"protection system" eingefangen, ständig "security center alert"

#0
22.07.2009, 13:25
...neu hier

Beiträge: 7
#1 Hallo forum,

nachdem ich schon einmal von euch super hilfe bekommen hab (weiß alten usernamen aber nimmer), wende ich mich heute wieder an euch.

was ist los:

nach windows start kommt gleich die meldung "Your MBR has been modified, reactivate PCM?" woher kommt das? was tun?

des weiteren meldet sich ständig ein "protection system" mit virenmeldungen, kaufauforderungen etc. auch die ständigen "security center alert" gehen mir auf den wecker. so ein paar nette xxx links habe ich auch plötzlich auf dem desktop.

system geht ev. etwas langsamer.

ich hab jetzt

- alle temporären dateien aufgeräumt

- kaspersky laufen lassen (der hat folgendes gefunden:
21.07.2009 18:55:34 Datei C:\WINDOWS\system32\wingenocx.dll, gefunden: trojanisches Programm 'Trojan.Win32.Tdss.ajeo'.


- malwarebytes laufen gelassen (insgesamt 3x, er findet aber immer wieder was an) log siehe unten

- hijackthis laufen lassen (log siehe unten)

- uninstall-list mit hijackthis erstellt (siehe unten)

danke für sämtliche hilfe im voraus!

lg

coralinde





Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2421
Windows 5.1.2600 Service Pack 2

22.07.2009 10:12:20
mbam-log-2009-07-22 (10-12-20).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 261216
Laufzeit: 42 minute(s), 6 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 3
Infizierte Dateien: 19

Infizierte Speicherprozesse:
C:\Programme\Protection System\psystem.exe (Rogue.ProtectionSystem) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\WINDOWS\system32\wingenocx.dll (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0cb66ba8-5e1f-4963-93d1-e1d6b78fe9a2} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{5e2121ee-0300-11d4-8d3b-444553540000} (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\CoreGuard (Rogue.CoreGuard2009) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Rootkit.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{5e2121ee-0300-11d4-8d3b-444553540000} (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\protection system (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
c:\dokumente und einstellungen\all users\startmenü\programme\Antivirus XP 2008 (Rogue.AntiVirusXP2008) -> Quarantined and deleted successfully.
C:\Programme\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Protection System (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.

Infizierte Dateien:
c:\WINDOWS\system32\wingenocx.dll (Trojan.FakeAlert) -> Delete on reboot.
c:\dokumente und einstellungen\all users\startmenü\programme\antivirus xp 2008\Antivirus XP 2008.lnk (Rogue.AntiVirusXP2008) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\antivirus xp 2008\How to Register Antivirus XP 2008.lnk (Rogue.AntiVirusXP2008) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\antivirus xp 2008\License Agreement.lnk (Rogue.AntiVirusXP2008) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\antivirus xp 2008\Register Antivirus XP 2008.lnk (Rogue.AntiVirusXP2008) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\antivirus xp 2008\Uninstall.lnk (Rogue.AntiVirusXP2008) -> Quarantined and deleted successfully.
c:\programme\protection system\blacklist.cga (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\programme\protection system\core.cga (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\programme\protection system\coreext.dll (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\programme\protection system\firewall.dll (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\programme\protection system\help.ico (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\programme\protection system\psystem.exe (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\programme\protection system\uninstall.exe (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\protection system\Protection System Support.lnk (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\protection system\Protection System.lnk (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\protection system\Uninstall Protection System.lnk (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.
c:\dokumente und einstellungen\all users\startmenü\programme\Antivirus XP 2008.lnk (Rogue.AntiVirusXP) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Delete on reboot.
C:\Dokumente und Einstellungen\All Users\Desktop\Protection System.lnk (Rogue.ProtectionSystem) -> Quarantined and deleted successfully.











Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:03:56, on 22.07.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\NWTRAY.EXE
C:\WINDOWS\system32\iprntctl.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\cleanmgr.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wscsvc32.exe
C:\Programme\Java\jre1.6.0_03\bin\jucheck.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BhoApp - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\WINDOWS\system32\wingenocx.dll (file missing)
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.15642\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE
O4 - HKLM\..\Run: [iPrint Tray] C:\WINDOWS\system32\iprntctl.exe TRAY_ICON
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=072409 serial=DR12WCX-1301988-XPZ lang=DE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {474F00F5-3853-492C-AC3A-476512BBC336} (UploadListView Class) - http://picasaweb.google.com/s/v/29.22/uploader2.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C356ED04-BD09-46A6-AAC0-70A00ED26DE3}: NameServer = 129.27.2.3,129.27.3.3
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Programme\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p1\webserver\bin\win32\matlabserver.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 10125 bytes













ACE Mega CoDecS Pack
Adobe Acrobat 7.1.0 Professional - English, Français, Deutsch
Adobe Flash Player 10 ActiveX
Adobe Reader 8.1.1
ATI - Dienstprogramm zur Deinstallation der Software
ATI Catalyst Control Center
ATI Display Driver
Canon CanoScan Toolbox 4.1
CD Audio Reader Filter (remove only)
CorelDRAW Graphics Suite 12
DC-Bass Source 1.1.1
DirectVobSub (remove only)
DScaler 5 Mpeg Decoders
ffdshow [rev 1685] [2007-12-06]
Google Toolbar for Internet Explorer
Google Toolbar for Internet Explorer
Haali Media Splitter
HijackThis 2.0.2
IKEA Home Planner
iTunes
J2SE Runtime Environment 5.0 Update 6
Java(TM) 6 Update 3
Kaspersky Anti-Virus 6.0 for Windows Workstations
Kaspersky Anti-Virus 6.0 for Windows Workstations
Malwarebytes' Anti-Malware
Manual CanoScan LiDE 50
MATLAB 6.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1
Microsoft .NET Framework 1.1 German Language Pack
Microsoft Office Professional Edition 2003
Nero Suite
Novell iPrint Client v04.15.00
OpenSource Flash Video Splitter (remove only)
Oracle Calendar
PowerCinema Linux 4.0
QuickTime
RealMedia (remove only)
Realtek High Definition Audio Driver
Skype™ 3.8
Smart Link 56K Voice Modem
Synaptics Pointing Device Driver
tele.ring Mobile Internet
WinRAR
Zoom Player (remove only)






lg coralinde
Seitenanfang Seitenende
22.07.2009, 15:11
Moderator

Beiträge: 5694
#2 >>
Versteckte Dateien sichtbar machen:
1. Klicke unter Start auf Arbeitsplatz.
2. Klicke im Menü Extras auf Ordneroptionen.
3. Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden --> Haken entfernen
4. Geschützte und Systemdateien ausblenden --> Haken entfernen
5. Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen --> Haken setzen.

Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.
http://virus-protect.org/invisible.html

>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\WINDOWS\system32\wscsvc32.exe

Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> hier kopieren

>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

O2 - BHO: BhoApp - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\WINDOWS\system32\wingenocx.dll (file missing)
und wähle fix checked.

Starte den Rechner neu.

>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

>>
Dieser Server Name trifft zu?

Zitat

129.27.2.3
Address: P.O. Box 10096
address: TU Graz/Zentraler Informatikdienst
address: Steyrergasse 30
address: A-8010 Graz
address: AUSTRIA
Gruss Swiss
Seitenanfang Seitenende
22.07.2009, 15:53
...neu hier

Themenstarter

Beiträge: 7
#3 Danke für deine antwort!

Zitat

Swisstreasure postete
>>
Versteckte Dateien sichtbar machen:
gemacht

Zitat

Swisstreasure postete
>>
Lasse folgende Datei bei www.VIRUSTOTAL.com/de prüfen und poste das Ergebnis:

C:\WINDOWS\system32\wscsvc32.exe
ergebnis:

Die Datei wurde bereits analysiert:
MD5: 03db01b1e823429eaee2061581ca2b1b
First received: 2009.07.16 23:43:08 UTC
Datum 2009.07.21 18:56:23 UTC [<1D]
Ergebnisse 19/39
Permalink: analisis/69eaa86fc8582b3f32191fbd911be58018310d8a15cafe3dd82b20c38c007a33-1248202583

Einfügen
Datei wscsvc32.exe empfangen 2009.07.21 18:56:23 (UTC)
Status: Beendet

Ergebnis: 19/39 (48.72%)
Filter Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.07.21 Trojan.Win32.FakeCog!IK
AhnLab-V3 5.0.0.2 2009.07.21 -
AntiVir 7.9.0.222 2009.07.21 -
Antiy-AVL 2.0.3.7 2009.07.17 -
Authentium 5.1.2.4 2009.07.21 W32/Agent.HQE
Avast 4.8.1335.0 2009.07.21 Win32:Fasec
AVG 8.5.0.387 2009.07.21 Downloader.Agent2.GCT
BitDefender 7.2 2009.07.21 Trojan.Generic.2162089
CAT-QuickHeal 10.00 2009.07.21 -
ClamAV 0.94.1 2009.07.21 -
Comodo 1729 2009.07.21 -
DrWeb 5.0.0.12182 2009.07.21 -
eTrust-Vet 31.6.6631 2009.07.21 -
F-Prot 4.4.4.56 2009.07.21 W32/Agent.HQE
F-Secure 8.0.14470.0 2009.07.21 -
Fortinet 3.120.0.0 2009.07.21 PossibleThreat
GData 19 2009.07.21 Trojan.Generic.2162089
Ikarus T3.1.1.64.0 2009.07.21 Trojan.Win32.FakeCog
Jiangmin 11.0.800 2009.07.21 -
K7AntiVirus 7.10.798 2009.07.21 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.07.21 -
McAfee 5683 2009.07.21 FakeAlert-FN
McAfee+Artemis 5683 2009.07.21 FakeAlert-FN
Microsoft 1.4803 2009.07.21 Trojan:Win32/FakeCog
NOD32 4264 2009.07.21 -
Norman 6.01.09 2009.07.20 W32/Renos.NTV
nProtect 2009.1.8.0 2009.07.21 -
Panda 10.0.0.14 2009.07.21 Generic Trojan
PCTools 4.4.2.0 2009.07.21 -
Prevx 3.0 2009.07.21 Medium Risk Malware
Rising 21.39.10.00 2009.07.21 -
Sophos 4.43.0 2009.07.21 Mal/Generic-A
Sunbelt 3.2.1858.2 2009.07.21 -
Symantec 1.4.4.12 2009.07.21 Trojan.Fakeavalert
TheHacker 6.3.4.3.372 2009.07.21 -
TrendMicro 8.950.0.1094 2009.07.21 TROJ_FAKECOG.AI
VBA32 3.12.10.8 2009.07.21 -
ViRobot 2009.7.21.1845 2009.07.21 -
VirusBuster 4.6.5.0 2009.07.21 -
weitere Informationen
File size: 720384 bytes
MD5 : 03db01b1e823429eaee2061581ca2b1b
SHA1 : 4d3a1a9836e0383d24a1e1683bff2aef5bb66dd8
SHA256: 69eaa86fc8582b3f32191fbd911be58018310d8a15cafe3dd82b20c38c007a33
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x7B36
timedatestamp.....: 0x4A5E0F93 (Wed Jul 15 19:19:15 2009)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7464 0x7600 6.25 c1e4aaa8610d050027819f734a1e792f
.rdata 0x9000 0x31F6 0x3200 5.67 1558643910be92e4bfb8860c3b3cb3e7
.data 0xD000 0x2AE8 0x2A00 3.99 6db4450fcea15a244d2bd2cb2aac4319
.rsrc 0x10000 0xA2650 0xA2800 7.88 1cb5826bb6369f4670bbfce8c589e704

( 12 imports )

> advapi32.dll: RegOpenKeyW, AdjustTokenPrivileges, SetFileSecurityA, RegOpenKeyExA, RegQueryValueExA, InitiateSystemShutdownW, RegCreateKeyW, RegQueryValueExW, RegSetValueExW, RegCloseKey, OpenProcessToken, LookupPrivilegeValueW
> comctl32.dll: ImageList_AddMasked, ImageList_Draw
> gdi32.dll: GetObjectW, CreateCompatibleDC, SelectObject, BitBlt, CreatePen, CreateFontW
> gdiplus.dll: GdiplusStartup, GdipCreateHBITMAPFromBitmap, GdipCreateBitmapFromStreamICM, GdipAlloc, GdipCloneImage, GdipFree, GdiplusShutdown, GdipCreateBitmapFromStream, GdipDisposeImage
> kernel32.dll: LoadLibraryW, GetProcAddress, FreeLibrary, GetModuleFileNameW, GetModuleHandleW, GetShortPathNameW, lstrlenW, InitializeCriticalSection, GetCurrentThreadId, GetCommandLineW, lstrcmpiW, DeleteCriticalSection, HeapDestroy, GetTempPathW, InterlockedDecrement, InterlockedIncrement, lstrcpyW, MultiByteToWideChar, FindResourceW, LoadResource, LockResource, SizeofResource, GlobalAlloc, GlobalLock, GlobalUnlock, lstrcatA, InterlockedExchange, FindResourceA, GetTempPathA, GetVolumeInformationA, GetComputerNameA, GetStartupInfoW, lstrcatW, CreateThread, GetVersion, lstrcpynW, CloseHandle, GetVersionExW, CreateFileW, GetLastError, GetCurrentProcess, Sleep, WaitForSingleObject, CreateMutexW, WriteFile, Process32NextW, GetCurrentProcessId, OpenProcess, Process32FirstW, CreateToolhelp32Snapshot, CreateProcessW, lstrlenA, GetFileAttributesA
> mfc42u.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> msvcp60.dll: _assign@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@PBDI@Z, __1Init@ios_base@std@@QAE@XZ, __0_Winit@std@@QAE@XZ, __1_Winit@std@@QAE@XZ, __Copy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEXI@Z, __Tidy@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEX_N@Z, __Xlen@std@@YAXXZ, __1_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAE@XZ, __Split@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@AAEXXZ, _erase@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@II@Z, _assign@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAEAAV12@ABV12@II@Z, __Tidy@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@AAEX_N@Z, __Grow@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@AAE_NI_N@Z, __Eos@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@AAEXI@Z, _npos@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@2IB, __C@_1___Nullstr@_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@CAPBGXZ@4GB, __1_$basic_string@GU_$char_traits@G@std@@V_$allocator@G@2@@std@@QAE@XZ, _erase@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@II@Z, __0Init@ios_base@std@@QAE@XZ, _substr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBE_AV12@II@Z, __Freeze@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAEXXZ, __Xran@std@@YAXXZ, _find@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QBEIPBDII@Z, __C@_1___Nullstr@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@CAPBDXZ@4DB, _npos@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@2IB, __Grow@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@AAE_NI_N@Z, _assign@_$basic_string@DU_$char_traits@D@std@@V_$allocator@D@2@@std@@QAEAAV12@ABV12@II@Z
> msvcrt.dll: __set_app_type, _except_handler3, _onexit, __1type_info@@UAE@XZ, _controlfp, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __wgetmainargs, _wcmdln, _XcptFilter, _exit, sprintf, atol, strstr, atoi, wcslen, _ftol, wcscpy, wcscmp, exit, isalnum, memchr, rand, __CxxFrameHandler, srand, time, __dllonexit
> ole32.dll: CoRevokeClassObject, CoUninitialize, CoRegisterClassObject, CreateStreamOnHGlobal, CoInitialize, CoCreateInstance
> oleaut32.dll: -, -, -, -
> shell32.dll: SHGetSpecialFolderPathW, SHGetSpecialFolderPathA, Shell_NotifyIconW
> user32.dll: GetClientRect, LoadIconW, EnableWindow, GetSystemMetrics, FindWindowW, GetWindowTextA, GetWindowThreadProcessId, EnumWindows, SetForegroundWindow, GetMenuItemID, GetCursorPos, TrackPopupMenu, PostMessageW, LoadMenuW, GetSubMenu, SetMenuDefaultItem, KillTimer, IsWindowVisible, IsWindowEnabled, GetWindowRect, SetActiveWindow, LoadImageW, CharNextW, IsIconic, GetActiveWindow, DrawIcon, GetSysColor, SendMessageW

( 0 exports )

TrID : File type identification
Win32 Executable MS Visual C++ (generic) (75.0%)
Win32 Executable Generic (16.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 12288:Kba7HzFRs1yzQkubyYTt1C/W5Iyv6xHSUzvzJW+kXjO7OHKy8kXYp:Sa7s0kkubyKz2HyvGzlkXjlHo3
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=381D5BBE007D35B4FEC40A546ABE3200C7066BB6
PEiD : Armadillo v1.71
RDS : NSRL Reference Data Set




Zitat

Swisstreasure postete
>>
Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Einträgen bei: (falls diese noch vorhanden sind)

Zitat

O2 - BHO: BhoApp - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - C:\WINDOWS\system32\wingenocx.dll (file missing)
und wähle fix checked.

Starte den Rechner neu.

Datei nicht mehr vorhanden, kein neustart

Zitat

Swisstreasure postete
>>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Combofix startet nicht 

Wie weiter vorgehen?

Zitat

Swisstreasure postete
>>
Dieser Server Name trifft zu?

Zitat

129.27.2.3
Address: P.O. Box 10096
address: TU Graz/Zentraler Informatikdienst
address: Steyrergasse 30
address: A-8010 Graz
address: AUSTRIA
Gruss Swiss
ja, der trifft zu.

Danke inzwischen!

coralinde
Seitenanfang Seitenende
22.07.2009, 17:39
Moderator

Beiträge: 5694
#4 >>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\WINDOWS\system32\wscsvc32.exe
- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

>>
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

>>
Benenne Combofix um und versuche es erneut:
http://www.virus-protect.org/artikel/tools/combofix3.html

Gruss Swiss
Seitenanfang Seitenende
23.07.2009, 09:04
...neu hier

Themenstarter

Beiträge: 7
#5

Zitat

Swisstreasure postete
>>
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere in das weisse Feld:

Zitat

Files to delete:
C:\WINDOWS\system32\wscsvc32.exe
- schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

- Klicke: Execute

- bestätige, dass der Rechner neu gestartet wird - klicke "yes"
- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

>>
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb
habe so irgendwie da keinen link gesehen, wo ich den avenger runterladen oder ausführen könnte.

nur auf der zweiten seite (http://virus-protect.org/artikel/tools/avenger2.html) stand:

"2. lade die avenger.txt, welche von einem Moderator im Sicherheitsforum erstellt wurde (Link zur avenger.txt befindest sich im jeweiligen Sicherheits-Thread)"

hmmm, was überseh ich?

danke & mfg

coralinde
Seitenanfang Seitenende
23.07.2009, 09:42
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#6 Klicke geekstogo.com/avenger2
http://virus-protect.org/artikel/tools/avenger2.html
__________
MfG Argus
Seitenanfang Seitenende
23.07.2009, 10:46
...neu hier

Themenstarter

Beiträge: 7
#7 Wieder mal danke für sämtliche hilfen :-)

Zitat

Argus postete
Klicke geekstogo.com/avenger2
http://virus-protect.org/artikel/tools/avenger2.html
*grrrr* ich hatte den link für eine der dabeistehenden google anzeigen gehalten! danke für hinweis!

Zitat

Swisstreasure postete
>>
Avenger

[snip]

- nach dem Neustart erscheint automatisch ein Log vom Avenger - (C:\avenger.txt), kopiere es ab - mit rechtem Mausklick - kopieren - einfügen

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\wscsvc32.exe" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Zitat

Swisstreasure postete
>>
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb
kein backup.zip gefunden

Zitat

Swisstreasure postete
>>
Benenne Combofix um und versuche es erneut:
http://www.virus-protect.org/artikel/tools/combofix3.html

Gruss Swiss

hat jetzt funktioniert. log siehe gleich unten.

lg

coralinde



ComboFix 09-07-22.05 - FSC 23.07.2009 10:29.2.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1023.567 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\FSC\Desktop\CF.exe
AV: Kaspersky Anti-Virus *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
* Im Speicher befindliches AV aktiv.

.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\cleanup.exe
c:\windows\system32\drivers\UACtoqbpjpiex.sys
c:\windows\system32\resdll.dll
c:\windows\system32\UACfvpvipbccc.dll
c:\windows\system32\UAChwnswwxirh.db
c:\windows\system32\uacinit.dll
c:\windows\system32\UACkuldfqkdsl.dll
c:\windows\system32\UACmvgrlksruj.dll
c:\windows\system32\UACnqwbdnoifi.dll
c:\windows\system32\UACoyqivgqusq.dat
c:\windows\system32\UACvamtkmarxr.dll
c:\windows\system32\UACvukmpfmpiq.dll

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_UACd.sys


((((((((((((((((((((((( Dateien erstellt von 2009-06-23 bis 2009-07-23 ))))))))))))))))))))))))))))))
.

2009-07-23 07:52 . 2009-07-23 07:52 574 ----a-w- C:\cleanup.bat
2009-07-23 07:52 . 2009-07-23 07:52 135168 ----a-w- C:\zip.exe
2009-07-23 07:21 . 2009-07-23 08:33 31232 ----a-w- c:\windows\system32\wingenocx.dll
2009-07-22 11:09 . 2009-07-23 07:22 -------- d-----w- c:\programme\Protection System
2009-07-22 11:03 . 2009-07-22 11:03 -------- d-----w- c:\programme\Trend Micro
2009-07-21 17:20 . 2009-07-13 11:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-07-21 17:20 . 2009-07-13 11:36 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-07-21 11:00 . 2009-07-23 08:38 5734432 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-07-21 11:00 . 2009-07-23 08:38 5664 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-07-21 10:58 . 2009-07-21 11:10 94643 ----a-w- c:\windows\system32\drivers\klick.dat
2009-07-21 10:58 . 2009-07-21 11:10 105395 ----a-w- c:\windows\system32\drivers\klin.dat
2009-07-21 10:58 . 2009-07-23 07:54 -------- d-----w- c:\dokume~1\ALLUSE~1\ANWEND~1\Kaspersky Lab
2009-07-21 10:58 . 2009-07-21 10:58 -------- d-----w- c:\programme\Kaspersky Lab
2009-07-21 10:56 . 2009-07-21 10:56 -------- d-----w- C:\KAV
2009-07-20 15:59 . 2009-07-20 16:15 -------- d-----w- c:\programme\hi
2009-06-30 13:06 . 2009-06-30 13:06 -------- d-----w- c:\dokumente und einstellungen\FSC\Anwendungsdaten\Oracle
2009-06-30 13:05 . 2009-06-30 13:05 -------- d-----w- c:\programme\Oracle

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-07-23 08:36 . 2009-07-21 11:00 77804 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-07-23 08:36 . 2009-07-21 11:00 1484 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-07-23 08:32 . 2004-08-04 12:00 64994 ----a-w- c:\windows\system32\perfc007.dat
2009-07-23 08:32 . 2004-08-04 12:00 395074 ----a-w- c:\windows\system32\perfh007.dat
2009-07-23 08:22 . 2008-09-01 11:11 -------- d-----w- c:\dokumente und einstellungen\FSC\Anwendungsdaten\Skype
2009-07-23 06:51 . 2008-09-01 11:13 -------- d-----w- c:\dokumente und einstellungen\FSC\Anwendungsdaten\skypePM
2009-07-21 17:20 . 2008-07-24 10:28 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-07-21 11:10 . 2007-07-18 12:39 112144 ----a-w- c:\windows\system32\drivers\kl1.sys
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]
"swg"="c:\programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-12-12 68856]
"MSMSGS"="c:\programme\Messenger\msmsgs.exe" [2004-10-13 1694208]
"Skype"="c:\programme\Skype\Phone\Skype.exe" [2008-08-11 21741864]
"Protection System"="c:\programme\Protection System\psystem.exe" [2009-07-23 2519040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 132496]
"ATICCC"="c:\programme\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-03-18 98393]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-03-18 688217]
"InstantOn"="c:\program files\CyberLink\PowerCinema Linux\ion_install.exe" [2005-05-11 93640]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"iPrint Tray"="c:\windows\system32\iprntctl.exe" [2005-10-24 40960]
"Acrobat Assistant 7.0"="c:\programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 483328]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"iTunesHelper"="c:\programme\iTunes\iTunesHelper.exe" [2005-09-16 274432]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2009-02-16 155648]
"CorelDRAW Graphics Suite 11b"="c:\programme\Corel\Corel Graphics 12\Languages\DE\Programs\Registration.exe" [2003-11-27 733184]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2005-01-07 61952]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\SOUNDMAN.EXE [2005-03-10 90112]
"AlcWzrd"="ALCWZRD.EXE" - c:\windows\ALCWZRD.EXE [2005-03-10 2803712]
"NWTRAY"="NWTRAY.EXE" - c:\windows\system32\nwtray.exe [2001-12-18 28672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\dokume~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\
Adobe Acrobat - Schnellstart.lnk - c:\windows\Installer\{AC76BA86-1033-F400-7760-100000000002}\SC_Acrobat.exe [2007-11-13 25214]
ATI CATALYST System Tray.lnk - c:\programme\ATI Technologies\ATI.ACE\CLI.exe [2005-8-12 45056]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwv1_0

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\iTunes\\iTunes.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 nipplpt2;Novell iCapture Lpt Redirector 2;c:\windows\system32\drivers\nipplpt.sys [13.11.2007 12:46 34671]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [30.05.2007 17:49 24344]
R3 Slazldrv;SmartLink AMR_PCI Driver;c:\windows\system32\drivers\SLDRV\slazldrv.sys [29.10.2007 17:10 230448]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.at/
uSearch Page = hxxp://www.google.com
uSearch Bar = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Auswahl in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Auswahl in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: In Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: In vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Verknüpfungsziel in Adobe PDF konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - c:\programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
TCP: {C356ED04-BD09-46A6-AAC0-70A00ED26DE3} = 129.27.2.3,129.27.3.3
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-23 10:38
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1380)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\klogon.dll

- - - - - - - > 'Explorer.exe'(3928)
c:\windows\system32\msi.dll
c:\windows\system32\NOVNPNT.DLL
c:\windows\system32\MAPBASE.dll
c:\windows\system32\NWSHLXNT.dll
c:\windows\system32\NLS\ENGLISH\NWSHLXNR.DLL
c:\windows\system32\NLS\ENGLISH\NOVNPNTR.DLL
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\windows\system32\ati2evxx.exe
c:\programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations\avp.exe
c:\matlab6p1\webserver\bin\win32\matlabserver.exe
c:\programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\matlab6p1\bin\win32\matlab.exe
c:\windows\system32\slserv.exe
c:\windows\system32\ati2evxx.exe
c:\programme\iPod\bin\iPodService.exe
c:\programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe
c:\windows\system32\net.exe
c:\windows\system32\net1.exe
c:\programme\Skype\Plugin Manager\skypePM.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-07-23 10:42 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-07-23 08:42
ComboFix2.txt 2008-07-24 12:20

Vor Suchlauf: 8.525.451.264 Bytes frei
Nach Suchlauf: 9.034.964.992 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

174
Seitenanfang Seitenende
23.07.2009, 22:34
Moderator

Beiträge: 5694
#8 >>
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Zitat

KILLALL::

Folders::
c:\programme\Protection System

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Protection System"=-
Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen (siehe Anhang)


danach: Combofix noch einmal anwenden

>>
poste das Neue Log von Combofix

>>
Lade Dir Registry Search by Bobbi Flekman

und doppelklicken, um zu starten.
in das Feld: "Enter search strings" (reinschreiben oder reinkopieren)

Protection System

in edit und klicke "Ok".
Notepad wird sich öffnen -- kopiere den Text ab und poste ihn.

>>
Scanne ernsut mit MAlwarebytes und poste das Log (vorher updaten).

>>
Erstelle ein neues HJT Log.

Gruss Swiss[/img]

Anhang: cfscript.gif
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: