Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Benötige Hilfe bei der Fehlersuche.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 23.05.2008, 08:25   #1
Ray84
Gesperrt
 
Benötige Hilfe bei der Fehlersuche. - Icon17

Benötige Hilfe bei der Fehlersuche.



Schönen guten Morgen zusammen.Ich benötige eure Hilfe.Ich arbeite mit folgendem System:
-Intel celeron 3.07Ghz
-1GB Ram
-Windows XP Professional
-SP2
als Schutzkomponenten habe ich Kaspersky Personal Security Suite V mit zugehöriger Firewall und eine Ashampoo Firewall am laufen.

Vor 4 Tagen allerdings scheint sich ein Trojaner daran vorbeigeschlichen zu haben(hat ohne meine Bestätigung ein angebliches "Security Center" auf meinem Rechner installiert bzw. war gerade dabei).Dies habe ich allerdings auf Nachfrage abgebrochen, worauf dann erst meine Firewalls sich gemeldet haben.Desinfizieren liesen sich diese Trojaner nicht, also habe ich sie gelöscht bzw. sind bei Kaspersky per backup ja wieder herstellbar.Hier mal das Log von Kaspersky:

Infiziert: trojanisches Programm Trojan-Downloader.Win32.Mutant.xc c:\windows\system32\wlctrl32.dll 12 KB
Infiziert: trojanisches Programm Trojan.Win32.Vapsup.ffv C:\WINDOWS\vbksrofa.dll 208 KB
Infiziert: trojanisches Programm Trojan.Win32.Vapsup.ffw C:\WINDOWS\pvnsmfor.dll 152 KB
Infiziert: trojanisches Programm Trojan-Downloader.Win32.Mutant.yl c:\dokumente und einstellungen\ray\lokale einstellungen\temp\stdcons.exe 11.5 KB
Infiziert: trojanisches Programm Trojan.Win32.Vapsup.ffw C:\WINDOWS\mpfanvqg.dll 192 KB
Infiziert: trojanisches Programm Trojan.Win32.Vapsup.ffw C:\WINDOWS\exqb.exe 92 KB
Infiziert: trojanisches Programm Trojan-Downloader.Win32.Agent.lxa c:\windows\system32\drivers\lpt83.sys 26.4 KB
Infiziert: trojanisches Programm Trojan.Win32.Vapsup.ffv C:\WINDOWS\fvowketqonp.dll 212 KB
Infiziert: trojanisches Programm Trojan.Win32.Vapsup.ffv C:\WINDOWS\oadkxrts.exe 80 KB


Kann seit dem keine Systemwiederherstellung durchführen, da keine Punkte mehr vorhanden sind und die automatischen Updates lassen sich auch nicht mehr aktivieren.Selbst mit der Anleitung von Microsoft nicht(Start,ausführen,services.msc, usw....)lässt sich einfach nicht aktivieren, immer Fehlercode 1058ienst kann nicht aktiviert werden.

Würde ganz gerne versuchen, um eine komplette Neuinstallation von XP herum zu kommen.Über Hilfe in irgend einer Art würde ich mich sehr freuen.
Mit freundlichem Gruss
Raimund

Alt 23.05.2008, 08:48   #2
Chris4You
 
Benötige Hilfe bei der Fehlersuche. - Standard

Benötige Hilfe bei der Fehlersuche.



Hi,

bitte folgendes ausprobieren;
Windowsupdate
Folge der Anleitung (s. Link): WinNT-Fehler: Fehler 1058: Der angegebene Dienst ist deaktiviert
oder:
Dial-a-fix
(Runterladen, alles Anhaken, danach "Go" auswählen und nach Durchführung der
Änderungen den Rechner neu starten.)

Systemwiederherstellung:
Start->ausführen->regedit;
Navigiere zum Schlüssel:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\ CurrentVersion\ SystemRestore;
Prüfe den Schlüssel:
DisableSR
Dieser Wert bewirkt, dass die Systemwiederherstellung von Windows deaktiviert bzw. aktiviert wird.
Wert 1 = Systemwiederherstellung deaktiviert
Wert 0 = Systemwiederherstellung aktiviert

Navigiere zum Schlüssel:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\ SystemRestore

DisableConfig
Dieser Wert bewirkt, ob Veränderungen unter "Systemwiederherstellung" angenommen werden sollen.
Wert 0 = erlaubt Veränderungen
Wert 1 = erlaubt keine Veränderungen

Navigiere zum Schlüssel:
HKEY_LOCAL_MACHINE\ SYSTEM\ CurrentControlSet\ Services\ sr

start
Dieser Wert verhindert oder aktiviert den Start der Systemwiederherstellung

Wert 4 = Systemwiederherstellung komplett abgeschaltet
Wert 0 = Systemwiederherstellung angeschaltet


Trotzdem poste unbedingt noch ein HJ-Log (vielleicht läuft ja doch was unerkannt mit); Sowie ein Scan mit Antimalewarebyte (http://www.trojaner-board.de/51187-a...i-malware.html)

chris
__________________

__________________

Alt 23.05.2008, 09:43   #3
Ray84
Gesperrt
 
Benötige Hilfe bei der Fehlersuche. - Standard

Benötige Hilfe bei der Fehlersuche.



Also, ich habe alles angegebene erledigt, wohl aber ohne Erfolg:
Habe nach dem Neustart versucht, Windows upzudaten, allerdings kam von Microsoft die Meldung, das irgendwas fehlt um den Updatevorgang fortzusetzen und ich könne das hier installieren.Hab ich getan, keine 10 sek. später bekomme ich wieder die Fehlermeldung:
Die Site kann den Vorgang nicht fortsetzen, da mindestens einer der folgenden Windows-Dienste nicht ausgeführt wird:

es sind wieder einmal die Updates, lassen sich immer noch nicht aktivieren, beim Versuch folgt erneut der Fehlercode 1058.

Zur Systemwiederherstellung:alles soweit aktiviert.Mir fehlen ja auch nur die früheren Punkte, hab ja welchen von vor 2 Tagen, aber damit kann ich nix anfangen.
Zu guter letzt hab ich HJ durchlaufen lassen, mit folgendem Log:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]
__________________

Alt 23.05.2008, 12:24   #4
Ray84
Gesperrt
 
Benötige Hilfe bei der Fehlersuche. - Standard

Benötige Hilfe bei der Fehlersuche.



OK, hab die Logfile mal editiert

Hier nun nochmal:
Logfile of Trend Micro HijackThis v2.0.2
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Alt 23.05.2008, 21:22   #5
Chris4You
 
Benötige Hilfe bei der Fehlersuche. - Standard

Benötige Hilfe bei der Fehlersuche.



Hi,

sehe zwar kein HJ-Log, aber ich tippe darauf, dass Du zum Einschalten keine Berechtigung hast und der Dienst vom System schlafen gelegt wurde...

Prüfe mal Deine Berechtigungen bzw. melde Dich als Systemadmin an und versuche es dann nochmal...
oder
start->Systemsteuerung->Verwaltung->Dienste
"Automatische Updates" -> Doppelklick -> Reiter Anmelden prüfen
(lokales Systemkonto, alternativ einen Admin auswählen und Kennwort eingeben)

Die Startzeile sollte so aussehen (Reiter allgemein):
"C:\WINDOWS\system32\svchost.exe -k netsvcs"
Auch für svchost solltest Du Rechte haben ;o)

Kannst auch versuchen ihn unter "Wiederherstellen" bei zweiter Aktion als
Programm ausführen zu lassen...

chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 24.05.2008, 12:08   #6
Ray84
Gesperrt
 
Benötige Hilfe bei der Fehlersuche. - Standard

Benötige Hilfe bei der Fehlersuche.



So, 3.Mal jetzt, nun müsste ich das geschnallt haben(@Admin:Sry)





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:35:21, on 23.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
I:\Programme\SUPERAntiSpyware.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\****\Desktop\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google (h**p://www.google.de/)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com (h**p://go.microsoft.com/fwlink/?LinkId=69157)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search (h**p://go.microsoft.com/fwlink/?LinkId=54896)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search (h**p://go.microsoft.com/fwlink/?LinkId=54896)
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com (h**p://go.microsoft.com/fwlink/?LinkId=69157)
R3 - URLSearchHook: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll
O3 - Toolbar: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll
O4 - HKLM\..\Run: [Ashampoo FireWall PRO] "C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] I:\Programme\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) – h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1210927684734
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) – h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O21 - SSODL: mpfanvqg - {325D7FF0-1C89-4514-BFAF-DF4AA5879A5E} - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5543 bytes

Alt 26.05.2008, 15:11   #7
Chris4You
 
Benötige Hilfe bei der Fehlersuche. - Standard

Benötige Hilfe bei der Fehlersuche.



Hi,

hast Du die verschiedenen angegebenen Möglichkeiten getestet?
Wenn ja und noch kein Erfolg hier noch eine Version:
Lösche das Unterverzeichnis "SoftwareDistribution" im Windows-Verzeichnis. Dazu zunächst die Dienste "Automatische Updates" und "Intelligenter Hintergrundübertragungsdienst" beenden und nach dem Löschen des Verzeichnisses neu starten.

So, bitte online prüfen lasse:
C:\Programme\HChat\tbHCh1.dll

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
VirusTotal - Free Online Virus and Malware Scan

Zitat:
C:\Programme\HChat\tbHCh1.dll
poste den Report.

Wenn dann immer noch nichts geht und die Scanner kein Ergebnis liefern, schauen wir nochmal tiefer rein:
Download dss zum Desktop (http://www.techsupportforum.com/sect...eckard/dss.exe)
Doppelklick dss.exe
Kopiere den Inhalt des Berichts C:\main.txt und extra.txt in Deinen Thread

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 27.05.2008, 12:01   #8
Ray84
Gesperrt
 
Benötige Hilfe bei der Fehlersuche. - Standard

Benötige Hilfe bei der Fehlersuche.



Hi, erstmal grossen Dank an dich, das du dich immer noch mit mir beschäftigst^^Woanders wäre der Thread schon verstaubtIch habe auch mal das Prog "Malwarebytes" drüberlaufen lassen, hat auch genug gefunden.Automatische Updates kann ich wieder aktivieren, nur halt die Systemwiedergerstellungspunkte sind futsch(also die alten;neue werden ja erstellt)Das ist aber nicht soo schlimm.Da ich mir aber nicht sicher bin, ob mein Problem jetzt dauerhaft gelöst ist, habe ich mal das DSS drüberhuschen lassen, mit folgendem Ergebnis:

Main

Deckard's System Scanner v20071014.68
Run by Ray on 2008-05-27 11:53:39
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
7: 2008-05-27 09:53:43 UTC - RP136 - Deckard's System Scanner Restore Point
6: 2008-05-26 09:36:36 UTC - RP135 - Windows XP Service Pack 3 wurde installiert.
5: 2008-05-26 09:24:41 UTC - RP134 - SP3
4: 2008-05-26 09:23:44 UTC - RP133 - Software Distribution Service 3.0
3: 2008-05-22 20:52:42 UTC - RP132 - Systemprüfpunkt


-- First Restore Point --
1: 2008-05-19 22:04:24 UTC - RP130 - Software Distribution Service 3.0


Backed up registry hives.
Performed disk cleanup.

System Drive C: has 1.32 GiB (less than 15%) free.


-- HijackThis (run as Ray.exe) -------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:54:20, on 27.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
I:\Programme\SUPERAntiSpyware.exe
C:\WINDOWS\System32\alg.exe
C:\Dokumente und Einstellungen\***\Desktop\dss.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\DOKUME~1\***\Desktop\***.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = **tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {112B308F-9EB7-4485-B784-23BF1F04AD43} - (no file)
O2 - BHO: (no name) - {2E529F87-2B52-438C-9E7C-7D0A0DD910BA} - (no file)
O2 - BHO: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll
O2 - BHO: (no name) - {32BC0C30-669B-49E0-9E8B-0C0CCB529F9B} - (no file)
O2 - BHO: (no name) - {39D2F47E-0A60-4923-964C-B39E50E12BE7} - (no file)
O2 - BHO: (no name) - {3A8400E9-2E9D-44B7-9A70-A73E52621031} - (no file)
O2 - BHO: (no name) - {3ED60D93-AD56-45EF-BF99-24236A46FC36} - (no file)
O2 - BHO: (no name) - {4AFA5B8B-0E02-4DE2-9FA3-AE7C32020C05} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5D328CE2-E837-404D-B794-82758B8F31F7} - (no file)
O2 - BHO: (no name) - {692FBBCC-FA52-4D4D-B53E-593A1B6D55A3} - (no file)
O2 - BHO: (no name) - {84B51CC6-5E21-44CB-B826-39DEC9B7E572} - (no file)
O2 - BHO: (no name) - {9D58D03A-AC89-4E54-B61D-C5872F064BB0} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {CA0C2B77-AB3C-49F0-9EF9-8CE4D4206A89} - (no file)
O3 - Toolbar: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll
O4 - HKLM\..\Run: [Ashampoo FireWall PRO] "C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] I:\Programme\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**0p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1210927684734
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - I:\Programme\SASWINLO.dll
O20 - Winlogon Notify: rqRJYqrO - C:\WINDOWS\
O21 - SSODL: mpfanvqg - {325D7FF0-1C89-4514-BFAF-DF4AA5879A5E} - (no file)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6747 bytes

-- File Associations -----------------------------------------------------------

.cpl - cplfile - shell\cplopen\command - rundll32.exe shell32.dll,Control_RunDLL "%1",%*
.cpl - cplfile - shell\runas\command - rundll32.exe shell32.dll,Control_RunDLLAsUser "%1",%*
.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R3 ASFWHide - c:\dokumente und einstellungen\***\lokale einstellungen\temp\asfwhide (file missing)
R3 DrvFltIp - c:\dokumente und einstellungen\***\lokale einstellungen\temp\drvfltip (file missing)

S3 ASPI (Advanced SCSI Programming Interface Driver) - c:\windows\system32\drivers\aspi32.sys <Not Verified; Adaptec; Adaptec's ASPI Layer>
S3 CardReaderFilter (Card Reader Filter) - c:\windows\system32\drivers\usbcrft.sys <Not Verified; ICSI Technology Ltd.; USB Card Reader and FlashDisk>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 Nero BackItUp Scheduler 3 - c:\programme\nero\nero8\nero backitup\nbservice.exe


-- Device Manager: Disabled ----------------------------------------------------

Class GUID:
Description:
Device ID: STREAM\PHTVTUNE\4&2EDBAE0F&0&0
Manufacturer:
Name:
PNP Device ID: STREAM\PHTVTUNE\4&2EDBAE0F&0&0
Service:


-- Scheduled Tasks -------------------------------------------------------------

2008-05-27 11:34:55 488 --a------ C:\WINDOWS\Tasks\1-Klick-Wartung.job


-- Files created between 2008-04-27 and 2008-05-27 -----------------------------

2008-05-26 11:50:03 0 d-------- C:\WINDOWS\Prefetch
2008-05-26 11:43:56 0 d-------- C:\WINDOWS\l2schemas
2008-05-26 11:43:55 0 d-------- C:\WINDOWS\system32\bits
2008-05-26 11:17:58 0 d-------- C:\WINDOWS\system32\CatRoot2
2008-05-23 15:26:14 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\zts2.exe
2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\system32\systems.txt
2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\rundll16.exe
2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\rundl132.dll
2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\logo1_.exe
2008-05-22 20:31:12 1095 --ahs---- C:\WINDOWS\system32\qtvuxyay.ini2
2008-05-20 12:32:36 2256 --ahs---- C:\WINDOWS\system32\CbKQYJjl.ini2
2008-05-20 00:07:16 1317 --ahs---- C:\WINDOWS\system32\yJjSDccf.ini2
2008-05-19 21:16:11 0 d-------- C:\Programme\Winamp
2008-05-19 14:31:11 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-05-18 23:55:46 0 d-------- C:\Programme\MSXML 6.0
2008-05-18 23:53:04 124416 -----n--- C:\WINDOWS\system32\prntvpt.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>
2008-05-18 23:48:35 10752 -----n--- C:\WINDOWS\system32\rspndr.exe <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>
2008-05-18 23:48:35 62336 -----n--- C:\WINDOWS\system32\drivers\rspndr.sys <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>
2008-05-18 23:41:38 0 d-------- C:\WINDOWS\system32\de
2008-05-18 23:35:37 0 d-------- C:\WINDOWS\ServicePackFiles
2008-05-16 12:28:00 2266 --ahs---- C:\WINDOWS\system32\FeghNXyb.ini2
2008-05-16 11:03:08 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-05-16 01:08:39 1181 --ahs---- C:\WINDOWS\system32\OnWENXbc.ini2


-- Find3M Report ---------------------------------------------------------------

2008-05-26 11:52:13 316594 --a------ C:\WINDOWS\system32\perfh007.dat
2008-05-26 11:52:13 48156 --a------ C:\WINDOWS\system32\perfc007.dat
2008-05-26 11:44:16 0 d-------- C:\Programme\Messenger
2008-05-26 11:43:55 0 d-------- C:\Programme\Movie Maker
2008-05-26 11:40:58 0 d-------- C:\Programme\Windows NT
2008-05-23 15:26:42 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-05-20 11:44:44 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2008-05-20 11:44:00 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-19 21:23:57 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp
2008-05-19 19:26:41 0 d-------- C:\Programme\TuneUp Utilities 2008
2008-05-16 12:42:21 0 d-------- C:\Programme\Picasa2
2008-05-16 11:45:02 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Google
2008-05-16 11:43:20 0 d-------- C:\Programme\Google
2008-05-16 11:05:40 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe
2008-05-16 11:03:08 0 d-------- C:\Programme\Gemeinsame Dateien
2008-05-16 02:12:00 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TmpRecentIcons
2008-05-14 13:09:56 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\phonostar-Player
2008-05-13 11:16:06 0 d-------- C:\Programme\HChat
2008-05-07 18:33:26 0 d-------- C:\Programme\No23 Recorder
2008-04-19 18:48:11 0 d-------- C:\Programme\Windows Media Connect 2
2008-04-02 20:54:12 0 d-------- C:\Programme\Kaspersky Lab


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{112B308F-9EB7-4485-B784-23BF1F04AD43}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2E529F87-2B52-438C-9E7C-7D0A0DD910BA}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{322c2442-4014-43a0-a94b-cf9df22bada8}]
13.05.2008 11:16 1470488 --a------ C:\Programme\HChat\tbHCh1.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{32BC0C30-669B-49E0-9E8B-0C0CCB529F9B}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{39D2F47E-0A60-4923-964C-B39E50E12BE7}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3A8400E9-2E9D-44B7-9A70-A73E52621031}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{3ED60D93-AD56-45EF-BF99-24236A46FC36}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{4AFA5B8B-0E02-4DE2-9FA3-AE7C32020C05}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5D328CE2-E837-404D-B794-82758B8F31F7}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{692FBBCC-FA52-4D4D-B53E-593A1B6D55A3}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{84B51CC6-5E21-44CB-B826-39DEC9B7E572}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9D58D03A-AC89-4E54-B61D-C5872F064BB0}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CA0C2B77-AB3C-49F0-9EF9-8CE4D4206A89}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{322C2442-4014-43A0-A94B-CF9DF22BADA8}"= C:\Programme\HChat\tbHCh1.dll [13.05.2008 11:16 1470488]

[-HKEY_CLASSES_ROOT\CLSID\{322C2442-4014-43A0-A94B-CF9DF22BADA8}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ashampoo FireWall PRO"="C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" [21.12.2007 17:31]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" [09.03.2007 20:50]
"AGRSMMSG"="AGRSMMSG.exe" [29.06.2004 10:06 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" [17.05.2008 15:03]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 04:22]
"SUPERAntiSpyware"="I:\Programme\SUPERAntiSpyware.exe" [13.05.2008 12:43]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= I:\Programme\SASSEH.DLL [13.05.2008 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
I:\Programme\SASWINLO.dll 19.04.2007 13:41 294912 I:\Programme\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINDOWS\System32\dimsntfy.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRJYqrO]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Notification Packages"= scecli scecli scecli

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lpt83.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Dit"=Dit.exe
"SoundMan"=SOUNDMAN.EXE
"Ashampoo FireWall PRO"="C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"WinampAgent"=C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs eaphost
dot3svc dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
napagent
hkmsvc




-- Hosts -----------------------------------------------------------------------

127.0.0.1 ***.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 ***.008k.com
127.0.0.1 008k.com
127.0.0.1 ***.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 Command - Keeping Software Free
127.0.0.1 032439.com

7892 more entries in hosts file.


-- End of Deckard's System Scanner: finished at 2008-05-27 11:57:21 ------------

Alt 27.05.2008, 12:05   #9
Ray84
Gesperrt
 
Benötige Hilfe bei der Fehlersuche. - Standard

Benötige Hilfe bei der Fehlersuche.



Hier nun der Rest^^

Extra
Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 3.0
Architecture: X86; Language: German

CPU 0: Intel(R) Celeron(R) CPU 3.06GHz
Percentage of Memory in Use: 38%
Physical Memory (total/avail): 1023.48 MiB / 633.05 MiB
Pagefile Memory (total/avail): 2461.73 MiB / 2066.75 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1904.01 MiB

C: is Fixed (NTFS) - 9.77 GiB total, 1.31 GiB free.
D: is Fixed (NTFS) - 72.83 GiB total, 24.95 GiB free.
E: is Removable (No Media)
F: is Removable (No Media)
G: is Removable (No Media)
H: is Fixed (NTFS) - 48.83 GiB total, 38.36 GiB free.
I: is Fixed (NTFS) - 54.88 GiB total, 25.94 GiB free.
J: is CDROM (No Media)
K: is CDROM (No Media)
L: is CDROM (No Media)

\\.\PHYSICALDRIVE0 - ST3200021A - 186.31 GiB - 4 partitions
\PARTITION0 (bootable) - Installierbares Dateisystem - 9.77 GiB - C:
\PARTITION1 - Installierbares Dateisystem - 48.83 GiB - H:
\PARTITION2 - Installierbares Dateisystem - 54.88 GiB - I:
\PARTITION3 - Erweitert mit Int 13 (erweitert) - 72.83 GiB - D:

\\.\PHYSICALDRIVE1 - Generic CF Card CF USB Device

\\.\PHYSICALDRIVE2 - Generic MS/SD Combo MS USB Device

\\.\PHYSICALDRIVE3 - Generic SM/xD Combo SM USB Device



-- Security Center -------------------------------------------------------------

AUOptions is scheduled to auto-install.


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\***\Anwendungsdaten
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=****
ComSpec=C:\WINDOWS\system32\cmd.exe
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\***
LOGONSERVER=\\****
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 15 Model 4 Stepping 1, GenuineIntel
PROCESSOR_LEVEL=15
PROCESSOR_REVISION=0401
ProgramFiles=C:\Programme
PROMPT=$P$G
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\***\LOKALE~1\Temp
TMP=C:\DOKUME~1\***\LOKALE~1\Temp
USERDOMAIN=****
USERNAME=***
USERPROFILE=C:\Dokumente und Einstellungen\***
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

*** (admin)


-- Add/Remove Programs ---------------------------------------------------------

--> C:\Programme\Nero\Nero8\\nero\uninstall\UNNERO.exe /UNINSTALL
--> C:\WINDOWS\UNNeroBackItUp.exe /UNINSTALL
--> C:\WINDOWS\UNNeroMediaHome.exe /UNINSTALL
--> C:\WINDOWS\UNNeroShowTime.exe /UNINSTALL
--> C:\WINDOWS\UNNeroVision.exe /UNINSTALL
--> C:\WINDOWS\UNRecode.exe /UNINSTALL
--> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player ActiveX --> C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 8.1.2 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A81200000003}
Agere Systems PCI Soft Modem --> agrsmdel
Ashampoo FireWall PRO 1.14 --> "C:\Programme\Ashampoo\Ashampoo FireWall PRO\unins000.exe"
ATI - Software Uninstall Utility --> C:\Programme\ATI Technologies\UninstallAll\AtiCimUn.exe
ATI Display Driver --> rundll32 C:\WINDOWS\system32\atiiiexx.dll,_InfEngUnInstallINFFile_RunDLL@16 -force_restart -flags:0x2010001 -inf_classISPLAY -clean
Generic USB CardReader 2.0 --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{EA1CB7AC-E221-4822-A789-0ADB051DC498}\Setup.exe" -l0x9 -wUninst
Google Earth --> MsiExec.exe /I{97C0EA4A-1A0B-4C53-ACEB-49984DA79C90}
Google Updater --> "C:\Programme\Google\Google Updater\GoogleUpdater.exe" -uninstall
HChat Toolbar --> C:\PROGRA~1\HChat\UNWISE.EXE C:\PROGRA~1\HChat\INSTALL.LOG
HijackThis 2.0.2 --> "C:\Dokumente und Einstellungen\Ray\Desktop\HijackThis.exe" /uninstall
Hotfix for Windows Media Format 11 SDK (KB929399) --> "C:\WINDOWS\$NtUninstallKB929399$\spuninst\spuninst.exe"
ICQ 5.1 --> C:\Programme\ICQLite\ICQLiteUninstall.EXE
IrfanView (remove only) --> C:\Programme\IrfanView\iv_uninstall.exe
Kaspersky Personal Security Suite V --> MsiExec.exe /I{D0DCD54F-C829-41A5-AF32-71E632BB0E2C}
Kaspersky Personal Security Suite V --> MsiExec.exe /I{D0DCD54F-C829-41A5-AF32-71E632BB0E2C}
Malwarebytes' Anti-Malware --> "C:\Programme\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft Compression Client Pack 1.0 for Windows XP --> "C:\WINDOWS\$NtUninstallMSCompPackV1$\spuninst\spuninst.exe"
Microsoft User-Mode Driver Framework Feature Pack 1.0 --> "C:\WINDOWS\$NtUninstallWudf01000$\spuninst\spuninst.exe"
MSXML 6.0 Parser (KB933579) --> MsiExec.exe /I{C4A230B7-518F-4224-A5A3-27F06CC57111}
Need for Speed™ Most Wanted --> D:\Spiele\EAUninstall.exe
Nero 8 --> MsiExec.exe /X{5FCCD531-1B38-4A94-924C-127F722F1031}
neroxml --> MsiExec.exe /I{56C049BE-79E9-4502-BEA7-9754A3E60F9B}
phonostar-Player Version 1.50.9 --> I:\phonostar\unins000.exe
Picasa 2 --> "C:\Programme\Picasa2\Uninstall.exe"
Realtek AC'97 Audio --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{FB08F381-6533-4108-B7DD-039E11FBC27E}\setup.exe" REMOVE
Sicherheitsupdate für Step by Step Interactive Training (KB923723) --> "C:\WINDOWS\$NtUninstallKB923723$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB923789) --> C:\WINDOWS\system32\MacroMed\Flash\genuinst.exe C:\WINDOWS\system32\MacroMed\Flash\KB923789.inf
Sicherheitsupdate für Windows XP (KB941569) --> "C:\WINDOWS\$NtUninstallKB941569$\spuninst\spuninst.exe"
SiS 900 PCI Fast Ethernet Adapter Driver --> C:\WINDOWS\SiS\900\Uninst.exe
Spybot - Search & Destroy --> "C:\Programme\Spybot - Search & Destroy\unins000.exe"
SUPERAntiSpyware Professional --> MsiExec.exe /X{CDDCBBF1-2703-46BC-938B-BCC81A1EEAAA}
TuneUp Utilities 2008 --> MsiExec.exe /I{5888428E-699C-4E71-BF71-94EE06B497DA}
VCRedistSetup --> MsiExec.exe /I{3921A67A-5AB1-4E48-9444-C71814CF3027}
VideoLAN VLC media player 0.8.6d --> C:\Programme\VideoLAN\VLC\uninstall.exe
Winamp --> "C:\Programme\Winamp\UninstWA.exe"
Windows Media Format 11 runtime --> "C:\WINDOWS\$NtUninstallWMFDist11$\spuninst\spuninst.exe"
Windows XP Service Pack 3 --> "C:\WINDOWS\$NtServicePackUninstall$\spuninst\spuninst.exe"
WinRAR --> C:\Programme\WinRAR\uninstall.exe
XML Paper Specification Shared Components Pack 1.0 -->


-- Application Event Log -------------------------------------------------------

Event Record #/Type603 / Error
Event Submitted/Written: 05/27/2008 00:09:10 AM
Event ID/Source: 1002 / Application Hang
Event Description:
Stillstehende Anwendung explorer.exe, Version 6.0.2900.5512, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.

Event Record #/Type599 / Warning
Event Submitted/Written: 05/26/2008 11:51:30 AM
Event ID/Source: 5603 / WinMgmt
Event Description:
Ein Anbieter Rsop Planning Mode Provider wurde im WMI-Namespace root\RSOP registriert ohne die HostingModel-Eigenschaft festzulegen. Dieser Anbieter wird unter dem Konto "LocalSystem" ausgeführt. Dieses Konto verfügt über besondere Berechtigungen und der Anbieter kann eine Sicherheitsverletzung verursachen, wenn er Benutzeranforderungen nicht richtig imitiert. Stellen Sie sicher, dass das Sicherheitsverhalten des Anbieters überprüft wurde und aktualisieren Sie die HostingModel-Eigenschaft der Anbieterregistrierung auf ein Konto, das über die minimal erforderlichen Berechtigungen für die angeforderte Funktionalität verfügt.

Event Record #/Type598 / Warning
Event Submitted/Written: 05/26/2008 11:51:30 AM
Event ID/Source: 5603 / WinMgmt
Event Description:
Ein Anbieter Rsop Planning Mode Provider wurde im WMI-Namespace root\RSOP registriert ohne die HostingModel-Eigenschaft festzulegen. Dieser Anbieter wird unter dem Konto "LocalSystem" ausgeführt. Dieses Konto verfügt über besondere Berechtigungen und der Anbieter kann eine Sicherheitsverletzung verursachen, wenn er Benutzeranforderungen nicht richtig imitiert. Stellen Sie sicher, dass das Sicherheitsverhalten des Anbieters überprüft wurde und aktualisieren Sie die HostingModel-Eigenschaft der Anbieterregistrierung auf ein Konto, das über die minimal erforderlichen Berechtigungen für die angeforderte Funktionalität verfügt.

Event Record #/Type593 / Warning
Event Submitted/Written: 05/26/2008 11:44:59 AM
Event ID/Source: 63 / WinMgmt
Event Description:
Ein Anbieter, HiPerfCooker_v1, wurde im WMI-Namespace, Root\WMI, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden.

Event Record #/Type573 / Error
Event Submitted/Written: 05/23/2008 03:24:47 PM
Event ID/Source: 1002 / Application Hang
Event Description:
Stillstehende Anwendung explorer.exe, Version 6.0.2900.3156, Stillstandmodul hungapp, Version 0.0.0.0, Stillstandadresse 0x00000000.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type13933 / Error
Event Submitted/Written: 05/27/2008 11:47:17 AM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1058" aufgetreten, als der Dienst "upnphost" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{204810B9-73B2-11D4-BF42-00B0D0118B56}

Event Record #/Type13913 / Error
Event Submitted/Written: 05/27/2008 11:34:31 AM / 05/27/2008 11:35:01 AM
Event ID/Source: 12294 / ati2mtag
Event Description:
CRT invalid display type

Event Record #/Type13905 / Warning
Event Submitted/Written: 05/27/2008 00:09:18 AM
Event ID/Source: 257 / PlugPlayManager
Event Description:
Beim Senden der Benachrichtigung der Zielgerätänderung an Fenster von "WndClass_CWinDrivesNotifyerHelperWindow" wurde das Zeitlimit überschritten.

Event Record #/Type13904 / Warning
Event Submitted/Written: 05/27/2008 00:07:02 AM
Event ID/Source: 257 / PlugPlayManager
Event Description:
Beim Senden der Benachrichtigung der Zielgerätänderung an Fenster von "WndClass_CWinDrivesNotifyerHelperWindow" wurde das Zeitlimit überschritten.

Event Record #/Type13903 / Warning
Event Submitted/Written: 05/27/2008 00:07:02 AM
Event ID/Source: 257 / PlugPlayManager
Event Description:
Beim Senden der Benachrichtigung der Zielgerätänderung an Fenster von "WndClass_CWinDrivesNotifyerHelperWindow" wurde das Zeitlimit überschritten.



-- End of Deckard's System Scanner: finished at 2008-05-27 11:57:21 -----------


Alt 27.05.2008, 12:47   #10
Chris4You
 
Benötige Hilfe bei der Fehlersuche. - Standard

Benötige Hilfe bei der Fehlersuche.



Hi,

Überreste von Haxdoor-Rootkit gefunden;
c:\dokumente und einstellungen\***\lokale einstellungen\temp\asfwhide ->
ASFWHIDE, Spyware Remove

C:\WINDOWS\system32\iifgfgf.dll -> IIFGFGF.DLL, Spyware Remove (Noch aktiv!)

Bitte folgende Files prüfen:
Zitat:
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\systems.txt
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe
C:\Programme\HChat\tbHCh1.dll
VirusTotal - Free Online Virus and Malware Scan
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Poste die Ergebnisse mit Filename;
Falls ein File NICHT erkannt wurde, unten bei "Files to delete" rauslöschen!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rqRJYqrO

Files to delete:
C:\WINDOWS\system32\qtvuxyay.ini2
C:\WINDOWS\system32\CbKQYJjl.ini2
C:\WINDOWS\system32\yJjSDccf.ini2
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\systems.txt
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe
C:\Programme\HChat\tbHCh1.dll
C:\WINDOWS\System32\dimsntfy.dll
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!
Code:
ATTFilter
O2 - BHO: (no name) - {112B308F-9EB7-4485-B784-23BF1F04AD43} - (no file)
O2 - BHO: (no name) - {2E529F87-2B52-438C-9E7C-7D0A0DD910BA} - (no file)
O2 - BHO: (no name) - {32BC0C30-669B-49E0-9E8B-0C0CCB529F9B} - (no file)
O2 - BHO: (no name) - {39D2F47E-0A60-4923-964C-B39E50E12BE7} - (no file)
O2 - BHO: (no name) - {3A8400E9-2E9D-44B7-9A70-A73E52621031} - (no file)
O2 - BHO: (no name) - {3ED60D93-AD56-45EF-BF99-24236A46FC36} - (no file)
O2 - BHO: (no name) - {4AFA5B8B-0E02-4DE2-9FA3-AE7C32020C05} - (no file)
O2 - BHO: (no name) - {5D328CE2-E837-404D-B794-82758B8F31F7} - (no file)
O2 - BHO: (no name) - {692FBBCC-FA52-4D4D-B53E-593A1B6D55A3} - (no file)
O2 - BHO: (no name) - {84B51CC6-5E21-44CB-B826-39DEC9B7E572} - (no file)
O2 - BHO: (no name) - {9D58D03A-AC89-4E54-B61D-C5872F064BB0} - (no file)
O20 - Winlogon Notify: rqRJYqrO - C:\WINDOWS\
O21 - SSODL: mpfanvqg - {325D7FF0-1C89-4514-BFAF-DF4AA5879A5E} - (no file)
         
Comboscan:
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Danach bitte neues HJ-Log und ein neues DSS-Log;
Poste auch das Log von Avenger, HJ (beim Fixen) und Combofix!

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 28.05.2008, 09:23   #11
Ray84
Gesperrt
 
Benötige Hilfe bei der Fehlersuche. - Standard

Benötige Hilfe bei der Fehlersuche.



Zitat:
Hi,

Überreste von Haxdoor-Rootkit gefunden;
c:\dokumente und einstellungen\***\lokale einstellungen\temp\asfwhide ->
ASFWHIDE, Spyware Remove

C:\WINDOWS\system32\iifgfgf.dll -> IIFGFGF.DLL, Spyware Remove (Noch aktiv!)
ausprobiert, wurde nix gefunden.

C:\Programme\HChat\tbHCh1.dll hab ich überprüft, kein Ergebnis bzw. 0%.
Alle anderen lassen sich nicht überprüfen, konnten nicht geöffnet werden bzw. waren Ordner ohne Inhalt.

Nun folgen dann noch die Log´s von HJ, DSS und Combofix:

HJ und DSS
eckard's System Scanner v20071014.68
Run by Ray on 2008-05-28 10:04:59
Computer is in Normal Mode.
--------------------------------------------------------------------------------



-- HijackThis (run as Ray.exe) -------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:05:04, on 28.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\WINDOWS\system32\ctfmon.exe
I:\Programme\SUPERAntiSpyware.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\***\Desktop\dss.exe
C:\DOKUME~1\***\Desktop\***.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {CA0C2B77-AB3C-49F0-9EF9-8CE4D4206A89} - (no file)
O3 - Toolbar: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll
O4 - HKLM\..\Run: [Ashampoo FireWall PRO] "C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] I:\Programme\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1210927684734
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: !SASWinLogon - I:\Programme\SASWINLO.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\PrevxCSI\prevxcsi.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5604 bytes

-- Files created between 2008-04-28 and 2008-05-28 -----------------------------

2008-05-28 09:42:19 68096 --a------ C:\WINDOWS\zip.exe
2008-05-28 09:42:19 49152 --a------ C:\WINDOWS\VFind.exe
2008-05-28 09:42:19 212480 --a------ C:\WINDOWS\swxcacls.exe <Not Verified; SteelWerX; SteelWerX Extended Configurator ACLists>
2008-05-28 09:42:19 136704 --a------ C:\WINDOWS\swsc.exe <Not Verified; SteelWerX; SteelWerX Service Controller>
2008-05-28 09:42:19 161792 --a------ C:\WINDOWS\swreg.exe <Not Verified; SteelWerX; SteelWerX Registry Editor>
2008-05-28 09:42:19 98816 --a------ C:\WINDOWS\sed.exe
2008-05-28 09:42:19 80412 --a------ C:\WINDOWS\grep.exe
2008-05-28 09:42:19 89504 --a------ C:\WINDOWS\fdsv.exe <Not Verified; Smallfrogs Studio; >
2008-05-28 02:15:46 17408 --a------ C:\WINDOWS\system32\drivers\pxark.sys <Not Verified; Prevx; Prevx CSI>
2008-05-28 02:15:46 0 d-------- C:\Programme\PrevxCSI
2008-05-26 11:50:03 0 d-------- C:\WINDOWS\Prefetch
2008-05-26 11:43:56 0 d-------- C:\WINDOWS\l2schemas
2008-05-26 11:43:55 0 d-------- C:\WINDOWS\system32\bits
2008-05-26 11:17:58 0 d-------- C:\WINDOWS\system32\CatRoot2
2008-05-23 15:26:14 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\zts2.exe
2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\system32\systems.txt
2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\rundll16.exe
2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\rundl132.dll
2008-05-23 08:59:50 0 d-a------ C:\WINDOWS\logo1_.exe
2008-05-19 21:16:11 0 d-------- C:\Programme\Winamp
2008-05-19 14:31:11 43520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-05-18 23:55:46 0 d-------- C:\Programme\MSXML 6.0
2008-05-18 23:53:04 124416 -----n--- C:\WINDOWS\system32\prntvpt.dll <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>
2008-05-18 23:48:35 10752 -----n--- C:\WINDOWS\system32\rspndr.exe <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>
2008-05-18 23:48:35 62336 -----n--- C:\WINDOWS\system32\drivers\rspndr.sys <Not Verified; Microsoft Corporation; Microsoft® Windows® Operating System>
2008-05-18 23:41:38 0 d-------- C:\WINDOWS\system32\de
2008-05-18 23:35:37 0 d-------- C:\WINDOWS\ServicePackFiles
2008-05-16 11:03:08 0 d-------- C:\Programme\Gemeinsame Dateien\Adobe


-- Find3M Report ---------------------------------------------------------------

2008-05-26 11:52:13 316594 --a------ C:\WINDOWS\system32\perfh007.dat
2008-05-26 11:52:13 48156 --a------ C:\WINDOWS\system32\perfc007.dat
2008-05-26 11:44:16 0 d-------- C:\Programme\Messenger
2008-05-26 11:43:55 0 d-------- C:\Programme\Movie Maker
2008-05-26 11:40:58 0 d-------- C:\Programme\Windows NT
2008-05-23 15:26:42 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-05-20 11:44:44 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2008-05-20 11:44:00 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-19 21:23:57 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Winamp
2008-05-19 19:26:41 0 d-------- C:\Programme\TuneUp Utilities 2008
2008-05-16 12:42:21 0 d-------- C:\Programme\Picasa2
2008-05-16 11:45:02 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Google
2008-05-16 11:43:20 0 d-------- C:\Programme\Google
2008-05-16 11:05:40 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Adobe
2008-05-16 11:03:08 0 d-------- C:\Programme\Gemeinsame Dateien
2008-05-16 02:12:00 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TmpRecentIcons
2008-05-14 13:09:56 0 d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\phonostar-Player
2008-05-13 11:16:06 0 d-------- C:\Programme\HChat
2008-05-07 18:33:26 0 d-------- C:\Programme\No23 Recorder
2008-04-19 18:48:11 0 d-------- C:\Programme\Windows Media Connect 2
2008-04-02 20:54:12 0 d-------- C:\Programme\Kaspersky Lab


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{322c2442-4014-43a0-a94b-cf9df22bada8}]
13.05.2008 11:16 1470488 --a------ C:\Programme\HChat\tbHCh1.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CA0C2B77-AB3C-49F0-9EF9-8CE4D4206A89}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{322C2442-4014-43A0-A94B-CF9DF22BADA8}"= C:\Programme\HChat\tbHCh1.dll [13.05.2008 11:16 1470488]

[-HKEY_CLASSES_ROOT\CLSID\{322C2442-4014-43A0-A94B-CF9DF22BADA8}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ashampoo FireWall PRO"="C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" [21.12.2007 17:31]
"AGRSMMSG"="AGRSMMSG.exe" [29.06.2004 10:06 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" [17.05.2008 15:03]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [14.04.2008 04:22]
"SUPERAntiSpyware"="I:\Programme\SUPERAntiSpyware.exe" [13.05.2008 12:43]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= I:\Programme\SASSEH.DLL [13.05.2008 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
I:\Programme\SASWINLO.dll 19.04.2007 13:41 294912 I:\Programme\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy]
C:\WINDOWS\System32\dimsntfy.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Notification Packages"= scecli scecli scecli

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lpt83.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Dit"=Dit.exe
"SoundMan"=SOUNDMAN.EXE
"Ashampoo FireWall PRO"="C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"WinampAgent"=C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
eapsvcs eaphost
dot3svc dot3svc

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
napagent
hkmsvc




-- End of Deckard's System Scanner: finished at 2008-05-28 10:07:26 ------------

Alt 28.05.2008, 09:27   #12
Ray84
Gesperrt
 
Benötige Hilfe bei der Fehlersuche. - Standard

Benötige Hilfe bei der Fehlersuche.



Und der Combofix-Log:
ComboFix 08-05-27.4 - Ray 2008-05-28 9:43:33.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.595 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\***\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\CbKQYJjl.ini
C:\WINDOWS\system32\CbKQYJjl.ini2
C:\WINDOWS\system32\FeghNXyb.ini
C:\WINDOWS\system32\FeghNXyb.ini2
C:\WINDOWS\system32\OnWENXbc.ini
C:\WINDOWS\system32\OnWENXbc.ini2
C:\WINDOWS\system32\qtvuxyay.ini
C:\WINDOWS\system32\qtvuxyay.ini2
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\yJjSDccf.ini
C:\WINDOWS\system32\yJjSDccf.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-04-28 bis 2008-05-28 ))))))))))))))))))))))))))))))
.

2008-05-28 02:15 . 2008-05-28 02:15 <DIR> d-------- C:\Programme\PrevxCSI
2008-05-28 02:15 . 2008-05-28 03:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PrevxCSI
2008-05-28 02:15 . 2008-05-28 02:15 17,408 --a------ C:\WINDOWS\system32\drivers\pxark.sys
2008-05-27 11:53 . 2008-05-27 11:53 <DIR> d-------- C:\Deckard
2008-05-26 11:43 . 2008-05-26 11:43 <DIR> d-------- C:\WINDOWS\system32\bits
2008-05-26 11:43 . 2008-05-26 11:43 <DIR> d-------- C:\WINDOWS\l2schemas
2008-05-26 11:17 . 2008-05-28 00:08 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2008-05-26 10:55 . 2004-08-04 00:38 327,168 --------- C:\WINDOWS\system32\drivers\ati2mtaa.sys
2008-05-23 15:26 . 2008-05-23 15:26 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-23 15:26 . 2008-05-23 15:26 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\Malwarebytes
2008-05-23 15:26 . 2008-05-23 15:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-05-23 15:26 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-23 15:26 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-23 08:59 . 2008-05-23 08:59 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-05-23 08:59 . 2008-05-23 08:59 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-05-23 08:59 . 2008-05-23 08:59 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-05-23 08:59 . 2008-05-23 08:59 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-05-23 08:59 . 2008-05-23 08:59 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-05-23 08:59 . 2008-05-23 08:59 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-05-23 08:57 . 2006-02-28 14:00 153,600 --a------ C:\WINDOWS\R.COM
2008-05-23 08:57 . 2006-02-28 14:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-05-23 08:57 . 2008-05-23 08:57 26 --a------ C:\WINDOWS\Lic.xxx
2008-05-20 11:44 . 2008-05-20 11:44 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\SUPERAntiSpyware.com
2008-05-20 11:44 . 2008-05-20 11:44 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-05-19 21:16 . 2008-05-19 21:16 <DIR> d-------- C:\Programme\Winamp
2008-05-19 21:16 . 2008-05-19 21:23 <DIR> d-------- C:\Dokumente und Einstellungen\Ray\Anwendungsdaten\Winamp
2008-05-19 21:16 . 2007-03-08 01:51 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-05-19 19:26 . 2008-05-19 19:26 355,584 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-05-19 19:26 . 2008-04-04 14:51 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-05-19 14:31 . 2008-05-20 14:20 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll
2008-05-18 23:55 . 2008-05-18 23:55 <DIR> d-------- C:\Programme\MSXML 6.0
2008-05-18 23:53 . 2006-12-04 01:34 1,698,048 --------- C:\WINDOWS\system32\XpsSvcs.dll
2008-05-18 23:53 . 2006-12-04 01:34 1,698,048 -----c--- C:\WINDOWS\system32\dllcache\XpsSvcs.dll
2008-05-18 23:53 . 2006-12-04 01:34 671,744 -----c--- C:\WINDOWS\system32\dllcache\PrintFilterPipelineSvc.exe
2008-05-18 23:53 . 2006-12-04 01:34 580,352 --------- C:\WINDOWS\system32\XPSSHHDR.dll
2008-05-18 23:53 . 2006-12-04 01:34 580,352 -----c--- C:\WINDOWS\system32\dllcache\XPSSHHDR.dll
2008-05-18 23:53 . 2006-12-04 01:34 124,416 --------- C:\WINDOWS\system32\prntvpt.dll
2008-05-18 23:53 . 2006-12-04 01:34 27,648 -----c--- C:\WINDOWS\system32\dllcache\FilterPipelinePrintProc.dll
2008-05-18 23:53 . 2006-12-04 01:34 14,048 --------- C:\WINDOWS\system32\spmsg2.dll
2008-05-18 23:53 . 2008-05-18 23:53 3 --a------ C:\WINDOWS\system32\EUupdate.installed
2008-05-18 23:48 . 2006-11-08 10:51 62,336 --------- C:\WINDOWS\system32\drivers\rspndr.sys
2008-05-18 23:48 . 2006-11-08 10:51 10,752 --------- C:\WINDOWS\system32\rspndr.exe
2008-05-18 23:48 . 2008-05-18 23:48 3 --a------ C:\WINDOWS\system32\vbrun60sp6.installed
2008-05-18 23:42 . 2008-05-18 23:42 3 --a------ C:\WINDOWS\system32\Wordpad-Converter-ZLib-update.installed
2008-05-18 23:41 . 2008-05-26 11:43 <DIR> d-------- C:\WINDOWS\system32\de
2008-05-18 23:41 . 2008-04-14 04:22 397,312 --------- C:\WINDOWS\system32\mmcex.dll
2008-05-18 23:41 . 2008-04-14 04:22 184,320 --------- C:\WINDOWS\system32\microsoft.managementconsole.dll
2008-05-18 23:41 . 2008-04-14 04:22 106,496 --------- C:\WINDOWS\system32\mmcfxcommon.dll
2008-05-18 23:41 . 2008-04-14 04:22 33,792 --------- C:\WINDOWS\system32\mmcperf.exe
2008-05-18 23:38 . 2008-04-13 20:46 121,984 --------- C:\WINDOWS\system32\drivers\usbvideo.sys
2008-05-18 23:35 . 2008-05-26 11:41 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-05-18 23:35 . 2008-04-14 04:20 6,144 --------- C:\WINDOWS\system32\kbdpash.dll
2008-05-18 23:35 . 2008-04-14 04:20 6,144 --------- C:\WINDOWS\system32\kbdnepr.dll
2008-05-18 23:35 . 2008-04-14 04:20 6,144 --------- C:\WINDOWS\system32\kbdiultn.dll
2008-05-18 23:35 . 2008-04-14 04:20 6,144 --------- C:\WINDOWS\system32\kbdbhc.dll
2008-05-16 11:39 . 2008-05-27 11:45 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-05-16 11:03 . 2008-05-16 11:04 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-05-16 10:42 . 2008-05-23 11:57 269 --a------ C:\WINDOWS\wininit.ini
2008-05-16 02:12 . 2008-05-16 02:12 <DIR> d-------- C:\Dokumente und Einstellungen\***\Anwendungsdaten\TmpRecentIcons

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-28 07:56 10,730,528 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-28 07:54 320,032 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-05-28 07:53 34,160 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-05-28 07:53 154,136 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-28 07:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-05-20 09:44 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-19 17:26 --------- d-----w C:\Programme\TuneUp Utilities 2008
2008-05-16 10:42 --------- d-----w C:\Programme\Picasa2
2008-05-16 09:43 --------- d-----w C:\Programme\Google
2008-05-14 11:09 --------- d-----w C:\Dokumente und Einstellungen\***\Anwendungsdaten\phonostar-Player
2008-05-13 09:16 --------- d-----w C:\Programme\HChat
2008-05-07 16:33 --------- d-----w C:\Programme\No23 Recorder
2008-04-19 16:48 --------- d-----w C:\Programme\Windows Media Connect 2
2008-04-18 19:44 96,645 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2008-04-18 19:44 87,941 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2008-04-14 05:53 11,264 ----a-w C:\WINDOWS\system32\spnpinst.exe
2008-04-14 05:52 989,696 ----a-w C:\WINDOWS\system32\setupapi.dll
2008-04-14 05:52 425,472 ----a-w C:\WINDOWS\system32\licdll.dll
2008-04-14 02:36 1,804 ----a-w C:\WINDOWS\system32\dcache.bin
2008-04-14 02:25 333,312 ----a-w C:\WINDOWS\system32\netsetup.exe
2008-04-14 02:22 99,840 ----a-w C:\WINDOWS\system32\scardsvr.exe
2008-04-14 02:21 762,368 ----a-w C:\WINDOWS\system32\winntbbu.dll
2008-04-14 02:21 731,648 ----a-w C:\WINDOWS\system32\ntdll.dll
2008-04-14 02:21 57,375 ----a-w C:\WINDOWS\system32\odbcji32.dll
2008-04-14 02:21 5,632 ----a-w C:\WINDOWS\system32\wmi.dll
2008-04-14 02:21 24,064 ----a-w C:\WINDOWS\system32\pidgen.dll
2008-04-14 02:02 80,384 ----a-w C:\WINDOWS\system32\drivers\parport.sys
2008-04-14 02:02 73,472 ----a-w C:\WINDOWS\system32\drivers\sr.sys
2008-04-14 02:02 68,224 ----a-w C:\WINDOWS\system32\drivers\pci.sys
2008-04-14 02:02 46,848 ----a-w C:\WINDOWS\system32\drivers\p3.sys
2008-04-14 02:02 120,576 ----a-w C:\WINDOWS\system32\drivers\pcmcia.sys
2008-04-14 02:00 2,191,360 ----a-w C:\WINDOWS\system32\ntoskrnl.exe
2008-04-14 02:00 2,068,224 ----a-w C:\WINDOWS\system32\ntkrnlpa.exe
2008-04-14 01:59 4,096 ----a-w C:\WINDOWS\system32\dsprpres.dll
2008-04-14 01:58 800,384 ----a-w C:\WINDOWS\system32\drivers\dmboot.sys
2008-04-14 01:58 37,632 ----a-w C:\WINDOWS\system32\drivers\isapnp.sys
2008-04-14 01:58 25,216 ----a-w C:\WINDOWS\system32\drivers\kbdclass.sys
2008-04-14 01:58 154,112 ----a-w C:\WINDOWS\system32\drivers\dmio.sys
2008-04-14 01:58 14,720 ----a-w C:\WINDOWS\system32\drivers\kbdhid.sys
2008-04-14 01:57 93,184 ----a-w C:\WINDOWS\system32\msxml6r.dll
2008-04-14 01:57 40,448 ----a-w C:\WINDOWS\system32\drivers\intelppm.sys
2008-04-14 01:56 81,408 ------w C:\WINDOWS\system32\msshavmsg.dll
2008-04-14 01:56 51,712 ----a-w C:\WINDOWS\system32\inetres.dll
2008-04-14 01:56 40,832 ----a-w C:\WINDOWS\system32\drivers\crusoe.sys
2008-04-14 01:55 572,928 ----a-w C:\WINDOWS\system32\shdoclc.dll
2008-04-14 01:55 52,992 ----a-w C:\WINDOWS\system32\drivers\i8042prt.sys
2008-04-14 01:54 65,536 ----a-w C:\WINDOWS\system32\drivers\serial.sys
2008-04-14 01:54 25,856 ------w C:\WINDOWS\system32\drivers\hidbth.sys
2008-04-14 01:54 10,752 ----a-w C:\WINDOWS\system32\gpkrsrc.dll
2008-04-14 01:53 1,845,760 ----a-w C:\WINDOWS\system32\win32k.sys
2008-04-14 01:52 68,096 ----a-w C:\WINDOWS\system32\browselc.dll
2008-04-14 01:52 57,728 ----a-w C:\WINDOWS\system32\drivers\redbook.sys
2008-04-14 01:52 53,760 ----a-w C:\WINDOWS\system32\drivers\volsnap.sys
2008-04-14 01:52 44,672 ----a-w C:\WINDOWS\system32\drivers\fips.sys
2008-04-14 01:52 273,920 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-04-14 01:51 39,936 ----a-w C:\WINDOWS\system32\drivers\processr.sys
2008-04-14 01:50 41,856 ----a-w C:\WINDOWS\system32\drivers\amdk7.sys
2008-04-14 01:50 41,472 ----a-w C:\WINDOWS\system32\drivers\amdk6.sys
2008-04-14 01:49 30,336 ----a-w C:\WINDOWS\system32\drivers\modem.sys
2008-04-14 01:49 23,552 ----a-w C:\WINDOWS\system32\drivers\mouclass.sys
2008-04-14 01:49 188,800 ----a-w C:\WINDOWS\system32\drivers\acpi.sys
2008-04-13 19:28 175,744 ----a-w C:\WINDOWS\system32\drivers\rdbss.sys
2008-04-13 19:21 162,816 ----a-w C:\WINDOWS\system32\drivers\netbt.sys
2008-04-13 19:20 91,520 ----a-w C:\WINDOWS\system32\drivers\ndiswan.sys
2008-04-13 19:20 361,344 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-04-13 19:20 182,656 ----a-w C:\WINDOWS\system32\drivers\ndis.sys
2008-04-13 19:19 75,264 ----a-w C:\WINDOWS\system32\drivers\ipsec.sys
2008-04-13 19:19 51,328 ----a-w C:\WINDOWS\system32\drivers\rasl2tp.sys
2008-04-13 19:19 48,384 ----a-w C:\WINDOWS\system32\drivers\raspptp.sys
2008-04-13 19:19 146,048 ----a-w C:\WINDOWS\system32\drivers\portcls.sys
2008-04-13 19:19 138,112 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-04-13 19:17 83,072 ----a-w C:\WINDOWS\system32\drivers\wdmaud.sys
2008-04-13 19:17 456,576 ----a-w C:\WINDOWS\system32\drivers\mrxsmb.sys
2008-04-13 19:17 105,344 ----a-w C:\WINDOWS\system32\drivers\mup.sys
2008-04-13 19:16 49,536 ----a-w C:\WINDOWS\system32\drivers\classpnp.sys
2008-04-13 19:16 141,056 ----a-w C:\WINDOWS\system32\drivers\ks.sys
2008-04-13 19:15 60,800 ----a-w C:\WINDOWS\system32\drivers\sysaudio.sys
2008-04-13 19:15 574,976 ----a-w C:\WINDOWS\system32\drivers\ntfs.sys
2008-04-13 19:15 334,848 ----a-w C:\WINDOWS\system32\drivers\srv.sys
2008-04-13 19:14 63,744 ----a-w C:\WINDOWS\system32\drivers\cdfs.sys
2008-04-13 19:14 143,744 ----a-w C:\WINDOWS\system32\drivers\fastfat.sys
2008-04-13 19:00 225,664 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-04-13 19:00 19,072 ----a-w C:\WINDOWS\system32\drivers\tdi.sys
2008-04-13 18:57 41,472 ----a-w C:\WINDOWS\system32\drivers\raspppoe.sys
2008-04-13 18:57 40,576 ----a-w C:\WINDOWS\system32\drivers\ndproxy.sys
2008-04-13 18:57 34,560 ----a-w C:\WINDOWS\system32\drivers\wanarp.sys
2008-04-13 18:57 20,864 ----a-w C:\WINDOWS\system32\drivers\ipinip.sys
2008-04-13 18:57 152,832 ----a-w C:\WINDOWS\system32\drivers\ipnat.sys
2008-04-13 18:57 14,336 ----a-w C:\WINDOWS\system32\drivers\asyncmac.sys
2008-04-13 18:57 10,112 ----a-w C:\WINDOWS\system32\drivers\ndistapi.sys
2008-04-13 18:56 88,320 ----a-w C:\WINDOWS\system32\drivers\nwlnkipx.sys
2008-04-13 18:56 69,120 ----a-w C:\WINDOWS\system32\drivers\psched.sys
2008-04-13 18:56 35,072 ----a-w C:\WINDOWS\system32\drivers\msgpc.sys
2008-04-13 18:56 34,688 ----a-w C:\WINDOWS\system32\drivers\netbios.sys
2008-04-13 18:56 30,592 ----a-w C:\WINDOWS\system32\drivers\rndismp.sys
2008-04-13 18:56 30,592 ------w C:\WINDOWS\system32\drivers\rndismpx.sys
2008-04-13 18:56 12,800 ----a-w C:\WINDOWS\system32\drivers\usb8023.sys
2008-04-13 18:56 12,800 ------w C:\WINDOWS\system32\drivers\usb8023x.sys
2008-04-13 18:56 12,288 ----a-w C:\WINDOWS\system32\drivers\tunmp.sys
2008-04-13 18:55 202,624 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{322c2442-4014-43a0-a94b-cf9df22bada8}]
2008-05-13 11:16 1470488 --a------ C:\Programme\HChat\tbHCh1.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{CA0C2B77-AB3C-49F0-9EF9-8CE4D4206A89}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{322C2442-4014-43A0-A94B-CF9DF22BADA8}"= "C:\Programme\HChat\tbHCh1.dll" [2008-05-13 11:16 1470488]

[HKEY_CLASSES_ROOT\clsid\{322c2442-4014-43a0-a94b-cf9df22bada8}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{322C2442-4014-43A0-A94B-CF9DF22BADA8}"= C:\Programme\HChat\tbHCh1.dll [2008-05-13 11:16 1470488]

[HKEY_CLASSES_ROOT\clsid\{322c2442-4014-43a0-a94b-cf9df22bada8}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TuneUp MemOptimizer"="C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" [2008-05-17 15:03 154880]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 04:22 15360]
"SUPERAntiSpyware"="I:\Programme\SUPERAntiSpyware.exe" [2008-05-13 12:43 1510640]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Ashampoo FireWall PRO"="C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" [2007-12-21 17:31 3543552]
"AGRSMMSG"="AGRSMMSG.exe" [2004-06-29 10:06 88363 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 04:22 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= I:\Programme\SASSEH.DLL [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
I:\Programme\SASWINLO.dll 2007-04-19 13:41 294912 I:\Programme\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3acm"= C:\WINDOWS\system32\l3codecp.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli scecli scecli

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lpt83.sys]
@="Driver"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"SpybotSD TeaTimer"=C:\Programme\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Dit"=Dit.exe
"SoundMan"=SOUNDMAN.EXE
"Ashampoo FireWall PRO"="C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"WinampAgent"=C:\Programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Nero\\Nero Web\\SetupX.exe"=
"C:\\Programme\\Kaspersky Lab\\Kaspersky Security Suite V\\avp.exe"=

R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-05-28 02:15]
R2 CSIScanner;CSIScanner;"C:\Programme\PrevxCSI\prevxcsi.exe" /service []
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 04:23]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-06-05 08:04]
R3 DrvFltIp;DrvFltIp;C:\Dokumente und Einstellungen\***\Lokale Einstellungen\TEMP\DrvFltIp [2006-12-21 03:34]
R3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51;C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2004-11-05 17:43]
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 09:05]
S3 CardReaderFilter;Card Reader Filter;C:\WINDOWS\system32\Drivers\USBCRFT.SYS [2008-01-15 22:58]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-19 19:26]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Inhalt des "geplante Tasks" Ordners
"2008-05-28 07:54:34 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h***p://www.gmer.net
Rootkit scan 2008-05-28 09:55:06
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide]
"ImagePath"="\??\C:\Dokumente und Einstellungen\Ray\Lokale Einstellungen\TEMP\ASFWHide"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DrvFltIp]
"ImagePath"="\??\C:\Dokumente und Einstellungen\Ray\Lokale Einstellungen\TEMP\DrvFltIp"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\Programme\Ashampoo\Ashampoo FireWall PRO\MD5.dll

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Programme\Ashampoo\Ashampoo FireWall PRO\MD5.dll

PROCESS: C:\WINDOWS\system32\csrss.exe
-> C:\Programme\Ashampoo\Ashampoo FireWall PRO\MD5.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-05-28 9:58:30 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-28 07:58:23

13 Verzeichnis(se), 1,461,448,704 Bytes frei
14 Verzeichnis(se), 1,570,705,408 Bytes frei

291 --- E O F --- 2008-05-19 22:05:28

Alt 28.05.2008, 15:23   #13
Chris4You
 
Benötige Hilfe bei der Fehlersuche. - Standard

Benötige Hilfe bei der Fehlersuche.



Hi,

das kommt dabei raus, wenn man das "d" in der Fileangabe übersieht (mein Fehler)!
Lass mich raten, Du hast die Immunisierungsfunktion von Spybot verwendet ;o)...

Führe die Scripte trotzdem aus, lösche aber folgende Zeilen bei Avenger raus:
(Das ist die Immunisierung durch Spybot...)
C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe

Führe danach wie angegeben das fixen mit HJ durch, lasse dann noch Antimalewarebytes drüberlaufen lassen:
http://www.trojaner-board.de/51187-a...i-malware.html

Poste das Log von Antimalwerbyte und ein neues Hj-Log...

Chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 30.05.2008, 10:39   #14
Ray84
Gesperrt
 
Benötige Hilfe bei der Fehlersuche. - Standard

Benötige Hilfe bei der Fehlersuche.



Malwarebytes' Anti-Malware 1.12
Datenbank Version: 781

Scan Art: Komplett Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|)
Objekte gescannt: 140138
Scan Dauer: 42 minute(s), 49 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:38:08, on 30.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\WINDOWS\system32\ctfmon.exe
I:\Programme\SUPERAntiSpyware.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\PrevxCSI\prevxcsi.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Desktop\Neuer Ordner\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = **tp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll (file missing)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {CA0C2B77-AB3C-49F0-9EF9-8CE4D4206A89} - (no file)
O3 - Toolbar: HChat Toolbar - {322c2442-4014-43a0-a94b-cf9df22bada8} - C:\Programme\HChat\tbHCh1.dll (file missing)
O4 - HKLM\..\Run: [Ashampoo FireWall PRO] "C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2008\MemOptimizer.exe" autostart
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1210927684734[/url]
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab[/url]
O20 - Winlogon Notify: !SASWinLogon - I:\Programme\SASWINLO.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
O23 - Service: CSIScanner - Prevx - C:\Programme\PrevxCSI\prevxcsi.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6007 bytes

Alt 30.05.2008, 11:56   #15
Chris4You
 
Benötige Hilfe bei der Fehlersuche. - Standard

Benötige Hilfe bei der Fehlersuche.



Hi,

so, jetzt noch CCleaner und dann sollten wir (fast) fertig sein;

CCleaner - CCleaner 2.0
Die Registry (blaues Würfel-Symbol linke Seite) musst du mehrmals durchsuchen und bereinigen lassen, bis nichts mehr gefunden wird.
Installation des cCleaners ohne die Toolbar! Benutzerdefinierte Installation wählen.
Dann startest du den Rechner im normalen Modus neu.

Combofix entfernen:
Start->Ausführen, dann combofix /u reinschreiben und OK drücken...

Backups von Avenger&Co (falls vorhanden) löschen:

C:\Qoobox - loeschen und Papierkorb leeren
C:\avenger\backup.zip - loeschen und Papierkorb leeren
C:\VundoFix Backups - loeschen und Papierkorb leeren
C:\RVAXO-results.log -->Papierkorb leeren


chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort

Themen zu Benötige Hilfe bei der Fehlersuche.
abgebrochen, anleitung, automatische, center, dienst, drivers, einstellungen, fehlercode 1, fehlercode 10, firewall, folge, gelöscht, kaspersky, log, microsoft, neuinstallation, nicht mehr, personal security, programm, rechner, security, security center, security suite, start, system, system32, systemwiederherstellung, temp, trojaner, trojanisches programm, updates, windows\system32\drivers



Ähnliche Themen: Benötige Hilfe bei der Fehlersuche.


  1. Fehlersuche bei unzuverlässigem Desktop
    Netzwerk und Hardware - 12.02.2014 (9)
  2. Spybots Fehlersuche vertrauen?
    Log-Analyse und Auswertung - 12.04.2013 (11)
  3. Fehlersuche bei Bluescreen
    Alles rund um Windows - 22.04.2012 (5)
  4. HijackThis Logs zur Fehlersuche
    Log-Analyse und Auswertung - 22.10.2010 (18)
  5. Benötige Hilfe Bitte
    Log-Analyse und Auswertung - 28.07.2009 (7)
  6. Trojaner? benötige Hilfe
    Log-Analyse und Auswertung - 21.06.2009 (1)
  7. Benötige Hilfe!
    Mülltonne - 01.11.2008 (0)
  8. Benötige Hilfe bei Auswertung
    Mülltonne - 08.07.2008 (0)
  9. Benötige Hilfe
    Log-Analyse und Auswertung - 06.04.2008 (1)
  10. Rechner extrem langsam, erbitte Hilfe bei Fehlersuche
    Log-Analyse und Auswertung - 25.11.2006 (1)
  11. benötige hilfe
    Plagegeister aller Art und deren Bekämpfung - 02.11.2006 (4)
  12. Benötige Hilfe
    Log-Analyse und Auswertung - 27.08.2005 (1)
  13. Benötige Hilfe
    Plagegeister aller Art und deren Bekämpfung - 05.08.2005 (5)
  14. benötige hilfe
    Alles rund um Windows - 08.07.2005 (5)
  15. Benötige Hilfe!
    Plagegeister aller Art und deren Bekämpfung - 11.06.2005 (8)
  16. benötige hilfe
    Log-Analyse und Auswertung - 18.02.2005 (4)
  17. benötige hilfe
    Log-Analyse und Auswertung - 04.12.2004 (1)

Zum Thema Benötige Hilfe bei der Fehlersuche. - Schönen guten Morgen zusammen.Ich benötige eure Hilfe.Ich arbeite mit folgendem System: -Intel celeron 3.07Ghz -1GB Ram -Windows XP Professional -SP2 als Schutzkomponenten habe ich Kaspersky Personal Security Suite V mit - Benötige Hilfe bei der Fehlersuche....
Archiv
Du betrachtest: Benötige Hilfe bei der Fehlersuche. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.