353}
HijackThis 2.0.2-->"D:\Programme\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Intel(R) 537EA Modem-->rundll32 IntelCdi.dll,iSMUninstallation "Intel(R) 537EA Modem"
Java(TM) 6 Update 2-->MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0160020}
Malwarebytes' Anti-Malware-->"D:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 2.0-->C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Microsoft .NET Framework 2.0\install.exe
Microsoft Office Professional Edition 2003-->MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Nero Media Player-->C:\WINDOWS\UNNMP.exe /UNINSTALL
Nero OEM-->C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NeroVision Express 2-->C:\WINDOWS\UNNeroVision.exe /UNINSTALL
Picasa 2-->"C:\Programme\Picasa2\Uninstall.exe"
QuickTime-->MsiExec.exe /I{08CA9554-B5FE-4313-938F-D4A417B81175}
Rainlendar2 (remove only)-->"D:\Programme\Rainlendar2\uninst.exe"
RON Tool Innbanner-->C:\WINDOWS\system32\gkvzulkgkfa.exe
Spybot - Search & Destroy-->"C:\Programme\Spybot - Search & Destroy\unins000.exe"
Steuer 2007-->C:\Programme\InstallShield Installation Information\{5E8C42DD-7E43-462C-84CC-99E5BBE3E101}\Setup.exe -runfromtemp -l0x0007 -removeonly
Steuer Hilfesammlung-->MsiExec.exe /X{B754B683-E23C-4583-9312-50AD86836B42}
Texas Instruments PCI7620 drivers.-->C:\PROGRA~1\GEMEIN~1\INSTAL~1\Driver\7\INTEL3~1\IDriver.exe /M{F16F258A-6300-4A1C-BC49-7929EFF455E2}
WinRAR-->C:\Programme\WinRAR\uninstall.exe
X10 Hardware(TM)-->C:\WINDOWS\UNWISE.EXE C:\PROGRA~1\X10HAR~1\Install.log

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%systemroot%\system32;%systemroot%;%systemroot%\system32\wbem;C:\Programme\Haufe\iDesk\iDeskService;C:\Programme\QuickTime\QTSystem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=15
"PROCESSOR_IDENTIFIER"=x86 Family 15 Model 2 Stepping 9, GenuineIntel
"PROCESSOR_REVISION"=0209
"NUMBER_OF_PROCESSORS"=2
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"CLASSPATH"=.;C:\Programme\Java\jre1.6.0_02\lib\ext\QTJava.zip
"QTJAVA"=C:\Programme\Java\jre1.6.0_02\lib\ext\QTJava.zip

-----------------EOF-----------------
rsit2

Zitat

Logfile of random's system information tool 1.04 (written by random/random)
Run by Administrator at 2008-10-05 12:13:46
Microsoft Windows XP Professional Service Pack 2
System drive C: has 24 GB (84%) free of 29 GB
Total RAM: 511 MB (61% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:14, on 2008-10-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Administrator.GIANNINA\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MB6DKFY5\RSIT[1].exe
D:\Programme\Trend Micro\HijackThis\Administrator.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Rainlendar2] D:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - Cmdmapping - (no file) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5605 bytes

======Scheduled tasks folder======

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
Spybot-S&D IE Protection - C:\PROGRA~1\SPYBOT~1\SDHelper.dll [2008-07-07 1562448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
SSVHelper Class - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll [2007-07-12 501136]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}]
Google Toolbar Helper - c:\programme\google\googletoolbar1.dll [2008-05-05 2427968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}]
Google Toolbar Notifier BHO - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll [2008-09-23 737776]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
{2318C2B1-4965-11d4-9B18-009027A5CD4F} - &Google - c:\programme\google\googletoolbar1.dll [2008-05-05 2427968]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"=C:\WINDOWS\SOUNDMAN.EXE [2003-11-13 62464]
"IntelliPoint"=C:\Programme\Microsoft IntelliPoint\point32.exe [2003-05-16 163840]
"Adobe Reader Speed Launcher"=C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe [2008-01-11 39792]
"NeroFilterCheck"=C:\WINDOWS\system32\NeroCheck.exe [2001-07-09 155648]
"SunJavaUpdateSched"=C:\Programme\Java\jre1.6.0_02\bin\jusched.exe [2007-07-12 132496]
"QuickTime Task"=C:\Programme\QuickTime\qttask.exe [2008-05-27 413696]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe [2004-08-04 15360]
"MSMSGS"=C:\Programme\Messenger\msmsgs.exe [2004-10-13 1694208]
"Rainlendar2"=D:\Programme\Rainlendar2\Rainlendar2.exe [2007-12-30 1365504]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"authentication packages"=msv1_0
nwprovau

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoSMHelp"=1
"NoSMConfigurePrograms"=1
"NoDrives"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"NoDriveTypeAutoRun"=
"NoDrives"=
"NoDriveAutoRun"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Programme\Messenger\msmsgs.exe"="C:\Programme\Messenger\msmsgs.exe:*:Enabled:Windows Messenger"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

======List of files/folders created in the last 1 months======

2008-10-05 12:13:46 ----D---- C:\rsit
2008-10-05 12:09:31 ----D---- C:\Avenger
2008-10-05 12:09:31 ----A---- C:\avenger.txt
2008-10-05 12:04:58 ----D---- C:\ComboFix
2008-10-04 13:45:09 ----SHD---- C:\RECYCLER
2008-10-04 13:34:29 ----D---- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Anwendungsdaten\WinRAR
2008-10-04 13:29:13 ----D---- C:\WINDOWS\temp
2008-10-04 13:29:10 ----A---- C:\ComboFix.txt
2008-10-03 20:13:00 ----D---- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Anwendungsdaten\Malwarebytes
2008-10-03 20:12:52 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-03 19:58:34 ----D---- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Anwendungsdaten\Macromedia
2008-10-03 19:58:34 ----D---- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Anwendungsdaten\Adobe
2008-10-03 19:58:19 ----D---- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Anwendungsdaten\Google
2008-10-03 19:55:59 ----D---- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Anwendungsdaten\Identities
2008-10-03 19:55:22 ----ASH---- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Anwendungsdaten\desktop.ini
2008-10-03 19:55:21 ----SD---- C:\Dokumente und Einstellungen\Administrator.GIANNINA\Anwendungsdaten\Microsoft
2008-10-03 19:41:30 ----D---- C:\WINDOWS\erdnt
2008-10-03 19:02:47 ----A---- C:\WINDOWS\system32\tmp.txt
2008-10-03 18:54:16 ----A---- C:\rapport.txt
2008-10-02 23:47:18 ----A---- C:\WINDOWS\wininit.ini
2008-10-02 22:33:46 ----D---- C:\Programme\Spybot - Search & Destroy
2008-10-02 22:33:46 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-02 19:51:19 ----A---- C:\WINDOWS\system32\wmpns.dll
2008-10-02 14:47:14 ----D---- C:\WINDOWS\Minidump
2008-10-02 14:43:08 ----A---- C:\WINDOWS\system32\c34bd0d3-.txt
2008-10-02 14:37:26 ----D---- C:\Temp
2008-10-02 14:35:46 ----D---- C:\Programme\WinRAR

======List of files/folders modified in the last 1 months======

2008-10-05 12:13:43 ----D---- C:\WINDOWS\Prefetch
2008-10-05 12:09:31 ----D---- C:\WINDOWS\system32\drivers
2008-10-05 12:09:00 ----A---- C:\WINDOWS\SchedLgU.Txt
2008-10-05 12:05:32 ----SHD---- C:\System Volume Information
2008-10-05 12:05:32 ----D---- C:\WINDOWS\system32\Restore
2008-10-05 12:05:17 ----D---- C:\WINDOWS
2008-10-05 12:05:11 ----D---- C:\WINDOWS\system32
2008-10-04 15:09:20 ----A---- C:\WINDOWS\ODBC.INI
2008-10-04 15:09:19 ----SHD---- C:\WINDOWS\Installer
2008-10-04 13:28:33 ----D---- C:\WINDOWS\system32\CatRoot2
2008-10-04 13:27:15 ----A---- C:\WINDOWS\system.ini
2008-10-04 13:25:47 ----D---- C:\WINDOWS\system32\config
2008-10-04 13:25:02 ----D---- C:\Programme\Gemeinsame Dateien
2008-10-04 13:25:01 ----D---- C:\WINDOWS\AppPatch
2008-10-04 13:24:07 ----RD---- C:\Programme
2008-10-04 13:20:41 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-10-03 20:10:16 ----D---- C:\WINDOWS\Debug
2008-10-03 19:58:39 ----D---- C:\Dokumente und Einstellungen
2008-10-03 10:41:31 ----D---- C:\WINDOWS\Registration
2008-10-02 20:04:35 ----SD---- C:\WINDOWS\Downloaded Program Files
2008-10-02 14:50:10 ----A---- C:\WINDOWS\DUMP566d.tmp
2008-10-02 14:49:18 ----A---- C:\WINDOWS\DUMP27ea.tmp
2008-09-30 17:53:11 ----A---- C:\WINDOWS\NeroDigital.ini
2008-09-27 17:36:47 ----D---- C:\Programme\Picasa2
2008-09-19 11:48:36 ----HD---- C:\WINDOWS\inf
2008-09-10 16:15:26 ----RSD---- C:\WINDOWS\Fonts

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 intelppm;Intel-Prozessortreiber; C:\WINDOWS\system32\DRIVERS\intelppm.sys [2004-08-04 40192]
R2 irda;IrDA-Protokoll; C:\WINDOWS\system32\DRIVERS\irda.sys [2004-08-03 87424]
R2 NwlnkIpx;NWLink IPX/SPX/NetBIOS-kompatibles Transportprotokoll; C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys [2004-08-03 88448]
R2 NwlnkNb;NWLink-NetBIOS; C:\WINDOWS\system32\DRIVERS\nwlnknb.sys [2001-08-18 63232]
R2 NwlnkSpx;NWLink SPX/SPXII-Protokoll; C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys [2001-08-18 55936]
R3 ALCXSENS;Service for WDM 3D Audio Driver; C:\WINDOWS\system32\drivers\ALCXSENS.SYS [2003-11-13 391680]
R3 ALCXWDM;Service for Realtek AC97 Audio (WDM); C:\WINDOWS\system32\drivers\ALCXWDM.SYS [2003-11-13 481596]
R3 Arp1394;1394-ARP-Clientprotokoll; C:\WINDOWS\system32\DRIVERS\arp1394.sys [2006-01-31 60800]
R3 CmBatt;Microsoft-Netzteiltreiber; C:\WINDOWS\system32\DRIVERS\CmBatt.sys [2004-08-03 14080]
R3 IntelC51;IntelC51; C:\WINDOWS\system32\DRIVERS\IntelC51.sys [2004-01-19 1086853]
R3 IntelC52;IntelC52; C:\WINDOWS\system32\DRIVERS\IntelC52.sys [2004-01-19 619369]
R3 IntelC53;IntelC53; C:\WINDOWS\system32\DRIVERS\IntelC53.sys [2004-01-19 77925]
R3 MODEMCSA;Unimodem-Datenstromfiltergerät; C:\WINDOWS\system32\drivers\MODEMCSA.sys [2001-08-17 16128]
R3 mohfilt;mohfilt; C:\WINDOWS\system32\DRIVERS\mohfilt.sys [2004-01-19 31440]
R3 NIC1394;1394-Netzwerktreiber; C:\WINDOWS\system32\DRIVERS\nic1394.sys [2006-01-31 61824]
R3 NSCIRDA;NSC-Infrarotgerätetreiber; C:\WINDOWS\system32\DRIVERS\nscirda.sys [2004-08-03 28672]
R3 NWRDR;NetWare Rdr; C:\WINDOWS\system32\DRIVERS\nwrdr.sys [2004-08-03 163584]
R3 Point32;Microsoft IntelliPoint Filter Driver; C:\WINDOWS\system32\DRIVERS\point32.sys [2003-05-16 19072]
R3 Rasirda;WAN-Miniport (IrDA); C:\WINDOWS\system32\DRIVERS\rasirda.sys [2001-08-17 19584]
R3 rtl8139;NT-Treiber für Realtek RTL8139(A/B/C)-basierten PCI-Fast Ethernet-Adapter; C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
R3 tifm;tifm; C:\WINDOWS\system32\drivers\tifm.sys [2003-07-07 63488]
R3 usbehci;Miniporttreiber für erweiterten Microsoft USB 2.0-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;USB2-aktivierter Hub; C:\WINDOWS\system32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbuhci;Miniporttreiber für universellen Microsoft USB-Hostcontroller; C:\WINDOWS\system32\DRIVERS\usbuhci.sys [2004-08-03 20480]
S3 catchme;catchme; \??\C:\ComboFix\catchme.sys []
S3 HidUsb;Microsoft HID Class-Treiber; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
S3 mouhid;Maus-HID-Treiber; C:\WINDOWS\system32\DRIVERS\mouhid.sys [2001-08-18 12288]
S3 USBSTOR;USB-Massenspeichertreiber; C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S4 WS2IFSL;Windows Socket 2.0 Non-IFS-Dienstanbieter-Unterstützungsumgebung; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-18 12032]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 gusvc;Google Updater Service; C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-05-05 137200]
R2 Irmon;Infrarotüberwachung; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
R2 NWCWorkstation;Client Service für NetWare; C:\WINDOWS\system32\svchost.exe [2004-08-04 14336]
S3 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S3 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S3 IDriverT;InstallDriver Table Manager; C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe [2004-10-22 73728]
S3 ose;Office Source Engine; C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE [2003-07-28 89136]
S3 x10nets;X10 Device Network Service; C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe [2001-11-12 20480]

-----------------EOF-----------------
Seitenanfang Seitenende
06.10.2008, 11:57
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Hallo,Schokoknacker

««
es ist wieder alles i.o. ;)
falls du keinen Virenscanner hast, so lade Antivirus free (mit Guard)
http://virus-protect.org/antivirus.html

««
ComboFix entfernen
Ausführen bei Windows XP :

Start - Ausführen - Kopiere rein: Combofix /U
- klicke "OK"

««
falls es noch Probleme gibt - melde dich.
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
06.10.2008, 12:03
...neu hier

Themenstarter

Beiträge: 9
#12 Jippie ;)

vielen vielen Dank !!! tolle Hilfe
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: