Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen

Nez_Perces · 25.05.2008, 11:37

Ok, jetzt der Log (im Admin-Modus) mit der neuesten HiJackThis-Version.

Nochmals Entschuldigung für die ganze Arbeit.

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:33:43, on 25.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\Explorer.EXE
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
D:\Multimedia\CyberLink\PowerDVD\PDVDServ.exe
D:\Internet\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
D:\Office\SpeedProject\SpeedCommander 7\SpeedCommander.exe
D:\Sicherheit\HiJackThis\pruefcom.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] c:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [RemoteControl] D:\Multimedia\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] D:\Multimedia\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Internet\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1993962763-1770027372-725345543-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'I-Net')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Office\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5187 bytes

markusg · 25.05.2008, 11:43

nimm die fürs sp2 dieses leerzeichen muss aber da sein... bitte combofix verwenden.

Nez_Perces · 25.05.2008, 11:47

Zitat:

Zitat von markusg

nimm die fürs sp2 dieses leerzeichen muss aber da sein... bitte combofix verwenden.

Das Leerzeichen muss da sein?
Wie meinst Du das?

Muss es da sein, weil Du denkst das System ist infiziert oder muss es da sein, damit die Datei als unbedenklich angesehen werden kann??

Ich verstehe so langsam nur Bahnhof, sorry.

markusg · 25.05.2008, 11:50

in deinem letzten log ist kein leerzeichen mehr da. dieses hätte auf einen infekt hingedeutet. wir können zur sicherheit, wenn du willst nun combofix noch mal laufen lassen oder noch n paar seiten über die sinnhaftigkeit diskutieren...

Nez_Perces · 25.05.2008, 11:54

Zitat:

Zitat von markusg

in deinem letzten log ist kein leerzeichen mehr da. dieses hätte auf einen infekt hingedeutet. wir können zur sicherheit, wenn du willst nun combofix noch mal laufen lassen oder noch n paar seiten über die sinnhaftigkeit diskutieren...

Bitte entschuldige, ich wollte Dir sicher nicht schräg kommen, da ich weiss, dass Du mir nicht helfen musst und Dir trotzdem die Mühe machst.

Also gut, ich werde ComboFix laufen lassen.

Nur so mal nebenbei:

Ist mein Logfile, bis auf dieses ominöse Leerzeichen, sauber?

Zum wiederholten mal Danke!

markusg · 25.05.2008, 11:57

wie gesagt in deinem letzten taucht es nicht mehr auf. möchte nur sicher gehen.

Nez_Perces · 25.05.2008, 13:07

So, mein System hat ComboFix unbeschadet überstanden.

Bin vielleicht zu übervorsichtig, aber seht mir das bitte nach.

Hier also das ComboFix-Logfile:

Zitat:

ComboFix 08-05-21.3 - xxx 2008-05-25 13:56:53.1 - NTFSx86
ausgeführt von:: C:\Dokumente und Einstellungen\xxx\Desktop\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-25 bis 2008-05-25 ))))))))))))))))))))))))))))))
.

2008-05-25 13:04 . 2008-05-25 13:04 <DIR> dr------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Brother
2008-05-25 08:10 . 2008-05-24 07:24 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-05-25 08:10 . 2008-05-24 08:16 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-05-25 08:10 . 2008-05-24 08:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-05-25 08:10 . 2008-05-25 13:57 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-05-25 08:10 . 2008-05-24 08:16 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-05-25 08:10 . 2008-05-25 08:13 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-05-25 08:10 . 2008-05-24 08:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-05-25 08:10 . 2008-05-24 08:16 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-05-25 08:10 . 2008-05-25 08:10 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator
2008-05-25 00:37 . 2008-05-25 00:37 <DIR> d-------- C:\Programme\Java
2008-05-25 00:37 . 2008-05-25 00:37 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Java
2008-05-25 00:37 . 2008-03-25 02:37 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-05-25 00:24 . 2008-05-24 07:24 <DIR> d--h----- C:\Dokumente und Einstellungen\I-Net\Vorlagen
2008-05-25 00:24 . 2008-05-24 08:16 <DIR> dr------- C:\Dokumente und Einstellungen\I-Net\Startmenü
2008-05-25 00:24 . 2008-05-24 08:16 <DIR> d--h----- C:\Dokumente und Einstellungen\I-Net\Netzwerkumgebung
2008-05-25 00:24 . 2008-05-25 13:57 <DIR> d--h----- C:\Dokumente und Einstellungen\I-Net\Lokale Einstellungen
2008-05-25 00:24 . 2008-05-25 00:24 <DIR> dr------- C:\Dokumente und Einstellungen\I-Net\Favoriten
2008-05-25 00:24 . 2008-05-25 12:27 <DIR> dr------- C:\Dokumente und Einstellungen\I-Net\Eigene Dateien
2008-05-25 00:24 . 2008-05-24 08:16 <DIR> d--h----- C:\Dokumente und Einstellungen\I-Net\Druckumgebung
2008-05-25 00:24 . 2008-05-25 00:42 <DIR> dr-h----- C:\Dokumente und Einstellungen\I-Net\Anwendungsdaten
2008-05-25 00:24 . 2008-05-25 13:40 <DIR> d-------- C:\Dokumente und Einstellungen\I-Net
2008-05-24 22:46 . 2008-05-24 22:46 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-05-24 22:46 . 2008-05-24 22:46 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-05-24 22:46 . 2008-05-24 22:46 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-05-24 22:46 . 2008-05-24 22:46 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-05-24 22:46 . 2008-05-24 22:46 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-05-24 22:46 . 2008-05-24 22:46 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-05-24 22:44 . 2008-05-24 22:44 <DIR> d--h----- C:\WINDOWS\PIF
2008-05-24 22:44 . 2008-04-14 07:53 153,600 --a------ C:\WINDOWS\R.COM
2008-05-24 22:44 . 2008-04-14 07:53 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-05-24 22:44 . 2008-05-25 08:14 50 --a------ C:\WINDOWS\Lic.xxx
2008-05-24 22:29 . 2008-05-24 22:29 <DIR> d-------- C:\Dokumente und Einstellungen\A. Soprano\Anwendungsdaten\CDZilla
2008-05-24 22:26 . 2008-05-24 22:26 <DIR> d-------- C:\WINDOWS\system32\Lang
2008-05-24 22:26 . 2008-05-24 22:26 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-05-24 22:26 . 2008-05-24 22:26 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-05-24 22:23 . 2008-05-24 22:23 <DIR> d-------- C:\Programme\Realtek
2008-05-24 22:23 . 2006-05-04 10:26 2,808,832 -r------- C:\WINDOWS\alcwzrd.exe
2008-05-24 22:23 . 2006-12-16 05:29 499,712 -r------- C:\WINDOWS\RtlExUpd.dll
2008-05-24 22:23 . 2005-09-21 04:25 299,008 -r------- C:\WINDOWS\system32\ALSndMgr.cpl
2008-05-24 22:23 . 2005-05-03 12:43 69,632 -r------- C:\WINDOWS\Alcmtr.exe
2008-05-24 22:14 . 2008-05-24 22:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier
2008-05-24 22:13 . 2008-05-24 22:14 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2008-05-24 22:10 . 2005-05-14 20:09 2,179,072 --a------ C:\WINDOWS\system32\mfc71d.dll
2008-05-24 22:08 . 2008-05-24 22:08 <DIR> d-------- C:\Programme\CIB software GmbH
2008-05-24 22:08 . 2008-04-14 07:52 185,344 --a--c--- C:\WINDOWS\system32\dllcache\framedyn.dll
2008-05-24 22:07 . 2008-05-24 22:07 <DIR> d-------- C:\Dokumente und Einstellungen\A. Soprano\Anwendungsdaten\InstallShield
2008-05-24 22:03 . 2008-05-25 13:48 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-05-24 22:03 . 2008-05-24 22:03 <DIR> d-------- C:\Programme\Zone Labs
2008-05-24 21:59 . 2008-05-24 21:59 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\vlc
2008-05-24 21:55 . 2008-05-24 21:57 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\.gimp-2.4
2008-05-24 21:54 . 2008-05-24 21:54 <DIR> d-------- C:\Programme\Gemeinsame Dateien\GTK
2008-05-24 21:51 . 2008-05-24 22:27 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-05-24 19:10 . 2008-05-24 19:10 0 --a------ C:\WINDOWS\nsreg.dat
2008-05-24 19:07 . 2008-05-24 19:07 <DIR> d-------- C:\Programme\CyberLink
2008-05-24 19:07 . 2001-03-08 18:30 24,064 --------- C:\WINDOWS\system32\msxml3a.dll
2008-05-24 19:06 . 2003-03-18 20:14 499,712 --------- C:\WINDOWS\system32\msvcp71.dll
2008-05-24 19:06 . 2003-02-21 04:42 348,160 --------- C:\WINDOWS\system32\msvcr71.dll
2008-05-24 19:05 . 2008-05-24 19:05 <DIR> d-------- C:\WINDOWS\uninstall\Audiograbber
2008-05-24 19:05 . 2008-05-24 19:05 <DIR> d-------- C:\WINDOWS\uninstall
2008-05-24 18:51 . 2008-05-25 13:04 468 --a------ C:\WINDOWS\BRWMARK.INI
2008-05-24 18:51 . 2008-05-24 18:51 184 --a------ C:\WINDOWS\system32\brsvc01a.bsi
2008-05-24 18:51 . 2008-05-24 18:51 30 --a------ C:\WINDOWS\system32\brss01a.ini
2008-05-24 18:51 . 2008-05-24 18:51 27 --a------ C:\WINDOWS\BRPP2KA.INI
2008-05-24 18:50 . 2008-04-14 00:15 32,128 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-05-24 18:50 . 2008-04-14 00:15 32,128 --a--c--- C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-05-24 18:50 . 2008-04-14 00:17 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-05-24 18:50 . 2008-04-14 00:17 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-05-24 18:49 . 2008-05-24 18:49 <DIR> d-------- C:\Programme\Common Files
2008-05-24 18:49 . 2008-05-24 18:49 <DIR> d-------- C:\Programme\Brother
2008-05-24 18:47 . 2008-05-24 18:47 <DIR> d-------- C:\Programme\ScanSoft
2008-05-24 18:47 . 2008-05-24 18:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ScanSoft Shared
2008-05-24 18:47 . 2008-05-24 18:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ScanSoft
2008-05-24 18:47 . 2008-05-24 18:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2008-05-24 18:47 . 2003-09-24 11:37 27,114 --a------ C:\WINDOWS\maxlink.ini
2008-05-24 18:46 . 2008-05-24 18:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Brother
2008-05-24 18:43 . 2008-05-24 18:43 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Ahead
2008-05-24 18:40 . 2008-05-24 18:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ahead
2008-05-24 18:40 . 2008-05-24 18:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-05-24 18:36 . 2008-05-24 18:36 403 --a------ C:\WINDOWS\ODBC.INI
2008-05-24 18:35 . 2008-05-24 18:35 <DIR> d-------- C:\WINDOWS\ShellNew
2008-05-24 18:34 . 2008-05-24 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Microsoft Web Folders
2008-05-24 18:31 . 2008-05-25 08:13 <DIR> d-------- C:\Bases_X
2008-05-24 17:52 . 2008-05-24 22:23 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2008-05-24 17:52 . 2008-05-24 17:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\SpeedProject
2008-05-24 17:49 . 2008-05-24 22:19 <DIR> d-------- C:\PCWELT
2008-05-24 17:43 . 2008-05-24 17:43 <DIR> dr------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-05-24 17:23 . 2008-05-24 17:23 <DIR> d-------- C:\WINDOWS\nview
2008-05-24 17:23 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-05-24 17:23 . 2008-05-24 17:23 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-05-24 17:23 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-05-24 17:22 . 2008-05-24 17:22 <DIR> d-------- C:\NVIDIA
2008-05-24 12:43 . 2008-05-24 12:43 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-24 12:37 . 2008-05-24 12:37 1,269,636 --a------ C:\Dokumente und Einstellungen\xxx\services.reg
2008-05-24 12:37 . 2008-05-24 12:37 3,170 --a------ C:\Dokumente und Einstellungen\xxx\dcom.reg
2008-05-24 12:37 . 2008-05-24 12:37 2,584 --a------ C:\Dokumente und Einstellungen\xxx\smb.reg
2008-05-24 12:37 . 2008-05-24 12:37 2,172 --a------ C:\Dokumente und Einstellungen\xxx\dcomp.reg
2008-05-24 12:37 . 2008-05-24 12:37 1,776 --a------ C:\Dokumente und Einstellungen\xxx\handler_gopher.reg
2008-05-24 12:37 . 2008-05-24 12:37 1,150 --a------ C:\Dokumente und Einstellungen\xxx\handler_telnet.reg
2008-05-24 12:32 . 2008-05-24 12:32 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-05-24 12:32 . 2008-05-24 12:32 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-05-24 12:32 . 2008-05-24 12:32 <DIR> d-------- C:\Programme\Windows Media Connect 2
2008-05-24 12:22 . 2008-05-24 12:22 <DIR> d-------- C:\Programme\MSXML 6.0
2008-05-24 12:22 . 2008-05-24 12:22 <DIR> d-------- C:\Programme\MSXML 4.0
2008-05-24 12:18 . 2008-05-24 12:18 <DIR> d-------- C:\Programme\MSBuild
2008-05-24 12:16 . 2008-05-24 12:16 <DIR> d-------- C:\WINDOWS\system32\XPSViewer
2008-05-24 12:16 . 2008-05-24 12:16 <DIR> d-------- C:\Programme\Reference Assemblies
2008-05-24 12:16 . 2006-06-29 13:07 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-05-24 10:22 . 2008-05-24 10:22 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-05-24 10:07 . 2008-05-24 12:25 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-05-24 08:19 . 2008-04-14 07:22 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2008-05-24 08:19 . 2001-08-17 14:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2008-05-24 08:18 . 2008-04-14 07:52 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2008-05-24 08:18 . 2001-08-17 14:46 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2008-05-24 08:16 . 2008-05-25 01:41 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-05-24 08:16 . 2008-05-24 07:24 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-05-24 08:16 . 2008-05-24 08:16 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü
2008-05-24 08:16 . 2008-05-24 08:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-05-24 08:16 . 2008-05-24 08:16 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-05-24 08:16 . 2008-05-24 08:16 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten
2008-05-24 08:16 . 2008-05-24 08:16 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-05-24 08:16 . 2008-05-24 08:16 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-05-24 08:16 . 2008-05-24 08:16 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-05-24 08:16 . 2008-05-24 18:36 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü
2008-05-24 08:16 . 2008-05-24 08:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-25 11:57 1,641,504 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-25 11:53 25,904 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-24 20:14 75,932 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-05-24 20:14 74,396 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-05-24 16:49 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-24 16:34 --------- d-----w C:\Programme\microsoft frontpage
2008-05-24 05:27 --------- d-----w C:\Programme\Online-Dienste
2008-05-24 05:26 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-04-14 06:06 1,804 ----a-w C:\WINDOWS\system32\dcache.bin
2008-04-14 05:55 333,312 ----a-w C:\WINDOWS\system32\netsetup.exe
2008-04-14 05:52 99,840 ----a-w C:\WINDOWS\system32\loadperf.dll
2008-04-14 05:51 762,368 ----a-w C:\WINDOWS\system32\winntbbu.dll
2008-04-14 05:51 731,648 ----a-w C:\WINDOWS\system32\ntdll.dll
2008-04-14 05:51 57,375 ----a-w C:\WINDOWS\system32\odbcji32.dll
2008-04-14 05:51 5,632 ----a-w C:\WINDOWS\system32\wmi.dll
2008-04-14 05:51 4,126 ----a-w C:\WINDOWS\system32\msdxmlc.dll
2008-04-14 05:51 24,064 ----a-w C:\WINDOWS\system32\pidgen.dll
2008-04-14 05:32 80,384 ----a-w C:\WINDOWS\system32\drivers\parport.sys
2008-04-14 05:32 73,472 ----a-w C:\WINDOWS\system32\drivers\sr.sys
2008-04-14 05:32 68,224 ----a-w C:\WINDOWS\system32\drivers\pci.sys
2008-04-14 05:32 46,848 ----a-w C:\WINDOWS\system32\drivers\p3.sys
2008-04-14 05:32 120,576 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys
2008-04-14 05:30 2,026,496 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-04-14 05:29 4,096 ----a-w C:\WINDOWS\system32\dsprpres.dll
2008-04-14 05:29 2,147,840 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-04-14 05:28 800,384 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys
2008-04-14 05:28 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys
2008-04-14 05:28 25,216 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys
2008-04-14 05:28 154,112 ----a-w C:\WINDOWS\system32\drivers\dmio.sys
2008-04-14 05:27 93,184 ------w C:\WINDOWS\system32\msxml6r.dll
2008-04-14 05:27 40,448 ----a-w C:\WINDOWS\system32\drivers\intelppm.sys
2008-04-14 05:26 81,408 ------w C:\WINDOWS\system32\msshavmsg.dll
2008-04-14 05:26 51,712 ----a-w C:\WINDOWS\system32\inetres.dll
2008-04-14 05:26 40,832 ----a-w C:\WINDOWS\system32\drivers\crusoe.sys
2008-04-14 05:25 65,536 ----a-w C:\WINDOWS\system32\drivers\serial.sys
2008-04-14 05:25 572,928 ----a-w C:\WINDOWS\system32\shdoclc.dll
2008-04-14 05:25 52,992 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys
2008-04-14 05:24 25,856 ------w C:\WINDOWS\system32\drivers\hidbth.sys
2008-04-14 05:24 10,752 ----a-w C:\WINDOWS\system32\gpkrsrc.dll
2008-04-14 05:23 1,845,760 ----a-w C:\WINDOWS\system32\win32k.sys
2008-04-14 05:22 68,096 ----a-w C:\WINDOWS\system32\browselc.dll
2008-04-14 05:22 57,344 ----a-w C:\WINDOWS\system32\mshtmler.dll
2008-04-14 05:22 53,760 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys
2008-04-14 05:22 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys
2008-04-14 05:22 273,920 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-04-14 05:21 701,952 ------w C:\WINDOWS\system32\drivers\ati2mtag.sys
2008-04-14 05:21 39,936 ----a-w C:\WINDOWS\system32\drivers\processr.sys
2008-04-14 05:21 327,168 ------w C:\WINDOWS\system32\drivers\ati2mtaa.sys
2008-04-14 05:20 41,856 ----a-w C:\WINDOWS\system32\drivers\amdk7.sys
2008-04-14 05:20 41,472 ----a-w C:\WINDOWS\system32\drivers\amdk6.sys
2008-04-14 05:19 30,336 ----a-w C:\WINDOWS\system32\drivers\modem.sys
2008-04-14 05:19 23,552 ----a-w C:\WINDOWS\system32\drivers\mouclass.sys
2008-04-14 05:19 188,800 ----a-w C:\WINDOWS\system32\drivers\acpi.sys
2008-04-13 22:58 175,744 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys
2008-04-13 22:51 162,816 ----a-w C:\WINDOWS\system32\drivers\netbt.sys
2008-04-13 22:50 91,520 ----a-w C:\WINDOWS\system32\drivers\ndiswan.sys
2008-04-13 22:50 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-04-13 22:50 182,656 ----a-w C:\WINDOWS\system32\drivers\ndis.sys
2008-04-13 22:49 75,264 ----a-w C:\WINDOWS\system32\drivers\ipsec.sys
2008-04-13 22:49 51,328 ----a-w C:\WINDOWS\system32\drivers\rasl2tp.sys
2008-04-13 22:49 48,384 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys
2008-04-13 22:49 146,048 ----a-w C:\WINDOWS\system32\drivers\portcls.sys
2008-04-13 22:49 138,112 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-04-13 22:47 83,072 ----a-w C:\WINDOWS\system32\drivers\wdmaud.sys
2008-04-13 22:47 456,576 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
2008-04-13 22:47 105,344 ----a-w C:\WINDOWS\system32\drivers\mup.sys
2008-04-13 22:46 49,536 ----a-w C:\WINDOWS\system32\drivers\classpnp.sys
2008-04-13 22:46 141,056 ----a-w C:\WINDOWS\system32\drivers\ks.sys
2008-04-13 22:45 60,800 ----a-w C:\WINDOWS\system32\drivers\sysaudio.sys
2008-04-13 22:45 574,976 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys
2008-04-13 22:45 334,848 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-04-13 22:44 63,744 ----a-w C:\WINDOWS\system32\drivers\cdfs.sys
2008-04-13 22:44 143,744 ----a-w C:\WINDOWS\system32\drivers\fastfat.sys
2008-04-13 22:30 225,664 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-13 22:30 19,072 ----a-w C:\WINDOWS\system32\drivers\tdi.sys
2008-04-13 22:27 41,472 ----a-w C:\WINDOWS\system32\drivers\raspppoe.sys
2008-04-13 22:27 40,576 ----a-w C:\WINDOWS\system32\drivers\ndproxy.sys
2008-04-13 22:27 34,560 ----a-w C:\WINDOWS\system32\drivers\wanarp.sys
2008-04-13 22:27 20,864 ----a-w C:\WINDOWS\system32\drivers\ipinip.sys
2008-04-13 22:27 152,832 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys
2008-04-13 22:27 14,336 ----a-w C:\WINDOWS\system32\drivers\asyncmac.sys
2008-04-13 22:27 10,112 ----a-w C:\WINDOWS\system32\drivers\ndistapi.sys
2008-04-13 22:26 88,320 ----a-w C:\WINDOWS\system32\drivers\nwlnkipx.sys
2008-04-13 22:26 69,120 ----a-w C:\WINDOWS\system32\drivers\psched.sys
2008-04-13 22:26 35,072 ----a-w C:\WINDOWS\system32\drivers\msgpc.sys
2008-04-13 22:26 34,688 ----a-w C:\WINDOWS\system32\drivers\netbios.sys
2008-04-13 22:26 30,592 ----a-w C:\WINDOWS\system32\drivers\rndismp.sys
2008-04-13 22:26 30,592 ------w C:\WINDOWS\system32\drivers\rndismpx.sys
2008-04-13 22:26 14,592 ----a-w C:\WINDOWS\system32\drivers\ndisuio.sys
2008-04-13 22:26 12,800 ----a-w C:\WINDOWS\system32\drivers\usb8023.sys
2008-04-13 22:26 12,800 ------w C:\WINDOWS\system32\drivers\usb8023x.sys
2008-04-13 22:26 12,288 ----a-w C:\WINDOWS\system32\drivers\tunmp.sys
2008-04-13 22:25 202,624 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-13 22:24 11,264 ----a-w C:\WINDOWS\system32\drivers\irenum.sys
2008-04-13 22:23 71,552 ----a-w C:\WINDOWS\system32\drivers\bridge.sys
2008-04-13 22:23 40,320 ----a-w C:\WINDOWS\system32\drivers\nmnt.sys
2008-04-13 22:23 36,608 ----a-w C:\WINDOWS\system32\drivers\ip6fw.sys
2008-04-13 22:23 264,832 ----a-w C:\WINDOWS\system32\drivers\http.sys
2008-04-13 22:21 61,824 ----a-w C:\WINDOWS\system32\drivers\nic1394.sys
2008-04-13 22:21 60,800 ----a-w C:\WINDOWS\system32\drivers\arp1394.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 07:52 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2007-03-12 14:03 149040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-24 22:57 262401]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2007-03-12 14:23 161328]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-17 16:39 57393]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-17 17:01 40960]
"SetDefPrt"="c:\Programme\Brother\Brmfl05a\BrStDvPt.exe" [2005-01-26 18:02 49152]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 17:42 933888]
"RemoteControl"="D:\Multimedia\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 15:10 56928]
"LanguageShortcut"="D:\Multimedia\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 22:55 54832]
"ZoneAlarm Client"="d:\Internet\Zone Labs\ZoneAlarm\zlclient.exe" [2007-06-21 21:54 919016]
"RTHDCPL"="RTHDCPL.EXE" [2006-12-19 05:12 16062464 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 04:28 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 07:52 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - D:\Office\Microsoft Office\Office\OSA9.EXE [1999-02-17 22:05:56 65588]
Status Monitor.lnk - C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe [2008-05-24 18:49:37 802816]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 12:50]
S3 SetupNTGLM7X;SetupNTGLM7X;G:\NTGLM7X.sys []

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-25 13:57:48
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-25 13:58:07
ComboFix-quarantined-files.txt 2008-05-25 11:58:04

9 Verzeichnis(se), 27,853,238,272 Bytes frei
12 Verzeichnis(se), 28,089,999,360 Bytes frei

markusg · 25.05.2008, 13:12

also scheint doch was auf deinem syys zu sein.

* Lade Malwarebytes' Anti-Malware auf deinen Desktop herunter.
Malwarebytes.org - 10k -
* Mache einen Doppel-Klick auf die mbam-setup.exe und folge den Hinweisen, um das Programm zu installieren.
* Vergewissere dich nun, dass folgende Optionen angehakt sind:

o Malwarebytes' Anti-Malware updaten
o Malwarebytes' Anti-Malware starten

* Klicke nun auf Fertigstellen.
* Wenn ein Update gefunden wird, wird es heruntergeladen und die neueste Version installieren.
* Wenn das Programm fertig geladen ist, wähle kompletScan durchführen, klicke auf Scan.
* Wenn der Scan beendet ist, klicke auf OK, dann auf Ergebnisse anzeigen.
* Vergewissere dich, dass neben allen Malware-Einträgen ein Häkchen sitzt.
* Klicke dann auf 'Ausgewähltes entfernen' und auf OK.

Nez_Perces · 25.05.2008, 13:49

Hier das Malwarebyte's Anti-Malware Logfile:

Zitat:

Malwarebytes' Anti-Malware 1.12
Datenbank Version: 785

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|)
Objekte gescannt: 77721
Scan Dauer: 13 minute(s), 3 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\A. Soprano\services.reg (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

Ich habe keinen Schimmer, wo ich mir den zugezogen haben soll, nach dem Neuaufsetzen meines Systems...

edit: Macht es Sinn dieses Programm im abgesicherten Modus laufen zu lassen oder reicht dazu (wie oben getan) der Admin-Modus?

markusg · 25.05.2008, 13:55

ist ok so. ist das ne windows cd oder ein image? zeig ein neues hjt-log

Nez_Perces · 25.05.2008, 14:00

Hier das aktuelle HJ-Logfile:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:00:11, on 25.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
D:\Multimedia\CyberLink\PowerDVD\PDVDServ.exe
D:\Internet\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
D:\Internet\Mozilla Firefox\firefox.exe
D:\Sicherheit\HiJackThis\pruefcom.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] c:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [RemoteControl] D:\Multimedia\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] D:\Multimedia\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "d:\Internet\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = D:\Office\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Sicherheit\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4557 bytes

Wie meinst Du das mit dem Windows Image bzw. -CD?

Ich habe beim Neuaufsetzen die Festplatte formatiert und komplett alles neu Installiert. Habe kein Image aufgesetzt.

Nez_Perces · 25.05.2008, 20:42

So langsam verzweifle ich noch.

Jetzt ist das Problem schon wieder aufgetreten:

- Ich fahre meinen Rechner hoch

- Ich wähle beim Auswahlbildschirm das Konto mit eingeschränkten Rechten aus

- Das Laden der Benutzereinstellungen dauert länger als normal

- Der Dektophintergrund wird geladen und das war's auch schon:

Kein Mauszeiger, keine Schnellstart- bzw. Taskleiste, kein Kontextmenü läßt sich öffnen und der Taskmanager kann auch nicht aufgerufen werden.

Nach einem Reset, startet aber alles normal.

Kann sowas an der Hardware liegen?
Ich weiss wirklich nicht wo das Problem liegt.

Nez_Perces · 26.05.2008, 16:35

Nachdem ich gestern abend die neueste escan-Version heruntergeladen hatte und im Admin-Modus ausführte, fanden sich 15 gefährliche Einträge wie z.B. "parentis Spyware/Adware", "kazaa Spyware/Adware", "Backdoor [ircbot]trojans" und "Combo Spyware/Adware"!!

Wie das denn??
Seit dem Neuaufsetzen des Systems vor einigen Tagen war ich ausser auf Trojaner-Board nur noch auf der Microsoft-Seite, Ikariam.de und tagesschau.de.

Ich verstehe die Welt nicht mehr.

Habe mein System zum wiederholten mal platt gemacht (Formatiert und Neuinstallation von Windows XP Pro).

Ich hätte jetzt einige Fragen und hoffe, dass Ihr sie mir beantworten könnt.

Ich setze alle Tipps zum Neuaufsetzen und Absichern des Systems, die man hier bekommen kann, um.
Das Script zum Abschalten unnötiger Windows-Dienste wird auch ausgeführt und ich überprüfe bei heise.de, ob auch alles dicht ist.

Alle relevanten Updates und Patches werden aufgespielt (vor erstmaligem Online-Gang) und ich benutze auch weder Cracks, Software aus illegalen Quellen, Filesharing-Programme oder sonstig potentiell gefährliche Software.

Kann es sein, dass das nach dem Aufspielen des SP3 irgendwelche Einstellungen des Scripts zum Abschalten unnötiger Windows-Dienste rückgängig gemacht werden und ich das Script erneut ausführen sollte?

Kann es sein, das ComboFix Schäden an meinem System verursacht hat, die die Sicherheit beeinträchtigen?

Mir ist ein sicheres System wirklich sehr wichtig.
Ich kenne genügend Idioten (muss man wirklich sagen), die sich einen Sch... um ihr System interessieren und nach dem Motto leben "Bei mir kann nichts ausgespäht oder gelöscht werden, also was interessieren mich die anderen".

Das mein Rechner Teil eines Botnetzes werden kann oder sonstwie missbraucht wird, darauf kann ich gerne verzichten.

Ich möchte nochmals allen danken (vorallem markusg), die Zeit und Mühe für mein Problem aufgewendet haben, bzw. aufwenden.

Ihr macht einen tollen Job!

PS: Ich gehe über einen Router ins Netz. Kann eine Malware den Router befallen haben?

myrtille · 26.05.2008, 17:59

Hi,
ohne markusg jetzt hier reinfahren zu wollen, kann ich dich doch ein wenig beruhigen:
eScan ist für seine Unzahl von Fehlalarmen bekannt. Poste mal ein Log mit der find.bat dann sollte man recht schnell erkennen können, ob deine Bedenken begründet sind, oder obs nochmal gutgegangen ist.

lg myrtille

Nez_Perces · 26.05.2008, 18:06

Zitat:

Zitat von myrtille

Hi,
ohne markusg jetzt hier reinfahren zu wollen, kann ich dich doch ein wenig beruhigen:
eScan ist für seine Unzahl von Fehlalarmen bekannt. Poste mal ein Log mit der find.bat dann sollte man recht schnell erkennen können, ob deine Bedenken begründet sind, oder obs nochmal gutgegangen ist.

lg myrtille

Danke für Deine Antwort, myrtille.

Tja, wie oben schon geschrieben, habe ich mein System gestern abend (nach diesen doch für mich schockierenden "Funden") wieder platt gemacht, die Festplatte formatiert und Windows neu aufgesetzt.

Ehrlich gesagt muss ich seit neustem jedes mal mich mit irgendeinem Microsoft-Hotline-Mitarbeiter rumschlagen und ihm erklären, dass ich WinXP Pro nur auf einem Rechner am laufen habe, so oft habe ich mittlerweile eine Neuaufsetzung des Systems einer Bereinigung vorgezogen.
Komme mir jedesmal ziemlich blöd und unter Verdacht gestellt vor.

Ich hoffe inständig, dass ich mal Ruhe vor Schädlingen haben werde (wenn es auch heutzutage immer schwieriger wird, denen aus dem Weg zu gehen).

Sobald mein System komplett eingerichtet und abgesichert ist, poste ich mal ein neues HiJack-Logfile.

Zu meinen Fragen oben: Hoffe es kann jemand eine halbwegs befriedigende Antwort zu ihnen geben.

25.05.2008, 11:43	#17
markusg /// Malware-holic	Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen nimm die fürs sp2 dieses leerzeichen muss aber da sein... bitte combofix verwenden. __________________

25.05.2008, 11:50	#19
markusg /// Malware-holic	Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen in deinem letzten log ist kein leerzeichen mehr da. dieses hätte auf einen infekt hingedeutet. wir können zur sicherheit, wenn du willst nun combofix noch mal laufen lassen oder noch n paar seiten über die sinnhaftigkeit diskutieren...

25.05.2008, 11:57	#21
markusg /// Malware-holic	Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen wie gesagt in deinem letzten taucht es nicht mehr auf. möchte nur sicher gehen.

25.05.2008, 13:55	#25
markusg /// Malware-holic	Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen ist ok so. ist das ne windows cd oder ein image? zeig ein neues hjt-log

Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen

Log-Analyse und Auswertung: Probleme nach dem Hochfahren des PC - Bitte mal das Log prüfen