Home » Spyware & Browser Hijacker Support Forum » Internet Explorer extrem langsam » Themenansicht

Internet Explorer extrem langsam
#0
23.03.2009, 17:56
Madn
Member

Themenstarter

Beiträge: 108
#46 achso, hab das mit dem Internet Explorer überlesen ;)
wollt es mit Firefox versuchen

scanne jetzt
Seitenanfang Seitenende
23.03.2009, 18:00
Swisstreasure
Moderator

Beiträge: 5694
#47 Das geht natürlich nicht ;) ;)
Seitenanfang Seitenende
23.03.2009, 19:17
Madn
Member

Themenstarter

Beiträge: 108
#48 BitDefender Online Scanner







Bericht erstellt am: Mon, Mar 23, 2009 - 18:58:38









Zu prüfender Pfad: C:\;D:\;E:\;F:\;G:\;H:\;















Statistik

Zeit


00:56:12

Dateien


111779

Ordner


12989

Boot-Sektoren


0

Archive


1852

Komprimierte Dateien


6161







Ergebnisse

Erkannte Viren


2

Infizierte Dateien


2

verdächtige Dateien


0

Warnungen


0

Desinfiziert


0

Gelöscht


2







Engine-Info

Virensignaturen


2815012

Engine info


AVCORE v1.7 (build 8314.19) (i386) (Sep 29 2008 17:19:14)

Prüf-Plugins


17

Archiv-Plugins


45

Extraktions-Plugins


7

E-Mail-Plugins


6

System-Plugins


4







Prüfeinstellungen

Primäre Aktion


Desinfizieren

Sekundäre Aktion


Löschen

Heuristik


Ja

Warnungen aktivieren


Ja

Zu prüfende Erweiterungen


exe;com;dll;ocx;scr;bin;dat;386
;vxd;sys;wdm;cla;class;ovl;ole
;hlp;doc;dot;xls;ppt;wbk;wiz;p
ot;ppa;xla;xlt;vbs;vbe;mdb;rtf;
htm;hta;html;xml;xtp;php;asp;j
s;shs;chm;lnk;pif;prc;url;smm;pfd;msi;ini;csc;cmd;bas;

Auszuschließende Erweiterungen




E-Mails prüfen


Ja

Archive prüfen


Ja

Komprimierte Dateien prüfen


Ja

Dateien prüfen


Ja

Boot-Sektoren prüfen


Ja








Geprüfte Dateien


Status

C:\Dokumente und Einstellungen\Roitzheim\Desktop\Spiele\Minispiele\exe\hosted_by_gw_wormwars4.exe=>(Instyler o)=>(Instyler Module 5)


Infiziert: Backdoor.Generic.35543

C:\Dokumente und Einstellungen\Roitzheim\Desktop\Spiele\Minispiele\exe\hosted_by_gw_wormwars4.exe=>(Instyler o)=>(Instyler Module 5)


Gelöscht

C:\Dokumente und Einstellungen\Roitzheim\Desktop\Spiele\Minispiele\exe\hosted_by_gw_wormwars4.exe=>(Instyler o)


Aktualisieren fehlgeschlagen


Gelöscht

C:\System Volume Information\_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP4\A0000657.exe


Infiziert: Trojan.Generic.1336988

C:\System Volume Information\_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP4\A0000657.exe


Gelöscht
Dieser Beitrag wurde am 23.03.2009 um 20:46 Uhr von Madn editiert.
Seitenanfang Seitenende
23.03.2009, 19:39
Swisstreasure
Moderator

Beiträge: 5694
#49 Und die 2 Fehlermeldungen kommen immernoch? Sind die HJT Einträge wirklich weg? Poste bitte ein neues Log von HJT.

Gruss Swiss
Seitenanfang Seitenende
23.03.2009, 19:56
Madn
Member

Themenstarter

Beiträge: 108
#50 Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:52:21, on 23.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\vsnpstd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_timer.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: PhotoPos Pro Toolbar - {A057A204-BACC-4D26-9F9D-3BEFCFBE6E86} - C:\Programme\photoposcomtbr\photoposcomtbr.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: PhotoPos Pro Toolbar - {A057A204-BACC-4D26-9F9D-3BEFCFBE6E86} - C:\Programme\photoposcomtbr\photoposcomtbr.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LXCFCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [TalkAndWrite] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe /run
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\Roitzheim\Anwendungsdaten\Macromedia\Common\e3b900461.dll""
O4 - HKUS\S-1-5-19\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\e3b900461.dll"" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [rundll32.exe] rundll32.exe "C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\e3b900461.dll"" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\A4CIS600\WATCH.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: BlueSoleil.lnk = C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: p6übersicht.lnk = C:\Programme\phase6\phase6\WinStart\WinStart.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136469868593
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols3/fscax.cab
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: lxcf_device - - C:\WINDOWS\system32\lxcfcoms.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe
O23 - Service: X10 Device Network Service (x10nets) - Unknown owner - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe (file missing)

--
End of file - 9669 bytes


zum Fehler 1, die Zeilen beim log schreiben sich wohl immer wieder erneut rein, weil ich sie gelöscht hatte.

hab grad nochmal neugestartet, der Fehler screen 1 war diesmal nicht mehr da, aber 2 immernoch und der Fehler lässt sich auch nicht so leicht wegklicken. Wenn ich auf ok drücke kommt, musste beendet werden bla, wollen sie das Problem microsoft schicken (übliche prozedur wenn ein programm abgestürzt und beendet wird). Wenn ich dann auf schließen drücke, wird der Fehler erneut wie in screen 2 angezeigt
Seitenanfang Seitenende
23.03.2009, 20:20
Swisstreasure
Moderator

Beiträge: 5694
#51 Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Files to delete:
C:\Dokumente und Einstellungen\Roitzheim\Anwendungsdaten\Macromedia\Common\e3b900461.dll
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\e3b900461.dll
C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\e3b900461.dll
Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

>>
lösche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

>>
Poste ein neues Log von Combofix:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss
Seitenanfang Seitenende
23.03.2009, 20:36
Madn
Member

Themenstarter

Beiträge: 108
#52 Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\Dokumente und Einstellungen\Roitzheim\Anwendungsdaten\Macromedia\Common\e3b900461.dll" deleted successfully.
File "C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\e3b900461.dll" deleted successfully.
File "C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Macromedia\Common\e3b900461.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.


Jetzt sieht die Nachricht ein klein wenig anders aus, soll ich die dateien jetzt ausm avengerordner löschen?

Anhang: screen3.JPG
Seitenanfang Seitenende
23.03.2009, 20:43
Madn
Member

Themenstarter

Beiträge: 108
#53 vorher sah sie so aus.

Anhang: screen.JPG
Seitenanfang Seitenende
23.03.2009, 20:47
Swisstreasure
Moderator

Beiträge: 5694
#54 KOmmt langsam gut ;) Jetzt nochmals im HJT die erwähnten Einträge löschen und Combofix durchführen und Log posten ;)

Gruss Swiss
Seitenanfang Seitenende
23.03.2009, 21:02
Madn
Member

Themenstarter

Beiträge: 108
#55 In hijackthis wieder die Einträge gelöscht



und der log vom Combofix



ComboFix 09-03-22.01 - Roitzheim 2009-03-23 20:49:43.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1031.18.1023.470 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Roitzheim\Desktop\ComboFix.exe
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning disabled* (Updated)
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Outdated)
AV: AntiVir PersonalEdition Classic Virenschutz *On-access scanning enabled* (Updated)
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\msacm32.drv
c:\windows\rasqervy.dll
c:\windows\sdfinacs.dll
c:\windows\sdfixwcs.dll
c:\windows\wuasirvy.dll

.
((((((((((((((((((((((( Dateien erstellt von 2009-02-23 bis 2009-03-23 ))))))))))))))))))))))))))))))
.

2009-03-23 17:57 . 2009-03-23 19:13 <DIR> d-------- c:\windows\BDOSCAN8
2009-03-22 23:19 . 2009-03-22 23:19 <DIR> d-------- c:\programme\Unlocker
2009-03-22 23:19 . 2009-03-22 23:19 <DIR> d-------- c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\Desktopicon
2009-03-22 14:21 . 2009-03-22 14:21 <DIR> d-------- c:\windows\system32\IOSUBSYS
2009-03-22 14:14 . 2009-03-22 14:14 54,156 --ah----- c:\windows\QTFont.qfn
2009-03-22 14:14 . 2009-03-22 14:14 1,409 --a------ c:\windows\QTFont.for
2009-03-19 21:41 . 2009-03-19 21:41 <DIR> d-------- c:\programme\Trend Micro
2009-03-16 12:33 . 2009-03-16 14:52 <DIR> d-------- c:\programme\Spybot - Search & Destroy
2009-03-16 12:33 . 2009-03-18 20:45 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-03-15 15:46 . 2009-03-15 15:46 32,018 --a------ c:\windows\system32\msrfcint.dat
2009-03-15 15:46 . 2009-03-17 11:52 13,282 --a------ c:\windows\system32\mscomct2.dat
2009-03-15 15:46 . 2009-03-17 11:52 9,115 --a------ c:\windows\system32\ntrdectr.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-23 19:36 --------- d-----w c:\programme\Mozilla Thunderbird
2009-03-23 19:31 17,408 ----a-w c:\windows\system32\drivers\USBCRFT.SYS
2009-03-23 18:31 --------- d-----w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\Skype
2009-03-23 17:37 --------- d-----w c:\programme\Lx_cats
2009-03-23 17:00 --------- d-----w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\skypePM
2009-03-23 16:49 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2009-03-22 21:42 --------- d-----w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\Hamachi
2009-03-22 13:20 --------- d-----w c:\programme\Google
2009-03-21 23:03 49,972 ----a-w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\wklnhst.dat
2009-03-19 13:17 --------- d-----w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\ICQ
2009-03-17 17:31 --------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-03-16 13:53 --------- d-----w c:\programme\Enigma Software Group
2009-03-13 13:45 --------- d-----w c:\programme\ICQ6
2009-02-28 15:22 --------- d-----w c:\programme\No23 Recorder
2009-02-28 13:42 --------- d-----w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\phonostar-Player
2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-02-09 14:04 1,846,912 ----a-w c:\windows\system32\win32k.sys
2009-02-06 15:14 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SiComponents
2009-02-01 20:45 --------- d-----w c:\programme\AbiSuite2
2009-02-01 14:53 --------- d-----w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\photoposcomtbr
2009-02-01 14:21 --------- d-----w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\FrmMain
2009-02-01 13:22 122,662 ----a-w c:\windows\Pos Free Photo Editor Uninstaller.exe
2009-02-01 13:22 --------- d-----w c:\programme\Pos Free Photo Editor
2009-02-01 13:22 --------- d-----w c:\programme\photoposcomtbr
2009-02-01 13:22 --------- d-----w c:\programme\Gemeinsame Dateien\Thraex Software
2009-01-21 21:45 21,840 ----atw c:\windows\system32\SIntfNT.dll
2009-01-21 21:45 17,212 ----atw c:\windows\system32\SIntf32.dll
2009-01-21 21:45 12,067 ----atw c:\windows\system32\SIntf16.dll
2009-01-08 16:41 98,304 ----a-w c:\windows\system32\CmdLineExt.dll
2009-01-08 16:41 122,880 ----a-w c:\windows\system32\UAService7.exe
2009-01-05 22:33 3,751,995 ----a-w c:\windows\system32\GPhotos.scr
2008-12-23 13:33 69,632 ----a-w c:\windows\system32\PosMessageLib.dll
2008-04-17 16:59 288 ----a-w c:\dokumente und einstellungen\Bine\Anwendungsdaten\wklnhst.dat
2008-03-11 09:48 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-02-28 16:29 101,872 ----a-w c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-02-21 15:07 56 --sha-r c:\windows\system32\41D12D28A0.sys
2005-02-06 13:08 8 --sha-r c:\windows\system32\D5D86239B1.sys
2008-10-23 12:43 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008102320081024\index.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A057A204-BACC-4D26-9F9D-3BEFCFBE6E86}]
2007-10-16 19:58 1923584 --a------ c:\programme\photoposcomtbr\photoposcomtbr.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{A057A204-BACC-4D26-9F9D-3BEFCFBE6E86}"= "c:\programme\photoposcomtbr\photoposcomtbr.dll" [2007-10-16 1923584]

[HKEY_CLASSES_ROOT\clsid\{a057a204-bacc-4d26-9f9d-3befcfbe6e86}]
[HKEY_CLASSES_ROOT\photoposcomtbr.PHOTOPOSCOMTBR]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{A057A204-BACC-4D26-9F9D-3BEFCFBE6E86}"= "c:\programme\photoposcomtbr\photoposcomtbr.dll" [2007-10-16 1923584]

[HKEY_CLASSES_ROOT\clsid\{a057a204-bacc-4d26-9f9d-3befcfbe6e86}]
[HKEY_CLASSES_ROOT\photoposcomtbr.PHOTOPOSCOMTBR]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"PhonostarTimer"="c:\programme\phonostar\ps_timer.exe" [2008-07-14 126976]
"ICQ"="c:\programme\ICQ6\ICQ.exe" [2008-09-01 173304]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-01-12 344064]
"Keyboard Status"="c:\progra~1\Medion\KeyStat\KeyStat.exe" [2005-01-25 411648]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"PCMService"="c:\programme\Home Cinema\PowerCinema\PCMService.exe" [2005-02-21 118926]
"snpstd"="c:\windows\vsnpstd.exe" [2004-06-10 286720]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2005-02-06 98304]
"avgnt"="c:\programme\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-27 266497]
"LXCFCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCFtime.dll" [2005-07-20 73728]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 30208]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2006-04-13 49152]
"TalkAndWrite"="c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype\Plugins\Plugins\1163D2B46CC742E5A3CC9E4157887751\TalkAndWrite.exe" [2008-02-19 3042816]
"Adobe Photo Downloader"="c:\programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 63712]
"Dit"="Dit.exe" [2004-07-20 c:\windows\Dit.exe]
"AGRSMMSG"="AGRSMMSG.exe" [2005-03-04 c:\windows\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Roitzheim\Startmen\Programme\Autostart\
Watch.lnk - c:\windows\twain_32\A4CIS600\WATCH.exe [2005-04-02 371200]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
BlueSoleil.lnk - c:\programme\IVT Corporation\BlueSoleil\BlueSoleil.exe [2005-02-21 1048576]
Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [2002-12-19 65588]
p6bersicht.lnk - c:\programme\phase6\phase6\WinStart\WinStart.exe [2003-10-09 40960]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv41"= ir41_32.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"d:\\Programme\\rise of Nations gold\\thrones.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"c:\\Dokumente und Einstellungen\\Roitzheim\\temp\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:TCP Port 135

R0 avgntmgr;avgntmgr;c:\windows\system32\drivers\avgntmgr.sys [2006-02-02 14848]
R1 avgntdd;avgntdd;c:\windows\system32\drivers\avgntdd.sys [2006-02-02 40000]
R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [2008-06-27 3026]
R2 auwmac;Auerswald ISDN WAN Driver (Ver. %V_VERSION%);c:\windows\system32\drivers\auwmac.sys [2005-04-02 65587]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;c:\programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-20 61440]
R2 Oscapi;Auerswald CAPI2.0 Treiber;c:\windows\system32\drivers\Oscapi20.sys [2005-04-02 164930]
R2 WinDefend;Windows Defender;c:\programme\Windows Defender\MsMpEng.exe [2006-11-03 13592]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [2005-02-14 666368]
R3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [2005-01-27 1272000]
R3 SFC4;SFC4;c:\windows\system32\drivers\SFC4.SYS [2005-04-02 41472]
R3 wbscr;Winbond Smartcard Reader for I/O;c:\windows\system32\drivers\wbscr.sys [2005-01-27 19928]
S0 oldfhfg;oldfhfg;c:\windows\system32\drivers\sxpuuwi.sys --> c:\windows\system32\drivers\sxpuuwi.sys [?]
S3 auusb;Auerswald USB Treiber;c:\windows\system32\drivers\auusb.sys [2005-04-02 200573]
S3 CardReaderFilter;Card Reader Filter;c:\windows\system32\drivers\USBCRFT.SYS [2005-01-27 17408]
S3 cdrmkaun;cdrmkaun;\??\c:\dokume~1\ROITZH~1\LOKALE~1\Temp\cdrmkaun.sys --> c:\dokume~1\ROITZH~1\LOKALE~1\Temp\cdrmkaun.sys [?]
S3 FXDRV;FXDRV;\??\c:\dokumente und einstellungen\Roitzheim\Eigene Dateien\ICQ\329532205\ReceivedFiles\195597078 MichaelN\SuperUtility\Fxdrv.sys --> c:\dokumente und einstellungen\Roitzheim\Eigene Dateien\ICQ\329532205\ReceivedFiles\195597078 MichaelN\SuperUtility\Fxdrv.sys [?]
S3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2007-01-20 17280]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;c:\progra~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2007-01-20 17152]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;c:\progra~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2007-01-20 17536]
S3 tausb;Auerswald USB CAPI transport Treiber;c:\windows\system32\drivers\tausb.sys [2005-04-02 193421]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0f039ae1-8468-11d9-8a72-001109df9636}]
\Shell\AutoRun\command - L:\OEMBranding.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{176ebe7a-8522-11d9-8a7e-001109df94c7}]
\Shell\AutoRun\command - K:\OEMBranding.exe
.
Inhalt des "geplante Tasks" Ordners

2009-03-23 c:\windows\Tasks\MP Scheduled Scan.job
- c:\programme\Windows Defender\MpCmdRun.exe [2006-11-03 18:20]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.aol.de/
uInternet Settings,ProxyOverride = <local>
IE: &ICQ Toolbar Search - c:\programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.de/scan_de/scan8/oscan8.cab
FF - ProfilePath - c:\dokumente und einstellungen\Roitzheim\Anwendungsdaten\Mozilla\Firefox\Profiles\t6aoxmrl.default\
FF - prefs.js: browser.search.selectedEngine - Wikipedia (de)
FF - plugin: c:\programme\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava11.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava12.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava13.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava14.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJava32.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPJPI150_01.dll
FF - plugin: c:\programme\Java\jre1.5.0_01\bin\NPOJI610.dll
FF - plugin: c:\programme\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-23 20:53:15
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG08.00.00.01WORKSTATION"="17081B02B3D7422C39A094EE706F066F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"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(804)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-03-23 20:55:40
ComboFix-quarantined-files.txt 2009-03-23 19:55:21

Vor Suchlauf: 5.054.943.232 Bytes frei
Nach Suchlauf: 5,040,099,328 Bytes frei

206 --- E O F --- 2009-03-20 12:27:53
Seitenanfang Seitenende
23.03.2009, 21:35
Swisstreasure
Moderator

Beiträge: 5694
#56 >>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Stelle Dein Avira Antivir so ein wie hier beschrieben. Zusätzlich Rootkitsuche anwählen. UPDATE dein Antivir und scanne all deine Festplatten, funde in Quarantäne verschieben lassen. Poste das Log.
(Nach dem scanen, Einstellungen wieder zurücksetzen)
http://board.protecus.de/t23979.htm

Gruss Swiss
Seitenanfang Seitenende
23.03.2009, 23:16
Madn
Member

Themenstarter

Beiträge: 108
#57 Antivir

Suchlauf beendet [Der Suchlauf wurde vollständig durchgeführt.].
Anzahl Dateien: 759949
Anzahl Verzeichnisse: 12924
Anzahl Malware: 0
Anzahl Fehler: 9

Antivir hat nichts gefunden auf den sensibilisierten Einstellungen
Seitenanfang Seitenende
24.03.2009, 09:04
Swisstreasure
Moderator

Beiträge: 5694
#58 Und friert das System immernoch ein?

Gruss Swiss
Seitenanfang Seitenende
24.03.2009, 14:05
Madn
Member

Themenstarter

Beiträge: 108
#59 ne das mit dem Internet Explorer hat sich mittlerweile wieder behoben ;)

Das einzige Problem wäre halt noch die beiden Fehleranzeigen.
Wobei jetzt beim Start keiner der Fehler angezeigt wurde, aber kann trotzdem nicht sicher sagen, ob sie nicht bei einen der nächsten Starts wieder kommen, oder?
Seitenanfang Seitenende
24.03.2009, 14:14
Swisstreasure
Moderator

Beiträge: 5694
#60 Dann wart mal ab was passiert und melde Dich gegebenenfalls. Dann können wir den Thread vielleicht in ein anderes Unterforum verschieben.

Gruss swiss
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12345