Virus Alert! in der Startleiste

#16 Hallo Sabina,

schon einmal vielen Dank, dass Du Dich meiner annimmst...

Habe mit CCleaner alles gelöscht und combofix ausgeführt. Bin bis Stufe 18 gekommen, dann hat sich alles aufgehangen und nichts ging mehr... also Neustart. Jetzt ist auch "Virus Alert" wieder da... Eine Idee?

Ich mach jetzt die Kiste aus, sitze seit 7:00 heute morgen vorm PC... Ich guck morgen von der Arbeit aus mal rein ob Du noch einen Tipp hast. DANKE!

#17 Hallo BGO

«
scanne mit malwarebytes (vorher bitte updaten), erst im normalmodus, dann im abgesicherten modus
http://virus-protect.org/artikel/tools/malwarebytes.html

«
lade findykill - wende Option 1 an + poste den report unter C:\FindyKill.txt
http://virus-protect.org/artikel/tools/findykill.html

««
dann versuche es noch mal mit combofix
__________
MfG Sabina

rund um die PC-Sicherheit

#18 Hi Sabina,

ich habe gestern schonmal Malwarebytes durchlaufen lassen, dabei wurde auch 30 Objekte entfernt. Hat allerdings 45 Minuten gedauert und ich hatte keine Zeit mehr nochmal im abgesicherten Modus zu scannen. Die weiteren Ergebnisse folgen heute Nachmittag/Abend...

#19 gut - poste dann die logs...
__________
MfG Sabina

rund um die PC-Sicherheit

#20 Hallo!

Von wegen... Ich hab versucht den Rechner im abgesicherten Modus zu starten und ich trau mich kaum es zu schreiben, aber ich schaffs nicht! Mit F8, so wie man es kennt, komme ich zwar ins Boot Menue, aber da kann ich nur die Devices auswählen und dann startet Windows halt ganz normal. Auch alles andere funktioniert nicht bzw führt höchstens ins Bios... Wat nu?


Hier das nächste Problem:

Wenn ich findykill laden will bekomme ich eine Seite mit folgender Meldung, egal über welchen Browser ich gehe...

Objet non trouvé !

L'URL requise n'a pu être trouvée sur ce serveur. Si vous avez tapé l'URL à la main, veuillez vérifier l'orthographe et réessayer.

Si vous pensez qu'il s'agit d'une erreur du serveur, veuillez contacter un administrateur à cette adresse : archive.host@gmail.com

Seite offline, oder wie?

*** EDIT: Jetzt gehts... ok, lass ich das auch nochmal durchlaufen ***

Naja, jedenfalls habe ich jetzt nochmal Combofix gestartet und diesesmal ist es glücklicherweise durchgelaufen. Jedenfalls läuft Firefox jetzt wieder, die Systemsteuerung ist wieder da und auch in den Task Manager komme ich auch wieder rein. Im übrigen hat Combofix auch noch die Wiederherstellungskonsole installiert.

Hier das Logfile von Combofix:

ComboFix 08-10-16.08 - Björn 2008-10-17 16:41:58.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2761 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Björn\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\system32\tfnbjuls.ini
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\TomTom\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\privacy_danger

----- BITS: Eventuell infizierte Webseiten -----

hxxp://simon.elementfx.com
.
((((((((((((((((((((((( Dateien erstellt von 2008-09-17 bis 2008-10-17 ))))))))))))))))))))))))))))))
.

2008-10-16 16:47 . 2008-10-16 16:47 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-16 16:47 . 2008-10-16 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Malwarebytes
2008-10-16 16:47 . 2008-10-16 16:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-16 16:47 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-16 16:47 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-16 16:29 . 2008-10-16 16:29 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-10-16 16:29 . 2008-10-16 16:29 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\SUPERAntiSpyware.com
2008-10-16 16:29 . 2008-10-16 16:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-10-15 20:19 . 2008-10-15 20:19 <DIR> d-------- C:\Programme\CCleaner
2008-10-15 19:31 . 2008-10-15 19:31 95 --a------ C:\WINDOWS\wininit.ini
2008-10-15 19:18 . 2008-10-15 19:18 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-10-15 19:18 . 2008-10-15 20:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-10-15 18:59 . 2008-10-15 20:02 3,462 --a------ C:\WINDOWS\system32\tmp.reg
2008-10-15 17:40 . 2008-10-15 17:40 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Spore
2008-10-15 17:06 . 2008-10-15 17:06 <DIR> dr-h----- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\SecuROM
2008-10-15 17:01 . 2008-10-15 17:43 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\SPORE Creature Creator
2008-10-15 17:01 . 2008-10-15 17:01 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-10-15 16:38 . 2008-10-15 16:38 <DIR> d--h----- C:\WINDOWS\PIF
2008-10-15 16:08 . 2008-10-15 16:08 <DIR> d-------- C:\Programme\uTorrent
2008-10-15 16:08 . 2008-10-15 17:33 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\uTorrent
2008-10-11 11:14 . 2008-10-11 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\.SunDownloadManager
2008-10-11 11:14 . 2008-10-11 11:16 <DIR> d-------- C:\Dokumente und Einstellungen\Björn\.SunDownloadManager
2008-10-10 18:07 . 2008-10-10 18:13 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-10-10 18:07 . 2008-10-10 18:07 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-10-10 18:06 . 2008-10-10 18:06 <DIR> d-------- C:\Programme\Kaspersky Lab
2008-10-10 18:06 . 2008-10-17 16:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-10-10 18:06 . 2008-10-17 16:44 5,522,976 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-10-10 18:06 . 2008-10-17 16:44 573,472 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-10-10 18:06 . 2008-10-17 16:44 47,372 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-10-10 18:06 . 2008-10-17 16:44 4,060 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-10-10 18:05 . 2008-10-10 18:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2008-09-30 19:25 . 2008-09-30 19:25 <DIR> d-------- C:\Dokumente und Einstellungen\Judith\Anwendungsdaten\EPSON
2008-09-21 11:35 . 2008-09-21 11:35 <DIR> d-------- C:\Dokumente und Einstellungen\Judith\Anwendungsdaten\Apple Computer

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-16 14:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-10-15 15:26 --------- d-----w C:\Programme\eMule
2008-10-15 14:59 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-26 22:41 --------- d-----w C:\Programme\ICQ6
2008-09-13 15:13 --------- d-----w C:\Dokumente und Einstellungen\Judith\Anwendungsdaten\ICQ
2008-09-10 12:43 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-09-10 12:43 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-09-07 12:13 --------- d-----w C:\Programme\TomTom HOME 2
2008-09-07 12:13 --------- d-----w C:\Dokumente und Einstellungen\TomTom\Anwendungsdaten\TomTom
2008-09-07 12:10 --------- d-----w C:\Programme\TomTom DesktopSuite
2008-09-07 12:09 --------- d-----w C:\Dokumente und Einstellungen\TomTom\Anwendungsdaten\Nero
2008-09-07 11:17 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom
2008-09-07 11:15 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\TomTom
2008-09-06 17:50 --------- d-----w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\dvdcss
2008-09-02 10:36 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bluetooth
2008-09-02 10:34 --------- d-----w C:\Programme\IVT Corporation
2008-08-26 09:42 --------- d-----w C:\Programme\iTunes
2008-08-26 09:42 --------- d-----w C:\Programme\iPod
2008-08-26 09:37 --------- d-----w C:\Programme\Apple Software Update
2008-08-17 08:50 --------- d-----w C:\Programme\Zattoo
2008-08-04 10:49 74,752 ----a-w C:\WINDOWS\cadkasdeinst01e.exe
2008-08-02 16:25 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-07-30 18:40 86,016 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2008-07-30 18:40 262,144 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2008-07-29 18:21 218,376 ----a-w C:\WINDOWS\system32\klogon.dll
2008-07-27 10:26 22,328 ----a-w C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\PnkBstrK.sys
2008-07-23 13:24 446,464 ----a-w C:\WINDOWS\system32\NVUNINST.EXE
2008-07-22 00:41 42,320 ----a-w C:\WINDOWS\system32\xfcodec.dll
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-08-03 202024]
"EPSON Stylus DX4400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE" [2007-03-01 180736]
"NVIDIA nTune"="C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" [2008-06-06 114688]
"TomTomHOME.exe"="C:\Programme\TomTom HOME 2\HOMERunner.exe" [2008-05-06 202088]
"SUPERAntiSpyware"="C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"TI WLAN"="C:\Programme\Wireless LAN Utility\TIWLANCu.exe" [2005-07-20 1159168]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 153136]
"SecurDisc"="C:\Programme\Nero8\Nero 8\InCD\NBHGui.exe" [2007-08-04 2043688]
"InCD"="C:\Programme\Nero8\Nero 8\InCD\InCD.exe" [2007-08-04 1056552]
"NBKeyScan"="C:\Programme\Nero8\Nero 8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 1828136]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2008-07-26 13570048]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2008-07-26 86016]
"AppleSyncNotifier"="C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-07-30 289064]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-07-29 206088]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2008-07-26 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2007-09-11 00:43 67488 C:\Programme\Adobe\Photoshop Elements 6.0\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
--a------ 2008-02-20 17:19 360448 C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"iPod Service"=3 (0x3)
"Nero BackItUp Scheduler 3"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2c\\RpcAgentSrv.exe"=
"C:\\Programme\\SiSoftware\\SiSoftware Sandra Lite XII.SP2c\\WNt500x86\\RpcSandraSrv.exe"=
"F:\\Spiele\\Call of Duty 4\\iw3mp.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Programme\\uTorrent\\uTorrent.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 hotcore;hotcore;C:\WINDOWS\system32\drivers\hotcore.sys [2006-01-20 18208]
R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]
R2 AdobeActiveFileMonitor6.0;Adobe Active File Monitor V6;C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe [2007-09-11 124832]
R2 NVR0FLASHDev;NVR0FLASHDev;C:\WINDOWS\nvflash.sys [2008-05-23 36640]
R2 SandraAgentSrv;SiSoftware Deployment Agent Service;C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe [2008-04-22 98488]
R2 Start BT in service;Start BT in service;C:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe [2007-12-27 51816]
R2 UpdateCenterService;Update Center Service;C:\Programme\NVIDIA Corporation\System Update\UpdateCenterService.exe [2008-05-23 114688]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
R3 TUSB1150;802.11g WLAN USB Adapter;C:\WINDOWS\system32\DRIVERS\tusb1150.sys [2005-06-03 494848]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8c56706e-5499-11dd-9b7a-00120e2eca69}]
\Shell\AutoRun\command - H:\setup\rsrc\Autorun.exe
\Shell\dinstall\command - H:\Directx\dxsetup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f8ed8b8f-1c58-11dd-9b0d-00120e2eca69}]
\Shell\Auto\command - RavMon.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMon.exe
.
Inhalt des "geplante Tasks" Ordners

2008-09-29 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Björn\Anwendungsdaten\Mozilla\Firefox\Profiles\0m6r3wjv.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-17 16:46:35
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Nero8\Nero 8\InCD\InCDsrv.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Wireless LAN Utility\tiwlnsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\iPod\bin\iPodService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-17 16:49:21 - PC wurde neu gestartet [Björn]
ComboFix-quarantined-files.txt 2008-10-17 14:49:08

Vor Suchlauf: 22 Verzeichnis(se), 172,075,167,744 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 173,499,629,568 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

225

#21 Schau mal nach was in C:\WINDOWS\wininit.ini steht und berichte
Download findykill von hier(Anhang)


__________
MfG Argus

#22 Da steht folgendes drin:

[rename]
c:\tempjunk8778.tmp=C:\WINDOWS\system32\slujbnft.dll_old
nul=c:\tempjunk8778.tmp


Findykill report:

----------------- FindyKill V4.005 ------------------

* User : Björn - BJ-15FE53FF7F02
* Emplacement : C:\Programme\FindyKill
* Outils Mis a jours le 17/10/08 par Chiquitine29
* Recherche effectuée à 19:51:26 le 17.10.2008
* Windows XP - Internet Explorer 6.0.2900.2180

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Nero8\Nero 8\InCD\InCDsrv.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\SiSoftware\SiSoftware Sandra Lite XII.SP2c\RpcAgentSrv.exe
C:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Wireless LAN Utility\tiwlnsvc.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\NVIDIA Corporation\System Update\UpdateCenterService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Wireless LAN Utility\TIWLANCu.exe
C:\Programme\Nero8\Nero 8\InCD\NBHGui.exe
C:\Programme\Nero8\Nero 8\InCD\InCD.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Presence des fichiers dans C:


»»»» Presence des fichiers dans C:\WINDOWS


»»»» Presence des fichiers dans C:\WINDOWS\Prefetch


»»»» Presence des fichiers dans C:\WINDOWS\system32


»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers


»»»» Presence des fichiers dans C:\Dokumente und Einstellungen\Björn\Anwendungsdaten


»»»» Presence des fichiers dans C:\DOKUME~1\BJRN~1\LOKALE~1\Temp


--------------- [ Registre / Startup ] ----------------


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
GrooveMonitor REG_SZ "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
TI WLAN REG_SZ C:\Programme\Wireless LAN Utility\TIWLANCu.exe
NeroFilterCheck REG_SZ C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
SecurDisc REG_SZ C:\Programme\Nero8\Nero 8\InCD\NBHGui.exe
InCD REG_SZ C:\Programme\Nero8\Nero 8\InCD\InCD.exe
NBKeyScan REG_SZ "C:\Programme\Nero8\Nero 8\Nero BackItUp\NBKeyScan.exe"
Adobe Reader Speed Launcher REG_SZ "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
SunJavaUpdateSched REG_SZ "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
QuickTime Task REG_SZ "C:\Programme\QuickTime\QTTask.exe" -atboottime
RTHDCPL REG_SZ RTHDCPL.EXE
NvCplDaemon REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
NvMediaCenter REG_SZ RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
AppleSyncNotifier REG_SZ C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
iTunesHelper REG_SZ "C:\Programme\iTunes\iTunesHelper.exe"
AVP REG_SZ "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} REG_SZ "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
EPSON Stylus DX4400 Series REG_SZ C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SBE.tmp" /EF "HKCU"
NVIDIA nTune REG_SZ "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" boot "C:\Dokumente und Einstellungen\Björn\Lokale Einstellungen\Anwendungsdaten\NVIDIA Corporation\nTune\Profiles\osbootpf.nsu"
TomTomHOME.exe REG_SZ "C:\Programme\TomTom HOME 2\HOMERunner.exe"
SUPERAntiSpyware REG_SZ C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AdobeUpdater

--------------- [ Registre / Clés infectieuses ] ----------------



--------------- [ Etat / Services ] ----------------


+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

Ndisuio - Type de démarrage = 3

Ip6Fw - Type de démarrage = 3

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

wscsvc - Type de démarrage = 2



--------------- [ Recherche dans supports amovibles] ----------------


+- Informations :

C: - Eingebautes Laufwerk

D: - CD-ROM-Laufwerk

E: - Eingebautes Laufwerk

F: - Eingebautes Laufwerk

G: - Eingebautes Laufwerk


+- Contenu de l'autorun : D:\autorun.inf

[autorun]
open=autorun.exe
icon=spore.ico

+- presence des fichiers :

Présent ! - D:\autorun.inf


--------------- [ Registre / Moutpoint2 ] ----------------

Present ! - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f8ed8b8f-1c58-11dd-9b0d-00120e2eca69}\Shell\AutoRun\command


------------------- ! Fin du rapport ! --------------------

#23 Combofix hat aufgeräumt - ich finde nichts weiter....

falls der abgesicherte Modus funktioniert--- lade sdfix, boote in den abges.Modus, scanne und poste nach Neustart den Report hier
http://virus-protect.org/artikel/tools/sdfix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#24 In den abgesicherten Modus komme ich immer noch nicht. Allerdings läuft wieder alles einwandfrei. Vielleicht ein kleines bisscher langsamer beim hochfahren, aber sonst fällt mir nix auf.

Also vielen, vielen, vielen Dank für Eure Hilfe! Ohne Euch hätte ich den Rechner wohl plattmachen müssen.

#25 Download und run es SafeBootKeyRepair CF
Poste das log C:\SafeBoot_Repair.txt
__________
MfG Argus