Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 18.06.2008, 17:44   #1
BaNaNaBeck
 
Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt - Standard

Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt



Hallo,

ich habe folgendes Problem.

Wenn ich WIndows starte, kommt die Taskleiste und der Desktop kurz. Dann geht er wieder weg. Dies wiederholt sich 5-8 mal und dann taucht gar nix mehr auf. Programme die ich starte kann ich auch ganz normal ausführen.

Versuche ich den Taskmanager aufzurufen kommt die Fehlermeldung:

Der Taskmanager wurde durch den Administrator gesperrt.


Hier mein Logfile von Hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:30: VIRUS ALERT!, on 18.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Logitech\ImageStudio\LogiTray.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\IPPS\XM2002®\XM2002.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\IFXTCS.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE
C:\WINDOWS\V0410Mon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\TomTom HOME 2\HOMERunner.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Programme\ProtectTools\Embedded Security Software\PSDrt.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Hp\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Trillian\trillian.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\PROGRA~1\HPQ\Shared\HPQTOA~1.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\FlashFXP\FlashFXP.exe
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JUSNBBS7\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ****//softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ****//go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ****//go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ****//go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CenterLock module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - C:\Programme\CenterLock\CenterLock.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {38DA5499-9890-4E94-B28B-229A396B6590} - (no file)
O2 - BHO: QXK Olive - {72492997-CCC3-4C07-BCB8-D2D7BFB65F7F} - C:\WINDOWS\ksendlbtdpl.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {D6258CA6-2028-4CDD-B496-CACC18721A60} - C:\WINDOWS\system32\fccbAQkj.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: (no name) - {FD35964D-7588-48AE-AD81-374C45D3E89D} - C:\WINDOWS\system32\khfCvSmK.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Programme\TuxBox LogoViewer\MSDXM.OCX (file missing)
O3 - Toolbar: vrmdtneg - {778DC3F7-1699-4A2F-8D32-143C0D00854C} - C:\WINDOWS\vrmdtneg.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [XM2002] C:\Programme\IPPS\XM2002®\XM2002.exe -auto
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [wdfmgr.exe] C:\WINDOWS\wdfmgr.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [cblyoth] C:\WINDOWS\system32\cblyoth.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [V0410Mon.exe] C:\WINDOWS\V0410Mon.exe
O4 - HKLM\..\Run: [DelayLoad] C:\DOKUME~1\Admin\LOKALE~1\Temp\atmadm.exe
O4 - HKLM\..\RunServices: [cblyoth] C:\WINDOWS\system32\cblyoth.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SmartSurferRecovery] C:\Programme\1&1 SmartSurfer Backup\SmartSurferRecovery.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Programme\TomTom HOME 2\HOMERunner.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Creative Live! Cam Manager] "C:\Programme\Creative\Creative Live! Cam\Live! Cam Manager\CTLCMgr.exe"
O4 - HKCU\..\Run: [C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe" /autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\Hp\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=****//www.hp.com
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - ****//messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - ****//update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173737533406
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - ****//www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - ****//messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - ****//fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - ****//www.creative.com/softwareupdate/su2/ocx/15035/CTPID.cab
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Steuerung des DownloadManager ) - ****//dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: fccbAQkj - C:\WINDOWS\SYSTEM32\fccbAQkj.dll
O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
O21 - SSODL: xvorfwbd - {9FD758D2-437B-4C22-A5A2-0320C0635258} - C:\WINDOWS\xvorfwbd.dll
O21 - SSODL: wpvmqosg - {0BCF9003-7ACA-4991-9EBA-426F2E9DF2D2} - C:\WINDOWS\wpvmqosg.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Print Spooler Service (umiiga0z5xtyiw1n) - Unknown owner - C:\WINDOWS\system32\e.exe (file missing)

--
End of file - 17933 bytes

Alt 18.06.2008, 18:12   #2
Andreas1964
 
Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt - Standard

Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt



Hallo!

Hast Dir ein übles Teil zugezogen, scheint das gleiche Teil zu sein, das ich letztens hatte, weil diese Startseite im IE hatte ich auch:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ****//softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

und IMHO sitzt das Teil hier drin:

O2 - BHO: QXK Olive - {72492997-CCC3-4C07-BCB8-D2D7BFB65F7F} - C:\WINDOWS\ksendlbtdpl.dll

und hier auch:

O2 - BHO: (no name) - {D6258CA6-2028-4CDD-B496-CACC18721A60} - C:\WINDOWS\system32\fccbAQkj.dll

und hier:

O2 - BHO: (no name) - {FD35964D-7588-48AE-AD81-374C45D3E89D} - C:\WINDOWS\system32\khfCvSmK.dll

und... wer weiß schon wo sonst noch. Ich hab ihn nur durch SmitFraudFix wegbekommen... denke ich.

Alles weitere kannst Du hier mitlesen:

http://www.trojaner-board.de/54224-i...tml#post347027

Ich hoffe geholfen zu haben, Andreas.
__________________


Alt 19.06.2008, 10:57   #3
BaNaNaBeck
 
Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt - Standard

Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt



danke für deine hilfe...

allerdings habe ich das problem immernoch auch nachdem ich smittraudfix drüber laufen lassen habe...

die trojaner sind zwar weg allerdings ist der desktop und die taskleiste immer noch kurz weg und dann wieder da.. und geht dann irgendwann ganz weg
__________________

Alt 19.06.2008, 11:04   #4
BataAlexander
> MalwareDB
 
Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt - Standard

Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt



Du hast Dir einiges mehr eingefangen!

Wir werden versuchen es mit Combofix wieder hin zu bekommen.

ComboFix
  • Download ComboFix von hier oder hier auf Deinen Desktop.
  • Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
    (Auch Guards von Ad-, Spyware Programmen!)
  • Doppelklicke die combofix.exe.
  • Wenn Combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort

Wichtige Hinweise:
  • Combofix darf ausschließlich ausgeführt werden wenn ein erfahrener Helfer dies ausdrücklich empfohlen hat!
    Es sollte nie auf eigene Initiative hin ausgeführt werden. Eine falsche Benutzung kann ernsthalfte Computerprobleme nach sich ziehen.
  • Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
  • Alle Guards der Antivirenprogramme sollten wie beschrieben deaktiviert sein.
  • Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix leert die Liste der für das Internet autorisierten Anwendungen. Die meisten Fragen im Folgenden nach einer Erneuten Aufnahme, einige nicht. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.
  • Combofix ändert den Standardbrowser auf den Internet Explorer. Diese Änderung nach der Anwendung ggf. manuel wieder ändern.
  • Der Desktop wird während Combofix blau werden, die Icons verschinden. Dies Verhalten ist gewollt und bedeutet keine Gefahr.

Ergänzend lies Dir diese Anleitung durch, drucke sie ggf. aus.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 19.06.2008, 16:36   #5
BaNaNaBeck
 
Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt - Standard

Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt



Hallo,

macht es einen Unterschied unter welchem Benutzer ich mich anmelde und das Logfile dann hier poste?

Hijackthis kann ich nur unter Administrator richtig ausführen da mir für die anderen Benutzer der Taskmanger gesperrt wurde.


Alt 19.06.2008, 17:38   #6
BataAlexander
> MalwareDB
 
Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt - Standard

Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt



Solange der User Administrator Berechtigungen hat.
Du kannst die Datein auch mit Rechtsklick und ausführen als starten.
__________________
--> Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt

Alt 19.06.2008, 22:53   #7
BaNaNaBeck
 
Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt - Standard

Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt



Danke nochmals für deine Hilfe...

Hier die Logfiles:


COMBO FIX
Code:
ATTFilter

ComboFix 08-06-19.1 - Administrator 2008-06-19 23:27:34.1 - NTFSx86 NETWORK
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((   Weitere L”schungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Admin\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\Admin\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\Admin\Favoriten\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\LOG\20080618164809000.log
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\WinSpywareProtect\WinSpywareProtect.exe
C:\Dokumente und Einstellungen\Christoph Beck\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\dat.txt
C:\WINDOWS\Downloaded Program Files\setup.inf
C:\WINDOWS\rs.txt
C:\WINDOWS\system32\fccbAQkj.dll
C:\WINDOWS\system32\khfCvSmK.dll
C:\WINDOWS\system32\KmSvCfhk.ini
C:\WINDOWS\system32\KmSvCfhk.ini2
C:\WINDOWS\system32\MabryObj.dll
C:\WINDOWS\wpvmqosg.dll
C:\WINDOWS\xvorfwbd.dll

.
(((((((((((((((((((((((   Dateien erstellt von 2008-05-19 bis 2008-06-19  ))))))))))))))))))))))))))))))
.

2008-06-18 23:43 . 2007-09-06 00:22	289,144	--a------	C:\WINDOWS\system32\VCCLSID.exe
2008-06-18 23:43 . 2008-05-29 09:35	86,528	--a------	C:\WINDOWS\system32\VACFix.exe
2008-06-18 23:43 . 2008-05-18 21:40	82,944	--a------	C:\WINDOWS\system32\IEDFix.exe
2008-06-18 23:43 . 2008-06-15 15:28	81,920	--a------	C:\WINDOWS\system32\IEDFix.C.exe
2008-06-18 23:43 . 2008-05-23 18:21	81,920	--a------	C:\WINDOWS\system32\404Fix.exe
2008-06-18 23:43 . 2007-10-04 00:36	25,600	--a------	C:\WINDOWS\system32\WS2Fix.exe
2008-06-18 23:01 . 2006-04-27 17:49	288,417	--a------	C:\WINDOWS\system32\SrchSTS.exe
2008-06-18 23:01 . 2003-06-05 21:13	53,248	--a------	C:\WINDOWS\system32\Process.exe
2008-06-18 23:01 . 2004-07-31 18:50	51,200	--a------	C:\WINDOWS\system32\dumphive.exe
2008-06-18 00:32 . 2008-06-18 08:25	<DIR>	d--------	C:\Dokumente und Einstellungen\Administrator\.housecall6.6
2008-06-18 00:22 . 2008-06-18 00:22	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TmpRecentIcons
2008-06-17 22:07 . 2008-06-17 00:36	94,208	--a------	C:\WINDOWS\exwd.exe
2008-06-10 22:28 . 2008-04-14 17:51	273,024	---------	C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 22:28 . 2008-04-14 17:51	273,024	---------	C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-09 20:44 . 2008-06-09 23:19	12,220	--a------	C:\template_css.css
2008-06-09 19:45 . 2008-06-09 19:48	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Creative
2008-06-09 19:45 . 2008-06-09 19:45	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Creative
2008-06-09 19:36 . 2003-06-12 23:25	7,062	--a------	C:\WINDOWS\system32\audiopid.vxd
2008-06-09 19:35 . 2006-10-06 08:17	53,248	---------	C:\WINDOWS\Ctregrun.exe
2008-06-09 19:34 . 2007-06-11 03:01	142,656	-ra------	C:\WINDOWS\system32\drivers\V0410AFX.sys
2008-06-09 19:34 . 2007-05-22 03:20	114,688	-ra------	C:\WINDOWS\system32\V0410Afx.dll
2008-06-09 19:34 . 2007-02-14 12:14	94,720	-ra------	C:\WINDOWS\system32\drivers\V0410Aud.sys
2008-06-09 19:30 . 2008-06-09 19:30	<DIR>	d--------	C:\Programme\muvee Technologies
2008-06-09 19:30 . 2008-06-09 19:30	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\muvee Technologies
2008-06-09 19:28 . 2008-06-09 19:28	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\muvee Technologies
2008-06-09 19:27 . 2008-06-09 19:27	<DIR>	d--------	C:\Programme\SightSpeed
2008-06-09 19:27 . 2008-06-09 19:27	80	-r-hs----	C:\WINDOWS\CT4CET.bin
2008-06-09 19:26 . 2008-06-09 19:26	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Reallusion
2008-06-09 19:26 . 2008-06-09 19:26	<DIR>	d--------	C:\Documents and Settings
2008-06-09 19:25 . 2008-06-09 19:25	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Creative
2008-06-09 19:25 . 2007-02-14 12:27	5,627,904	--a------	C:\WINDOWS\system32\LiveCamVirtual.ocx
2008-06-09 19:25 . 2007-01-15 17:57	31,616	--a------	C:\WINDOWS\system32\drivers\livecamv.sys
2008-06-09 19:20 . 2008-06-09 19:35	<DIR>	d--------	C:\Programme\Creative
2008-06-09 19:16 . 2004-08-03 23:10	78,464	--a------	C:\WINDOWS\system32\drivers\usbvideo.sys
2008-06-09 19:16 . 2004-08-03 23:10	78,464	--a------	C:\WINDOWS\system32\dllcache\usbvideo.sys
2008-06-09 19:16 . 2004-08-03 23:07	59,264	--a------	C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-06-09 19:16 . 2004-08-03 23:07	59,264	--a------	C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-06-09 19:16 . 2004-08-04 00:58	20,992	--a------	C:\WINDOWS\system32\dshowext.ax
2008-06-09 19:16 . 2004-08-04 00:58	20,992	--a------	C:\WINDOWS\system32\dllcache\dshowext.ax
2008-06-09 15:59 . 2008-06-09 16:32	254	--a------	C:\WINDOWS\system32\USER.SCP
2008-06-09 15:59 . 2008-06-09 16:32	254	--a------	C:\WINDOWS\system32\TEMPSCP.SCP
2008-06-05 21:38 . 2008-06-05 21:38	268	--ah-----	C:\sqmdata05.sqm
2008-06-05 21:38 . 2008-06-05 21:38	244	--ah-----	C:\sqmnoopt05.sqm
2008-06-02 22:00 . 2008-06-02 22:00	2,194	--a------	C:\Satellites.xml
2008-05-27 18:38 . 2008-06-18 16:48	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\skypePM
2008-05-27 18:38 . 2008-05-27 18:38	56	--ah-----	C:\WINDOWS\system32\ezsidmv.dat
2008-05-27 18:37 . 2008-06-18 22:51	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Skype
2008-05-27 18:32 . 2008-05-27 18:32	<DIR>	d--------	C:\Programme\Skype
2008-05-27 18:32 . 2008-05-27 18:32	<DIR>	d--------	C:\Programme\Gemeinsame Dateien\Skype
2008-05-27 18:32 . 2008-05-27 18:32	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-05-26 23:25 . 2008-05-26 23:25	<DIR>	d--------	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TomTom
2008-05-26 23:24 . 2008-05-26 23:24	<DIR>	d--------	C:\Programme\TomTom HOME 2
2008-05-26 22:29 . 2008-05-26 22:29	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom
2008-05-26 22:26 . 2008-05-26 23:24	<DIR>	d--------	C:\Programme\TomTom HOME
2008-05-24 02:07 . 2008-05-24 02:07	<DIR>	d--------	C:\Programme\CONEXANT

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-18 19:12	---------	d-----w	C:\Programme\Trillian
2008-06-18 14:55	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-11 21:10	---------	d-----w	C:\Programme\Premiere TV Guide 1.0
2008-06-11 12:11	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ICQ
2008-06-09 17:36	---------	d--h--w	C:\Programme\InstallShield Installation Information
2008-06-02 19:59	---------	d-----w	C:\Programme\Bouquet Wizard
2008-05-29 11:13	---------	d-----w	C:\Programme\Google
2008-05-28 16:29	---------	d-----w	C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\XnView
2008-05-16 07:54	---------	d-----w	C:\Programme\WebwatchingMirc
2008-05-16 07:51	---------	d-----w	C:\Programme\MediaMonkey
2008-05-15 08:19	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-08 12:28	202,752	----a-w	C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-21 20:55	---------	d-----w	C:\Programme\AviSynth 2.5
2008-04-21 20:53	---------	d-----w	C:\Programme\eRightSoft
.
Code:
ATTFilter
<pre>
----a-w        16,633,477 2008-05-21 23:04:52  C:\Dokumente und Einstellungen\Admin\Desktop\Dbox .exe
</pre>
         
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 10:00 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 11:11 925696] "ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12 90112] "PTHOSTTR"="C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.exe" [2007-01-09 15:52 145184] "SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-31 18:01 761946] "hpWirelessAssistant"="C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-03-28 14:13 454656] "CognizanceTS"="C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll" [2003-12-22 20:12 17920] "QlbCtrl"="C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-23 11:38 131072] "Cpqset"="C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe" [2006-04-21 09:30 40960] "Recguard"="C:\WINDOWS\Sminst\Recguard.exe" [2005-12-20 16:51 1187840] "Reminder"="C:\WINDOWS\Creator\Remind_XP.exe" [2006-03-09 17:38 806912] "Scheduler"="C:\WINDOWS\SMINST\Scheduler.exe" [2006-02-15 17:43 892928] "WatchDog"="C:\Programme\InterVideo\DVD Check\DVDCheck.exe" [2006-03-31 14:58 184320] "GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 08:00 33648] "avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-15 10:47 249896] "WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-04-25 17:44 35328] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648] "LVCOMS"="C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE" [2002-12-10 17:54 127022] "LogitechGalleryRepair"="C:\Programme\Logitech\ImageStudio\ISStart.exe" [2002-12-10 18:32 155648] "LogitechImageStudioTray"="C:\Programme\Logitech\ImageStudio\LogiTray.exe" [2002-12-10 18:31 61440] "XM2002"="C:\Programme\IPPS\XM2002®\XM2002.exe" [ ] "!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312] "HP Software Update"="C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840] "Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784] "cblyoth"="C:\WINDOWS\system32\cblyoth.exe" [ ] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "V0410Mon.exe"="C:\WINDOWS\V0410Mon.exe" [2007-06-07 03:00 32768] "DelayLoad"="C:\DOKUME~1\Admin\LOKALE~1\Temp\atmadm.exe" [ ] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices] "cblyoth"="C:\WINDOWS\system32\cblyoth.exe" [ ] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 10:00 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN] IfxWlxEN.dll 2006-03-03 17:08 434176 C:\WINDOWS\system32\IfxWlxEN.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard] C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll 2005-07-25 20:41 40960 C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "vidc.I263"= i263_32.drv "VIDC.VX1K"= VX1000S.DLL "msacm.g723"= g723.acm "msacm.imc"= imc32.acm "VIDC.SP53"= SP5X_32.DLL "VIDC.SP54"= SP5X_32.DLL "VIDC.SP55"= SP5X_32.DLL "VIDC.SP56"= SP5X_32.DLL "VIDC.SP57"= SP5X_32.DLL "VIDC.SP58"= SP5X_32.DLL "VIDC.SP59"= SP5X_32.DLL "vidc.yv12"= yv12vfw.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\XM2002] C:\Programme\IPPS\XM2002®\XM2002.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.exe [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\WINDOWS\\SMINST\\Scheduler.exe"= "C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"= "C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"= "C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "C:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\Bonjour\\mDNSResponder.exe"= "C:\\Programme\\FlashFXP\\FlashFXP.exe"= "C:\\Programme\\Hp\\Digital Imaging\\bin\\hpqtra08.exe"= "C:\\Programme\\Hp\\Digital Imaging\\bin\\hpqste08.exe"= "C:\\Programme\\Hp\\Digital Imaging\\bin\\hpofxm08.exe"= "C:\\Programme\\Hp\\Digital Imaging\\bin\\hposfx08.exe"= "C:\\Programme\\Hp\\Digital Imaging\\bin\\hposid01.exe"= "C:\\Programme\\Hp\\Digital Imaging\\bin\\hpqscnvw.exe"= "C:\\Programme\\Hp\\Digital Imaging\\bin\\hpqkygrp.exe"= "C:\\Programme\\Hp\\Digital Imaging\\bin\\hpqCopy.exe"= "C:\\Programme\\Hp\\Digital Imaging\\bin\\hpfccopy.exe"= "C:\\Programme\\Hp\\Digital Imaging\\bin\\hpzwiz01.exe"= "C:\\Programme\\Hp\\Digital Imaging\\Unload\\HpqPhUnl.exe"= "C:\\Programme\\Hp\\Digital Imaging\\Unload\\HpqDIA.exe"= "C:\\Programme\\Hp\\Digital Imaging\\bin\\hpoews01.exe"= "C:\\Programme\\Hp\\Digital Imaging\\bin\\hpqnrs08.exe"= "C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programme\\Windows Live\\Messenger\\livecall.exe"= "C:\\Programme\\SightSpeed\\SightSpeed.exe"= "C:\\Programme\\Skype\\Phone\\Skype.exe"= R1 PersonalSecureDrive;PersonalSecureDrive;C:\WINDOWS\system32\drivers\psd.sys [2005-11-29 18:56] R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2005-10-21 13:19] S2 ASChannel;Lokaler Verbindungskanal;C:\WINDOWS\System32\svchost.exe [2004-08-04 10:00] S2 umiiga0z5xtyiw1n;Print Spooler Service;C:\WINDOWS\system32\e.exe [] S3 LVBulk;LVBulk Service;C:\WINDOWS\system32\DRIVERS\LVBulk.sys [2002-06-10 14:21] S3 PID_0900_V;Logitech ClickSmart 310(PID_0900_V);C:\WINDOWS\system32\DRIVERS\LV551AV.sys [2002-06-10 14:24] S3 RLDesignVirtualAudioCableWdm;Live! Cam Virtual;C:\WINDOWS\system32\DRIVERS\livecamv.sys [2007-01-15 17:57] S3 V0410Afx;Creative Camera VF0410 Audio Effects Driver;C:\WINDOWS\system32\DRIVERS\V0410Afx.sys [2007-06-11 03:01] S3 V0410Aud;Creative Camera VF0410 Noise Cancellation APO;C:\WINDOWS\system32\DRIVERS\V0410Aud.sys [2007-02-14 12:14] S3 V0410Dev;Creative Camera VF0410 Driver;C:\WINDOWS\system32\DRIVERS\V0410Dev.sys [2007-07-04 03:00] S3 V0410Vfx;Creative Camera VF0410 Video VFX Driver;C:\WINDOWS\system32\DRIVERS\V0410Vfx.sys [2006-12-05 07:37] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] Cognizance REG_MULTI_SZ ASChannel . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-19 23:40:25 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Eintr„ge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . ------------------------ Other Running Processes ------------------------ . C:\Programme\HPQ\IAM\Bin\asghost.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe . ************************************************************************** . Zeit der Fertigstellung: 2008-06-19 23:47:07 - machine was rebooted ComboFix-quarantined-files.txt 2008-06-19 21:46:25 20 Verzeichnis(se), 55,188,074,496 Bytes frei 26 Verzeichnis(se), 56,708,009,984 Bytes frei 237 --- E O F --- 2008-06-11 04:58:01

Alt 19.06.2008, 22:55   #8
BaNaNaBeck
 
Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt - Standard

Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt



HIJACKTHIS


Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:48:12, on 19.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.17184)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\HPQ\IAM\bin\asghost.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=105563
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\HPQ\IAM\Bin\ItIeAddIN.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\Programme\TuxBox LogoViewer\MSDXM.OCX (file missing)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [PTHOSTTR] C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [Cpqset] C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\Sminst\Recguard.exe
O4 - HKLM\..\Run: [Reminder] C:\WINDOWS\Creator\Remind_XP.exe
O4 - HKLM\..\Run: [Scheduler] C:\WINDOWS\SMINST\Scheduler.exe
O4 - HKLM\..\Run: [WatchDog] C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Programme\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [XM2002] C:\Programme\IPPS\XM2002®\XM2002.exe -auto
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [cblyoth] C:\WINDOWS\system32\cblyoth.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [V0410Mon.exe] C:\WINDOWS\V0410Mon.exe
O4 - HKLM\..\Run: [DelayLoad] C:\DOKUME~1\Admin\LOKALE~1\Temp\atmadm.exe
O4 - HKLM\..\RunServices: [cblyoth] C:\WINDOWS\system32\cblyoth.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: DVD Check.lnk = C:\Programme\InterVideo\DVD Check\DVDCheck.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\Hp\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\npjpi160_05.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe
O9 - Extra 'Tools' menuitem: &XM2002® - {ECC5777A-6E88-BFCE-13CE-81F134789E7B} - C:\Programme\IPPS\XM2002®\XM2002.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.hp.com
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173737533406
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - h**p://www.creative.com/softwareupdate/su2/ocx/15035/CTPID.cab
O16 - DPF: {FFBB3F3B-0A5A-4106-BE53-DFE1E2340CB1} (Steuerung des DownloadManager ) - h**p://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.1.6.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: OneCard - C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Programme\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: PC Angel (PCA) - SoftThinks - C:\WINDOWS\SMINST\PCAngel.exe
O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - C:\Programme\ProtectTools\Embedded Security Software\PSDsrvc.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Print Spooler Service (umiiga0z5xtyiw1n) - Unknown owner - C:\WINDOWS\system32\e.exe (file missing)

--
End of file - 11607 bytes
         

Alt 20.06.2008, 06:07   #9
BataAlexander
> MalwareDB
 
Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt - Standard

Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
http://www.trojaner-board.de/54222-taskleiste-und-desktop-weg-tasgmanger-durch-admin-gesperrt.html#post347518

Collect::
C:\WINDOWS\exwd.exe


FileLook::
C:\Dokumente und Einstellungen\Admin\Desktop\Dbox .exe

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cblyoth"=-
"DelayLoad"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"cblyoth"=-

Driver::
umiiga0z5xtyiw1n
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

7. Nachdem das Log im Notepad aufgegenagen ist, erscheint ein Popup

Dies mit Ok wegklicken und es öffnet sich Dein Browser. In diesem Browser Fenster "Durchsuchen" auswählen und dann auf Deinem Desktop die neue .Zip Datei ([4]-Submit_Jahr-Monat-Tag_Uhrzeit.71.zip) auswählen. Dann mit Klick auf "Send" senden. So kann der Author die Erkennungsroutine des Programms verbessern.

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 21.06.2008, 13:19   #10
BaNaNaBeck
 
Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt - Standard

Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt



ComboFix 08-06-19.1 - Administrator 2008-06-21 14:04:42.2 - NTFSx86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.685 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\CFScript.txt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\exwd.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_UMIIGA0Z5XTYIW1N
-------\Service_umiiga0z5xtyiw1n


((((((((((((((((((((((( Dateien erstellt von 2008-05-21 bis 2008-06-21 ))))))))))))))))))))))))))))))
.

2008-06-21 13:58 . 2008-06-21 13:58 268 --ah----- C:\sqmdata06.sqm
2008-06-21 13:58 . 2008-06-21 13:58 244 --ah----- C:\sqmnoopt06.sqm
2008-06-18 23:43 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-06-18 23:43 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-06-18 23:43 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-06-18 23:43 . 2008-06-15 15:28 81,920 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-06-18 23:43 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe
2008-06-18 23:43 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-06-18 23:01 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-06-18 23:01 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-06-18 23:01 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-18 00:32 . 2008-06-18 08:25 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\.housecall6.6
2008-06-18 00:22 . 2008-06-18 00:22 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TmpRecentIcons
2008-06-10 22:28 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 22:28 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-09 20:44 . 2008-06-09 23:19 12,220 --a------ C:\template_css.css
2008-06-09 19:45 . 2008-06-09 19:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Creative
2008-06-09 19:45 . 2008-06-09 19:45 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Creative
2008-06-09 19:36 . 2003-06-12 23:25 7,062 --a------ C:\WINDOWS\system32\audiopid.vxd
2008-06-09 19:35 . 2006-10-06 08:17 53,248 --------- C:\WINDOWS\Ctregrun.exe
2008-06-09 19:34 . 2007-06-11 03:01 142,656 -ra------ C:\WINDOWS\system32\drivers\V0410AFX.sys
2008-06-09 19:34 . 2007-05-22 03:20 114,688 -ra------ C:\WINDOWS\system32\V0410Afx.dll
2008-06-09 19:34 . 2007-02-14 12:14 94,720 -ra------ C:\WINDOWS\system32\drivers\V0410Aud.sys
2008-06-09 19:30 . 2008-06-09 19:30 <DIR> d-------- C:\Programme\muvee Technologies
2008-06-09 19:30 . 2008-06-09 19:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\muvee Technologies
2008-06-09 19:28 . 2008-06-09 19:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\muvee Technologies
2008-06-09 19:27 . 2008-06-09 19:27 <DIR> d-------- C:\Programme\SightSpeed
2008-06-09 19:27 . 2008-06-09 19:27 80 -r-hs---- C:\WINDOWS\CT4CET.bin
2008-06-09 19:26 . 2008-06-09 19:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Reallusion
2008-06-09 19:26 . 2008-06-09 19:26 <DIR> d-------- C:\Documents and Settings
2008-06-09 19:25 . 2008-06-09 19:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Creative
2008-06-09 19:25 . 2007-02-14 12:27 5,627,904 --a------ C:\WINDOWS\system32\LiveCamVirtual.ocx
2008-06-09 19:25 . 2007-01-15 17:57 31,616 --a------ C:\WINDOWS\system32\drivers\livecamv.sys
2008-06-09 19:20 . 2008-06-09 19:35 <DIR> d-------- C:\Programme\Creative
2008-06-09 19:16 . 2004-08-03 23:10 78,464 --a------ C:\WINDOWS\system32\drivers\usbvideo.sys
2008-06-09 19:16 . 2004-08-03 23:10 78,464 --a------ C:\WINDOWS\system32\dllcache\usbvideo.sys
2008-06-09 19:16 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-06-09 19:16 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-06-09 19:16 . 2004-08-04 00:58 20,992 --a------ C:\WINDOWS\system32\dshowext.ax
2008-06-09 19:16 . 2004-08-04 00:58 20,992 --a------ C:\WINDOWS\system32\dllcache\dshowext.ax
2008-06-09 15:59 . 2008-06-09 16:32 254 --a------ C:\WINDOWS\system32\USER.SCP
2008-06-09 15:59 . 2008-06-09 16:32 254 --a------ C:\WINDOWS\system32\TEMPSCP.SCP
2008-06-05 21:38 . 2008-06-05 21:38 268 --ah----- C:\sqmdata05.sqm
2008-06-05 21:38 . 2008-06-05 21:38 244 --ah----- C:\sqmnoopt05.sqm
2008-06-02 22:00 . 2008-06-02 22:00 2,194 --a------ C:\Satellites.xml
2008-05-27 18:38 . 2008-06-21 13:19 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\skypePM
2008-05-27 18:38 . 2008-05-27 18:38 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-05-27 18:37 . 2008-06-21 13:20 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Skype
2008-05-27 18:32 . 2008-05-27 18:32 <DIR> d-------- C:\Programme\Skype
2008-05-27 18:32 . 2008-05-27 18:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-05-27 18:32 . 2008-05-27 18:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-05-26 23:25 . 2008-05-26 23:25 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TomTom
2008-05-26 23:24 . 2008-05-26 23:24 <DIR> d-------- C:\Programme\TomTom HOME 2
2008-05-26 22:29 . 2008-05-26 22:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom
2008-05-26 22:26 . 2008-05-26 23:24 <DIR> d-------- C:\Programme\TomTom HOME
2008-05-24 02:07 . 2008-05-24 02:07 <DIR> d-------- C:\Programme\CONEXANT

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-21 11:58 --------- d-----w C:\Programme\Trillian
2008-06-21 11:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-11 21:10 --------- d-----w C:\Programme\Premiere TV Guide 1.0
2008-06-11 12:11 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ICQ
2008-06-09 17:36 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-02 19:59 --------- d-----w C:\Programme\Bouquet Wizard
2008-05-29 11:13 --------- d-----w C:\Programme\Google
2008-05-28 16:29 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\XnView
2008-05-16 07:54 --------- d-----w C:\Programme\WebwatchingMirc
2008-05-16 07:51 --------- d-----w C:\Programme\MediaMonkey
2008-05-15 08:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-04-21 20:55 --------- d-----w C:\Programme\AviSynth 2.5
2008-04-21 20:53 --------- d-----w C:\Programme\eRightSoft
.
Code:
ATTFilter
<pre>
----a-w        16,633,477 2008-05-21 23:04:52  C:\Dokumente und Einstellungen\Admin\Desktop\Dbox .exe
</pre>
         

(((((((((((((((((((((((((((((((((((((((((((( Look )))))))))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Admin\Desktop\Dbox .exe -- Unable to find file version info.
MD5: 4f34a097f46d67081746848ce1022d34


((((((((((((((((((((((((((((( snapshot@2008-06-19_23.46.10.79 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-19 21:39:58 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-21 12:11:28 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-04-14 15:51:00 273,024 ------w C:\WINDOWS\Driver Cache\i386\bthport.sys
+ 2008-06-14 17:57:40 273,024 ------w C:\WINDOWS\Driver Cache\i386\bthport.sys
- 2008-06-19 21:22:43 77,916 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-06-21 12:05:04 77,916 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-06-19 21:22:43 64,372 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-06-21 12:05:04 64,372 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-06-19 21:22:43 425,128 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-06-21 12:05:04 425,128 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-06-19 21:22:43 409,232 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-06-21 12:05:04 409,232 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 10:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 11:11 925696]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12 90112]
"PTHOSTTR"="C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.exe" [2007-01-09 15:52 145184]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-31 18:01 761946]
"hpWirelessAssistant"="C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-03-28 14:13 454656]
"CognizanceTS"="C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll" [2003-12-22 20:12 17920]
"QlbCtrl"="C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-23 11:38 131072]
"Cpqset"="C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe" [2006-04-21 09:30 40960]
"Recguard"="C:\WINDOWS\Sminst\Recguard.exe" [2005-12-20 16:51 1187840]
"Reminder"="C:\WINDOWS\Creator\Remind_XP.exe" [2006-03-09 17:38 806912]
"Scheduler"="C:\WINDOWS\SMINST\Scheduler.exe" [2006-02-15 17:43 892928]
"WatchDog"="C:\Programme\InterVideo\DVD Check\DVDCheck.exe" [2006-03-31 14:58 184320]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 08:00 33648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-15 10:47 249896]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-04-25 17:44 35328]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"LVCOMS"="C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE" [2002-12-10 17:54 127022]
"LogitechGalleryRepair"="C:\Programme\Logitech\ImageStudio\ISStart.exe" [2002-12-10 18:32 155648]
"LogitechImageStudioTray"="C:\Programme\Logitech\ImageStudio\LogiTray.exe" [2002-12-10 18:31 61440]
"XM2002"="C:\Programme\IPPS\XM2002®\XM2002.exe" [ ]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"HP Software Update"="C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"V0410Mon.exe"="C:\WINDOWS\V0410Mon.exe" [2007-06-07 03:00 32768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 10:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN]
IfxWlxEN.dll 2006-03-03 17:08 434176 C:\WINDOWS\system32\IfxWlxEN.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll 2005-07-25 20:41 40960 C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I263"= i263_32.drv
"VIDC.VX1K"= VX1000S.DLL
"msacm.g723"= g723.acm
"msacm.imc"= imc32.acm
"VIDC.SP53"= SP5X_32.DLL
"VIDC.SP54"= SP5X_32.DLL
"VIDC.SP55"= SP5X_32.DLL
"VIDC.SP56"= SP5X_32.DLL
"VIDC.SP57"= SP5X_32.DLL
"VIDC.SP58"= SP5X_32.DLL
"VIDC.SP59"= SP5X_32.DLL
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\XM2002]
C:\Programme\IPPS\XM2002®\XM2002.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\SMINST\\Scheduler.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\FlashFXP\\FlashFXP.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpqnrs08.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\SightSpeed\\SightSpeed.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 PersonalSecureDrive;PersonalSecureDrive;C:\WINDOWS\system32\drivers\psd.sys [2005-11-29 18:56]
R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2005-10-21 13:19]
S2 ASChannel;Lokaler Verbindungskanal;C:\WINDOWS\System32\svchost.exe [2004-08-04 10:00]
S3 LVBulk;LVBulk Service;C:\WINDOWS\system32\DRIVERS\LVBulk.sys [2002-06-10 14:21]
S3 PID_0900_V;Logitech ClickSmart 310(PID_0900_V);C:\WINDOWS\system32\DRIVERS\LV551AV.sys [2002-06-10 14:24]
S3 RLDesignVirtualAudioCableWdm;Live! Cam Virtual;C:\WINDOWS\system32\DRIVERS\livecamv.sys [2007-01-15 17:57]
S3 V0410Afx;Creative Camera VF0410 Audio Effects Driver;C:\WINDOWS\system32\DRIVERS\V0410Afx.sys [2007-06-11 03:01]
S3 V0410Aud;Creative Camera VF0410 Noise Cancellation APO;C:\WINDOWS\system32\DRIVERS\V0410Aud.sys [2007-02-14 12:14]
S3 V0410Dev;Creative Camera VF0410 Driver;C:\WINDOWS\system32\DRIVERS\V0410Dev.sys [2007-07-04 03:00]
S3 V0410Vfx;Creative Camera VF0410 Video VFX Driver;C:\WINDOWS\system32\DRIVERS\V0410Vfx.sys [2006-12-05 07:37]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASChannel

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-21 14:11:53
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\HPQ\IAM\Bin\asghost.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\dllhost.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-06-21 14:18:33 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-21 12:17:54
ComboFix2.txt 2008-06-19 21:47:08

20 Verzeichnis(se), 56,867,610,624 Bytes frei
25 Verzeichnis(se), 56,884,543,488 Bytes frei

242 --- E O F --- 2008-06-19 22:27:59

Alt 21.06.2008, 15:45   #11
BataAlexander
> MalwareDB
 
Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt - Standard

Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt



Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code:
ATTFilter
Files::
C:\WINDOWS\system32\IfxWlxEN.dll

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IfxWlxEN]
         
3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer!)

5. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.





6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt
Editiertes HijackThis Logfile

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann

COLOR="Blue"]Datei Upload für die weiter Prüfung[/COLOR]

Lade die Datei

Zitat:
C:\WINDOWS\CT4CET.bin
C:\Satellites.xml
C:\Dokumente und Einstellungen\Admin\Desktop\Dbox .exe
bitte hier hoch.

Füge Deinen Thread Link ein, dass ist


und trage Deinen Benutzernamen ein.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 23.06.2008, 19:17   #12
BaNaNaBeck
 
Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt - Standard

Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt



COMBO FIX


ComboFix 08-06-19.1 - Administrator 2008-06-23 20:07:04.3 - NTFSx86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.689 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Administrator\Desktop\CFScript.txt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-23 bis 2008-06-23 ))))))))))))))))))))))))))))))
.

2008-06-21 13:58 . 2008-06-21 13:58 268 --ah----- C:\sqmdata06.sqm
2008-06-21 13:58 . 2008-06-21 13:58 244 --ah----- C:\sqmnoopt06.sqm
2008-06-18 23:43 . 2007-09-06 00:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2008-06-18 23:43 . 2008-05-29 09:35 86,528 --a------ C:\WINDOWS\system32\VACFix.exe
2008-06-18 23:43 . 2008-05-18 21:40 82,944 --a------ C:\WINDOWS\system32\IEDFix.exe
2008-06-18 23:43 . 2008-06-15 15:28 81,920 --a------ C:\WINDOWS\system32\IEDFix.C.exe
2008-06-18 23:43 . 2008-05-23 18:21 81,920 --a------ C:\WINDOWS\system32\404Fix.exe
2008-06-18 23:43 . 2007-10-04 00:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2008-06-18 23:01 . 2006-04-27 17:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2008-06-18 23:01 . 2003-06-05 21:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2008-06-18 23:01 . 2004-07-31 18:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2008-06-18 00:32 . 2008-06-18 08:25 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\.housecall6.6
2008-06-18 00:22 . 2008-06-18 00:22 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TmpRecentIcons
2008-06-10 22:28 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 22:28 . 2008-06-14 19:57 273,024 --------- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-09 20:44 . 2008-06-09 23:19 12,220 --a------ C:\template_css.css
2008-06-09 19:45 . 2008-06-09 19:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Creative
2008-06-09 19:45 . 2008-06-09 19:45 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Creative
2008-06-09 19:36 . 2003-06-12 23:25 7,062 --a------ C:\WINDOWS\system32\audiopid.vxd
2008-06-09 19:35 . 2006-10-06 08:17 53,248 --------- C:\WINDOWS\Ctregrun.exe
2008-06-09 19:34 . 2007-06-11 03:01 142,656 -ra------ C:\WINDOWS\system32\drivers\V0410AFX.sys
2008-06-09 19:34 . 2007-05-22 03:20 114,688 -ra------ C:\WINDOWS\system32\V0410Afx.dll
2008-06-09 19:34 . 2007-02-14 12:14 94,720 -ra------ C:\WINDOWS\system32\drivers\V0410Aud.sys
2008-06-09 19:30 . 2008-06-09 19:30 <DIR> d-------- C:\Programme\muvee Technologies
2008-06-09 19:30 . 2008-06-09 19:30 <DIR> d-------- C:\Programme\Gemeinsame Dateien\muvee Technologies
2008-06-09 19:28 . 2008-06-09 19:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\muvee Technologies
2008-06-09 19:27 . 2008-06-09 19:27 <DIR> d-------- C:\Programme\SightSpeed
2008-06-09 19:27 . 2008-06-09 19:27 80 -r-hs---- C:\WINDOWS\CT4CET.bin
2008-06-09 19:26 . 2008-06-09 19:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Reallusion
2008-06-09 19:26 . 2008-06-09 19:26 <DIR> d-------- C:\Documents and Settings
2008-06-09 19:25 . 2008-06-09 19:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Creative
2008-06-09 19:25 . 2007-02-14 12:27 5,627,904 --a------ C:\WINDOWS\system32\LiveCamVirtual.ocx
2008-06-09 19:25 . 2007-01-15 17:57 31,616 --a------ C:\WINDOWS\system32\drivers\livecamv.sys
2008-06-09 19:20 . 2008-06-09 19:35 <DIR> d-------- C:\Programme\Creative
2008-06-09 19:16 . 2004-08-03 23:10 78,464 --a------ C:\WINDOWS\system32\drivers\usbvideo.sys
2008-06-09 19:16 . 2004-08-03 23:10 78,464 --a------ C:\WINDOWS\system32\dllcache\usbvideo.sys
2008-06-09 19:16 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\drivers\USBAUDIO.sys
2008-06-09 19:16 . 2004-08-03 23:07 59,264 --a------ C:\WINDOWS\system32\dllcache\usbaudio.sys
2008-06-09 19:16 . 2004-08-04 00:58 20,992 --a------ C:\WINDOWS\system32\dshowext.ax
2008-06-09 19:16 . 2004-08-04 00:58 20,992 --a------ C:\WINDOWS\system32\dllcache\dshowext.ax
2008-06-09 15:59 . 2008-06-09 16:32 254 --a------ C:\WINDOWS\system32\USER.SCP
2008-06-09 15:59 . 2008-06-09 16:32 254 --a------ C:\WINDOWS\system32\TEMPSCP.SCP
2008-06-05 21:38 . 2008-06-05 21:38 268 --ah----- C:\sqmdata05.sqm
2008-06-05 21:38 . 2008-06-05 21:38 244 --ah----- C:\sqmnoopt05.sqm
2008-06-02 22:00 . 2008-06-02 22:00 2,194 --a------ C:\Satellites.xml
2008-05-27 18:38 . 2008-06-23 18:27 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\skypePM
2008-05-27 18:38 . 2008-05-27 18:38 56 --ah----- C:\WINDOWS\system32\ezsidmv.dat
2008-05-27 18:37 . 2008-06-23 19:56 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\Skype
2008-05-27 18:32 . 2008-05-27 18:32 <DIR> d-------- C:\Programme\Skype
2008-05-27 18:32 . 2008-05-27 18:32 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Skype
2008-05-27 18:32 . 2008-05-27 18:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-05-26 23:25 . 2008-05-26 23:25 <DIR> d-------- C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\TomTom
2008-05-26 23:24 . 2008-05-26 23:24 <DIR> d-------- C:\Programme\TomTom HOME 2
2008-05-26 22:29 . 2008-05-26 22:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TomTom
2008-05-26 22:26 . 2008-05-26 23:24 <DIR> d-------- C:\Programme\TomTom HOME
2008-05-24 02:07 . 2008-05-24 02:07 <DIR> d-------- C:\Programme\CONEXANT

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-22 20:38 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Google Updater
2008-06-21 11:58 --------- d-----w C:\Programme\Trillian
2008-06-18 21:47 6,194 ----a-w C:\WINDOWS\system32\tmp.reg
2008-06-11 21:10 --------- d-----w C:\Programme\Premiere TV Guide 1.0
2008-06-11 12:11 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\ICQ
2008-06-09 17:36 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-06-02 19:59 --------- d-----w C:\Programme\Bouquet Wizard
2008-05-29 11:13 --------- d-----w C:\Programme\Google
2008-05-28 16:29 --------- d-----w C:\Dokumente und Einstellungen\Admin\Anwendungsdaten\XnView
2008-05-16 07:54 --------- d-----w C:\Programme\WebwatchingMirc
2008-05-16 07:51 --------- d-----w C:\Programme\MediaMonkey
2008-05-15 08:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-08 12:28 202,752 ------w C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:14 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2008-05-07 05:14 1,293,312 ------w C:\WINDOWS\system32\dllcache\quartz.dll
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 621,344 ------w C:\WINDOWS\system32\dllcache\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-25 04:51 187,168 ------w C:\WINDOWS\system32\dllcache\msjint40.dll
.
Code:
ATTFilter
<pre>
----a-w        16,633,477 2008-05-21 23:04:52  C:\Dokumente und Einstellungen\Admin\Desktop\Dbox .exe
</pre>
         

((((((((((((((((((((((((((((( snapshot@2008-06-19_23.46.10.79 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-19 21:39:58 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-23 18:01:59 2,048 --s-a-w C:\WINDOWS\bootstat.dat
- 2008-04-14 15:51:00 273,024 ------w C:\WINDOWS\Driver Cache\i386\bthport.sys
+ 2008-06-14 17:57:40 273,024 ------w C:\WINDOWS\Driver Cache\i386\bthport.sys
- 2008-06-19 21:22:43 77,916 ----a-w C:\WINDOWS\system32\perfc007.dat
+ 2008-06-23 18:06:35 77,916 ----a-w C:\WINDOWS\system32\perfc007.dat
- 2008-06-19 21:22:43 64,372 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-06-23 18:06:35 64,372 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2008-06-19 21:22:43 425,128 ----a-w C:\WINDOWS\system32\perfh007.dat
+ 2008-06-23 18:06:35 425,128 ----a-w C:\WINDOWS\system32\perfh007.dat
- 2008-06-19 21:22:43 409,232 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-06-23 18:06:35 409,232 ----a-w C:\WINDOWS\system32\perfh009.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 10:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 11:11 925696]
"ATICCC"="C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe" [2006-05-10 11:12 90112]
"PTHOSTTR"="C:\Programme\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.exe" [2007-01-09 15:52 145184]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2006-03-31 18:01 761946]
"hpWirelessAssistant"="C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-03-28 14:13 454656]
"CognizanceTS"="C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll" [2003-12-22 20:12 17920]
"QlbCtrl"="C:\Programme\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-03-23 11:38 131072]
"Cpqset"="C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe" [2006-04-21 09:30 40960]
"Recguard"="C:\WINDOWS\Sminst\Recguard.exe" [2005-12-20 16:51 1187840]
"Reminder"="C:\WINDOWS\Creator\Remind_XP.exe" [2006-03-09 17:38 806912]
"Scheduler"="C:\WINDOWS\SMINST\Scheduler.exe" [2006-02-15 17:43 892928]
"WatchDog"="C:\Programme\InterVideo\DVD Check\DVDCheck.exe" [2006-03-31 14:58 184320]
"GrooveMonitor"="C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 08:00 33648]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-15 10:47 249896]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-04-25 17:44 35328]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"LVCOMS"="C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE" [2002-12-10 17:54 127022]
"LogitechGalleryRepair"="C:\Programme\Logitech\ImageStudio\ISStart.exe" [2002-12-10 18:32 155648]
"LogitechImageStudioTray"="C:\Programme\Logitech\ImageStudio\LogiTray.exe" [2002-12-10 18:31 61440]
"XM2002"="C:\Programme\IPPS\XM2002®\XM2002.exe" [2003-10-06 15:08 380928]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25 6731312]
"HP Software Update"="C:\Programme\Hp\HP Software Update\HPWuSchd2.exe" [2007-05-08 16:24 54840]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 19:54 623992]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"V0410Mon.exe"="C:\WINDOWS\V0410Mon.exe" [2007-06-07 03:00 32768]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 10:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
BTTray.lnk - C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe [2006-02-15 17:16:02 581693]
DVD Check.lnk - C:\Programme\InterVideo\DVD Check\DVDCheck.exe [2007-03-11 01:35:50 184320]
Google Updater.lnk - C:\Programme\Google\Google Updater\GoogleUpdater.exe [2007-08-30 13:29:01 125624]
HP Digital Imaging Monitor.lnk - C:\Programme\Hp\Digital Imaging\bin\hpqtra08.exe [2006-02-19 05:21:22 288472]
Logitech Desktop Messenger.lnk - C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2007-08-25 20:24:54 169472]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]
C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll 2005-07-25 20:41 40960 C:\Programme\HPQ\IAM\Bin\AsWlnPkg.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I263"= i263_32.drv
"VIDC.VX1K"= VX1000S.DLL
"msacm.g723"= g723.acm
"msacm.imc"= imc32.acm
"VIDC.SP53"= SP5X_32.DLL
"VIDC.SP54"= SP5X_32.DLL
"VIDC.SP55"= SP5X_32.DLL
"VIDC.SP56"= SP5X_32.DLL
"VIDC.SP57"= SP5X_32.DLL
"VIDC.SP58"= SP5X_32.DLL
"VIDC.SP59"= SP5X_32.DLL
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\XM2002]
--a------ 2003-10-06 15:08 380928 C:\Programme\IPPS\XM2002®\XM2002.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]
C:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\SMINST\\Scheduler.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\FlashFXP\\FlashFXP.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\Hp\\Digital Imaging\\bin\\hpqnrs08.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programme\\SightSpeed\\SightSpeed.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R1 PersonalSecureDrive;PersonalSecureDrive;C:\WINDOWS\system32\drivers\psd.sys [2005-11-29 18:56]
R3 IFXTPM;IFXTPM;C:\WINDOWS\system32\DRIVERS\IFXTPM.SYS [2005-10-21 13:19]
S2 ASChannel;Lokaler Verbindungskanal;C:\WINDOWS\System32\svchost.exe [2004-08-04 10:00]
S3 LVBulk;LVBulk Service;C:\WINDOWS\system32\DRIVERS\LVBulk.sys [2002-06-10 14:21]
S3 PID_0900_V;Logitech ClickSmart 310(PID_0900_V);C:\WINDOWS\system32\DRIVERS\LV551AV.sys [2002-06-10 14:24]
S3 RLDesignVirtualAudioCableWdm;Live! Cam Virtual;C:\WINDOWS\system32\DRIVERS\livecamv.sys [2007-01-15 17:57]
S3 V0410Afx;Creative Camera VF0410 Audio Effects Driver;C:\WINDOWS\system32\DRIVERS\V0410Afx.sys [2007-06-11 03:01]
S3 V0410Aud;Creative Camera VF0410 Noise Cancellation APO;C:\WINDOWS\system32\DRIVERS\V0410Aud.sys [2007-02-14 12:14]
S3 V0410Dev;Creative Camera VF0410 Driver;C:\WINDOWS\system32\DRIVERS\V0410Dev.sys [2007-07-04 03:00]
S3 V0410Vfx;Creative Camera VF0410 Video VFX Driver;C:\WINDOWS\system32\DRIVERS\V0410Vfx.sys [2006-12-05 07:37]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Cognizance REG_MULTI_SZ ASChannel

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-23 20:12:13
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = C:\Programme\Hewlett-Packard\Default Settings\cpqset.exe??@?????????????,?@??????V??????R?@?????,?@

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-06-23 20:15:30
ComboFix-quarantined-files.txt 2008-06-23 18:14:39
ComboFix2.txt 2008-06-21 12:18:33
ComboFix3.txt 2008-06-19 21:47:08

20 Verzeichnis(se), 56,854,765,568 Bytes frei
25 Verzeichnis(se), 56,877,371,392 Bytes frei

234 --- E O F --- 2008-06-19 22:27:59

Alt 23.06.2008, 19:19   #13
BaNaNaBeck
 
Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt - Standard

Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt



HIJACK


Logfile of Trend Micro HijackThis v2.0.2

[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Alt 23.06.2008, 21:13   #14
BataAlexander
> MalwareDB
 
Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt - Standard

Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt



Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.



Führe ein Java Update durch! Deinstalliere vorher alle alten Java Versionen (Systemsteuerung / Software). Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!

Das System nun mit Avira (vorher updaten und wie hier beschrieben einstellen) scannen.
Den Scanbericht hier posten, es kann durchaus sein das noch Kopien in der Systemwiederherstellung zu finden sind.
Nach dem scannen, setzte die Einstellungen (Heuistik) wieder zurück sie sind nicht ganz alltagstauglich.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 24.06.2008, 17:43   #15
BaNaNaBeck
 
Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt - Standard

Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt



Hier das Avira Logfile:




Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 23. Juni 2008 23:56

Es wird nach 1165085 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Abgesicherter Modus mit Netzwerk Support
Benutzername: Administrator
Computername: BANANA_BECK

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 18.03.2008 09:02:52
AVSCAN.DLL : 8.1.1.0 57601 Bytes 30.01.2008 15:10:50
LUKE.DLL : 8.1.2.9 151809 Bytes 28.02.2008 08:41:20
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.02.2008 08:39:40
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 13:08:58
ANTIVIR2.VDF : 7.0.3.62 337408 Bytes 21.03.2008 19:12:34
ANTIVIR3.VDF : 7.0.3.68 57856 Bytes 25.03.2008 08:27:50
Engineversion : 8.1.0.28
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.19 229754 Bytes 07.04.2008 15:34:44
AESCN.DLL : 8.1.0.12 115060 Bytes 07.04.2008 15:34:44
AERDL.DLL : 8.1.0.19 418164 Bytes 07.04.2008 15:34:44
AEPACK.DLL : 8.1.1.0 364918 Bytes 18.03.2008 11:20:42
AEOFFICE.DLL : 8.1.0.15 192889 Bytes 07.04.2008 15:34:44
AEHEUR.DLL : 8.1.0.15 1147253 Bytes 07.04.2008 15:34:44
AEHELP.DLL : 8.1.0.11 115061 Bytes 07.04.2008 15:34:43
AEGEN.DLL : 8.1.0.15 299379 Bytes 07.04.2008 15:34:43
AEEMU.DLL : 8.1.0.5 430450 Bytes 07.04.2008 15:34:43
AECORE.DLL : 8.1.0.25 168309 Bytes 08.04.2008 09:58:32
AVWINLL.DLL : 1.0.0.7 14593 Bytes 23.01.2008 17:05:55
AVPREF.DLL : 8.0.0.1 25857 Bytes 18.02.2008 10:29:37
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 13:25:52
AVREG.DLL : 8.0.0.0 30977 Bytes 23.01.2008 17:05:52
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 28.02.2008 08:31:27
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 23.01.2008 17:06:34
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 10.03.2008 14:34:46
RCTEXT.DLL : 8.0.32.0 86273 Bytes 06.03.2008 11:58:49

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 23. Juni 2008 23:56

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dllhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'guard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'asghost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '21' Prozesse mit '21' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '50' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Admin\Desktop\SmitfraudFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
--> SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Admin\Desktop\Awpa\AMD64\ANTIWPA.DLL
[FUND] Enthält Erkennungsmuster des SPR/Tool.JZ-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48b51034.qua' verschoben!
C:\Dokumente und Einstellungen\Admin\Desktop\gunni\keyfinder\Keks-Maschine\Keks-Maschine.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Admin\Desktop\SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c31129.qua' verschoben!
C:\Dokumente und Einstellungen\Admin\Desktop\SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d4112e.qua' verschoben!
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3T9NB6XT\All[1].js
[FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48cd13aa.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
--> SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[WARNUNG] Die Datei wurde ignoriert.
C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\Reboot.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Reboot.C-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48c31431.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix\restart.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hardoff.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d41434.qua' verschoben!


Ende des Suchlaufs: Dienstag, 24. Juni 2008 18:28
Benötigte Zeit: 18:32:06 min

Der Suchlauf wurde vollständig durchgeführt.

13412 Verzeichnisse wurden überprüft
527812 Dateien wurden geprüft
9 Viren bzw. unerwünschte Programme wurden gefunden
2 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
6 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
527803 Dateien ohne Befall
9183 Archive wurden durchsucht
4 Warnungen
6 Hinweise

Antwort

Themen zu Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt
add-on, antivir, avira, bho, bonjour, browser, computer, content.ie5, desktop, desktop weg, google, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, konvertieren, launch, logfile, object, pdf-datei, security, senden, software, system, taskmanager, toolbars, virus, virus alert, virus alert!, windows, windows xp, wmid



Ähnliche Themen: Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt


  1. Desktop und Taskleiste verschwunden
    Alles rund um Windows - 01.12.2014 (13)
  2. Taskmanager verschwunden, Systemregistry durch Admin gesperrt, mcafee Link auf dem Desktop
    Plagegeister aller Art und deren Bekämpfung - 08.02.2014 (12)
  3. Desktop leer, Taskleiste und Taskmanager weg
    Log-Analyse und Auswertung - 20.04.2012 (27)
  4. Desktop leer, Taskleiste weg und TaskManager fehlt!
    Log-Analyse und Auswertung - 26.03.2012 (5)
  5. XP - Taskmanager durch Admin gesperrt und fehlende aktive Symbole in Infobereich
    Plagegeister aller Art und deren Bekämpfung - 25.01.2012 (3)
  6. Einschnitt im Desktop und Taskleiste vervielfacht sich
    Plagegeister aller Art und deren Bekämpfung - 10.11.2011 (1)
  7. Taskleiste & Desktop Icons verschwunden und Firefoxprobleme
    Plagegeister aller Art und deren Bekämpfung - 28.04.2011 (15)
  8. Neu für Windows Azure: Admin Mode, Full IIS, Remote Desktop, VM Role und mehr
    Nachrichten - 25.02.2011 (0)
  9. Desktop und Taskleiste verschwinden!
    Log-Analyse und Auswertung - 14.12.2008 (1)
  10. Desktop + Taskleiste verschwunden!
    Plagegeister aller Art und deren Bekämpfung - 16.09.2008 (4)
  11. Alles durch Admin(Virus) gesperrt? Oo
    Plagegeister aller Art und deren Bekämpfung - 14.07.2008 (7)
  12. Desktop und Taskleiste weg
    Log-Analyse und Auswertung - 17.08.2007 (1)
  13. XP nach Neustart ohne Desktop & Taskleiste
    Plagegeister aller Art und deren Bekämpfung - 29.11.2006 (1)
  14. Desktop Und Taskleiste ´weg...hilfeee!!!
    Alles rund um Windows - 24.10.2006 (3)
  15. Kein Desktop, keine Taskleiste Startmenü :)
    Mülltonne - 25.07.2006 (1)
  16. GRAUER DESKTOP & UNBEKANNTER ORDNER IN DER TASKLEISTE
    Plagegeister aller Art und deren Bekämpfung - 03.02.2005 (21)

Zum Thema Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt - Hallo, ich habe folgendes Problem. Wenn ich WIndows starte, kommt die Taskleiste und der Desktop kurz. Dann geht er wieder weg. Dies wiederholt sich 5-8 mal und dann taucht gar - Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt...
Archiv
Du betrachtest: Taskleiste und DEsktop weg / Tasgmanger durch Admin gesperrt auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.