Trojaner: Task-manager wurde vom Administrator deaktiviert

#0
07.12.2008, 15:22
Member

Beiträge: 13
#1 Hi! Ich brauche dringend Hilfe!
Bei mir waren(sind?) 2 Computer von Trojanern befallen.
1. Computer: Windows 2000 SP3
Antivir ergebniss:
Am 03.12:
C:\WINNT\system32\drivers\explore.exe
[FUND] Ist das Trojanische Pferd TR/SpyBot.DAV.1
C:\Dokumente und Einstellungen\Aaron Kraync.AARON\Lokale Einstellungen\Temporary Internet Files\Content.IE5\H3C1T6R2\test[1].exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.ukj.14
[HINWEIS] Die Datei wurde gelöscht.
C:\RECYCLER\S-1-5-21-3137356229-0579372925-061252251-2393\winlogon.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.ukj.14

Am 02.12:
C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CXQFC12R\pbhespjb[1].jpg
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.aqfw
[HINWEIS] Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Default User.WINNT\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SPYZS12J\t[1].txt
[FUND] Ist das Trojanische Pferd TR/Crypt.ULPM.Gen

Durch meinen USB Stick hab ich den Trojaner leider auf den 2. Computer übertragen. Antivir hat bei bei meinem USB Stick folgendes gefunden:
K:\RECYCLER\S-1-6-21-2434476501-1644491937-600003330-1213\Regme.exe
[FUND] Ist das Trojanische Pferd TR/SpyBot.DAV.1

2.Computer: WindowsXP SP2

Jetzt hab ich das Problem das ich den Task Manager bei beiden Computern nicht mehr öffnen kann. Es kommt die Meldung: "Der Task-manager wurde vom Administrator deaktiviert."
Nachdem ich mich informiert hatte wollte ich das Problem mit dem Registrierungseditor beheben aber wenn ich REGEDIT.EXE eingebe kommt bei beiden Computern die Nachricht: "Das Bearbeiten der Registrierung wurde durch den Administrator deaktiviert." und jetzt weiss ich nicht mehr was ich tun soll!
Ich habe im Forum gelesen dass mir einige von euch helfen können wenn ich den computer von hijackthis scannen lasse.
Hier sind die Ergebnisse:

Computer1:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:55:27, on 07.12.2008
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.exe
C:\WINNT\system32\VTTimer.exe
C:\Programme\Winamp\winampa.exe
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\WINNT\TPPALDR.EXE
C:\Programme\Generic\USB Card Reader Driver v2.2\Disk_Monitor.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Razer_Pro_Solutions\razerhid.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Razer_Pro_Solutions\razertra.exe
C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\WINNT\system32\internat.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Razer_Pro_Solutions\razerofa.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Slim Multimedia Keyboard\MagicKey.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Slim Multimedia Keyboard\OSD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aon.at
F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\explore.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Tray Temperature] C:\PROGRA~1\AWS\MiniBug.exe 1
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINNT\TPPALDR.EXE
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader Driver v2.2\Disk_Monitor.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [razer] C:\Programme\Razer_Pro_Solutions\razerhid.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINNT\system32\winIogon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Windows Video Drivers] C:\RECYCLER\S-1-5-21-3137356229-0579372925-061252251-2393\winlogon.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [NvidMediaCenter] C:\Programme\Gemeinsame Dateien\System\wmsncs.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Spool Driver Service] C:\WINNT\system32\spool\drivers\wmsncs.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Wmsncs Service] C:\WINNT\Fonts\wmsncs.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Wins Service] C:\WINNT\system32\wins\wmsncs.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Slim Multimedia Keyboard.lnk = C:\Programme\Slim Multimedia Keyboard\MagicKey.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aon.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF534562-6D02-4AD3-86EB-B1AE1B84C023}: NameServer = 195.34.133.21 195.34.133.22
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NET Runtime Optimization Service v2.1.41329_X86 - Unknown owner - C:\WINNT\Fonts\wmsncs.exe (file missing)
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

--
End of file - 8320 bytes


Computer2:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:33:11, on 07.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\drivers\explore.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
F2 - REG:system.ini: Shell=Explorer.exe %windir%\system32\drivers\explore.exe
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Windows System Update Tools] upds.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [explore.exe] C:\WINDOWS\system32\drivers\explore.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunServices: [Windows System Update Tools] upds.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Media Player.lnk = C:\Programme\Adobe Media Player\Adobe Media Player.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1214059715579
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1214059703236
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6677 bytes


Mir ist aufgefallen dass bei Computer2 die Datei C:\WINDOWS\system32\drivers\explore.exe bei Antivir als nicht infiziert angezeigt wird während bei Computer1 dort der Trojaner gefunden wurde. Kann es sein das Antivir den Trojaner bei Computer2 einfach nicht entdeckt hat?
Ich kenn mich zwar mit Hijackthis nicht aus aber "O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1" ist mir aufgefallen. ich schätze mal dass deswegen der Registrierungseditor nicht geht, aber wie ändere ich das?

Bitte helfts mir!!
Seitenanfang Seitenende
07.12.2008, 15:30
Moderator

Beiträge: 7802
#2 Arbeite bitte die Punkte 2-5 auf beiden Rechnern ab und poste die entsprechenden Reporte.

Dein Win2000 Rechner ist extremst ungepatcht und es kann sein, das der schneller wieder infiziert wird, wie wir ihn reinigen koennen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.12.2008, 15:34
...neu hier

Beiträge: 9
Seitenanfang Seitenende
07.12.2008, 15:47
Moderator

Beiträge: 7802
#4 Es wuerde reichen den Eintrag mit Hijackthis anzuhaken und fix checked zu druecken. Problem wird sein, das Malware dein Reg Eintrag gleich wieder neu erstellen wird....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.12.2008, 19:14
Member

Themenstarter

Beiträge: 13
#5 Ich habe jetzt punkt 2-5 gemacht.
Ergebnis Computer 1(windows 2000):
Malwarebytes:
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1456
Windows 5.0.2195 Service Pack 3

08.12.2008 14:53:50
mbam-log-2008-12-08 (14-53-50).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 54155
Laufzeit: 4 minute(s), 46 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NET Runtime Optimization Service v2.1.41329_X86 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows video drivers (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


log von Combofix:

ComboFix 08-12-07.01 - Aaron Kraync 08.12.2008 15:07:49.1 - NTFSx86
Microsoft Windows 2000 Professional 5.0.2195.3.1252.1.1031.18.255 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Aaron Kraync.AARON\Desktop\ComboFix.exe

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\winnt\Web\default.htt
K:\autorun.inf
k:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213
k:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\Desktop.ini
k:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\Regme.exe

.
((((((((((((((((((((((( Dateien erstellt von 2008-11-08 bis 2008-12-08 ))))))))))))))))))))))))))))))
.

2008-12-08 14:44 . 08-12-08 14:44 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-08 14:44 . 08-12-08 14:44 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\Malwarebytes
2008-12-08 14:44 . 08-12-08 14:44 <DIR> d-------- c:\dokumente und einstellungen\Aaron Kraync.AARON\Anwendungsdaten\Malwarebytes
2008-12-08 14:44 . 08-12-03 19:52 38,496 --a------ c:\winnt\system32\drivers\mbamswissarmy.sys
2008-12-08 14:44 . 08-12-03 19:52 15,504 --a------ c:\winnt\system32\drivers\mbam.sys
2008-12-07 00:23 . 08-12-07 00:23 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\Kaspersky Lab Setup Files
2008-12-06 22:23 . 08-12-06 22:23 <DIR> d-------- c:\winnt\system32\Microsoft
2008-12-06 22:23 . 08-12-06 22:23 <DIR> d-------- c:\programme\Lavasoft
2008-12-06 22:23 . 08-12-06 22:23 <DIR> d-------- c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2008-12-06 22:23 . 08-12-06 22:24 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\Lavasoft
2008-12-06 22:16 . 08-12-06 22:16 <DIR> d-------- c:\programme\AskBarDis
2008-12-06 22:15 . 08-12-06 22:15 <DIR> d---s---- c:\dokumente und einstellungen\Aaron Kraync.AARON\UserData
2008-12-02 23:54 . 08-12-02 23:54 0 --a------ C:\ARK1B.tmp
2008-12-02 23:25 . 08-12-02 23:25 0 --a------ C:\ARK19.tmp
2008-12-02 23:25 . 08-12-02 23:25 0 --a------ C:\ARK18.tmp
2008-12-01 10:34 . 08-12-01 10:33 171,520 ---hs---- c:\winnt\system32\drivers\explore.exe
2008-11-10 08:15 . 08-11-10 08:15 <DIR> d-------- c:\programme\Google
2008-11-10 08:14 . 08-11-10 19:18 <DIR> d-------- c:\programme\NOS
2008-11-10 08:14 . 08-11-10 19:18 <DIR> d-------- c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\NOS

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-06 23:00 --------- d---a-w c:\programme\Trend Micro
2008-12-02 22:03 41,744 ----a-w c:\winnt\system32\FTP.EXE
2008-12-01 09:34 96,368 ----a-w c:\winnt\system32\sfc.dll
2008-11-29 18:56 --------- d-----w c:\dokumente und einstellungen\Aaron Kraync.AARON\Anwendungsdaten\AdobeUM
2008-10-27 11:01 --------- d-----w c:\programme\Canon
2008-10-27 11:01 --------- d-----w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\CanonIJPLM
2008-10-27 10:58 --------- d---a-w c:\programme\Gemeinsame Dateien\InstallShield
2008-10-27 10:58 --------- d-----w c:\programme\Gemeinsame Dateien\ScanSoft Shared
2008-10-27 10:58 --------- d-----w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\ScanSoft
2008-10-27 10:58 --------- d-----w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\InstallShield
2008-10-27 10:58 --------- d-----w c:\dokumente und einstellungen\Aaron Kraync.AARON\Anwendungsdaten\ScanSoft
2008-10-27 10:57 --------- d-----w c:\programme\ScanSoft
2008-10-27 10:56 --------- d-----w c:\programme\Gemeinsame Dateien\Canon
2008-10-27 10:54 --------- d--h--w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\CanonBJ
2008-10-27 10:53 --------- d--h--w c:\programme\CanonBJ
2008-10-24 19:27 --------- d-----w c:\programme\Steinberg
2008-10-24 19:26 --------- d-----w c:\programme\Psychotoxic
2008-10-24 19:26 --------- d-----w c:\programme\Propellerhead
2008-10-24 19:26 --------- d-----w c:\programme\2program
2008-10-24 19:21 --------- d-----w c:\programme\GameSpy Arcade
2008-10-24 19:21 --------- d-----w c:\programme\FruityLoops 3.56
2008-10-24 19:18 --------- d-----w c:\programme\VstPlugins
2008-10-24 19:17 --------- d---a-w c:\programme\Winamp
2008-10-24 18:58 --------- d-----w c:\programme\Avira
2008-10-24 18:58 --------- d-----w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\Avira
2008-10-24 18:39 --------- d-----w c:\programme\Inode
2008-10-16 13:13 202,776 ----a-w c:\winnt\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\winnt\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\winnt\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\winnt\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\winnt\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\winnt\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\winnt\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\winnt\system32\wups.dll
2007-07-27 17:29 20 ---h--w c:\dokumente und einstellungen\All Users.WINNT\Anwendungsdaten\PKP_DLec.DAT
2006-04-02 18:09 271 ---h--w c:\programme\desktop.ini
2006-04-02 18:09 22,080 ---h--w c:\programme\folder.htt
2001-10-05 09:53 21,866 ----a-w c:\programme\Gemeinsame Dateien\tppupd2k.dll
1999-12-10 12:00 32,528 ----a-w c:\winnt\inf\wbfirdma.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}]
08-08-06 15:20 279944 --a------ c:\programme\AskBarDis\bar\bin\askBar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{3041d03e-fd4b-44e0-b742-2d9b88305f98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [08-08-06 15:20 279944]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{3041D03E-FD4B-44E0-B742-2D9B88305F98}"= "c:\programme\AskBarDis\bar\bin\askBar.dll" [08-08-06 15:20 279944]

[HKEY_CLASSES_ROOT\clsid\{3041d03e-fd4b-44e0-b742-2d9b88305f98}]
[HKEY_CLASSES_ROOT\TypeLib\{4b1c1e16-6b34-430e-b074-5928eca4c150}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [08-11-10 08:15 171448]
"internat.exe"="internat.exe" [99-12-10 13:00 20752 c:\winnt\system32\internat.exe]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [04-12-20 19:41 33792]
"SsAAD.exe"="c:\progra~1\Sony\SONICS~1\SsAAD.exe" [05-01-24 18:58 81920]
"TPP Auto Loader"="c:\winnt\TPPALDR.EXE" [01-10-05 10:54 118784]
"Disk Monitor"="c:\programme\Generic\USB Card Reader Driver v2.2\Disk_Monitor.exe" [04-03-31 04:25 441856]
"DAEMON Tools"="c:\programme\DAEMON Tools\daemon.exe" [05-11-08 23:00 128920]
"razer"="c:\programme\Razer_Pro_Solutions\razerhid.exe" [05-09-21 15:36 143360]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [08-02-28 19:45 151597]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [08-06-12 13:28 266497]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [06-09-12 09:02 282624]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [07-05-14 17:01 644696]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [07-04-03 17:50 1603152]
"SSBkgdUpdate"="c:\programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [06-10-25 09:03 210472]
"OpwareSE4"="c:\programme\ScanSoft\OmniPageSE4\OpwareSE4.exe" [07-02-04 12:02 79400]
"Synchronization Manager"="mobsync.exe" [99-12-10 13:00 112400 c:\winnt\system32\mobsync.exe]
"VTTimer"="VTTimer.exe" [03-08-20 04:56 45056 c:\winnt\system32\VTTimer.exe]
"SoundMan"="SOUNDMAN.EXE" [04-02-09 09:54 65024 c:\winnt\SOUNDMAN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [99-12-10 13:00 20752 c:\winnt\system32\internat.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"^SetupICWDesktop"="c:\programme\Internet Explorer\Connection Wizard\icwconn1.exe" [99-12-10 13:00 189712]

c:\dokumente und einstellungen\Aaron Kraync.AARON\Startmen\Programme\Autostart\
Rainlendar.lnk - c:\programme\Rainlendar\Rainlendar.exe [2006-01-21 118784]

c:\dokumente und einstellungen\All Users.WINNT\Startmen\Programme\Autostart\
NkbMonitor.exe.lnk - c:\programme\Nikon\PictureProject\NkbMonitor.exe [2006-12-22 118784]
Slim Multimedia Keyboard.lnk - c:\programme\Slim Multimedia Keyboard\MagicKey.exe [2006-12-21 163840]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nwprovau]
02-07-22 11:05 142096 c:\winnt\system32\NWPROVAU.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= mmdrv.dll
"VIDC.VP31"= vp31vfw.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

R?2 itslup;itslup;c:\winnt\system32\svchost.exe -k netsvcs [1999-12-10 7952]
R0 avgntmgr;avgntmgr;c:\winnt\system32\DRIVERS\avgntmgr.sys [2008-10-24 18496]
R0 SonySDK2;Sony USB Mass Storage Driver;c:\winnt\system32\DRIVERS\SonySDK2.sys [2006-07-03 28442]
R1 Asapi;Asapi;c:\winnt\system32\drivers\Asapi.sys [2006-09-12 11264]
R1 avgntdd;avgntdd;c:\winnt\system32\DRIVERS\avgntdd.sys [2008-10-24 64448]
R1 kbfilter;Keyboard Filter Driver;c:\winnt\system32\drivers\kbfilter.sys [2006-12-21 11886]
R3 Razerlow;Razerlow USB Filter Driver;c:\winnt\system32\Drivers\Razerlow.sys [2007-02-22 13225]
R3 usbhub20;USB 2.0 Root Hub Support;c:\winnt\system32\DRIVERS\usbhub20.sys [2006-05-24 49392]
S3 iMSPQMn;iMSPQMn;\??\c:\dokume~1\AARONK~1.AAR\LOKALE~1\Temp\iMSPQMn.sys []
S3 NeodioUSBSTOR;USB Card Reader Driver;c:\winnt\system32\DRIVERS\USBNEOD.SYS []
S3 SONYFILT;Sony USBSTOR.SYS Filter;c:\winnt\system32\Drivers\SonyUSBF.sys [2006-07-03 4480]
S3 viafilter;VIA USB Filter;c:\winnt\system32\Drivers\viausb.sys [2006-04-03 9038]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
itslup

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{103L3C30-C3B3-4130-9363-E59E1375PERM}]
c:\winnt\Fonts\wmsncs.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-SpybotSD TeaTimer - c:\programme\Spybot - Search & Destroy\TeaTimer.exe
HKLM-Run-Tray Temperature - c:\progra~1\AWS\MiniBug.exe
HKU-Default-Run-NvidMediaCenter - c:\programme\Gemeinsame Dateien\System\wmsncs.exe
HKU-Default-Run-Spool Driver Service - c:\winnt\system32\spool\drivers\wmsncs.exe
HKU-Default-Run-Wmsncs Service - c:\winnt\Fonts\wmsncs.exe
HKU-Default-Run-Wins Service - c:\winnt\system32\wins\wmsncs.exe


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.at/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
mDefault_Search_URL = hxxp://www.google.com/ie
uSearchAssistant = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
mSearchAssistant = hxxp://www.google.com/ie
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm
IE: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm -
LSP: %SystemRoot%\system32\msafd.dll

O16 -: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab
c:\winnt\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab
c:\winnt\Downloaded Program Files\Microsoft XML Parser for Java.osd
FireFox -: Profile - c:\dokumente und einstellungen\Aaron Kraync.AARON\Anwendungsdaten\Mozilla\Firefox\Profiles\q6opq5ok.default\
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-08 15:11:39
Windows 5.0.2195 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(264)
c:\winnt\system32\msv1_0.dll

- - - - - - - > 'lsass.exe'(308)
c:\winnt\system32\MPR.dll
.
Zeit der Fertigstellung: 2008-12-08 15:14:08 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2008-12-08 14:14:06

Vor Suchlauf: 117.005.127.680 Bytes frei
Nach Suchlauf: 117,660,614,656 Bytes frei

196

erneuter log von hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:16:19, on 08.12.2008
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\VTTimer.exe
C:\Programme\Winamp\winampa.exe
C:\WINNT\SOUNDMAN.EXE
C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
C:\WINNT\TPPALDR.EXE
C:\Programme\Generic\USB Card Reader Driver v2.2\Disk_Monitor.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Razer_Pro_Solutions\razerhid.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Razer_Pro_Solutions\razertra.exe
C:\Programme\Razer_Pro_Solutions\razerofa.exe
C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\WINNT\system32\internat.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\Programme\Slim Multimedia Keyboard\MagicKey.exe
C:\Programme\Rainlendar\Rainlendar.exe
C:\Programme\Slim Multimedia Keyboard\OSD.EXE
C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
C:\WINNT\explorer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SsAAD.exe] C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe
O4 - HKLM\..\Run: [TPP Auto Loader] C:\WINNT\TPPALDR.EXE
O4 - HKLM\..\Run: [Disk Monitor] C:\Programme\Generic\USB Card Reader Driver v2.2\Disk_Monitor.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [razer] C:\Programme\Razer_Pro_Solutions\razerhid.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Rainlendar.lnk = C:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Slim Multimedia Keyboard.lnk = C:\Programme\Slim Multimedia Keyboard\MagicKey.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\system32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\winnt\system32\nwprovau.dll
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aon.at
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe

--
End of file - 7218 bytes


Computer 2 (windows xp):

Malwarebytes:
Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1456
Windows 5.1.2600 Service Pack 2

08.12.2008 15:07:06
mbam-log-2008-12-08 (15-07-06).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 49183
Laufzeit: 4 minute(s), 25 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Log von Combofix:

ComboFix 08-12-07.01 - clau 2008-12-08 15:15:43.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.250 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\clau\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[COLOR=RED]Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !![/COLOR]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\Microsoft\backup.ftp

.
((((((((((((((((((((((( Dateien erstellt von 2008-11-08 bis 2008-12-08 ))))))))))))))))))))))))))))))
.

2008-12-08 14:57 . 2008-12-08 14:57 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-12-08 14:57 . 2008-12-08 14:57 <DIR> d-------- c:\dokumente und einstellungen\clau\Anwendungsdaten\Malwarebytes
2008-12-08 14:57 . 2008-12-08 14:57 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-12-08 14:57 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-08 14:57 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-07 14:32 . 2008-12-07 14:32 <DIR> d-------- c:\programme\Trend Micro
2008-12-07 14:24 . 2008-12-07 14:24 <DIR> d-------- c:\programme\Avira
2008-12-07 14:24 . 2008-12-07 14:24 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
2008-12-07 00:41 . 2008-12-07 00:44 <DIR> d-a------ c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2008-12-06 21:12 . 2003-04-02 13:00 26,236 --a------ c:\windows\system32\wins.mib
2008-12-06 21:12 . 2003-04-02 13:00 15,872 --a--c--- c:\windows\system32\dllcache\smierrsm.dll
2008-12-06 21:12 . 2003-04-02 13:00 5,632 --a--c--- c:\windows\system32\dllcache\smimsgif.dll
2008-12-06 21:12 . 2003-04-02 13:00 5,632 --a--c--- c:\windows\system32\dllcache\smierrsy.dll
2008-12-06 17:45 . 2008-12-01 10:33 171,520 -r-hs---- c:\windows\system32\drivers\explore.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-08 13:30 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-12-07 13:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ScanSoft
2008-12-07 13:15 --------- d-----w c:\programme\Gemeinsame Dateien\Sony Shared
2008-12-06 16:45 359,040 ------w c:\windows\system32\drivers\tcpip.sys
2008-11-05 09:29 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonIJPLM
2008-11-05 09:28 --------- d-----w c:\programme\Canon
2008-11-05 09:22 --------- d--h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2008-11-05 09:21 --------- d--h--w c:\programme\CanonBJ
2008-11-05 08:37 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2008-11-05 08:37 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\InstallShield
2008-11-05 08:36 --------- d-----w c:\programme\ScanSoft
2008-11-05 08:35 --------- d-----w c:\programme\Gemeinsame Dateien\Canon
2008-10-24 11:34 --------- d-----w c:\programme\Winamp
2008-10-24 11:29 --------- d--h--w c:\programme\InstallShield Installation Information
2008-10-20 11:28 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe AIR
2008-10-06 12:07 20 ---h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\PKP_DLec.DAT
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-03 68856]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-08-03 1667584]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2004-03-24 3309568]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-09-07 151597]
"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 487424]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2008-09-07 98304]
"NvMediaCenter"="c:\windows\System32\NvMcTray.dll" [2004-03-24 46080]
"explore.exe"="c:\windows\system32\drivers\explore.exe" [2008-12-01 171520]
"CanonSolutionMenu"="c:\programme\Canon\SolutionMenu\CNSLMAIN.exe" [2007-05-14 644696]
"CanonMyPrinter"="c:\programme\Canon\MyPrinter\BJMyPrt.exe" [2007-04-03 1603152]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"SoundMan"="SOUNDMAN.EXE" [2004-01-08 c:\windows\SOUNDMAN.EXE]
"Ptipbmf"="ptipbmf.dll" [2003-06-20 c:\windows\system32\ptipbmf.dll]
"nwiz"="nwiz.exe" [2004-03-24 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-03 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office OneNote 2003 Schnellstart.lnk - c:\programme\Microsoft Office\OFFICE11\ONENOTEM.EXE [2003-08-06 51776]
NkbMonitor.exe.lnk - c:\programme\Nikon\PictureProject\NkbMonitor.exe [2008-09-07 118784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="Explorer.exe %windir%\\system32\\drivers\\explore.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\german\\setup.exe"=

S3 NETMDSHA;MDSHA031;c:\windows\system32\Drivers\MDSHA031.sys [2008-04-27 35331]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\setup.exe

*Newly Created Service* - PROCEXP90
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-08 15:18:36
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ASFWHide]
"ImagePath"="\??\c:\dokume~1\clau\LOKALE~1\Temp\ASFWHide"
.
Zeit der Fertigstellung: 2008-12-08 15:20:08
ComboFix-quarantined-files.txt 2008-12-08 14:19:56

Vor Suchlauf: 10 Verzeichnis(se), 190.047.481.856 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 191,085,887,488 Bytes frei

106

erneuter log von hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:27:25, on 08.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\drivers\explore.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Canon\MyPrinter\BJMyPrt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\explorer.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll (file missing)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [explore.exe] C:\WINDOWS\system32\drivers\explore.exe
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Programme\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Media Player.lnk = C:\Programme\Adobe Media Player\Adobe Media Player.exe
O4 - Global Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1214059715579
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1214059703236
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 6235 bytes


Bei Computer1 geht der Task manager und der Registrierungseditor jetzt wieder. Bei Computer2 ist er direkt nach dem check auch wieder gegangen aber kaum schalt ich ihn aus und wieder an ist das selbe Problem wieder da.

Ist bei Computer1 jetzt soweit alles in Ordnung? und was soll ich bei Computer2 jetzt machen?

danke für die hilfe, lg claudia
Seitenanfang Seitenende
09.12.2008, 19:01
Moderator

Beiträge: 7802
#6 Puh, da durchzukommen wird nicht einfach.

Hake bei dem xp Rechner folgendes an, druecke fix checked und starte neu

O4 - HKLM\..\Run: [explore.exe] C:\WINDOWS\system32\drivers\explore.exe

Schau, ob nach dem neustart der Eintrag verschwunden ist.

Nachdem du c:\winnt\system32\drivers\explore.exe bei Virustotal geprueft und den Link zum Ergebniss hier gepostet hast, loesche die Datei.

Danach von dem xp Rechner ein neues Combofix Log erstellen und posten

Den 2000er Rechner kannst du schon via www.windowsupdate.com mit den wichtigsten Upstes versorgen. Wiederhole das so oft, bis dir keine Updates mehr angeboten werden
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
10.12.2008, 14:04
Member

Themenstarter

Beiträge: 13
#7 explore.exe ist jetzt weg und der registrierungseditor und der taskmanager gehen jetzt auch wieder.

Das Combofix Log ist als Anhang dabei.

Ich hoffe das Problem ist jetzt endgültig gelöst.
Nochmals vielen Dank für die Hilfe! Allein hätt ich das nie geschafft. Lg Claudia

Anhang: log.txt
Seitenanfang Seitenende
10.12.2008, 17:01
Moderator

Beiträge: 7802
#8 Die Datei iast noch auf dem Rechner!

2008-12-06 17:45 . 2008-12-01 10:33 171,520 -r-hs---- c:\windows\system32\drivers\explore.exe

Sie scheint allerdings inaktiv zu sein. Lioesche sie bitte.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
12.12.2008, 13:13
Member

Themenstarter

Beiträge: 13
#9 Im angegebenen Pfad befindet sich die Datei aber nicht! Ich hab auch die ganze Festplatte durchsuchen lassen und er findet explore.exe nicht. Wie kann das sein?
Seitenanfang Seitenende