Home » Viren, Trojaner & Malware Forum » desktop schwarz und taskmanager deaktiviert durch virus? » Themenansicht

desktop schwarz und taskmanager deaktiviert durch virus?
#0
05.04.2009, 23:09
jacktrump
...neu hier

Beiträge: 5
#1 Hallo! Ich habe mir wohl irgendwas eingefangen. Mein Desktophintergrund ist weg, der Desktop bleibt schwarz, ich kann keinen Hintergrund auswählen. Es war ein rotes Kreuz in der Taskleiste, dass mir einen Spywareschutz andrehen wollte, welches aber mein AVG-Antivir entfernen konnte. smitfraudfix habe ich durchlaufen lassen und mittels registry-eingriff funktioniert auch mein taskmanager wieder, der plötzlich deaktiviert war...

Was ist da los? Ich weiß nicht weiter, aus anderen Foren werde ich auch nicht schlau. Kann mir jemand helfen? Danke

Habe schon mal hijackthis laufen lassen, hier das logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:15:30, on 06.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\oodag.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [S60TrayApplication] C:\PROGRA~1\Samsung\SAMSUN~2\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A85D47C-8516-4256-8C53-F0BAA93399B0}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c987ceec7c2e06) (gupdate1c987ceec7c2e06) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4246 bytes

DANKE!!
Dieser Beitrag wurde am 06.04.2009 um 00:15 Uhr von jacktrump editiert.
Seitenanfang Seitenende
06.04.2009, 02:27
Swisstreasure
Moderator

Beiträge: 5694
#2 Bitte abarbeiten:
http://board.protecus.de/t23188.htm

Gruss Swiss
Seitenanfang Seitenende
06.04.2009, 09:34
jacktrump
...neu hier

Themenstarter

Beiträge: 5
#3 HI, danke schon mal, hier die Logs:

ComboFix 09-04-04.01 - XXX 2009-04-06 9:22:56.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1382 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\XXX\Desktop\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated)
FW: ZoneAlarm Firewall *enabled*
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\dokumente und einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\fbk.sts
c:\windows\system32\404Fix.exe
c:\windows\system32\Agent.OMZ.Fix.exe
c:\windows\system32\dumphive.exe
c:\windows\system32\IEDFix.C.exe
c:\windows\system32\IEDFix.exe
c:\windows\system32\o4Patch.exe
c:\windows\system32\Process.exe
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\uniq.tll
c:\windows\system32\VACFix.exe
c:\windows\system32\VCCLSID.exe
c:\windows\system32\WS2Fix.exe

.
((((((((((((((((((((((( Dateien erstellt von 2009-03-06 bis 2009-04-06 ))))))))))))))))))))))))))))))
.

2009-04-06 09:14 . 2009-04-06 09:14 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-04-06 09:14 . 2009-04-06 09:14 <DIR> d-------- c:\dokumente und einstellungen\Rapid Inhabitant\Anwendungsdaten\Malwarebytes
2009-04-06 09:14 . 2009-04-06 09:14 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-06 09:14 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 09:14 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-06 00:00 . 2008-05-14 00:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-04-06 00:00 . 1980-01-04 06:44 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-04-06 00:00 . 1980-01-04 06:44 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-04-06 00:00 . 2009-04-06 09:24 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-04-06 00:00 . 1980-01-04 06:44 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-04-06 00:00 . 2009-04-06 00:00 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-04-06 00:00 . 1980-01-04 06:44 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-04-06 00:00 . 1980-01-04 06:44 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-04-06 00:00 . 2009-04-06 00:00 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-04-05 23:44 . 2009-04-05 23:44 <DIR> d-------- c:\dokumente und einstellungen\Rapid Inhabitant\DoctorWeb
2009-04-05 22:53 . 2009-04-05 22:53 <DIR> d-------- c:\programme\Trend Micro
2009-04-05 21:57 . 2009-04-05 22:39 <DIR> d--h----- C:\$AVG8.VAULT$
2009-04-05 21:53 . 2009-04-05 21:53 325,640 --a------ c:\windows\system32\drivers\avgldx86.sys
2009-04-05 21:53 . 2009-04-05 21:53 108,552 --a------ c:\windows\system32\drivers\avgtdix.sys
2009-04-05 21:53 . 2009-04-05 21:53 10,520 --a------ c:\windows\system32\avgrsstx.dll
2009-04-05 21:52 . 2009-04-05 21:54 <DIR> d-------- c:\windows\system32\drivers\Avg
2009-04-05 21:52 . 2009-04-05 21:52 <DIR> d-------- c:\programme\AVG
2009-03-29 12:50 . 2009-03-29 14:27 <DIR> d-------- c:\dokumente und einstellungen\Rapid Inhabitant\Phone Browser
2009-03-29 12:50 . 2009-03-29 12:50 <DIR> d-------- c:\dokumente und einstellungen\Rapid Inhabitant\Anwendungsdaten\Samsung
2009-03-29 12:50 . 2009-03-29 12:50 <DIR> d-------- c:\dokumente und einstellungen\Rapid Inhabitant\Anwendungsdaten\Datalayer
2009-03-29 12:47 . 2009-03-29 12:47 <DIR> d-------- c:\programme\Gemeinsame Dateien\PCSuite
2009-03-29 12:47 . 2009-03-29 12:47 <DIR> d-------- c:\dokumente und einstellungen\Rapid Inhabitant\Anwendungsdaten\PC Suite
2009-03-29 12:47 . 2009-03-29 12:47 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2009-03-29 12:47 . 2007-05-02 15:32 135,680 --a------ c:\windows\system32\drivers\nmwcdsa.sys
2009-03-29 12:47 . 2007-05-02 15:31 90,624 --a------ c:\windows\system32\nmwcdcls.dll
2009-03-29 12:47 . 2007-05-02 15:31 12,288 --a------ c:\windows\system32\drivers\nmwcdsacm.sys
2009-03-29 12:47 . 2007-05-02 15:31 12,288 --a------ c:\windows\system32\drivers\nmwcdsacj.sys
2009-03-29 12:47 . 2007-05-02 15:31 8,320 --a------ c:\windows\system32\drivers\nmwcdsac.sys
2009-03-29 12:46 . 2009-03-29 12:46 <DIR> d-------- c:\windows\system32\Samsung_USB_Drivers
2009-03-29 12:46 . 2009-03-29 12:47 <DIR> d-------- c:\programme\Samsung
2009-03-29 12:46 . 2009-03-29 12:46 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2009-03-29 12:46 . 2005-08-28 20:51 766 --a------ c:\windows\system32\Uninstall.ico
2009-03-28 18:47 . 2009-03-28 18:47 <DIR> d-------- c:\programme\FileZilla FTP Client
2009-03-28 18:47 . 2009-03-28 18:53 <DIR> d-------- c:\dokumente und einstellungen\Rapid Inhabitant\Anwendungsdaten\FileZilla

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-06 07:25 8,382,496 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-04-05 22:55 99,524 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-04-05 20:33 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avg8
2009-04-05 20:04 --------- d-----w c:\programme\eMule
2009-03-29 10:48 2,991,104 ----a-w c:\windows\Internet Logs\xDB3.tmp
2009-03-29 10:48 1,607,680 ----a-w c:\windows\Internet Logs\xDB4.tmp
2009-03-29 10:46 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-16 21:55 --------- d-----w c:\dokumente und einstellungen\Rapid Inhabitant\Anwendungsdaten\Propellerhead Software
2009-02-15 13:20 --------- d-----w c:\programme\Gemeinsame Dateien\Ahead
2009-02-15 13:20 --------- d-----w c:\programme\Ahead
2009-02-14 17:58 --------- d-----w c:\programme\Native Instruments
2009-02-12 19:34 --------- d--h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2009-02-11 16:30 --------- d-----w c:\programme\Gemeinsame Dateien\Real
2009-02-11 12:21 --------- d-----w c:\dokumente und einstellungen\Rapid Inhabitant\Anwendungsdaten\Winamp
2009-02-11 12:15 233,472 ----a-w c:\windows\system32\REX Shared Library.dll
2009-02-11 12:15 225,280 ----a-w c:\windows\system32\ReWire.dll
2009-02-11 12:15 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Propellerhead Software
2009-02-11 12:14 --------- d-----w c:\programme\Propellerhead
2009-02-11 11:54 --------- d-----w c:\programme\Alcohol Soft
2009-02-08 12:17 --------- d-----w c:\programme\Gemeinsame Dateien\Native Instruments
2009-02-08 12:05 --------- d-----w c:\programme\Waves
2009-02-08 12:02 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-02-07 08:31 --------- dc-h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\{4AAF2C76-3BA9-4230-A1F3-0B112C54569C}
2009-02-06 08:21 --------- d-----w c:\programme\Google
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-18 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-18 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-18 137752]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"S60TrayApplication"="c:\progra~1\Samsung\SAMSUN~2\LAUNCH~1.EXE" [2007-03-14 237568]
"AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2009-04-05 1932568]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]
"PcSync"="c:\programme\Samsung\Samsung PC Studio 7\PcSync2.exe" [2006-06-27 1449984]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-05-19 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-04-05 21:53 10520 c:\windows\system32\avgrsstx.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-04-05 325640]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-04-05 108552]
R2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [2009-04-05 298264]
S2 gupdate1c987ceec7c2e06;Google Update Service (gupdate1c987ceec7c2e06);c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 133104]
S3 nmwcdsa;Samsung USB Phone Parent;c:\windows\system32\drivers\nmwcdsa.sys [2009-03-29 135680]
S3 nmwcdsac;Samsung USB Generic;c:\windows\system32\drivers\nmwcdsac.sys [2009-03-29 8320]
S3 nmwcdsacj;Samsung USB Port;c:\windows\system32\drivers\nmwcdsacj.sys [2009-03-29 12288]
S3 nmwcdsacm;Samsung USB Modem;c:\windows\system32\drivers\nmwcdsacm.sys [2009-03-29 12288]
S3 rig3avs;rig3avs;c:\windows\system32\drivers\rig3avs.sys [2009-02-14 25600]
S3 rig3usb;rig3usb;c:\windows\system32\drivers\rig3usb.sys [2009-02-14 185856]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40a0c77b-14bf-11de-b22b-001f3c054d31}]
\Shell\Auto\command - F:\activexdebugger32.exe f
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL activexdebugger32.exe f
\Shell\explore\Command - F:\activexdebugger32.exe f
\Shell\open\Command - F:\activexdebugger32.exe f

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0250318-7287-11dd-a0ff-001f3c054d31}]
\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe IFFAFF-8D7F3D16.vbs
.
Inhalt des "geplante Tasks" Ordners

2009-02-05 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 22:18]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {7A85D47C-8516-4256-8C53-F0BAA93399B0} = 195.50.140.114 195.50.140.252
FF - ProfilePath - c:\dokumente und einstellungen\Rapid Inhabitant\Anwendungsdaten\Mozilla\Firefox\Profiles\hmwiqtgn.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - component: c:\programme\AVG\AVG8\Firefox\components\avgssff.dll
FF - plugin: c:\programme\Google\Update\1.2.133.37\npGoogleOneClick7.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-06 09:24:53
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG06.00.00.01WORKSTATION"="44D8891ED2E24B2AEE4893E3F5BABB4D
E536841FABE7759283CA90F1E5614834CC71F8FB5E882A6DCCFE4FEFDAEF387156
D28C0C0D36760AFEBE65B6C27507FA027FE1A5E7452D73E63E4D1C51C1FEBC9E1
27BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E12
7BECC74CFEBC9E127BECC74CA6A0AC4980AC7933A6A0AC4980AC7933A6171C11E
C38DE3D8EDD5E5BE2F6E6676B9708B937EAE1321AC51E2CF2680B3ACCB8B6BB3CA
7051973048BD5708CA2D95C5C01BB0C755B6AC18E4F8214711CA89CF9F630D48FE
881C5AA90DE6A38C620ED765DF2A294872E60333562248DCF9B9A753C8A71D3FD
052AE66D19AD79D79DE828727E3E1E8B2FFABEC9F9B52AFEA82A1F44A99118753A
8138C7B4C4CE7808CA19EA0296899D654D24DD7ECB5896266352A3F126A88EF8E0
7E15E72FDADF59C554C2A2D7710D0D433692A7DFCC983212C9C14D15F1A25F908
2266C606558CFBFC94D8BA2973723832FDEAFDEDF982C35A9D928B80619CD8CED
1A003F58C2ED514C306C0CDE916C60A88E56AB0FC13880F5FDF15F9AF16A06CD64E3A6C311F8C894E4F5194F246EE6243F6019FB503DDA170F214B093E9E6196CFDD65594C7C26
3CB95F48158C76D486E495F169166961DCC6AC32D0A516B69DF7B73EF00E46A0434FE30900F8919C984440F0C1772C63F63012BD9461C2521
DCEBFE8060667220E9BC23F8330946585F93149126F3AE27BABD20C174059B5B318C610B57836C562E93DC1B7081609DE743B9F8A898918636BF
12F4424D31564EBA2D2433BCD5F6D569BDED8ECF01697F5378B0167D8EE8CF878ADA9046ED994392D44973A8CF3BC5426D5C761C3CF0A16009B6
C3F2786B72F7401F8E82B9E0FBEC36BBB7413BBC528ADD90677722CF0BE75D0EB5939330B3EF31709734EB4829248435EFD49265EEB0593BD5925D
56DAFFA1FBE1495FA90AA0ED252D2E1A0811C20BAD37DD853C18D801EB8C1452B847AF770CB5F899B33CA5A89F3CF331C821A3534122EAE1A90C
EFC8B6901033F9D0757221A41260246CA7685AE42D2125E1B7588345F7D82CDC5D7DDE07BD157850E0C83D753BD537FAA0205E99B9523D585D102
F7F43CCAE05BF40E592BE76EEBA1865BD4426A67F63EA0392F5B15258991C05E4266A4E494CE3907AD1ABF3466223FE186CE86482B2D7D482A9AA
E9F01CCBA5299BCB4F498B0112B5D691A8AECC732C48550B2B6FBF3C3CDAF8082CEA416BE83A89A2FD501E6694D8DCDF9085B1C5F230F2ED3A631
E024D5B44D7724C5A44D8DBDB01995452CB634858FA5F5727DC9948366123D7298D36352D1B5C3957FEC80CBC53D743F8D"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(748)
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
.
Zeit der Fertigstellung: 2009-04-06 9:26:09
ComboFix-quarantined-files.txt 2009-04-06 07:26:06

Vor Suchlauf: 10 Verzeichnis(se), 10.332.618.752 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 10,354,151,424 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

191

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:29:35, on 06.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\explorer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [S60TrayApplication] C:\PROGRA~1\Samsung\SAMSUN~2\LAUNCH~1.EXE -onlytray
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [PcSync] C:\Programme\Samsung\Samsung PC Studio 7\PcSync2.exe /NoDialog (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{7A85D47C-8516-4256-8C53-F0BAA93399B0}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Update Service (gupdate1c987ceec7c2e06) (gupdate1c987ceec7c2e06) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4113 bytes

UNINSTALL LISTE:

Adobe Anchor Service CS3
Adobe Asset Services CS3
Adobe Bridge CS3
Adobe Bridge Start Meeting
Adobe Camera Raw 4.0
Adobe CMaps
Adobe Color - Photoshop Specific
Adobe Color Common Settings
Adobe Color Common Settings
Adobe Color EU Recommended Settings
Adobe Color JA Extra Settings
Adobe Color NA Extra Settings
Adobe Default Language CS3
Adobe Device Central CS3
Adobe ExtendScript Toolkit 2
Adobe ExtendScript Toolkit 2
Adobe Flash Player 10 Plugin
Adobe Fonts All
Adobe Help Viewer CS3
Adobe Illustrator CS3
Adobe Illustrator CS3
Adobe InDesign CS3
Adobe InDesign CS3
Adobe InDesign CS3 Icon Handler
Adobe Linguistics CS3
Adobe PDF Library Files
Adobe Photoshop CS3
Adobe Photoshop CS3
Adobe Reader 8.1.4 - Deutsch
Adobe Setup
Adobe Setup
Adobe Setup
Adobe Setup
Adobe Setup
Adobe SING CS3
Adobe Stock Photos CS3
Adobe Type Support
Adobe Update Manager CS3
Adobe Version Cue CS3 Client
Adobe WinSoft Linguistics Plugin
Adobe XMP Panels CS3
Audiograbber 1.83 SE
AVG 8.5
Broadcom 802.11-WLAN-Adapter
Canon iP4200
CDDRV_Installer
Conexant HD Audio
eMule
FileZilla Client 3.2.0
Google Earth
Google Update
HDAUDIO Soft Data Fax Modem with SmartCP
HijackThis 2.0.2
Intel(R) Graphics Media Accelerator Driver
Intel(R) PRO Network Connections Drivers
KhalInstallWrapper
Logitech SetPoint
Malwarebytes' Anti-Malware
Microsoft Kernel-Mode Driver Framework Feature Pack 1.5
Microsoft Office FrontPage 2003
Microsoft Office Professional Edition 2003
Microsoft Visual C++ 2005 Redistributable
Mozilla Firefox (3.0.8)
Native Instruments - Rig Kontrol 3 Driver
Native Instruments Compilation Vol. 1
Native Instruments Compilation Vol. 1
Native Instruments Guitar Rig 3
Native Instruments Kontakt Retro Machines
Native Instruments Kore Player
Native Instruments Pop Drums
Native Instruments Service Center
Nero 6 Ultra Edition
NetWaiting
O&O Defrag Professional Edition
PDF Settings
Reason 3.0
SAMSUNG Mobile Modem Driver Set
Samsung Mobile phone USB driver Software
SAMSUNG Mobile USB Modem 1.0 Software
SAMSUNG Mobile USB Modem Software
Samsung PC Studio 3 USB Driver Installer
Samsung PC Studio 7
SamsungConnectivityCableDriver
Spelling Dictionaries Support For Adobe Reader 8
Steinberg Cubase SX v2.2.0.33
Steinberg Xphraze
Waves Gold Processors 3.6
Waves Masters 3.6
Waves Renaissance Collection 2 3.6
Waves Restoration 3.6
Winamp
Windows Installer 3.1 (KB893803)
Windows Media Format Runtime
WinRAR
xp-AntiSpy 3.93
ZoneAlarm

Alles richtig so?

Anhang: mbam-log-2009-04-06 (09-19-01).txt
Seitenanfang Seitenende
07.04.2009, 11:48
Swisstreasure
Moderator

Beiträge: 5694
#4 DU hast eine verseuchten Stick angeschlossen:

>>
Versteckte- und Systemdateien sichtbar machen
http://www.virus-protect.org/invisible.html


>>
zuerst den Stick formatieren:
* Die einfachste Methode benutzt das Kontextmenü des Windows Explorers: USB-Stick (Wechseldatenträger) markieren, rechte Maustaste drücken, "Formatieren" wählen. (Vollständig)

>>
wende Flash_Disinfector an - der Stick muss eingestöpselt sein - infizierten Stick mit FlashDis. "behandeln"
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

>>
C:\WINDOWS\system32\activexdebugger32.exe - suchen / löschen (vorher im Taskamanger dekativieren)

>>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Du solltest jetzt auf dem Desktop diese Datei cfscript.txt finden.

Zitat

KILLALL::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{40a0c77b-14bf-11de-b22b-001f3c054d31}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e0250318-7287-11dd-a0ff-001f3c054d31}]

File::
C:\WINDOWS\system32\activexdebugger32.exe
cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen
wende combofix noch mal an und poste das neue Log.

Gruss Swiss
Seitenanfang Seitenende
11.04.2009, 17:44
jacktrump
...neu hier

Themenstarter

Beiträge: 5
#5 ComboFix 09-04-04.01 - Rapid Inhabitant 2009-04-11 17:41:53.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.2039.1584 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\Rapid Inhabitant\Desktop\ComboFix.exe
FW: ZoneAlarm Firewall *enabled*
.

((((((((((((((((((((((( Dateien erstellt von 2009-03-11 bis 2009-04-11 ))))))))))))))))))))))))))))))
.

2009-04-06 15:08 . 2009-04-06 15:08 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ALM
2009-04-06 13:40 . 2009-04-06 13:40 <DIR> d-------- c:\programme\Gemeinsame Dateien\Control Panels
2009-04-06 13:08 . 2009-04-06 13:08 <DIR> d-------- c:\programme\Bonjour
2009-04-06 12:59 . 2009-04-06 12:59 <DIR> d-------- c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-04-06 09:14 . 2009-04-06 09:14 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-04-06 09:14 . 2009-04-06 09:14 <DIR> d-------- c:\dokumente und einstellungen\Rapid Inhabitant\Anwendungsdaten\Malwarebytes
2009-04-06 09:14 . 2009-04-06 09:14 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-04-06 09:14 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-04-06 09:14 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-04-06 00:00 . 2008-05-14 00:33 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Vorlagen
2009-04-06 00:00 . 1980-01-04 06:44 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Startmenü
2009-04-06 00:00 . 1980-01-04 06:44 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Netzwerkumgebung
2009-04-06 00:00 . 2009-04-11 17:43 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Lokale Einstellungen
2009-04-06 00:00 . 1980-01-04 06:44 <DIR> d-------- c:\dokumente und einstellungen\Administrator\Favoriten
2009-04-06 00:00 . 2009-04-06 00:00 <DIR> dr------- c:\dokumente und einstellungen\Administrator\Eigene Dateien
2009-04-06 00:00 . 1980-01-04 06:44 <DIR> d--h----- c:\dokumente und einstellungen\Administrator\Druckumgebung
2009-04-06 00:00 . 1980-01-04 06:44 <DIR> dr-h----- c:\dokumente und einstellungen\Administrator\Anwendungsdaten
2009-04-06 00:00 . 2009-04-06 00:00 <DIR> d-------- c:\dokumente und einstellungen\Administrator
2009-04-05 23:44 . 2009-04-05 23:44 <DIR> d-------- c:\dokumente und einstellungen\Rapid Inhabitant\DoctorWeb
2009-04-05 22:53 . 2009-04-05 22:53 <DIR> d-------- c:\programme\Trend Micro
2009-04-05 21:52 . 2009-04-05 21:52 <DIR> d-------- c:\programme\AVG
2009-03-29 12:50 . 2009-04-06 11:30 <DIR> d-------- c:\dokumente und einstellungen\Rapid Inhabitant\Anwendungsdaten\Samsung
2009-03-29 12:47 . 2009-03-29 12:47 <DIR> d-------- c:\dokumente und einstellungen\Rapid Inhabitant\Anwendungsdaten\PC Suite
2009-03-29 12:47 . 2009-03-29 12:47 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Suite
2009-03-29 12:47 . 2007-05-02 15:32 135,680 --a------ c:\windows\system32\drivers\nmwcdsa.sys
2009-03-29 12:47 . 2007-05-02 15:31 90,624 --a------ c:\windows\system32\nmwcdcls.dll
2009-03-29 12:47 . 2007-05-02 15:31 12,288 --a------ c:\windows\system32\drivers\nmwcdsacm.sys
2009-03-29 12:47 . 2007-05-02 15:31 12,288 --a------ c:\windows\system32\drivers\nmwcdsacj.sys
2009-03-29 12:47 . 2007-05-02 15:31 8,320 --a------ c:\windows\system32\drivers\nmwcdsac.sys
2009-03-29 12:46 . 2009-03-29 12:46 <DIR> d-------- c:\windows\system32\Samsung_USB_Drivers
2009-03-29 12:46 . 2009-03-29 12:47 <DIR> d-------- c:\programme\Samsung
2009-03-29 12:46 . 2009-04-06 11:30 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Downloaded Installations
2009-03-29 12:46 . 2005-08-28 20:51 766 --a------ c:\windows\system32\Uninstall.ico
2009-03-28 18:47 . 2009-03-28 18:47 <DIR> d-------- c:\programme\FileZilla FTP Client
2009-03-28 18:47 . 2009-03-28 18:53 <DIR> d-------- c:\dokumente und einstellungen\Rapid Inhabitant\Anwendungsdaten\FileZilla

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-04-11 15:43 12,324,896 --sha-w c:\windows\system32\drivers\fidbox.dat
2009-04-11 15:36 146,708 --sha-w c:\windows\system32\drivers\fidbox.idx
2009-04-06 15:48 --------- d-----w c:\programme\eMule
2009-04-06 11:40 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-04-06 09:06 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-04-06 07:47 2,606,499 ----a-w c:\windows\Internet Logs\tvDebug.zip
2009-04-06 07:46 508,928 ----a-w c:\windows\Internet Logs\xDB5.tmp
2009-03-29 10:48 2,991,104 ----a-w c:\windows\Internet Logs\xDB3.tmp
2009-03-29 10:48 1,607,680 ----a-w c:\windows\Internet Logs\xDB4.tmp
2009-03-29 10:46 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-16 21:55 --------- d-----w c:\dokumente und einstellungen\Rapid Inhabitant\Anwendungsdaten\Propellerhead Software
2009-02-15 13:20 --------- d-----w c:\programme\Gemeinsame Dateien\Ahead
2009-02-15 13:20 --------- d-----w c:\programme\Ahead
2009-02-14 17:58 --------- d-----w c:\programme\Native Instruments
2009-02-12 19:34 --------- d--h--w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CanonBJ
2009-02-11 16:30 --------- d-----w c:\programme\Gemeinsame Dateien\Real
2009-02-11 12:21 --------- d-----w c:\dokumente und einstellungen\Rapid Inhabitant\Anwendungsdaten\Winamp
2009-02-11 12:15 233,472 ----a-w c:\windows\system32\REX Shared Library.dll
2009-02-11 12:15 225,280 ----a-w c:\windows\system32\ReWire.dll
2009-02-11 12:15 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Propellerhead Software
2009-02-11 12:14 --------- d-----w c:\programme\Propellerhead
2009-02-11 11:54 --------- d-----w c:\programme\Alcohol Soft
.

((((((((((((((((((((((((((((( SnapShot@2009-04-11_17.33.25,15 )))))))))))))))))))))))))))))))))))))))))
.
- 2009-04-11 15:23:56 49,570 ----a-w c:\windows\system32\perfc007.dat
+ 2009-04-11 15:42:12 49,570 ----a-w c:\windows\system32\perfc007.dat
- 2009-04-11 15:23:56 41,170 ----a-w c:\windows\system32\perfc009.dat
+ 2009-04-11 15:42:12 41,170 ----a-w c:\windows\system32\perfc009.dat
- 2009-04-11 15:23:56 320,668 ----a-w c:\windows\system32\perfh007.dat
+ 2009-04-11 15:42:12 320,668 ----a-w c:\windows\system32\perfh007.dat
- 2009-04-11 15:23:56 314,842 ----a-w c:\windows\system32\perfh009.dat
+ 2009-04-11 15:42:12 314,842 ----a-w c:\windows\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-18 141848]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-18 166424]
"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-18 137752]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"ZoneAlarm Client"="c:\programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Logitech SetPoint.lnk - c:\programme\Logitech\SetPoint\SetPoint.exe [2008-05-19 805392]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 02:42 72208 c:\programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

S2 gupdate1c987ceec7c2e06;Google Update Service (gupdate1c987ceec7c2e06);c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 133104]
S3 nmwcdsa;Samsung USB Phone Parent;c:\windows\system32\drivers\nmwcdsa.sys [2009-03-29 135680]
S3 nmwcdsac;Samsung USB Generic;c:\windows\system32\drivers\nmwcdsac.sys [2009-03-29 8320]
S3 nmwcdsacj;Samsung USB Port;c:\windows\system32\drivers\nmwcdsacj.sys [2009-03-29 12288]
S3 nmwcdsacm;Samsung USB Modem;c:\windows\system32\drivers\nmwcdsacm.sys [2009-03-29 12288]
S3 rig3avs;rig3avs;c:\windows\system32\drivers\rig3avs.sys [2009-02-14 25600]
S3 rig3usb;rig3usb;c:\windows\system32\drivers\rig3usb.sys [2009-02-14 185856]
.
Inhalt des "geplante Tasks" Ordners

2009-02-05 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\programme\Google\Update\GoogleUpdate.exe [2009-02-05 22:18]
.
.
------- Zusätzlicher Suchlauf -------
.
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {7A85D47C-8516-4256-8C53-F0BAA93399B0} = 195.50.140.114 195.50.140.252
FF - ProfilePath - c:\dokumente und einstellungen\Rapid Inhabitant\Anwendungsdaten\Mozilla\Firefox\Profiles\hmwiqtgn.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de/
FF - plugin: c:\programme\Google\Update\1.2.133.37\npGoogleOneClick7.dll
.

**************************************************************************

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-04-11 17:43:17
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
"OODEFRAG06.00.00.01WORKSTATION"="44D8891ED2E24B2AEE4893E3....
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(748)
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTWlgn.dll
c:\programme\gemeinsame dateien\logishrd\bluetooth\LBTServ.dll
.
Zeit der Fertigstellung: 2009-04-11 17:44:26
ComboFix-quarantined-files.txt 2009-04-11 15:44:23
ComboFix2.txt 2009-04-11 15:34:03

Vor Suchlauf: 8.891.494.400 Bytes frei
Nach Suchlauf: 8,883,216,384 Bytes frei

155
Seitenanfang Seitenende
12.04.2009, 23:54
Swisstreasure
Moderator

Beiträge: 5694
#6 >>
Lade Dir Registry Search by Bobbi Flekman

und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

activexdebugger

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

>>
Scanne mit Cureit und poste das Log:
http://board.protecus.de/t29350.htm

>>
Wie siehts aus mit den Problemen?


Gruss Swiss
Seitenanfang Seitenende
13.04.2009, 01:42
jacktrump
...neu hier

Themenstarter

Beiträge: 5
#7 HI! Hatte tatsächlich einen infizierten Stick, das aber wohl schon länger, da war noch was anderes im A****. Soweit ich das beurteilen kann, läuft mein System ohne Probleme...
CureIt spuckt mir kein log aus, hat aber keine Viren gefunden, scheint wohl alles ok, meinst du auch?... Danke für die Hilfe! hier das registry log:

Windows Registry Editor Version 5.00

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.6.0

; Results at 13.04.2009 01:31:45 for strings:
; 'activexdebugger'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-1935655697-1220945662-839522115-1003\Software\Microsoft\Search Assistant\ACMru\5603]
"000"="activexdebugger"

; End Of The Log...
Seitenanfang Seitenende
13.04.2009, 12:53
Swisstreasure
Moderator

Beiträge: 5694
#8 >>
HAst du auch mit der WIndowssuche nach activexdebugger gesucht? Deshalb der durch Registry Search gefundene Eintrag.

>>
Du kannst noch Onlinescans mache und schauen ob noch was gefunden wird.
http://virus-protect.org/onlinescan.html

Happy Surfing..

Gruss Swiss
Seitenanfang Seitenende
13.04.2009, 20:05
jacktrump
...neu hier

Themenstarter

Beiträge: 5
#9 ja habe ich , weil die datei nicht existiert! habe auch damit nichts gefunden. Danke!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1