WORM/Rbot.174080 auf PC gefunden. Wie löschen?

#1 Erstmal hallo hier, bin neu im Forum.

Habe gestern bei einer Googlebildersuch ein eigentlich harmloses Foto in der Windows Bildanzeige geöffnet. Sofort bekam ich eine mittlere Risiko Warnung von Norton. Habe dann auf Instanz immer blockieren gedrückt doch der PC wurde trotzdem merklich langsamer. Als ich später den PC wieder hochgeladen habe startete sofort der Windows Installer. Natürlich aber ich sofort abgebrochen worauf ein neues Fenster kam das sagte das ich Norton zuerst de- und dann wieder reinstallieren sollte (?). Darauf versuchte ich mit Norton eine komplette Systemüberprüfung zu machen, doch blieb nach nur 958 überprüften Dateien stehen. Kein weiterer Progress obwohl ich sie Sysüprüfung danach noch 90 Minuten liefen lies. Habe mir dann die Gratisversion von Antivir runtergeladen und diese dann sofort geupdated. Habe dann mit AntiVir eine komplette Systemprüfung gemacht. (99,8%, 8 Funde, 7 Warnungen, letzter Fund "WORM/Rbot.174080"; Stand 12:14 Uhr). Während der Sysprüfung gab es dauernd "achtung Fund" Fenster, wo mir gesagt wurde das die Datei C:\WINDOWS\Temp\tmpXXX.tmp den Wurm WORM/Rbot.174080 enthält. Nachdem ich solch eine Datei gelöscht hatte wurde in \Temp sofort eine näschte Datei mit ähnlicher Bezeichnung erstellt (löschte ich \Temp\tmp552.tmp kam sofort \Temp\tmp553.tmp z.B). Ich habe nun ca. 50 mal solch eine Datei gelöscht doch bekomme ich immer eine neue "Achtung Fund"-Meldung. Nachdem ich solch eine Datei gelöscht hatte kam auch jedes mal ein Norton Fenster das sagte das ein Virus gefunden und dann entfernt wurde. (Gleiche Dateiname wie bei AntiVir aber Virusname W32.Alcra.F antatt WORM/Rbot.174080).
Nun bin ich kein Computerexperte und weiß auch nicht mehr weiter wie ich WORM/Rbot.174080 entfernen soll. Wäre also sehr nett wenn mir jemand hier mit meinem Problem helfen könnte.

Danke i.V.

#2 Hallo,Rene_21

«
wende Cleaner an + lösche alle temporären Dateien
http://www.ccleaner.de/?protecus.de

«
wende sdfix an - muss im abgesicherten Modus sein - poste dann nach neustart hier den Report
http://virus-protect.org/artikel/tools/sdfix.html

«
wende Combofix an - klicke die Warnmeldung weg, lasse scannen - wird dauern - dann wird der Rechner neustarten - kopiere hier das Log, was erscheint
http://virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3

Zitat

Sabina postete
Hallo,Rene_21

«
wende Cleaner an + lösche alle temporären Dateien
http://www.ccleaner.de/?protecus.de

«
wende sdfix an - muss im abgesicherten Modus sein - poste dann nach neustart hier den Report
http://virus-protect.org/artikel/tools/sdfix.html

«
wende Combofix an - klicke die Warnmeldung weg, lasse scannen - wird dauern - dann wird der Rechner neustarten - kopiere hier das Log, was erscheint
http://virus-protect.org/artikel/tools/combofix.html

sdfix Log:

SDFix: Version 1.235
Run by Administrator on 14.10.2008 at 17:38

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\Programme\Microsoft Common\wuauclt.exe - Deleted
C:\WINDOWS\system32\amp.ini - Deleted
C:\WINDOWS\system32\c__0593.nls - Deleted
C:\WINDOWS\system32\c__10983.nls - Deleted
C:\WINDOWS\system32\c__2303.nls - Deleted
C:\WINDOWS\system32\c__23732.nls - Deleted
C:\WINDOWS\system32\c__3478.nls - Deleted
C:\WINDOWS\system32\c__3480.nls - Deleted
C:\WINDOWS\system32\c__3481.nls - Deleted
C:\WINDOWS\system32\c__3482.nls - Deleted
C:\WINDOWS\system32\c__34895.nls - Deleted
C:\WINDOWS\system32\c__374.nls - Deleted
C:\WINDOWS\system32\c__3948.nls - Deleted
C:\WINDOWS\system32\msiesetup.exe - Deleted
C:\WINDOWS\system32\msupdate.dll - Deleted



Folder C:\Programme\Microsoft Common - Removed


Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-14 17:56:46
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:000000ab
"TracesSuccessful"=dword:0000000c

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%ProgramFiles%\\AOL 9.0\\aol.exe"="%ProgramFiles%\\AOL 9.0\\aol.exe:*:Enabled:AOL"
"%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe"="%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe:*:Enabled:SIPPS"
"%ProgramFiles%\\sipgate X-Lite\\sipgateXLite.exe"="%ProgramFiles%\\sipgate X-Lite\\sipgateXLite.exe:*:Enabled:sipgateXLite"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\ICQLite\\ICQLite.exe"="C:\\Programme\\ICQLite\\ICQLite.exe:*:Enabled:ICQ Lite"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\PPLive\\PPLive.exe"="C:\\Programme\\PPLive\\PPLive.exe:*:EnabledPLive"
"C:\\Dokumente und Einstellungen\\Fabien\\Eigene Dateien\\LimeWire\\LimeWire.exe"="C:\\Dokumente und Einstellungen\\Fabien\\Eigene Dateien\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\WINDOWS\\system32\\rhooduw.exe"="C:\\WINDOWS\\system32\\rhooduw.exe:*:Enabled:ENABLE"
"C:\\WINDOWS\\system32\\config\\systemprofile\\eqe.exe"="C:\\WINDOWS\\system32\\config\\systemprofile\\eqe.exe:*:Enabled:ENABLE"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Tue 4 Jul 2006 208 A.SHR --- "C:\BOOT.BAK"
Wed 1 Jun 2005 54,384 A..H. --- "C:\Programme\AOL 9.0\aolphx.exe"
Wed 1 Jun 2005 156,784 A..H. --- "C:\Programme\AOL 9.0\aoltray.exe"
Wed 1 Jun 2005 31,344 A..H. --- "C:\Programme\AOL 9.0\RBM.exe"
Wed 6 Dec 2006 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Sun 28 Jan 2007 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Wed 27 Dec 2006 1,384,448 A..H. --- "C:\Dokumente und Einstellungen\Fabien\Lokale Einstellungen\Temp\a001.tmp"
Wed 27 Dec 2006 111,616 A..H. --- "C:\Dokumente und Einstellungen\Fabien\Lokale Einstellungen\Temp\PCD62X2.sys"
Tue 14 Oct 2008 72 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys"
Wed 1 Jun 2005 111,544 A..H. --- "C:\Programme\Gemeinsame Dateien\aolshare\shell\de\shellext.dll"
Tue 14 Oct 2008 5,686 A.SH. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\TempSBE\SBE1.tmp"
Tue 14 Oct 2008 5,940 A.SH. --- "C:\Dokumente und Einstellungen\All Users\Dokumente\TV-Aufzeichnungen\TempRec\TempSBE\SBE2.tmp"

Finished!


Combofix Log:

ComboFix 08-10-12.01 - Papadopolous 2008-10-14 18:26:15.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1458 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Papadopolous\Desktop\op435_54731011\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-14 bis 2008-10-14 ))))))))))))))))))))))))))))))
.

2008-10-14 17:35 . 2008-10-14 17:35 580,096 --a------ C:\WINDOWS\system32\dllcache\user32.dll
2008-10-14 17:27 . 2008-10-14 17:27 <DIR> d-------- C:\WINDOWS\ERUNT
2008-10-14 17:13 . 2008-10-14 18:11 <DIR> d-------- C:\SDFix
2008-10-14 13:24 . 2008-10-14 13:24 <DIR> d-------- C:\Programme\CCleaner
2008-10-14 10:57 . 2008-10-14 10:57 <DIR> d-------- C:\Programme\Trend Micro
2008-10-14 09:34 . 2008-10-14 09:34 <DIR> d-------- C:\Programme\Avira
2008-10-14 09:34 . 2008-10-14 09:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-10-13 14:48 . 2008-10-13 14:48 30 --a------ C:\WINDOWS\system32\temp.ini
2008-10-13 14:41 . 2008-10-13 14:41 11,264 --a------ C:\WINDOWS\system32\alsym.dll
2008-10-10 22:05 . 2008-10-13 14:40 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-10 22:05 . 2008-10-10 22:05 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-01 10:55 . 2008-10-01 10:55 <DIR> d--hs---- C:\found.000
2008-09-22 14:16 . 2008-09-30 06:31 <DIR> d-------- C:\Programme\avmwlanstick
2008-09-22 14:15 . 2008-09-22 14:38 <DIR> d-------- C:\Programme\AVM_update
2008-09-19 13:26 . 2008-09-19 13:26 <DIR> d-------- C:\Programme\Batch Audio Converter
2008-09-19 13:26 . 2007-05-10 12:30 360,448 --a------ C:\WINDOWS\lame_enc.dll
2008-09-15 15:16 . 2008-10-10 20:07 4,096 --a------ C:\WINDOWS\system32\crash
2008-09-15 15:10 . 2008-09-15 15:10 0 --a------ C:\WINDOWS\ativpsrm.bin
2008-09-15 15:08 . 2008-07-31 21:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-09-15 15:07 . 2008-09-15 15:07 <DIR> d-------- C:\ATI
2008-09-15 14:53 . 2008-09-15 14:54 84,245,536 --a------ C:\WINDOWS\directx_aug2008_redist.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-14 15:52 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-10-14 15:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-10-14 14:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-10-14 14:15 --------- d-----w C:\Programme\Symantec
2008-10-14 08:58 --------- d-----w C:\Programme\Java
2008-10-07 14:26 --------- d-----w C:\Programme\Hattrick Organizer
2008-09-22 12:30 --------- d-----w C:\Programme\ICQ6
2008-09-19 11:38 --------- d-----w C:\Programme\Windows Media Connect 2
2008-09-19 11:38 --------- d-----w C:\Programme\VIPER TV PLAYER (v 7.1.1)
2008-09-19 11:38 --------- d-----w C:\Programme\TVUPlayer
2008-09-19 11:38 --------- d-----w C:\Programme\QuickTime
2008-09-19 11:38 --------- d-----w C:\Programme\Microsoft Works
2008-09-19 11:38 --------- d-----w C:\Programme\LimeWire
2008-09-19 11:38 --------- d-----w C:\Programme\AOL 9.0
2008-09-01 16:32 305,672 ----a-w C:\WINDOWS\dxwebsetup.exe
2008-08-31 16:54 --------- d-----w C:\Dokumente und Einstellungen\Papadopolous\Anwendungsdaten\ICQ
2008-08-29 18:45 --------- d-----w C:\Dokumente und Einstellungen\Papadopolous\Anwendungsdaten\TVU Networks
2008-08-29 18:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TVU Networks
2008-08-28 13:15 --------- d-----w C:\Dokumente und Einstellungen\Fabien\Anwendungsdaten\ICQ
2008-08-27 02:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems
2008-08-27 02:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2008-08-24 11:20 --------- d-----w C:\Programme\Microsoft Silverlight
2008-08-10 22:09 97,288 ----a-w C:\WINDOWS\DSETUP.dll
2008-08-10 22:09 528,392 ----a-w C:\WINDOWS\DXSETUP.exe
2008-08-10 22:09 1,694,728 ----a-w C:\WINDOWS\dsetup32.dll
2008-08-01 06:38 3,266,560 ----a-w C:\WINDOWS\system32\dllcache\ati2mtag.sys
2008-08-01 05:40 9,928,704 ----a-w C:\WINDOWS\system32\atioglxx.dll
2008-08-01 04:58 253,952 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2008-08-01 04:33 425,984 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2008-08-01 04:32 311,296 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2008-08-01 04:23 184,320 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2008-08-01 04:23 143,360 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2008-08-01 04:22 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2008-08-01 04:22 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2008-08-01 04:22 143,360 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2008-08-01 04:21 573,440 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2008-08-01 04:19 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2008-08-01 04:10 3,917,568 ----a-w C:\WINDOWS\system32\dllcache\ati3duag.dll
2008-08-01 04:10 3,917,568 ----a-w C:\WINDOWS\system32\ati3duag.dll
2008-08-01 03:59 2,183,552 ----a-w C:\WINDOWS\system32\dllcache\ativvaxx.dll
2008-08-01 03:59 2,183,552 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2008-08-01 03:46 48,640 ----a-w C:\WINDOWS\system32\amdpcom32.dll
2008-08-01 03:42 376,832 ----a-w C:\WINDOWS\system32\atikvmag.dll
2008-08-01 03:40 35,328 ----a-w C:\WINDOWS\system32\atiadlxx.dll
2008-08-01 03:40 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2008-08-01 03:39 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2008-08-01 03:34 561,152 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2008-07-31 08:41 68,616 ----a-w C:\WINDOWS\system32\XAPOFX1_1.dll
2008-07-31 08:41 238,088 ----a-w C:\WINDOWS\system32\xactengine3_2.dll
2008-07-31 08:40 509,448 ----a-w C:\WINDOWS\system32\XAudio2_2.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll
2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll
2008-03-25 23:35 1,339,904 ----a-w C:\Programme\Shakespeare_life_&_works.doc
2008-03-25 23:35 1,096,192 ----a-w C:\Programme\elizabethan_correspondence.doc
2007-07-27 17:57 7,365,120 ----a-w C:\Programme\MM26_GER.msi
2007-07-27 17:51 155,620 ----a-w C:\Programme\mm20deu.exe
2006-11-04 20:03 36 ----a-w C:\Dokumente und Einstellungen\Papadopolous\klextlock.dat
2008-07-02 17:48 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008070220080703\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="C:\APPS\SMP\SmpSys.exe" [2005-11-17 975360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 67584]
"ATICCC"="c:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"DetectorApp"="C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe" [2005-10-20 102400]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-03-07 53096]
"OmniPass"="C:\Apps\Softex\OmniPass\scureapp.exe" [2006-01-30 1978368]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 24576]
"QuickTime Task"="C:\Programme\VistaCodecPack\QT\QTTask.exe" [2008-02-01 385024]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-02-29 185896]
"ioCentre"="C:\Genius\ioCentre\gTaskBar.exe" [2007-12-17 61440]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2007-12-20 1748992]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\Fabien\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-01 113664]
Adobe Media Player.lnk - C:\Programme\Adobe Media Player\Adobe Media Player.exe [2008-08-10 260096]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-01 113664]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
NETGEAR WG111T Smart Wizard.lnk - C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe [2006-12-24 491609]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]
2006-01-30 08:53 49152 C:\APPS\Softex\OmniPass\OPXPGina.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\alsym]
2008-10-13 14:41 11264 C:\WINDOWS\system32\alsym.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"msacm.mpegacm"= mpegacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm
"msacm.mpegacm "= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\mpegacm.acm
"vidc.3IV2"= 3ivxVfWCodec.dll
"msacm.divxa32"= divxa32.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"=
"%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe"=
"%ProgramFiles%\\sipgate X-Lite\\sipgateXLite.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\PPLive\\PPLive.exe"=
"C:\\Dokumente und Einstellungen\\Fabien\\Eigene Dateien\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"27501:TCP"= 27501:TCP:BitComet 27501 TCP
"27501:UDP"= 27501:UDP:BitComet 27501 UDP
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R1 SSHDRV62;SSHDRV62;C:\WINDOWS\system32\drivers\SSHDRV62.sys [2006-12-25 108032]
R2 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]
R2 Viewpoint Manager Service;Viewpoint Manager Service;C:\Programme\Viewpoint\Common\ViewpointService.exe [2007-01-04 24652]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-04-17 825600]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 265088]
R3 gHidPnp;USB Device Enhanced Function Driver;C:\WINDOWS\system32\Drivers\gHidPnp.Sys [2008-04-01 16896]
R3 gMouUsb;USB Mouse Device Drv;C:\WINDOWS\system32\DRIVERS\gMouUsb.sys [2007-07-20 9856]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2007-12-20 4352]
S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\DNINDIS5.SYS [2003-07-24 17149]
S3 gMouPS2;PS2 Scroll Mouse Device;C:\WINDOWS\system32\DRIVERS\gMouPS2.sys [2006-07-12 17408]
S3 PCD62X2;PCD62X2;C:\DOKUME~1\Fabien\LOKALE~1\Temp\PCD62X2.sys [ ]
S3 w200bus;Sony Ericsson W200 driver (WDM);C:\WINDOWS\system32\DRIVERS\w200bus.sys [2006-11-07 61504]
S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w200mdfl.sys [2006-11-07 9328]
S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w200mdm.sys [2006-11-07 97056]

*Newly Created Service* - COMHOST
*Newly Created Service* - PROCEXP90
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Papadopolous\Anwendungsdaten\Mozilla\Firefox\Profiles\eiaal3ns.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://start.icq.com/
FF -: plugin - C:\Programme\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\Programme\Microsoft Silverlight\2.0.30523.8\npctrl.dll
FF -: plugin - C:\Programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
FF -: plugin - C:\Programme\VistaCodecPack\QT\Plugins\npqtplugin.dll
FF -: plugin - C:\Programme\VistaCodecPack\QT\Plugins\npqtplugin2.dll
FF -: plugin - C:\Programme\VistaCodecPack\QT\Plugins\npqtplugin3.dll
FF -: plugin - C:\Programme\VistaCodecPack\QT\Plugins\npqtplugin4.dll
FF -: plugin - C:\Programme\VistaCodecPack\QT\Plugins\npqtplugin5.dll
FF -: plugin - C:\Programme\VistaCodecPack\QT\Plugins\npqtplugin6.dll
FF -: plugin - C:\Programme\VistaCodecPack\QT\Plugins\npqtplugin7.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-14 18:28:27
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\Apps\Softex\OmniPass\opxpgina.dll
.
Zeit der Fertigstellung: 2008-10-14 18:30:00
ComboFix-quarantined-files.txt 2008-10-14 16:29:47

Vor Suchlauf: 15 Verzeichnis(se), 227.489.427.456 Bytes frei
Nach Suchlauf: 23 Verzeichnis(se), 227,836,657,664 Bytes frei

238 --- E O F --- 2008-10-14 10:48:51

#4 >>
Lass folgende Dateien bei www.virustotal.com/de prüfen und poste das Ergebins:
C:\WINDOWS\system32\alsym.dll
C:\WINDOWS\system32\temp.ini

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

Gruss Swiss

#5 Hallo,Rene_21

auf dem Rechner ist ein Trojan-Banker
http://www.threatexpert.com/report.aspx?uid=e548e275-ebca-400e-a8c7-8fa9b087e6c6

-----------

1.
Virustotal http://www.virustotal.com/flash/index_en.html


C:\WINDOWS\system32\rhooduw.exe
C:\WINDOWS\system32\config\systemprofile\eqe.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> HIER kopieren

(das ist wahrscheinlich auch Malware .... ich warte mal ab mit dem Löschen - bis die Resultate kommen)

------------------------------------------------------------------

2.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\alsym]

File::
C:\WINDOWS\system32\temp.ini
C:\WINDOWS\system32\alsym.dll

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen


Dann erscheint ein "öffnen mit" -bestätigen - und Combofix startet neu

3.
in C:\ComboFix.txt ist alles gespeichert, kopiere es ab
__________
MfG Sabina

rund um die PC-Sicherheit

#6

Zitat

Tonstudio postete
>>
Lass folgende Dateien bei www.virustotal.com/de prüfen und poste das Ergebins:
C:\WINDOWS\system32\alsym.dll
C:\WINDOWS\system32\temp.ini

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

C:\WINDOWS\system32\alsym.dll:
Ergebnis: 1/36 (2.78%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.15.0 2008.10.15 -
AntiVir 7.8.1.34 2008.10.14 -
Authentium 5.1.0.4 2008.10.15 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.15 -
BitDefender 7.2 2008.10.15 -
CAT-QuickHeal 9.50 2008.10.14 -
ClamAV 0.93.1 2008.10.15 -
DrWeb 4.44.0.09170 2008.10.15 -
eSafe 7.0.17.0 2008.10.12 -
eTrust-Vet 31.6.6148 2008.10.14 -
Ewido 4.0 2008.10.14 -
F-Prot 4.4.4.56 2008.10.14 -
F-Secure 8.0.14332.0 2008.10.15 -
Fortinet 3.113.0.0 2008.10.14 -
GData 19 2008.10.15 -
Ikarus T3.1.1.34.0 2008.10.15 -
K7AntiVirus 7.10.493 2008.10.14 -
Kaspersky 7.0.0.125 2008.10.15 -
McAfee 5405 2008.10.14 -
Microsoft 1.4005 2008.10.15 -
NOD32 3522 2008.10.14 -
Norman 5.80.02 2008.10.14 -
Panda 9.0.0.4 2008.10.14 -
PCTools 4.4.2.0 2008.10.14 Trojan.Clagger.H
Prevx1 V2 2008.10.15 -
Rising 20.66.12.00 2008.10.14 -
SecureWeb-Gateway 6.7.6 2008.10.15 -
Sophos 4.34.0 2008.10.15 -
Sunbelt 3.1.1722.1 2008.10.14 -
Symantec 10 2008.10.15 -
TheHacker 6.3.1.0.112 2008.10.15 -
TrendMicro 8.700.0.1004 2008.10.14 -
VBA32 3.12.8.6 2008.10.14 -
ViRobot 2008.10.14.1419 2008.10.14 -
VirusBuster 4.5.11.0 2008.10.14 -



C:\WINDOWS\system32\temp.ini:
Ergebnis: 0/36 (0.00%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.15.0 2008.10.15 -
AntiVir 7.8.1.34 2008.10.14 -
Authentium 5.1.0.4 2008.10.14 -
Avast 4.8.1248.0 2008.10.15 -
AVG 8.0.0.161 2008.10.15 -
BitDefender 7.2 2008.10.15 -
CAT-QuickHeal 9.50 2008.10.14 -
ClamAV 0.93.1 2008.10.15 -
DrWeb 4.44.0.09170 2008.10.15 -
eSafe 7.0.17.0 2008.10.12 -
eTrust-Vet 31.6.6148 2008.10.14 -
Ewido 4.0 2008.10.14 -
F-Prot 4.4.4.56 2008.10.14 -
F-Secure 8.0.14332.0 2008.10.15 -
Fortinet 3.113.0.0 2008.10.14 -
GData 19 2008.10.15 -
Ikarus T3.1.1.34.0 2008.10.15 -
K7AntiVirus 7.10.493 2008.10.14 -
Kaspersky 7.0.0.125 2008.10.15 -
McAfee 5405 2008.10.14 -
Microsoft 1.4005 2008.10.15 -
NOD32 3522 2008.10.14 -
Norman 5.80.02 2008.10.14 -
Panda 9.0.0.4 2008.10.14 -
PCTools 4.4.2.0 2008.10.14 -
Prevx1 V2 2008.10.15 -
Rising 20.66.12.00 2008.10.14 -
SecureWeb-Gateway 6.7.6 2008.10.15 -
Sophos 4.34.0 2008.10.15 -
Sunbelt 3.1.1722.1 2008.10.14 -
Symantec 10 2008.10.15 -
TheHacker 6.3.1.0.112 2008.10.15 -
TrendMicro 8.700.0.1004 2008.10.14 -
VBA32 3.12.8.6 2008.10.14 -
ViRobot 2008.10.14.1419 2008.10.14 -
VirusBuster 4.5.11.0 2008.10.14 -

Zitat

Tonstudio postete
>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

Gruss Swiss

Malwarebytes Log:
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1270
Windows 5.1.2600 Service Pack 3

15.10.2008 12:25:11
mbam-log-2008-10-15 (12-25-11).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 215132
Laufzeit: 2 hour(s), 27 minute(s), 49 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\Portal\0767523A.tmp (Worm.P2P) -> Quarantined and deleted successfully.






EDIT: Erstmal Danke an Sabina und Tonstudio für die tolle Hilfe. Der PC laüft schon wieder viel stabiler und schneller als noch Vorgestern. Die Symptome die ich im Ausgangspost beschrieben habe tauchen auch nicht mehr auf. Ich weiß das hier sehr zu schätzen.

««
Das muss er sein, da wie in der Beschreibung Winlogon sehr auffällig war und deswegen der CPU zu 99% ausgelastet war.

Zitat

Sabina postete
1.
Virustotal http://www.virustotal.com/flash/index_en.html


C:\WINDOWS\system32\rhooduw.exe
C:\WINDOWS\system32\config\systemprofile\eqe.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> HIER kopieren

(das ist wahrscheinlich auch Malware .... ich warte mal ab mit dem Löschen - bis die Resultate kommen)

------------------------------------------------------------------

Beide Dateien konnten nicht gefunden werden und deshalb auch nicht an Virustotal gesendet werden (?).



3.
Hier der Combofix Log:

ComboFix 08-10-14.07 - Papadopolous 2008-10-15 13:14:25.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1516 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Papadopolous\Desktop\op435_54731011\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Papadopolous\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

FILE ::
C:\WINDOWS\system32\alsym.dll
C:\WINDOWS\system32\temp.ini
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\system32\alsym.dll
C:\WINDOWS\system32\temp.ini

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-15 bis 2008-10-15 ))))))))))))))))))))))))))))))
.

2008-10-15 04:55 . 2008-10-15 04:55 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-10-15 04:55 . 2008-10-15 04:55 <DIR> d-------- C:\Dokumente und Einstellungen\Papadopolous\Anwendungsdaten\Malwarebytes
2008-10-15 04:55 . 2008-10-15 04:55 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-15 04:55 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-15 04:55 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-14 17:35 . 2008-10-14 17:35 580,096 --a------ C:\WINDOWS\system32\dllcache\user32.dll
2008-10-14 17:27 . 2008-10-14 17:27 <DIR> d-------- C:\WINDOWS\ERUNT
2008-10-14 17:13 . 2008-10-14 18:39 <DIR> d-------- C:\SDFix
2008-10-14 13:24 . 2008-10-14 13:24 <DIR> d-------- C:\Programme\CCleaner
2008-10-14 10:57 . 2008-10-14 10:57 <DIR> d-------- C:\Programme\Trend Micro
2008-10-14 09:34 . 2008-10-14 09:34 <DIR> d-------- C:\Programme\Avira
2008-10-14 09:34 . 2008-10-14 09:34 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-10-10 22:05 . 2008-10-13 14:40 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-10-10 22:05 . 2008-10-10 22:05 1,409 --a------ C:\WINDOWS\QTFont.for
2008-10-01 10:55 . 2008-10-01 10:55 <DIR> d--hs---- C:\found.000
2008-09-22 14:16 . 2008-09-30 06:31 <DIR> d-------- C:\Programme\avmwlanstick
2008-09-22 14:15 . 2008-09-22 14:38 <DIR> d-------- C:\Programme\AVM_update
2008-09-19 13:26 . 2008-09-19 13:26 <DIR> d-------- C:\Programme\Batch Audio Converter
2008-09-19 13:26 . 2007-05-10 12:30 360,448 --a------ C:\WINDOWS\lame_enc.dll
2008-09-15 15:16 . 2008-10-15 11:03 4,096 --a------ C:\WINDOWS\system32\crash
2008-09-15 15:10 . 2008-09-15 15:10 0 --a------ C:\WINDOWS\ativpsrm.bin
2008-09-15 15:08 . 2008-07-31 21:05 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe
2008-09-15 15:07 . 2008-09-15 15:07 <DIR> d-------- C:\ATI
2008-09-15 14:53 . 2008-09-15 14:54 84,245,536 --a------ C:\WINDOWS\directx_aug2008_redist.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-14 19:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-10-14 19:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-10-14 15:03 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-10-14 08:58 --------- d-----w C:\Programme\Java
2008-10-07 14:26 --------- d-----w C:\Programme\Hattrick Organizer
2008-09-22 12:30 --------- d-----w C:\Programme\ICQ6
2008-09-19 11:38 --------- d-----w C:\Programme\Windows Media Connect 2
2008-09-19 11:38 --------- d-----w C:\Programme\VIPER TV PLAYER (v 7.1.1)
2008-09-19 11:38 --------- d-----w C:\Programme\TVUPlayer
2008-09-19 11:38 --------- d-----w C:\Programme\QuickTime
2008-09-19 11:38 --------- d-----w C:\Programme\PokerStars.NET
2008-09-19 11:38 --------- d-----w C:\Programme\Microsoft Works
2008-09-19 11:38 --------- d-----w C:\Programme\LimeWire
2008-09-19 11:38 --------- d-----w C:\Programme\AOL 9.0
2008-09-01 16:32 305,672 ----a-w C:\WINDOWS\dxwebsetup.exe
2008-08-31 16:54 --------- d-----w C:\Dokumente und Einstellungen\Papadopolous\Anwendungsdaten\ICQ
2008-08-29 18:45 --------- d-----w C:\Dokumente und Einstellungen\Papadopolous\Anwendungsdaten\TVU Networks
2008-08-29 18:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TVU Networks
2008-08-28 13:15 --------- d-----w C:\Dokumente und Einstellungen\Fabien\Anwendungsdaten\ICQ
2008-08-27 02:16 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adobe Systems
2008-08-27 02:11 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe Systems Shared
2008-08-24 11:20 --------- d-----w C:\Programme\Microsoft Silverlight
2008-08-10 22:09 97,288 ----a-w C:\WINDOWS\DSETUP.dll
2008-08-10 22:09 528,392 ----a-w C:\WINDOWS\DXSETUP.exe
2008-08-10 22:09 1,694,728 ----a-w C:\WINDOWS\dsetup32.dll
2008-03-25 23:35 1,339,904 ----a-w C:\Programme\Shakespeare_life_&_works.doc
2008-03-25 23:35 1,096,192 ----a-w C:\Programme\elizabethan_correspondence.doc
2007-07-27 17:57 7,365,120 ----a-w C:\Programme\MM26_GER.msi
2007-07-27 17:51 155,620 ----a-w C:\Programme\mm20deu.exe
2006-11-04 20:03 36 ----a-w C:\Dokumente und Einstellungen\Papadopolous\klextlock.dat
2008-07-02 17:48 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008070220080703\index.dat
.

((((((((((((((((((((((((((((( snapshot@2008-10-14_18.29.22,82 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-10-14 15:52:12 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-10-15 11:20:00 16,384 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
- 2008-10-14 15:52:12 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-10-15 11:20:00 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-10-14 15:52:12 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-10-15 11:20:00 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SmpcSys"="C:\APPS\SMP\SmpSys.exe" [2005-11-17 975360]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-10 455168]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-09-29 67584]
"ATICCC"="c:\Programme\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"DetectorApp"="C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe" [2005-10-20 102400]
"OmniPass"="C:\Apps\Softex\OmniPass\scureapp.exe" [2006-01-30 1978368]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-10 208952]
"ACTIVBOARD"="c:\apps\ABoard\ABoard.exe" [2003-05-02 24576]
"QuickTime Task"="C:\Programme\VistaCodecPack\QT\QTTask.exe" [2008-02-01 385024]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-02-29 185896]
"ioCentre"="C:\Genius\ioCentre\gTaskBar.exe" [2007-12-17 61440]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [2007-12-20 1748992]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-12-09 C:\WINDOWS\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

C:\Dokumente und Einstellungen\Fabien\Startmen�\Programme\Autostart\
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-01 113664]
Adobe Media Player.lnk - C:\Programme\Adobe Media Player\Adobe Media Player.exe [2008-08-10 260096]

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-10-01 113664]
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]
NETGEAR WG111T Smart Wizard.lnk - C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe [2006-12-24 491609]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]
2006-01-30 08:53 49152 C:\APPS\Softex\OmniPass\OPXPGina.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.dvacm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\Vio\Dvacm.acm
"msacm.mpegacm"= mpegacm.acm
"msacm.ulmp3acm"= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\ulmp3acm.acm
"msacm.mpegacm "= C:\PROGRA~1\GEMEIN~1\ULEADS~1\MPEG\mpegacm.acm
"vidc.3IV2"= 3ivxVfWCodec.dll
"msacm.divxa32"= divxa32.acm

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"=
"%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe"=
"%ProgramFiles%\\sipgate X-Lite\\sipgateXLite.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\PPLive\\PPLive.exe"=
"C:\\Dokumente und Einstellungen\\Fabien\\Eigene Dateien\\LimeWire\\LimeWire.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"27501:TCP"= 27501:TCP:BitComet 27501 TCP
"27501:UDP"= 27501:UDP:BitComet 27501 UDP
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R1 SSHDRV62;SSHDRV62;C:\WINDOWS\system32\drivers\SSHDRV62.sys [2006-12-25 108032]
R2 ICQ Service;ICQ Service;C:\Programme\ICQ6Toolbar\ICQ Service.exe [2008-06-10 222456]
R2 Viewpoint Manager Service;Viewpoint Manager Service;C:\Programme\Viewpoint\Common\ViewpointService.exe [2007-01-04 24652]
R3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-04-17 825600]
R3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys [2007-12-20 265088]
R3 gHidPnp;USB Device Enhanced Function Driver;C:\WINDOWS\system32\Drivers\gHidPnp.Sys [2008-04-01 16896]
R3 gMouUsb;USB Mouse Device Drv;C:\WINDOWS\system32\DRIVERS\gMouUsb.sys [2007-07-20 9856]
R3 X10Hid;X10 Hid Device;C:\WINDOWS\system32\Drivers\x10hid.sys [2005-11-28 7040]
S3 avmeject;AVM Eject;C:\WINDOWS\system32\drivers\avmeject.sys [2007-12-20 4352]
S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\DNINDIS5.SYS [2003-07-24 17149]
S3 gMouPS2;PS2 Scroll Mouse Device;C:\WINDOWS\system32\DRIVERS\gMouPS2.sys [2006-07-12 17408]
S3 MBAMSwissArmy;MBAMSwissArmy;C:\WINDOWS\system32\drivers\mbamswissarmy.sys [2008-09-10 38528]
S3 PCD62X2;PCD62X2;C:\DOKUME~1\Fabien\LOKALE~1\Temp\PCD62X2.sys [ ]
S3 w200bus;Sony Ericsson W200 driver (WDM);C:\WINDOWS\system32\DRIVERS\w200bus.sys [2006-11-07 61504]
S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w200mdfl.sys [2006-11-07 9328]
S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w200mdm.sys [2006-11-07 97056]
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-15 13:21:46
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\Apps\Softex\OmniPass\opxpgina.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\aol\ACS\AOLacsd.exe
C:\Programme\avmwlanstick\WLanNetService.exe
C:\WINDOWS\ehome\ehrecvr.exe
C:\WINDOWS\ehome\ehSched.exe
C:\APPS\Softex\OmniPass\OmniServ.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\PROGRA~1\COMMON~1\X10\Common\X10nets.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\APPS\Softex\OmniPass\OPXPApp.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\APPS\ABOARD\AOSD.EXE
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-15 13:31:10 - PC wurde neu gestartet [Papadopolous]
ComboFix-quarantined-files.txt 2008-10-15 11:30:07
ComboFix2.txt 2008-10-14 16:30:01

Vor Suchlauf: 24 Verzeichnis(se), 227,933,937,664 Bytes frei
Nach Suchlauf: 24 Verzeichnis(se), 227,921,264,640 Bytes frei

216 --- E O F --- 2008-10-14 10:48:51

#7 ««
erstelle eine neue cfscript.txt - dann wieder auf Combofix ziehen

Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\rhooduw.exe"=-
"C:\WINDOWS\system32\config\systemprofile\eqe.exe"=-

überprüfe nach Neustart, ob di zwei Einträge wirklich aus der Registry sind....

Start - Ausführen - regedit
suchen: rhooduw.exe und eqe.exe

---------

««
wende findykill an - OPTION 1 - und poste den report C:\FindyKill.txt
http://virus-protect.org/artikel/tools/findykill.html
__________
MfG Sabina

rund um die PC-Sicherheit

#8

Zitat

Sabina postete
««
erstelle eine neue cfscript.txt - dann wieder auf Combofix ziehen

Zitat

KILLALL::

Registry::
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\rhooduw.exe"=-
"C:\WINDOWS\system32\config\systemprofile\eqe.exe"=-

überprüfe nach Neustart, ob di zwei Einträge wirklich aus der Registry sind....

Start - Ausführen - regedit
suchen: rhooduw.exe und eqe.exe

---------

Beide Dateien konnten nach dem Neustart nicht mehr gefunden werden

Zitat

Sabina postete
««
wende findykill an - OPTION 1 - und poste den report C:\FindyKill.txt
http://virus-protect.org/artikel/tools/findykill.html

----------------- FindyKill V4.005 ------------------

* User : Papadopolous - SN116942760312
* Emplacement : C:\Programme\FindyKill
* Outils Mis a jours le 15/10/08 par Chiquitine29
* Recherche effectuée à 16:12:43 le 15.10.2008
* Windows XP - Internet Explorer 7.0.5730.11

((((((((((((((((( *** Recherche *** ))))))))))))))))))


--------------- [ Processus actifs ] ----------------


C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Apps\Softex\OmniPass\Omniserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe
C:\Programme\Viewpoint\Common\ViewpointService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Apps\Softex\OmniPass\OPXPApp.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Viewpoint\Viewpoint Manager\ViewMgr.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Apps\Softex\OmniPass\scureapp.exe
C:\apps\ABoard\ABoard.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\avmwlanstick\wlangui.exe
C:\apps\ABoard\AOSD.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\APPS\SMP\SmpSys.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\WG111T Konfigurationsprogramm\wlan111t.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wscntfy.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------


»»»» Presence des fichiers dans C:


»»»» Presence des fichiers dans C:\WINDOWS


»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

Present ! - C:\WINDOWS\prefetch\MDELK.EXE-37E6BD52.pf

»»»» Presence des fichiers dans C:\WINDOWS\system32


»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers


»»»» Presence des fichiers dans C:\Dokumente und Einstellungen\Papadopolous\Anwendungsdaten


»»»» Presence des fichiers dans C:\DOKUME~1\PAPADO~1\LOKALE~1\Temp


--------------- [ Registre / Startup ] ----------------


! REG.EXE VERSION 3.0

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
PHIME2002ASync REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
PHIME2002A REG_SZ C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
ehTray REG_SZ C:\WINDOWS\ehome\ehtray.exe
High Definition Audio Property Page Shortcut REG_SZ HDAShCut.exe
RTHDCPL REG_SZ RTHDCPL.EXE
ATICCC REG_SZ "c:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
SunJavaUpdateSched REG_SZ "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
DetectorApp REG_SZ C:\Programme\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe
OmniPass REG_SZ C:\Apps\Softex\OmniPass\scureapp.exe
IMJPMIG8.1 REG_SZ "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
ACTIVBOARD REG_SZ c:\apps\ABoard\ABoard.exe
QuickTime Task REG_SZ "C:\Programme\VistaCodecPack\QT\QTTask.exe" -atboottime
TkBellExe REG_SZ "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
ioCentre REG_SZ C:\Genius\ioCentre\gTaskBar.exe
AVMWlanClient REG_SZ C:\Programme\avmwlanstick\wlangui.exe
avgnt REG_SZ "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

! REG.EXE VERSION 3.0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
SmpcSys REG_SZ C:\APPS\SMP\SmpSys.exe
MsnMsgr REG_SZ "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
ctfmon.exe REG_SZ C:\WINDOWS\system32\ctfmon.exe
updateMgr REG_SZ "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
ICQ REG_SZ "C:\Programme\ICQ6\ICQ.exe" silent

--------------- [ Registre / Clés infectieuses ] ----------------



--------------- [ Etat / Services ] ----------------


+- Services : [ Auto=2 Demande=3 Désactivé=4 ]

Ndisuio - Type de démarrage = 3

EapHost - Type de démarrage = 3

Ip6Fw - Type de démarrage = 3

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

wscsvc - Type de démarrage = 2



--------------- [ Recherche dans supports amovibles] ----------------


+- Informations :

C: - Eingebautes Laufwerk


+- presence des fichiers :


--------------- [ Registre / Moutpoint2 ] ----------------

-> Recherche négative.

------------------- ! Fin du rapport ! --------------------

#9 Hallo Rene_21

du hattest mal einen Beagle-Wurm auf dem Rechner ???

««
lösche:
C:\WINDOWS\prefetch\MDELK.EXE-37E6BD52.pf

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\system32\config\systemprofile" >>files.txt
notepad files.txt

««
wende stuff an + poste den Report
http://virus-protect.org/registry_stuff.html

««
scanne mit avira im abgesicherten modus - Heuristik bitte hoch stellen - poste hier den report
__________
MfG Sabina

rund um die PC-Sicherheit

#10

Zitat

Sabina postete
Hallo Rene_21

du hattest mal einen Beagle-Wurm auf dem Rechner ???

««
lösche:
C:\WINDOWS\prefetch\MDELK.EXE-37E6BD52.pf

hab ich gemacht

Zitat

««
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit "Speichern unter" auf dem Desktop. Gebe bei Dateityp "Alle Dateien" an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\WINDOWS\system32\config\systemprofile" >>files.txt
notepad files.txt

««
wende stuff an + poste den Report
http://virus-protect.org/registry_stuff.html

doesn't exist HKEY_LOCAL_MACHINE\SSYSTEM\CurrentControlSet\Services\windowsnetwork
-----------------------
-----------------------
REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess]
"DependOnGroup"=hex(7):00
"DependOnService"=hex(7):4e,65,74,6d,61,6e,00,57,69,6e,4d,67,6d,74,00,00
"Description"="Bietet allen Computern in Heim- und kleinen Firmennetzwerken Dienste für die Netzwerkadressübersetzung, Adressierung, Namensauflösung und Eindringsschutz."
"DisplayName"="Windows-Firewall/Gemeinsame Nutzung der Internetverbindung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"ObjectName"="LocalSystem"
"Start"=dword:00000002
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch]
"Epoch"=dword:00002cd9

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,69,70,6e,61,74,68,6c,70,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\MSN Messenger\\msncall.exe"="C:\\Programme\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\GloballyOpenPorts\List]
"1723:TCP"="1723:TCP:*:Enabled:@xpsp2res.dll,-22015"
"1701:UDP"="1701:UDP:*:Enabled:@xpsp2res.dll,-22016"
"500:UDP"="500:UDP:*:Enabled:@xpsp2res.dll,-22017"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=dword:00000001
"DoNotAllowExceptions"=dword:00000000
"DisableNotifications"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%ProgramFiles%\\AOL 9.0\\aol.exe"="%ProgramFiles%\\AOL 9.0\\aol.exe:*:Enabled:AOL"
"%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe"="%ProgramFiles%\\Ahead\\SIPPS\\SIPPS.exe:*:Enabled:SIPPS"
"%ProgramFiles%\\sipgate X-Lite\\sipgateXLite.exe"="%ProgramFiles%\\sipgate X-Lite\\sipgateXLite.exe:*:Enabled:sipgateXLite"
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\LimeWire\\LimeWire.exe"="C:\\Programme\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\PPLive\\PPLive.exe"="C:\\Programme\\PPLive\\PPLive.exe:*:EnabledPLive"
"C:\\Dokumente und Einstellungen\\Fabien\\Eigene Dateien\\LimeWire\\LimeWire.exe"="C:\\Dokumente und Einstellungen\\Fabien\\Eigene Dateien\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"="C:\\Programme\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"
"C:\\Programme\\MSN Messenger\\livecall.exe"="C:\\Programme\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]
"27501:TCP"="27501:TCP:*:Enabled:BitComet 27501 TCP"
"27501:UDP"="27501:UDP:*:Enabled:BitComet 27501 UDP"
"1900:UDP"="1900:UDP:LocalSubNet:Enabled:@xpsp2res.dll,-22007"
"2869:TCP"="2869:TCP:LocalSubNet:Enabled:@xpsp2res.dll,-22008"
"139:TCP"="139:TCP:LocalSubNetisabled:@xpsp2res.dll,-22004"
"445:TCP"="445:TCP:LocalSubNetisabled:@xpsp2res.dll,-22005"
"137:UDP"="137:UDP:LocalSubNetisabled:@xpsp2res.dll,-22001"
"138:UDP"="138:UDP:LocalSubNetisabled:@xpsp2res.dll,-22002"
"1723:TCP"="1723:TCP:*:Enabled:@xpsp2res.dll,-22015"
"1701:UDP"="1701:UDP:*:Enabled:@xpsp2res.dll,-22016"
"500:UDP"="500:UDP:*:Enabled:@xpsp2res.dll,-22017"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup]
"ServiceUpgrade"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Setup\InterfacesUnfirewalledAtUpdate]
"{FE34CF6E-BA80-47D3-9A5D-778F95B10B9E}"=dword:00000001
"{C96AA1A9-7CA6-4CEB-B6F7-2244B0BCE8A4}"=dword:00000001
"{9D5951CA-9F5E-4129-A568-E7B339C15AC7}"=dword:00000001
"{263C530C-27BD-46F2-BC67-70BA2CB8C012}"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Enum]
"0"="Root\\LEGACY_SHAREDACCESS\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile]


[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\System]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc]
"Type"=dword:00000020
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Sicherheitscenter"
"DependOnService"=hex(7):52,70,63,53,73,00,77,69,6e,6d,67,6d,74,00,00
"ObjectName"="LocalSystem"
"Description"="Überwacht Systemsicherheitseinstellungen und -konfigurationen."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Parameters]
"ServiceDll"=hex(2):25,53,59,53,54,45,4d,52,4f,4f,54,25,5c,73,79,73,74,65,6d,\
33,32,5c,77,73,63,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Enum]
"0"="Root\\LEGACY_WSCSVC\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"autodisconnect"=dword:0000000f
"enableforcedlogoff"=dword:00000001
"enablesecuritysignature"=dword:00000000
"requiresecuritysignature"=dword:00000000
"NullSessionPipes"=hex(7):43,4f,4d,4e,41,50,00,43,4f,4d,4e,4f,44,45,00,53,51,\
4c,5c,51,55,45,52,59,00,53,50,4f,4f,4c,53,53,00,4c,4c,53,52,50,43,00,62,72,\
6f,77,73,65,72,00,00
"NullSessionShares"=hex(7):43,4f,4d,43,46,47,00,44,46,53,24,00,00
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,73,72,76,73,76,63,2e,64,6c,6c,00
"Lmannounce"=dword:00000000
"Size"=dword:00000002
"Guid"=hex:3b,35,8a,c1,a2,c2,a7,4e,8d,65,1f,c4,44,e7,a2,1b
"AdjustedNullSessionPipes"=dword:00000001
"CachedOpenLimit"=dword:00000000
"srvcomment"="mein pc"
"DisableDos"=dword:00000000


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanworkstation\parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,77,6b,73,73,76,63,2e,64,6c,6c,00
"OtherDomains"=hex(7):00


[HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa]


[HKEY_CURRENT_USER\Software\Microsoft\OLE]


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger]
"Type"=dword:00000020
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,6e,65,74,73,76,63,73,00
"DisplayName"="Nachrichtendienst"
"DependOnService"=hex(7):4c,61,6e,6d,61,6e,57,6f,72,6b,73,74,61,74,69,6f,6e,00,\
4e,65,74,42,49,4f,53,00,50,6c,75,67,50,6c,61,79,00,52,70,63,53,53,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"="Überträgt NET SEND- und Warndienstnachrichten zwischen Clients und Servern. Dieser Dienst ist nicht mit Windows Messenger verwandt. Der Warndienst überträgt keine Nachrichten, falls dieser Dienst beendet wird. Falls dieser Dienst deaktiviert wird, können die Dienste, die von diesem Dienst ausschließlich abhängig sind, nicht mehr gestartet werden."

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,53,79,73,74,65,6d,\
33,32,5c,6d,73,67,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Messenger\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
"Description"="Ermöglicht Remotebenutzern, Registrierungseinstellungen dieses Computers zu verändern. Wenn dieser Dienst beendet wird, kann die Registrierung nur von lokalen Benutzern dieses Computers verändert werden. Wenn dieser Dienst deaktiviert wird, werden alle von diesem Dienst explizit abhängigen Dienste nicht gestartet werden können."
"DependOnService"=hex(7):52,50,43,53,53,00,00
"DisplayName"="Remote-Registrierung"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,33,\
32,5c,73,76,63,68,6f,73,74,2e,65,78,65,20,2d,6b,20,4c,6f,63,61,6c,53,65,72,\
76,69,63,65,00
"ObjectName"="NT AUTHORITY\\LocalService"
"Group"=""
"Start"=dword:00000002
"Type"=dword:00000020
"FailureActions"=hex:00,00,00,00,00,00,00,00,00,00,00,00,01,00,00,00,e0,ad,08,\
00,01,00,00,00,e8,03,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Parameters]
"ServiceDll"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,72,65,67,73,76,63,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,\
23,02,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\
02,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry\Enum]
"0"="Root\\LEGACY_REMOTEREGISTRY\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr]
"Type"=dword:00000010
"Start"=dword:00000004
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,73,79,73,74,65,6d,33,32,5c,\
74,6c,6e,74,73,76,72,2e,65,78,65,00
"DisplayName"="Telnet"
"DependOnService"=hex(7):52,50,43,53,53,00,54,43,50,49,50,00,4e,54,4c,4d,53,53,\
50,00,00
"DependOnGroup"=hex(7):00
"ObjectName"="LocalSystem"
"Description"=hex(2):45,72,6d,f6,67,6c,69,63,68,74,20,65,69,6e,65,6d,20,52,65,\
6d,6f,74,65,62,65,6e,75,74,7a,65,72,2c,20,73,69,63,68,20,61,6e,20,64,69,65,\
73,65,6d,20,43,6f,6d,70,75,74,65,72,20,61,6e,7a,75,6d,65,6c,64,65,6e,20,75,\
6e,64,20,50,72,6f,67,72,61,6d,6d,65,20,61,75,73,7a,75,66,fc,68,72,65,6e,2e,\
20,55,6e,74,65,72,73,74,fc,74,7a,74,20,76,65,72,73,63,68,69,65,64,65,6e,65,\
20,54,43,50,2f,49,50,2d,54,65,6c,6e,65,74,63,6c,69,65,6e,74,73,2c,20,65,69,\
6e,73,63,68,6c,69,65,df,6c,69,63,68,20,55,4e,49,58,2d,62,61,73,69,65,72,74,\
65,6e,20,75,6e,64,20,57,69,6e,64,6f,77,73,2d,62,61,73,69,65,72,74,65,6e,20,\
43,6f,6d,70,75,74,65,72,6e,2e,20,57,65,6e,6e,20,64,69,65,73,65,72,20,44,69,\
65,6e,73,74,20,61,6e,67,65,68,61,6c,74,65,6e,20,77,69,72,64,2c,20,69,73,74,\
20,64,65,72,20,52,65,6d,6f,74,65,7a,75,67,72,69,66,66,20,6d,f6,67,6c,69,63,\
68,65,72,77,65,69,73,65,20,6e,69,63,68,74,20,6d,65,68,72,20,76,65,72,66,fc,\
67,62,61,72,2e,20,57,65,6e,6e,20,64,69,65,73,65,72,20,44,69,65,6e,73,74,20,\
64,65,61,6b,74,69,76,69,65,72,74,20,77,69,72,64,2c,20,6b,f6,6e,6e,65,6e,20,\
61,6c,6c,65,20,44,69,65,6e,73,74,65,2c,20,64,69,65,20,65,78,70,6c,69,7a,69,\
74,20,76,6f,6e,20,64,69,65,73,65,6d,20,44,69,65,6e,73,74,20,61,62,68,e4,6e,\
67,65,6e,2c,20,6e,69,63,68,74,20,6d,65,68,72,20,67,65,73,74,61,72,74,65,74,\
20,77,65,72,64,65,6e,2e,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TlntSvr\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\
00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\
00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate]

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU]


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole]
"DefaultLaunchPermission"=hex:01,00,04,80,5c,00,00,00,6c,00,00,00,00,00,00,00,\
14,00,00,00,02,00,48,00,03,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\
00,05,04,00,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\
00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,\
20,00,00,00,20,02,00,00
"MachineLaunchRestriction"=hex:01,00,04,80,48,00,00,00,58,00,00,00,00,00,00,00,\
14,00,00,00,02,00,34,00,02,00,00,00,00,00,18,00,1f,00,00,00,01,02,00,00,00,\
00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,0b,00,00,00,01,01,00,00,00,00,\
00,01,00,00,00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,\
00,00,00,00,05,20,00,00,00,20,02,00,00
"MachineAccessRestriction"=hex:01,00,04,80,44,00,00,00,54,00,00,00,00,00,00,00,\
14,00,00,00,02,00,30,00,02,00,00,00,00,00,14,00,03,00,00,00,01,01,00,00,00,\
00,00,05,07,00,00,00,00,00,14,00,07,00,00,00,01,01,00,00,00,00,00,01,00,00,\
00,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00
"EnableDCOM"="Y"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\AppCompat\ActivationSecurityCheckExemptionList]
"{A50398B8-9075-4FBF-A7A1-456BF21937AD}"="1"
"{AD65A69D-3831-40D7-9629-9B0B50A93843}"="1"
"{0040D221-54A1-11D1-9DE0-006097042D69}"="1"
"{2A6D72F1-6E7E-4702-B99C-E40D3DED33C3}"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\NONREDIST]
"System.EnterpriseServices.Thunk.dll"=""


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"Authentication Packages"=hex(7):6d,73,76,31,5f,30,00,00
"Bounds"=hex:00,30,00,00,00,20,00,00
"Security Packages"=hex(7):6b,65,72,62,65,72,6f,73,00,6d,73,76,31,5f,30,00,73,\
63,68,61,6e,6e,65,6c,00,77,64,69,67,65,73,74,00,00
"ImpersonatePrivilegeUpgradeToolHasRun"=dword:00000001
"LsaPid"=dword:0000030c
"SecureBoot"=dword:00000001
"auditbaseobjects"=dword:00000000
"crashonauditfail"=dword:00000000
"disabledomaincreds"=dword:00000000
"everyoneincludesanonymous"=dword:00000000
"fipsalgorithmpolicy"=dword:00000000
"forceguest"=dword:00000001
"fullprivilegeauditing"=hex:00
"limitblankpassworduse"=dword:00000000
"lmcompatibilitylevel"=dword:00000000
"nodefaultadminowner"=dword:00000001
"nolmhash"=dword:00000000
"restrictanonymous"=dword:00000000
"restrictanonymoussam"=dword:00000001
"Notification Packages"=hex(7):73,63,65,63,6c,69,00,00
"enabledcom"="y"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders]
"ProviderOrder"=hex(7):57,69,6e,64,6f,77,73,20,4e,54,20,41,63,63,65,73,73,20,\
50,72,6f,76,69,64,65,72,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\AccessProviders\Windows NT Access Provider]
"ProviderPath"=hex(2):25,53,79,73,74,65,6d,52,6f,6f,74,25,5c,73,79,73,74,65,6d,\
33,32,5c,6e,74,6d,61,72,74,61,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Data]
"Pattern"=hex:3b,bf,d9,72,a8,71,95,0a,00,8b,7e,99,f2,f8,08,3e,62,32,36,62,61,\
33,31,61,00,00,00,00,a0,ef,00,00,18,ca,06,00,99,d0,b7,71,04,ca,06,00,10,00,\
00,00,00,00,00,00,f6,91,9b,e4,ea,bc,6b,ff,05,34,77,b2

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\GBG]
"GrafBlumGroup"=hex:4d,48,21,da,a8,cd,e1,e1,e7

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\JD]
"Lookup"=hex:9c,3d,b8,c5,3b,7a

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\SidCache]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\MSV1_0]
"Auth132"="IISSUBA"
"ntlmminclientsec"=dword:00000000
"ntlmminserversec"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Skew1]
"SkewMatrix"=hex:c5,29,51,43,ae,17,cd,93,e7,89,2a,ec,b4,ab,3f,d0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SSO\Passport1.4]
"SSOURL"="http://www.passport.com"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache]
"Time"=hex:fe,84,23,c9,6b,dc,c8,01

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\digest.dll]
"Name"="Digest"
"Comment"="Digest SSPI Authentication Package"
"Capabilities"=dword:00004050
"RpcId"=dword:0000ffff
"Version"=dword:00000001
"TokenSize"=dword:0000ffff
"Time"=hex:80,de,1a,57,d6,9d,c8,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msapsspc.dll]
"Name"="DPA"
"Comment"="DPA Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000011
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:00,fc,46,5b,d6,9d,c8,01
"Type"=dword:00000031

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache\msnsspc.dll]
"Name"="MSN"
"Comment"="MSN Security Package"
"Capabilities"=dword:00000037
"RpcId"=dword:00000012
"Version"=dword:00000001
"TokenSize"=dword:00000300
"Time"=hex:80,92,df,5b,d6,9d,c8,01
"Type"=dword:00000031


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
"FirstRunDisabled"=dword:00000001
"AntiVirusDisableNotify"=dword:00000000
"FirewallDisableNotify"=dword:00000000
"UpdatesDisableNotify"=dword:00000000
"AntiVirusOverride"=dword:00000000
"FirewallOverride"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\AhnlabAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ComputerAssociatesAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\KasperskyAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\McAfeeFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\PandaFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SophosAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TinyFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendAntiVirus]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\TrendFirewall]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\ZoneLabsFirewall]


[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile]


Zitat

««
scanne mit avira im abgesicherten modus - Heuristik bitte hoch stellen - poste hier den report

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 16. Oktober 2008 12:42

Es wird nach 1686641 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: Administrator
Computername: SN116942760312

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.7.12 4066816 Bytes 08.10.2008 07:38:53
ANTIVIR3.VDF : 7.0.7.46 243200 Bytes 16.10.2008 07:38:07
Engineversion : 8.2.0.4
AEVDF.DLL : 8.1.0.6 102772 Bytes 16.10.2008 07:38:15
AESCRIPT.DLL : 8.1.1.8 319866 Bytes 16.10.2008 07:38:14
AESCN.DLL : 8.1.1.3 123252 Bytes 16.10.2008 07:38:13
AERDL.DLL : 8.1.1.2 438644 Bytes 14.10.2008 07:39:42
AEPACK.DLL : 8.1.2.4 369014 Bytes 16.10.2008 07:38:13
AEOFFICE.DLL : 8.1.0.28 196987 Bytes 16.10.2008 07:38:12
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 14.10.2008 07:39:26
AEHELP.DLL : 8.1.1.2 115062 Bytes 16.10.2008 07:38:11
AEGEN.DLL : 8.1.0.41 319861 Bytes 16.10.2008 07:38:10
AEEMU.DLL : 8.1.0.9 393588 Bytes 16.10.2008 07:38:09
AECORE.DLL : 8.1.2.6 172406 Bytes 16.10.2008 07:38:08
AEBB.DLL : 8.1.0.3 53618 Bytes 16.10.2008 07:38:08
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 14.10.2008 07:39:04
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 16. Oktober 2008 12:42

Der Suchlauf nach versteckten Objekten wird begonnen.
Der Treiber konnte nicht initialisiert werden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'OPXPApp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '12' Prozesse mit '12' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '78' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HDD>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\admparse.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\advpack.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\browseui.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\corpol.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\custsat.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\dxtmsft.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\dxtrans.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\extmgr.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\hmmapi.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\icardie.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\ie4uinit.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\ieakeng.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\ieaksie.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\ieakui.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\ieapfltr.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\iedkcs32.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\iedw.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\ieencode.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\ieframe.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\iepeers.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\ieproxy.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\iernonce.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\iertutil.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\iesetup.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\ieudinit.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\ieui.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\iexplore.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\imgutil.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\inseng.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\jscript.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\jsproxy.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\licmgr10.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\msfeeds.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\msfeedsbs.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\msfeedssync.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\mshta.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\mshtml.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\mshtmled.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\mshtmler.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\msls31.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\msrating.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\mstime.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\occache.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\pngfilt.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\shdocvw.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\shlwapi.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\spmsg.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\spuninst.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\spupdsvc.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\url.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\urlmon.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\vbscript.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\vgx.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\webcheck.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\winfxdocobj.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\f3feecbf833e5f4d727a9713\wininet.dll
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\FindyKill\Tools\hldrrr.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/Tool.PsKill.2
[HINWEIS] Die Datei wurde gelöscht.
C:\SDFix\backups\backups.zip
[0] Archivtyp: ZIP
--> backups/msupdate.dll
[FUND] Ist das Trojanische Pferd TR/Banker.Banker.alr.K
[HINWEIS] Die Datei wurde gelöscht.


Ende des Suchlaufs: Donnerstag, 16. Oktober 2008 15:33
Benötigte Zeit: 2:51:02 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

10872 Verzeichnisse wurden überprüft
507805 Dateien wurden geprüft
2 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
2 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
57 Dateien konnten nicht durchsucht werden
507746 Dateien ohne Befall
8454 Archive wurden durchsucht
61 Warnungen
2 Hinweise

#11 ich finde nichts mehr ...es sollte wieder alles i.o. sein

C:\SDFix\backups - löschen
C:\Programme\FindyKill - entfernen

Wenn es noch Probleme geben sollte..melde dich.
__________
MfG Sabina

rund um die PC-Sicherheit