Schwerwiegende Verseuchung

#0
22.06.2009, 15:04
Member

Beiträge: 180
#1 Ich habe mit Malwarebytes Anti-Malware den PC gescannt.

Das Logfile habe ich angehängt.

Kann ich die einfach alle entfernen?

Seitenanfang Seitenende
22.06.2009, 15:16
Moderator

Beiträge: 7805
#2 Lasse die Funde bitte reinigen und reiche Combofix und Hjackth Report nach...
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
22.06.2009, 15:19
Member

Themenstarter

Beiträge: 180
#3

Zitat

raman postete
Lasse die Funde bitte reinigen und reiche Combofix und Hjackth Report nach...
Also zuerst reinigen und dann die anderen Tools?

Wie meinst du reinigen? Löschen? Also den Button "Entferne Auswahl"?

Bin ich dann sicher, dass nicht's zerstört wird?
Dieser Beitrag wurde am 22.06.2009 um 15:22 Uhr von Mario348 editiert.
Seitenanfang Seitenende
22.06.2009, 15:27
Member

Beiträge: 3716
#4 ja, erst malwarebytes dann die anderen tools. das ist alles schädlich was mbam da anzeigt.
Seitenanfang Seitenende
28.06.2009, 20:14
Member

Themenstarter

Beiträge: 180
#5

Zitat

virenfinder postete
ja, erst malwarebytes dann die anderen tools. das ist alles schädlich was mbam da anzeigt.
Also hier mal die Log-Files:

Combofix:

ComboFix 09-06-26.02 - erwin 28.06.2009 19:16.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.247.112 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\erwin\Desktop\ComboFix.exe
AV: Norman Virus Control ver. 5.70 *On-access scanning enabled* (Outdated) {EB9EFB40-AE72-4C43-B204-0FCD0E92D5F1}
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Vorheriger Suchlauf -------
.
c:\windows\system32\config\43100818.Evt
c:\dokumente und einstellungen\erwin\Anwendungsdaten\Install.dat
C:\mp3dj.dll
c:\programme\Need2Find\bar\History\search
c:\recycler\S-1-5-21-82091995-986386930-617380563-1003\desktop.ini
c:\recycler\S-1-5-21-82091995-986386930-617380563-1003\INFO2
c:\windows\mainms.vpi
c:\windows\megavid.cdt
c:\windows\muotr.so
c:\windows\SoftwareUpdater.exe.upd.exe
c:\windows\system32\bsnzafqa.bin
c:\windows\system32\cfg.dat
c:\windows\system32\drivers\ip_fw.sys
c:\windows\system32\stera.log
c:\windows\system32\urlmsnlink.dat
c:\windows\yoursearchnet_com.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_CLBDRIVER
-------\Legacy_ICF
-------\Legacy_IPFW
-------\Legacy_IP_FW
-------\Service_asc3550p
-------\Service_ip_fw


((((((((((((((((((((((( Dateien erstellt von 2009-05-28 bis 2009-06-28 ))))))))))))))))))))))))))))))
.

2009-06-28 10:35 . 2009-06-28 10:35 -------- d-----w- C:\32788R22FWJFW.0.tmp
2009-06-22 14:10 . 2009-06-22 14:10 -------- d-----w- c:\programme\CCleaner
2009-06-22 10:13 . 2009-06-17 09:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-22 10:13 . 2009-06-22 10:13 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-06-22 10:13 . 2009-06-17 09:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-22 10:05 . 2009-06-22 10:05 -------- d-----w- c:\dokumente und einstellungen\LocalService\Anwendungsdaten\TeamViewer
2009-06-22 09:57 . 2009-06-22 09:57 -------- d-----w- c:\programme\Auslogics
2009-06-17 18:53 . 2009-06-17 18:53 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-06-17 16:03 . 2009-06-17 16:11 -------- d-----w- c:\windows\BDOSCAN8
2009-06-16 15:56 . 2009-06-16 15:56 -------- d-----w- c:\dokumente und einstellungen\erwin\Anwendungsdaten\Malwarebytes
2009-06-16 15:34 . 2009-06-16 15:34 -------- d-----w- c:\programme\NT Registry Optimizer
2009-06-15 18:08 . 2008-12-11 06:38 159600 ----a-w- c:\windows\system32\drivers\pctgntdi.sys
2009-06-15 18:07 . 2009-04-03 09:18 130936 ----a-w- c:\windows\system32\drivers\PCTCore.sys
2009-06-15 18:07 . 2008-12-18 10:16 73840 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys
2009-06-15 18:07 . 2009-06-15 18:09 -------- d-----w- c:\programme\Gemeinsame Dateien\PC Tools
2009-06-15 18:07 . 2008-12-10 09:36 64392 ----a-w- c:\windows\system32\drivers\pctplsg.sys
2009-06-15 18:06 . 2009-06-15 18:06 -------- d-----w- c:\dokumente und einstellungen\erwin\Anwendungsdaten\PC Tools
2009-06-15 18:06 . 2009-06-15 18:06 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PC Tools
2009-06-12 10:41 . 2009-06-12 10:41 -------- d-----w- c:\dokumente und einstellungen\erwin\Anwendungsdaten\Interactive Studios
2009-06-12 10:40 . 2009-06-12 10:40 -------- d-----w- c:\programme\Interactive Studios
2009-05-31 07:32 . 2009-05-31 07:32 -------- d-----w- c:\windows\l2schemas
2009-05-31 07:32 . 2009-05-31 07:32 -------- d-----w- c:\windows\system32\de
2009-05-31 07:32 . 2009-05-31 07:32 -------- d-----w- c:\windows\system32\bits
2009-05-31 07:21 . 2009-05-31 07:36 -------- d-----w- c:\windows\ServicePackFiles
2009-05-31 07:10 . 2009-05-31 08:08 -------- d-----w- c:\windows\Security
2009-05-31 06:53 . 2009-05-31 06:53 -------- d-----w- c:\windows\EHome

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-06-27 08:16 . 2009-05-24 11:32 -------- d-----w- c:\dokumente und einstellungen\erwin\Anwendungsdaten\OpenOffice.org2
2009-06-23 10:08 . 2009-05-24 11:34 1 ----a-w- c:\dokumente und einstellungen\erwin\Anwendungsdaten\OpenOffice.org2\user\uno_packages\cache\stamp.sys
2009-06-22 10:05 . 2008-07-20 16:11 -------- d-----w- c:\programme\TeamViewer3
2009-06-17 15:52 . 2008-07-20 20:16 -------- d-----w- c:\dokumente und einstellungen\erwin\Anwendungsdaten\Spyware Terminator
2009-06-17 15:52 . 2008-07-20 20:16 -------- d-----w- c:\programme\Spyware Terminator
2009-06-16 17:57 . 2008-07-20 20:16 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2009-06-15 18:36 . 2007-04-21 06:15 -------- d---a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2009-06-15 18:16 . 2008-07-20 19:18 -------- d-----w- c:\programme\Spyware Doctor
2009-06-12 10:44 . 2005-01-10 13:19 54408 -c--a-w- c:\dokumente und einstellungen\erwin\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-06-11 16:10 . 2004-12-04 17:58 71452 ----a-w- c:\windows\system32\perfc007.dat
2009-06-11 16:10 . 2004-12-04 17:58 406630 ----a-w- c:\windows\system32\perfh007.dat
2009-06-01 15:00 . 2009-05-24 09:45 -------- d-----w- c:\programme\MSN Messenger
2009-05-31 07:56 . 2004-12-04 17:57 76487 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-05-27 15:34 . 2009-05-27 15:35 410984 ----a-w- c:\windows\system32\deploytk.dll
2009-05-27 15:34 . 2007-02-21 05:58 -------- d-----w- c:\programme\Java
2009-05-27 15:34 . 2009-05-27 15:34 152576 ----a-w- c:\dokumente und einstellungen\erwin\Anwendungsdaten\Sun\Java\jre1.6.0_13\lzma.dll
2009-05-25 16:59 . 2009-05-25 16:57 874 ----a-w- c:\windows\unins000.dat
2009-05-25 16:59 . 2002-02-10 01:00 72748 ----a-w- c:\windows\unins000.exe
2009-05-25 08:43 . 2009-05-24 14:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\DriverCure
2009-05-25 05:46 . 2009-05-25 05:46 -------- d-----w- c:\programme\EPSON
2009-05-24 15:19 . 2009-05-24 15:19 -------- d-----w- c:\dokumente und einstellungen\erwin\Anwendungsdaten\InterTrust
2009-05-24 15:19 . 2005-01-11 15:12 -------- d-----w- c:\programme\Gemeinsame Dateien\Adobe
2009-05-24 14:18 . 2009-05-24 14:18 -------- d-----w- c:\dokumente und einstellungen\erwin\Anwendungsdaten\DriverCure
2009-05-24 14:17 . 2009-05-24 14:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\ParetoLogic
2009-05-24 10:59 . 2009-05-24 10:59 -------- d-----w- c:\programme\OpenOffice.org 2.4
2009-05-24 09:45 . 2009-05-24 09:45 23558 ----a-r- c:\dokumente und einstellungen\erwin\Anwendungsdaten\Microsoft\Installer\{8A62A068-3FD6-495A-9F66-26FE94F32EC9}\_294823.exe
2009-05-24 09:45 . 2009-05-24 09:45 22926 ----a-r- c:\dokumente und einstellungen\erwin\Anwendungsdaten\Microsoft\Installer\{8A62A068-3FD6-495A-9F66-26FE94F32EC9}\_18be6784.exe
2009-05-24 09:45 . 2009-05-24 09:45 -------- d-----w- c:\programme\Real
2009-05-24 09:17 . 2009-05-24 09:17 0 ----a-w- c:\windows\nsreg.dat
2009-05-07 15:32 . 2004-12-04 17:58 348160 ----a-w- c:\windows\system32\localspl.dll
2009-04-29 04:33 . 2004-12-04 17:59 672256 ----a-w- c:\windows\system32\wininet.dll
2009-04-29 04:33 . 2004-12-04 17:58 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-04-19 19:46 . 2004-12-04 17:59 1847296 ----a-w- c:\windows\system32\win32k.sys
2009-04-15 14:51 . 2004-12-04 17:58 585216 ----a-w- c:\windows\system32\rpcrt4.dll
2004-08-04 12:00 . 2004-12-04 17:59 4096 --sha-w- c:\windows\system32\qweasdf.dat
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"swg"="c:\programme\Google\GoogleToolbarNotifier\1.2.911.3380\GoogleToolbarNotifier.exe" [2008-07-28 162744]
"msnmsgr"="c:\programme\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-08-20 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-08-20 118784]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-05-27 148888]
"EPSON Stylus Photo R240 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE" [2005-04-25 98304]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-03-28 413696]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2008-03-30 267048]
"SpywareTerminator"="c:\programme\Spyware Terminator\SpywareTerminatorShield.exe" [2008-07-20 1817600]
"C-Media Mixer"="Mixer.exe" - c:\windows\MIXER.EXE [2003-03-20 1855488]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2004-09-16 69632]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"msnmsgr"="c:\programme\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

c:\dokumente und einstellungen\erwin\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk - c:\programme\OpenOffice.org 2.4\program\quickstart.exe [2008-1-21 393216]

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - c:\programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2009-5-24 110592]
Plug and Browse.lnk - c:\programme\Interactive Studios\Plug and Browse\PbSysTray.exe [2009-5-31 319488]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\plugbrowse]
2006-02-04 12:10 380928 ----a-w- c:\programme\Interactive Studios\Plug and Browse\PbEvtNot.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0stera

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Messenger\\msmsgs.exe"=
"c:\\Programme\\NetMeeting\\conf.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\TeamViewer3\\TeamViewer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\Mozilla Firefox\\firefox.exe"=
"c:\\Programme\\Java\\jre6\\bin\\java.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [15.06.2009 20:07 130936]
R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\system32\drivers\sp_rsdrv2.sys [20.07.2008 22:16 141312]
R2 PlugAndBrowse;Plug and Browse Service;c:\programme\Interactive Studios\Plug and Browse\PlugBrowseSvc.exe [31.05.2009 21:07 32768]
S0 Ydyx58;Ydyx58; [x]
S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [15.01.2005 08:30 223232]
S3 sdAuxService;PC Tools Auxiliary Service;c:\programme\Spyware Doctor\pctsAuxs.exe [15.06.2009 20:06 348752]
.
Inhalt des "geplante Tasks" Ordners
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

ShellIconOverlayIdentifiers-{EB8A16CA-1654-2720-B711-AFA929110565} - c:\windows\system32\rasttsby.dIl
SSODL-uSWmyp-{40CBDAD3-EA61-7079-2191-271669FBF03B} - c:\windows\system32\wt.dll


.
------- Zusätzlicher Suchlauf -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\programme\Crawler\Toolbar\ctbr.dll
DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.de/scan_de/scan8/oscan8.cab
FF - ProfilePath - c:\dokumente und einstellungen\erwin\Anwendungsdaten\Mozilla\Firefox\Profiles\ky8vzciu.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.bluewin.ch
FF - plugin: c:\dokumente und einstellungen\All Users\Anwendungsdaten\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\NpFv501.dll
FF - HiddenExtension: Java Console: No Registry Reference - c:\programme\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0004-ABCDEFFEDCBA}
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-06-28 19:32
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{057AFF8E-18BB-3F80-364CCC2831522BE6}\{99AD5AFA-2676-F639-545B2C570527D246}\{9515C81F-50C9-6ACD-17AF77618A15A8EB}*]
"WHRUBFTNUT3JMXQXKMKSXOBADA1"=hex:01,00,01,00,00,00,00,00,7d,86,67,30,10,5d,1c,
b8,35,81,92,71,e8,29,5a,84,14,35,16,70,d8,6e,ff,61
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(492)
c:\programme\Interactive Studios\Plug and Browse\PbEvtNot.dll

- - - - - - - > 'explorer.exe'(3692)
c:\progra~1\WINDOW~1\wmpband.dll
.
Zeit der Fertigstellung: 2009-06-28 19:43
ComboFix-quarantined-files.txt 2009-06-28 17:42

Vor Suchlauf: 9 Verzeichnis(se), 31'366'856'704 Bytes frei
Nach Suchlauf: 9 Verzeichnis(se), 31'401'697'280 Bytes frei

206 --- E O F --- 2009-06-12 04:02





HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:05:47, on 28.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.911.3380\GoogleToolbarNotifier.exe
C:\Programme\Interactive Studios\Plug and Browse\PbSysTray.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\Interactive Studios\Plug and Browse\PlugBrowseSvc.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\TeamViewer3\TeamViewer.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60429
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60429
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [EPSON Stylus Photo R240 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAHE.EXE /P30 "EPSON Stylus Photo R240 Series" /O6 "USB001" /M "Stylus Photo R240"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SpywareTerminator] "C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.911.3380\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Plug and Browse.lnk = C:\Programme\Interactive Studios\Plug and Browse\PbSysTray.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O20 - Winlogon Notify: plugbrowse - PbEvtNot.dll (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\NORMAN\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: Plug and Browse Service (PlugAndBrowse) - Interactive Studios Inc. - C:\Programme\Interactive Studios\Plug and Browse\PlugBrowseSvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

--
End of file - 7035 bytes
Dieser Beitrag wurde am 28.06.2009 um 20:20 Uhr von Mario348 editiert.
Seitenanfang Seitenende
28.06.2009, 21:40
Moderator

Beiträge: 5694
#6 >>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Welchen Antivirenscanner nutzt du??
Falls keinen dann installiere Dir AVIRA9 nach folgender Anleitung mach erst nachdem Du diese Anleitung durchgearbeitet hast noch einen Scan und poste das Log:
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/112535-avira-antivir-anleitung-zur-einrichtung.html

>>
Ich denke die sind sauber, aber trotzdem lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\Programme\Interactive Studios\Plug and Browse\PbSysTray.exe
C:\Programme\Interactive Studios\Plug and Browse\PlugBrowseSvc.exe



Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
Lade bitte SDfix, wende es im abgesicherten Modus an + poste hier den Report, der nach Neustart erscheint
http://virus-protect.org/artikel/tools/sdfix.html

>>
Lade Dir Registry Search by Bobbi Flekman

und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

Ydyx58

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

>>
Lösche:
C:\32788R22FWJFW.0.tmp

Gruss Swiss
Seitenanfang Seitenende
29.06.2009, 17:50
Member

Themenstarter

Beiträge: 180
#7 Also es ist Norman Virus Control 5.70 installiert, so wird es im Sicherheitscenter angezeigt. Ich weiss nicht wie upgraden.

Ich finde es aber im Ordner "Programme" nirgends...



Anbei habe ich noch wie oben erwähnt Malwarebyte's Anti-Malware und noch Spyware Terminator installiert, die aber nicht laufen, also der Wächter ist nicht aktiviert...
Seitenanfang Seitenende
29.06.2009, 18:07
Moderator

Beiträge: 5694
#8 Ich würde Dir empfehlen Avira9 zu laden (noch nicht installieren). Danach Rechner vom Netz trennen und Norman deinstallieren. Dann Avira9 installieren gemäss Anleitung:
http://www.paules-pc-forum.de/forum/4-pc-sicherheit/112535-avira-antivir-anleitung-zur-einrichtung.html

Für die Deinstallation versuche unter Start->Systemsteuerung->Software... und schau ob du Norman da entfernen kannst.

>>
Dannach arbeite die restlichen Sachen ab und poste zuletzt ein Log von Avira.

gruss swiss
Seitenanfang Seitenende
29.06.2009, 18:18
Member

Themenstarter

Beiträge: 180
#9 Aber die Premium Version von der Demonstration kann ich ja nicht installieren, da ich ja einen Schlüssel eingeben muss, nicht?

Wie soll ich AntiVir installieren, wenn sich die Anleitung zur Konfigurierung im Netz befindet und ich den PC jedoch von diesem trennen soll?
Seitenanfang Seitenende
29.06.2009, 18:30
Moderator

Beiträge: 5694
#10 Hier das musst du Dir auf dein System laden keine Demo ;) :
http://www.paules-pc-forum.de/index.php?option=com_remository&Itemid=34&func=fileinfo&id=35

Dann lass den rechner am Netz aber schau dass Du die interne firewall aktiviert hast.

Gruss swiss
Seitenanfang Seitenende
29.06.2009, 22:52
Member

Themenstarter

Beiträge: 180
#11 Wie kann ich eigendlich Norman Virus Control deinstallieren?

Mit der Systemsteuerung geht's nicht und unter C:\ finde ich auch keinen Ordner.
Dieser Beitrag wurde am 29.06.2009 um 23:02 Uhr von Mario348 editiert.
Seitenanfang Seitenende
29.06.2009, 23:06
Member
Avatar chrischahn87

Beiträge: 301
#12 Sollte nvc in der systeuerung heißen !!!
Ansonsten Delnvc.exe im Programmordner ausführen !
Sollte hier liegen \norman\nvc\bin
__________
Mein Leben verläuft streng nach Murphys Gesetz
Seitenanfang Seitenende
29.06.2009, 23:10
Member

Themenstarter

Beiträge: 180
#13

Zitat

chrischahn87 postete
Sollte nvc in der systeuerung heißen !!!
Ansonsten Delnvc.exe im Programmordner ausführen !
Sollte hier liegen \norman\nvc\bin
In der Systemsteuerung heisst es Norman Virus Control

Das Problem ist, dass ich nirgends Ordner von Norman finde...
Seitenanfang Seitenende
29.06.2009, 23:38
Member
Avatar chrischahn87

Beiträge: 301
#14

Zitat

In der Systemsteuerung heisst es Norman Virus Control
Dann installier es doch über die systemsteuerung->Progr deinstallieren!
__________
Mein Leben verläuft streng nach Murphys Gesetz
Seitenanfang Seitenende
29.06.2009, 23:52
Member

Themenstarter

Beiträge: 180
#15

Zitat

chrischahn87 postete

Zitat

In der Systemsteuerung heisst es Norman Virus Control
Dann installier es doch über die systemsteuerung->Progr deinstallieren!
Das mein ich ja, geht ja nicht!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: