Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 07.10.2008, 19:55   #1
Dundrum
 
Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008 - Standard

Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008



Hallo Zusammen,

wir haben uns am Samstag nachmittag versehentlich den lästigen Trojaner installiert, welcher den Windows-Desktop in ein großes Werbebanner für Anti-Spyware verwandelt. Das Programm hat außerdem die Reiter »Desktop« und »Einstellungen« aus dem Fenster »Eigenschaften der Anzeige« entfernt. Mit großer Wahrscheinlichkeit wurde die Installationsdatei vorher von ClamWin erfolglos gescannt.

Im Betreff haben wir das Teil »xp antvir 2008« genannt - unsere Recherche hat ergeben, dass es bereits sehr viele Namen, vielleicht auch Varianten für/von diesem Trojaner gibt.

Nachdem wir bemerkt haben, was da in unserem Rechner geschehen ist, haben wir ihn vom Netzwerk getrennt und mit einem zweiten Rechner nach Möglichkeiten recherchiert, das Problem zu beheben. Als erstes haben wir ClamWin laufen lassen. Dieses Programm hat nichts gefunden. In eurem Forum sind wir dann auf SDFix und Combofix gestoßen. SDFix im abgesicherten Modus hat nichts gebracht. Irgendwie ging es nach dem Ausführen der Datei einfach nicht weiter. Combofix hat dann einige Dateien gefunden und diese gelöscht. Hiernach war auch der Desktop wieder hergestellt und die Reiter im Fenster »Eigenschaften der Anzeige« wieder da.

Um sicher zu gehen, dass der Rechner jetzt auch wirklich Clean ist, haben wir noch ff. Programme im abgesicherten Modus laufen lassen. AntiVir, Adaware, Malwarebytes… jetzt gerade läuft Superantispyware...

Wir waren und sind also wirklich bemüht unser System zu retten. Da wir aber keine Sicherheitsexperten sind, wollten wir euch hier im Forum bitten, mal über unser HijackThis Logfile zu schauen und euch um eure Meinung bitten, ob ihr denkt, dass das System wieder in Ordnung sein könnte. Natürlich sind auch Vorschläge was noch zu tun wäre sehr willkommen.

Hier das Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:59, on 2008-10-07
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
D:\Tools\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
D:\SecurityApps\Hijack\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\OFFICE~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\AdobeApps\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\AdobeApps\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [COMODO Firewall Pro] "D:\SecurityApps\Comodo\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [GrooveMonitor] "D:\OfficeApps\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [kmw_run.exe] kmw_run.exe
O4 - HKLM\..\Run: [avgnt] "D:\SecurityApps\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ibmmessages] C:\Programme\IBM\Messages By IBM\ibmmessages.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\OFFICE~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll
O9 - Extra 'Tools' menuitem: IBM Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\OFFICE~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\OFFICE~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\OFFICE~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{30B8F4A6-EF3A-4010-870A-4AD996A4220E}: NameServer = 194.25.0.69,194.25.0.70,194.25.2.129,217.5.100.185,212.201.24.17
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\OFFICE~1\MICROS~1\Office12\GR99D3~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Tools\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\SecurityApps\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\SecurityApps\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - D:\SecurityApps\Comodo\Firewall\cmdagent.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--
End of file - 6837 bytes

Mittlerweile ist auch SUPERAntiSpyware durchgelaufen - hier das Scanlog:

SUPERAntiSpyware Scan Log
h++p://www.superantispyware.com

Generated 10/07/2008 at 06:41 PM

Application Version : 4.21.1004

Core Rules Database Version : 3555
Trace Rules Database Version: 1543

Scan type : Complete Scan
Total Scan Time : 01:12:24

Memory items scanned : 190
Memory threats detected : 0
Registry items scanned : 6366
Registry threats detected : 0
File items scanned : 23304
File threats detected : 2

NotHarmful.Sysinternals Bluescreen Screen Saver
C:\SYSTEM VOLUME INFORMATION\_RESTORE{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP31\A0011258.SCR
C:\SYSTEM VOLUME INFORMATION\_RESTORE{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP31\A0011799.SCR


Bei dem Programm AntiVir hatten wir beim Versuch auf Rootkits zu scannen die Fehlermeldung, dass die dafür nötigen Treiber nicht initialisiert werden konnten. Welche Schlüsse könnt ihr hieraus ziehen?

Zur Vollständigkeit möchten wir auch noch das Logfile von AntiVir hinzufügen:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: 2008-10-07 14:56

Es wird nach 1666869 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Abgesicherter Modus
Benutzername: Administrator
Computername: TP14

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 2008-08-12 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 2008-06-26 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 2008-05-09 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 2008-06-12 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 2008-05-09 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 2007-07-18 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 2008-06-24 13:54:15
ANTIVIR2.VDF : 7.0.6.217 3773440 Bytes 2008-09-26 12:49:43
ANTIVIR3.VDF : 7.0.7.5 306688 Bytes 2008-10-07 12:49:49
Engineversion : 8.1.1.35
AEVDF.DLL : 8.1.0.5 102772 Bytes 2008-07-09 08:38:31
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 2008-10-07 12:50:22
AESCN.DLL : 8.1.0.23 119156 Bytes 2008-10-07 12:50:20
AERDL.DLL : 8.1.1.2 438644 Bytes 2008-10-07 12:50:19
AEPACK.DLL : 8.1.2.3 364918 Bytes 2008-10-07 12:50:15
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 2008-10-07 12:50:11
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 2008-10-07 12:50:09
AEHELP.DLL : 8.1.0.15 115063 Bytes 2008-07-09 08:38:31
AEGEN.DLL : 8.1.0.36 315764 Bytes 2008-10-07 12:49:57
AEEMU.DLL : 8.1.0.7 430452 Bytes 2008-10-07 12:49:53
AECORE.DLL : 8.1.1.11 172406 Bytes 2008-10-07 12:49:51
AEBB.DLL : 8.1.0.1 53617 Bytes 2008-04-24 08:50:42
AVWINLL.DLL : 1.0.0.12 15105 Bytes 2008-07-09 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 2008-05-16 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 2008-10-07 12:49:50
AVREG.DLL : 8.0.0.1 33537 Bytes 2008-05-09 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 2008-02-12 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 2008-06-12 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 2008-01-22 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 2008-06-12 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 2008-01-25 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 2008-06-12 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 2008-06-27 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: d:\securityapps\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch

Beginn des Suchlaufs: 2008-10-07 14:56

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '13' Prozesse mit '13' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '62' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windows XP>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Notebook\Desktop\Audiofiles\Cubase_Studio_4_Portable\Cubase Studio 4_Portable.rar
[0] Archivtyp: RAR
--> Cubase Studio 4_Portable\SYNSOACC.dll
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494d5dfc.qua' verschoben!
C:\Dokumente und Einstellungen\Notebook\Desktop\Audiofiles\Cubase_Studio_4_Portable\Cubase Studio 4_Portable\Cubase Studio 4_Portable\SYNSOACC.dll
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49395e18.qua' verschoben!
C:\QooBox\Quarantine\C\WINDOWS\system32\lphc15aj0el2v.exe.vir
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.aekg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49536501.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP31\A0011072.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.aekg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b67b9.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP31\A0011296.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.aekg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b67e2.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP31\A0011800.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.aekg
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b6806.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP34\A0013471.dll
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491b6849.qua' verschoben!
Beginne mit der Suche in 'D:\' <yyyyy>
Beginne mit der Suche in 'E:\' <xxxxx>


Ende des Suchlaufs: 2008-10-07 16:35
Benötigte Zeit: 1:39:11 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

9592 Verzeichnisse wurden überprüft
384831 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
3 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
7 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
384823 Dateien ohne Befall
8730 Archive wurden durchsucht
1 Warnungen
7 Hinweise

AntiVir hat einige Dateien in Quarantäne verbannt - können wir diese bedenkenlos löschen?

Zu guter letzt möchten wir noch eure Meinung hören, ob unser Hausnetzwerk Schaden genommen haben könnte. Wir haben drei Rechner an einem Intranet sowie einen weiteren der über einen Router mit den anderen verbunden, jedoch nicht im Intranet angemeldet ist.

Wir bedanken uns bei allen, die unseren Thread bis hierher überflogen oder gar gelesen haben und freuen uns auf jede Antwort.

Vielen Dank! Und alles Gute!
Dundrum

Alt 08.10.2008, 09:09   #2
schrauber
/// the machine
/// TB-Ausbilder
 

Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008 - Standard

Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008



hi Dundrum und



poste mir bitte c:\combofix.txt und die anderen logs von Malwarebytes und so.
__________________

__________________

Alt 08.10.2008, 10:43   #3
Dundrum
 
Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008 - Standard

Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008



Vielen Dank schrauber26 für deine Unterstützung,

Hier noch ein paar Logs, die wir zur Verfügung haben. Wir sind nicht ganz sicher, ob alle direkt nach dem erstens Scan erstellt wurden. Vielleicht haben wir auch manche bei einem zweiten Durchlauf wieder überschrieben.

ComboFix Log:


ComboFix 08-10-04.01 - Administrator 2008-10-07 20:51:02.3 - NTFSx86 MINIMAL
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\Dokumente und Einstellungen\Notebook\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML
C:\WINDOWS\system32\blphc15aj0el2v.scr
C:\WINDOWS\system32\lphc15aj0el2v.exe
C:\WINDOWS\system32\phc15aj0el2v.bmp

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-07 bis 2008-10-07 ))))))))))))))))))))))))))))))
.

2008-10-07 17:28 . 2008-10-07 17:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2008-10-07 17:14 . 2008-10-07 17:14 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\SUPERAntiSpyware.com
2008-10-07 17:14 . 2008-10-07 17:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-10-06 21:59 . 2008-10-06 21:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-10-05 22:21 . 2008-10-05 22:21 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-10-05 11:52 . 2008-09-26 10:49 202,048 --a------ C:\WINDOWS\system32\ftd2xx.dll
2008-10-05 11:52 . 2008-09-26 10:49 185,664 --a------ C:\WINDOWS\system32\FTLang.dll
2008-10-05 11:52 . 2008-09-26 10:49 120,128 --a------ C:\WINDOWS\system32\ftbusui.dll
2008-10-05 11:52 . 2008-09-26 10:49 57,536 --a------ C:\WINDOWS\system32\drivers\ftdibus.sys
2008-10-05 08:30 . 2008-10-05 08:30 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\Malwarebytes
2008-10-05 08:30 . 2008-10-05 08:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-05 08:30 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-05 08:30 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-05 08:03 . 2008-10-05 08:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-05 00:22 . 2008-10-05 00:22 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-10-05 00:13 . 2008-10-05 00:13 <DIR> d-------- C:\temp\ClamWinReport
2008-10-04 21:08 . 2008-10-04 21:08 <DIR> d-------- C:\temp\ComboFix
2008-10-04 21:03 . 2008-10-04 21:03 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\.clamwin
2008-10-04 20:56 . 2008-10-04 20:59 <DIR> d-------- C:\temp\sdfix
2008-10-04 18:34 . 2008-10-05 08:28 <DIR> d-------- C:\temp
2008-10-04 18:33 . 2008-10-05 08:48 67 --a------ C:\WINDOWS\Star ASF Converter.INI
2008-10-04 18:02 . 2008-10-04 18:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GeoVid
2008-10-04 14:41 . 2008-10-04 18:10 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\GeoVid
2008-10-04 14:41 . 2007-06-28 19:52 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-10-04 14:41 . 2007-06-28 19:54 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-10-04 14:41 . 2007-06-28 19:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax
2008-10-04 14:41 . 2005-06-07 16:11 60,416 --a------ C:\WINDOWS\system32\dsetup.dll
2008-10-04 14:27 . 1998-02-06 22:35 304,128 --a------ C:\WINDOWS\unin0407.exe
2008-10-04 14:26 . 2008-10-04 14:26 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\WINDOWS
2008-10-04 14:16 . 2008-10-05 11:39 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\FileZilla
2008-10-04 10:29 . 2008-10-04 10:29 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\Keseling
2008-10-02 16:02 . 2008-10-02 16:03 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\Notepad++
2008-09-29 20:16 . 2008-10-06 18:45 155 --a------ C:\WINDOWS\NeroDigital.ini
2008-09-29 20:04 . 2008-09-29 20:16 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\REAPER
2008-09-28 22:03 . 2008-09-28 22:03 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-09-28 22:03 . 2008-09-28 22:03 <DIR> d-------- C:\Programme\InterLok
2008-09-28 22:02 . 2008-09-28 22:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PACE Anti-Piracy
2008-09-28 22:02 . 2008-09-28 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\PACE Anti-Piracy
2008-09-28 22:02 . 2008-09-28 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2008-09-28 21:33 . 2008-09-28 21:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Steinberg
2008-09-28 21:33 . 2008-09-28 21:33 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\Steinberg
2008-09-28 18:58 . 2008-09-28 18:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-09-27 21:26 . 2008-09-27 21:32 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\Winamp
2008-09-27 21:26 . 2007-03-08 01:51 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-09-27 21:26 . 2007-03-08 01:51 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-09-27 21:26 . 2007-03-08 01:51 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-09-27 20:18 . 2008-09-27 20:18 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\Nero
2008-09-27 19:15 . 2008-09-27 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\.clamwin
2008-09-27 19:15 . 2008-09-27 19:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\.clamwin
2008-09-27 18:41 . 2008-09-27 18:43 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\U3
2008-09-21 19:26 . 2008-09-21 19:26 <DIR> d-------- C:\Programme\Kensington
2008-09-21 19:26 . 2003-05-27 14:47 167,936 --a------ C:\WINDOWS\system32\KMW_SHOW.EXE
2008-09-21 19:26 . 2003-05-27 14:48 110,592 --a------ C:\WINDOWS\system32\KMW_DLL.DLL
2008-09-21 19:26 . 2003-05-27 14:48 106,496 --a------ C:\WINDOWS\system32\KMW_RUN.EXE
2008-09-21 19:26 . 2003-05-27 14:58 5,248 --a------ C:\WINDOWS\system32\drivers\kmw_kbd.sys
2008-09-21 19:26 . 2003-05-27 14:58 4,736 --a------ C:\WINDOWS\system32\drivers\kmw_lib.sys
2008-09-21 19:06 . 2003-12-11 11:15 626,960 -ra------ C:\WINDOWS\system32\hpvaut32.dll
2008-09-21 19:06 . 2003-12-11 11:15 487,424 -ra------ C:\WINDOWS\system32\hpvcp70.dll
2008-09-21 19:06 . 2003-12-11 11:15 344,064 -ra------ C:\WINDOWS\system32\hpvcr70.dll
2008-09-21 19:06 . 2003-12-11 11:15 44,544 -ra------ C:\WINDOWS\system32\MSXML4a.dll
2008-09-21 19:05 . 2008-09-21 19:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2008-09-21 19:01 . 2008-09-21 19:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\HP
2008-09-21 19:01 . 2008-09-21 19:01 43,488 --a------ C:\WINDOWS\system32\drivers\AFS2K.SYS
2008-09-21 18:57 . 2004-01-05 11:44 51,056 -ra------ C:\WINDOWS\system32\drivers\hpzid412.sys
2008-09-21 18:57 . 2004-01-05 11:44 16,496 -ra------ C:\WINDOWS\system32\drivers\HPZipr12.sys
2008-09-21 18:56 . 2004-01-05 11:44 21,488 -ra------ C:\WINDOWS\system32\drivers\HPZius12.sys
2008-09-21 18:56 . 2008-04-14 00:15 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-09-21 18:56 . 2008-04-14 00:15 15,104 --a------ C:\WINDOWS\system32\dllcache\usbscan.sys
2008-09-21 18:54 . 2008-09-21 19:06 <DIR> d-------- C:\Programme\HP
2008-09-21 18:53 . 2004-01-05 11:44 38,879 --------- C:\WINDOWS\hpomdl03.dat
2008-09-21 18:53 . 2008-09-21 19:08 29,240 --a------ C:\WINDOWS\hpoins03.dat
2008-09-21 18:04 . 2008-04-14 00:15 32,128 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-09-21 18:04 . 2008-04-14 00:15 32,128 --a------ C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-09-21 18:04 . 2008-04-14 00:17 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-09-21 18:04 . 2008-04-14 00:17 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys
2008-09-21 17:48 . 2008-09-21 17:54 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\OpenOffice.org2
2008-09-21 17:47 . 2008-09-21 17:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ALM
2008-09-21 17:31 . 2008-09-21 17:31 <DIR> d-------- C:\Programme\Bonjour
2008-09-21 17:26 . 2008-09-21 17:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-09-21 17:23 . 2008-09-21 17:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-09-21 17:18 . 2008-09-21 17:18 <DIR> d-------- C:\Programme\silex technology
2008-09-21 17:07 . 2008-09-21 17:07 <DIR> d-------- C:\Programme\COMODO
2008-09-21 17:07 . 2008-09-21 17:07 249,592 --a------ C:\WINDOWS\system32\cssdll32.dll
2008-09-21 17:06 . 2008-09-21 17:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo
2008-09-21 17:06 . 2008-09-21 17:06 143,104 --a------ C:\WINDOWS\system32\guard32.dll
2008-09-21 17:06 . 2008-09-21 17:06 87,056 --a------ C:\WINDOWS\system32\drivers\cmdguard.sys
2008-09-21 17:06 . 2008-09-21 17:06 24,208 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys
2008-09-21 17:05 . 2008-09-21 17:05 <DIR> d-------- C:\Programme\TPFanControl
2008-09-21 17:05 . 2005-03-30 12:11 53,248 --a------ C:\WINDOWS\system\TVicPort.dll
2008-09-21 17:05 . 2006-10-13 03:21 20,512 --a------ C:\WINDOWS\system32\drivers\TVicPort.sys
2008-09-21 15:00 . 2008-09-21 15:00 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\vlc
2008-09-21 14:49 . 2008-09-21 14:49 <DIR> d-------- C:\Programme\NeroInstall.bak
2008-09-21 14:47 . 2008-09-21 14:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-09-21 14:47 . 2008-09-21 14:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-09-21 14:40 . 2006-10-26 19:56 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll
2008-09-21 14:39 . 2008-09-21 14:39 <DIR> d-------- C:\Programme\MSBuild
2008-09-21 14:39 . 2008-09-21 14:39 <DIR> d-------- C:\Programme\Microsoft Works
2008-09-21 14:38 . 2008-09-21 14:38 <DIR> d-------- C:\Programme\Microsoft.NET
2008-09-21 14:35 . 2008-09-21 14:38 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-09-21 14:35 . 2008-09-21 14:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-09-21 12:57 . 2008-09-21 12:57 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-09-21 12:51 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\002684_.tmp
2008-09-21 12:30 . 2008-06-23 18:14 6,066,176 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-09-21 12:30 . 2007-04-17 11:32 2,455,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-09-21 12:30 . 2007-03-08 07:09 1,040,384 --------- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-09-21 12:30 . 2008-06-23 18:14 459,264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-09-21 12:30 . 2008-06-23 18:14 383,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-09-21 12:30 . 2008-06-23 18:14 267,776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-09-21 12:30 . 2008-06-23 18:14 63,488 --------- C:\WINDOWS\system32\dllcache\icardie.dll
2008-09-21 12:30 . 2008-06-23 18:14 52,224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-09-21 12:30 . 2008-06-23 11:20 13,824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-09-21 12:29 . 2008-09-21 12:29 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\TuneUp Software
2008-09-21 12:29 . 2008-06-14 19:32 273,024 --------- C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-21 12:29 . 2006-11-23 16:45 24,072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-09-21 12:28 . 2008-10-05 00:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-21 12:28 . 2008-09-21 12:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-09-21 12:23 . 2008-09-21 17:06 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\Comodo
2008-09-21 12:21 . 2008-05-01 16:34 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll
2008-09-21 12:21 . 2008-05-08 16:02 203,136 --------- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-09-21 12:16 . 2008-04-11 21:04 691,712 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-09-21 12:15 . 2008-09-21 12:15 0 --a------ C:\WINDOWS\nsreg.dat
2008-09-21 11:53 . 2008-09-21 11:53 <DIR> d-------- C:\Programme\PowerQuest
2008-09-16 17:27 . 2008-09-18 12:55 <DIR> d-------- C:\Programme\ThinkVantage Fingerprint Software
2008-09-16 17:27 . 2008-09-16 17:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software
2008-09-16 17:26 . 2008-09-16 17:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UIB

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-28 21:27 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-21 10:22 --------- d-----w C:\Programme\Windows Media Connect
2008-09-21 10:21 --------- d-----w C:\Programme\PC-Doctor for Windows
2008-09-21 10:18 --------- d-----w C:\Programme\IBM
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2008-04-14 1695232]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"NeroHomeFirstStart"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMFirstStart.exe" [2008-02-28 19752]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"COMODO Firewall Pro"="D:\SecurityApps\Comodo\Firewall\cfp.exe" [2008-09-21 1655552]
"GrooveMonitor"="D:\OfficeApps\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 31016]
"SoundMAXPnP"="C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-11-08 512000]
"avgnt"="D:\SecurityApps\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"TpShocks"="TpShocks.exe" [2005-04-05 C:\WINDOWS\system32\TpShocks.exe]
"kmw_run.exe"="kmw_run.exe" [2003-05-27 C:\WINDOWS\system32\KMW_RUN.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "D:\SecurityApps\Superantispyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 D:\SecurityApps\Superantispyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-08-14 15:54 89600 C:\WINDOWS\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\QConGina]
2005-03-18 04:07 262144 C:\WINDOWS\system32\QConGina.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2004-08-12 21:11 24576 C:\WINDOWS\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli pwdmon psqlpwd

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"BLOG"=rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
"PSQLLauncher"="C:\Programme\ThinkVantage Fingerprint Software\launcher.exe" /startup
"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe
"QCTRAY"=C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
"QCWLICON"=C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
"EZEJMNAP"=C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
"PWRMGRTR"=rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
"TP4EX"=tp4ex.exe
"IBMPRC"=C:\IBMTOOLS\UTILS\ibmprc.exe
"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe
"TPKMAPHELPER"=C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
"dla"=C:\WINDOWS\system32\dla\tfswctrl.exe
"UpdateManager"="C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
"SoundMAX"=C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
"TPHOTKEY"=C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
"SynTPLpr"=C:\Programme\Synaptics\SynTP\SynTPLpr.exe
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd.exe"
"ClamWin"="d:\SecurityApps\ClamWin\bin\ClamTray.exe" --logon

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\OfficeApps\\Microsoft Office\\Office12\\GROOVE.EXE"=
"D:\\OfficeApps\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\silex technology\\SX Virtual Link\\Connect.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"19540:UDP"= 19540:UDP:SXUPTP

R0 Shockprf;Shockprf;C:\WINDOWS\system32\drivers\Shockprf.sys [2005-01-14 59776]
R0 TPDiskPM;TPDiskPM;C:\WINDOWS\system32\drivers\TPDiskPM.sys [2004-12-02 14208]
R3 KMW_KBD;Kensington Input Devices Class filter driver;C:\WINDOWS\system32\DRIVERS\KMW_KBD.sys [2003-05-27 5248]
R3 TPInput;TPInput;C:\WINDOWS\system32\DRIVERS\TPInput.sys [2004-12-02 6016]
R3 TPM11;NSC Integrated Trusted Platform Module 1.1;C:\WINDOWS\system32\DRIVERS\nsctpm11.sys [2005-04-21 14336]
S1 ANC;ANC;C:\WINDOWS\system32\drivers\ANC.SYS [2005-03-18 11520]
S1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-09-21 87056]
S1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-09-21 24208]
S1 IBMTPCHK;IBMTPCHK;C:\WINDOWS\system32\drivers\IBMBLDID.SYS [2005-03-18 2432]
S1 ShockMgr;ShockMgr;C:\WINDOWS\system32\drivers\ShockMgr.sys [2004-05-14 4608]
S1 TPPWRIF;TPPWRIF;C:\WINDOWS\system32\drivers\Tppwrif.sys [2005-04-14 4442]
S2 ibmfilter;ibmfilter;C:\WINDOWS\system32\drivers\ibmfilter.sys [2005-04-27 63616]
S2 smihlp;SMI Helper Driver (smihlp);C:\Programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software\Drivers\smihlp.sys [2007-08-14 10896]
S2 sxuptp;SXUPTP Driver;C:\WINDOWS\system32\DRIVERS\sxuptp.sys [2008-06-20 261912]
S2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
S3 QCNDISIF;QCNDISIF;C:\WINDOWS\system32\drivers\qcndisif.SYS [2005-03-18 12288]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
.
Inhalt des "geplante Tasks" Ordners

2008-09-21 C:\WINDOWS\Tasks\PMTask.job
- C:\PROGRA~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2005-04-14 02:01]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKCU-Run-ibmmessages - C:\Programme\IBM\Messages By IBM\ibmmessages.exe


.
------- Zusätzlicher Suchlauf -------
.
R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://www.trendmicro.com/go/hjt/win9x//?hjtver=2.0.2&winver=Windows%20NT%205.01.2600&iever=7.0.5730.13
O8 -: Nach Microsoft E&xel exportieren - D:\OFFICE~1\MICROS~1\Office12\EXCEL.EXE/3000
O17 -: HKLM\CCS\Interface\{30B8F4A6-EF3A-4010-870A-4AD996A4220E}: NameServer = 194.25.0.69,194.25.0.70,194.25.2.129,217.5.100.185,212.201.24.17
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-07 20:58:03
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...


**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\tphklock.dll

Prozess: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\pwdmon.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
D:\Tools\Ad-Aware\aawservice.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-07 21:03:25 - PC wurde neu gestartet [Administrator]
ComboFix-quarantined-files.txt 2008-10-07 19:02:21

Vor Suchlauf: 15 Verzeichnis(se), 39,237,107,712 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 39,264,452,608 Bytes frei

275 --- E O F --- 2008-10-04 22:28:09


ComboFix-quarantined-files:

2008-09-21 14:22:48 53 C:\Qoobox\Quarantine\C\Dokumente und Einstellungen\Notebook\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML.vir
2008-10-04 16:26:26 118,784 C:\Qoobox\Quarantine\C\WINDOWS\system32\blphc15aj0el2v.scr.vir
2008-10-07 18:53:22 7,121 C:\Qoobox\Quarantine\Registry_backups\tcpip.reg
2008-10-07 18:54:06 162 C:\Qoobox\Quarantine\catchme.log
2008-10-07 19:01:48 2 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-CFSServ.exe.reg.dat
2008-10-07 19:01:48 2 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-NDSTray.exe.reg.dat
2008-10-07 19:01:48 2 C:\Qoobox\Quarantine\Registry_backups\HKLM-Run-TFncKy.reg.dat
2008-10-07 19:01:52 149 C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-ibmmessages.reg.dat


Malwarebytes:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1229
Windows 5.1.2600 Service Pack 3

2008-10-05 10:09:33
mbam-log-2008-10-05 (10-09-33).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 158410
Laufzeit: 41 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Nochmals vielen Dank für die Unterstützung. Gerne posten und scannen wir weiter, wenn noch Infos benötigt werden.

Ciao
und eine sonnige Zeit
Dundrum
__________________

Alt 08.10.2008, 10:46   #4
Dundrum
 
Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008 - Standard

Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008



Der vorangegangene Beitrag wäre mit diesem Log zu lang gewesen.

AntiVir Log mit geänderten Einstellungen - allerdings nicht im abgesicherten Modus:



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Dienstag, 7. Oktober 2008 21:14

Es wird nach 1666869 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: TP14

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.6.217 3773440 Bytes 26.09.2008 12:49:43
ANTIVIR3.VDF : 7.0.7.5 306688 Bytes 07.10.2008 12:49:49
Engineversion : 8.1.1.35
AEVDF.DLL : 8.1.0.5 102772 Bytes 09.07.2008 08:38:31
AESCRIPT.DLL : 8.1.0.76 319867 Bytes 07.10.2008 12:50:22
AESCN.DLL : 8.1.0.23 119156 Bytes 07.10.2008 12:50:20
AERDL.DLL : 8.1.1.2 438644 Bytes 07.10.2008 12:50:19
AEPACK.DLL : 8.1.2.3 364918 Bytes 07.10.2008 12:50:15
AEOFFICE.DLL : 8.1.0.25 196986 Bytes 07.10.2008 12:50:11
AEHEUR.DLL : 8.1.0.59 1438071 Bytes 07.10.2008 12:50:09
AEHELP.DLL : 8.1.0.15 115063 Bytes 09.07.2008 08:38:31
AEGEN.DLL : 8.1.0.36 315764 Bytes 07.10.2008 12:49:57
AEEMU.DLL : 8.1.0.7 430452 Bytes 07.10.2008 12:49:53
AECORE.DLL : 8.1.1.11 172406 Bytes 07.10.2008 12:49:51
AEBB.DLL : 8.1.0.1 53617 Bytes 24.04.2008 08:50:42
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 07.10.2008 12:49:50
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: D:\SecurityApps\Avira\AntiVir PersonalEdition Classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Dienstag, 7. Oktober 2008 21:14

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '48793' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpKmpSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPHDEXLG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RegSrvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'QCONSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rrpcsb.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cmdagent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'btwdins.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TPFanControl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'KMW_RUN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMax4PNP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TpShocks.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'cfp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'aawservice.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'S24EvMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'EvtEng.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmpmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '45' Prozesse mit '45' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '64' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <Windows XP>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
--> 32788R22FWJFW\NirCmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 32788R22FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 32788R22FWJFW\NirCmdC.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[WARNUNG] Die Datei wurde ignoriert.
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP33\A0012769.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491bbb03.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP33\A0012778.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491bbb0c.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP33\A0012789.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491bbb11.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP33\A0012798.EXE
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491bbb15.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP35\A0013795.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491bbb2f.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP35\A0013804.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491bbb35.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP35\A0013815.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491bbb3a.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP35\A0013824.EXE
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491bbb3d.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP35\A0013844.EXE
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491bbb40.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP35\A0013864.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491bbb43.qua' verschoben!
C:\System Volume Information\_restore{017226FB-C5FE-4999-80EB-E41B3BDA380B}\RP35\A0013873.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '491bbb45.qua' verschoben!
C:\temp\ComboFix\ComboFix.exe
[0] Archivtyp: RAR SFX (self extracting)
--> 32788R22FWJFW\hidec.exe
[FUND] Enthält Erkennungsmuster des SPR/Tool.Hide.A-Programmes
--> 32788R22FWJFW\NirCmd.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 32788R22FWJFW\nircmd.com
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
--> 32788R22FWJFW\NirCmdC.cfexe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.1.B
--> 32788R22FWJFW\psexec.cfexe
[1] Archivtyp: RSRC
--> Object
[FUND] Enthält Erkennungsmuster der Anwendung APPL/PsExec.E
[WARNUNG] Die Datei wurde ignoriert.
C:\WINDOWS\Nircmd.exe
[FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.E.2.B
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '495dbbb2.qua' verschoben!
Beginne mit der Suche in 'D:\' <yyyyyy>
Beginne mit der Suche in 'E:\' <xxxxxx>


Ende des Suchlaufs: Dienstag, 7. Oktober 2008 22:06
Benötigte Zeit: 52:08 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

9619 Verzeichnisse wurden überprüft
383694 Dateien wurden geprüft
22 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
12 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
383670 Dateien ohne Befall
8732 Archive wurden durchsucht
4 Warnungen
12 Hinweise
48793 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden


Ciao
Dundrum

Alt 08.10.2008, 10:59   #5
schrauber
/// the machine
/// TB-Ausbilder
 

Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008 - Standard

Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008



lösche die combofix.exe vom desktop

===

ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 08.10.2008, 12:38   #6
Dundrum
 
Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008 - Standard

Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008



Okay... alle Abläufe durchgeführt. Und hier nun das ComboFix Log:

ComboFix 08-10-07.06 - Notebook 2008-10-08 12:20:31.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1655 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Notebook\Desktop\ComboFix.exe

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-09-08 bis 2008-10-08 ))))))))))))))))))))))))))))))
.

2008-10-07 17:28 . 2008-10-07 17:28 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\SUPERAntiSpyware.com
2008-10-07 17:14 . 2008-10-07 17:14 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\SUPERAntiSpyware.com
2008-10-07 17:14 . 2008-10-07 17:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-10-05 22:21 . 2008-10-05 22:21 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-10-05 11:52 . 2008-09-26 10:49 202,048 --a------ C:\WINDOWS\system32\ftd2xx.dll
2008-10-05 11:52 . 2008-09-26 10:49 185,664 --a------ C:\WINDOWS\system32\FTLang.dll
2008-10-05 11:52 . 2008-09-26 10:49 120,128 --a------ C:\WINDOWS\system32\ftbusui.dll
2008-10-05 11:52 . 2008-09-26 10:49 57,536 --a------ C:\WINDOWS\system32\drivers\ftdibus.sys
2008-10-05 08:30 . 2008-10-05 08:30 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\Malwarebytes
2008-10-05 08:30 . 2008-10-05 08:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-10-05 08:30 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-10-05 08:30 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-10-05 08:03 . 2008-10-05 08:04 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-10-05 00:22 . 2008-10-05 00:22 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak
2008-10-05 00:13 . 2008-10-05 00:13 <DIR> d-------- C:\temp\ClamWinReport
2008-10-04 21:08 . 2008-10-04 21:08 <DIR> d-------- C:\temp\ComboFix
2008-10-04 21:03 . 2008-10-04 21:03 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\.clamwin
2008-10-04 20:56 . 2008-10-04 20:59 <DIR> d-------- C:\temp\sdfix
2008-10-04 18:34 . 2008-10-05 08:28 <DIR> d-------- C:\temp
2008-10-04 18:33 . 2008-10-05 08:48 67 --a------ C:\WINDOWS\Star ASF Converter.INI
2008-10-04 18:02 . 2008-10-04 18:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\GeoVid
2008-10-04 14:41 . 2008-10-04 18:10 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\GeoVid
2008-10-04 14:41 . 2007-06-28 19:52 765,952 --a------ C:\WINDOWS\system32\xvidcore.dll
2008-10-04 14:41 . 2007-06-28 19:54 180,224 --a------ C:\WINDOWS\system32\xvidvfw.dll
2008-10-04 14:41 . 2007-06-28 19:55 77,824 --a------ C:\WINDOWS\system32\xvid.ax
2008-10-04 14:41 . 2005-06-07 16:11 60,416 --a------ C:\WINDOWS\system32\dsetup.dll
2008-10-04 14:27 . 1998-02-06 22:35 304,128 --a------ C:\WINDOWS\unin0407.exe
2008-10-04 14:26 . 2008-10-04 14:26 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\WINDOWS
2008-10-04 14:16 . 2008-10-05 11:39 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\FileZilla
2008-10-04 10:29 . 2008-10-04 10:29 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\Keseling
2008-10-02 16:02 . 2008-10-02 16:03 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\Notepad++
2008-09-29 20:16 . 2008-10-06 18:45 155 --a------ C:\WINDOWS\NeroDigital.ini
2008-09-29 20:04 . 2008-09-29 20:16 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\REAPER
2008-09-28 22:03 . 2008-09-28 22:03 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2008-09-28 22:03 . 2008-09-28 22:03 <DIR> d-------- C:\Programme\InterLok
2008-09-28 22:02 . 2008-09-28 22:02 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PACE Anti-Piracy
2008-09-28 22:02 . 2008-09-28 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\PACE Anti-Piracy
2008-09-28 22:02 . 2008-09-28 22:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PACE Anti-Piracy
2008-09-28 21:33 . 2008-09-28 21:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Steinberg
2008-09-28 21:33 . 2008-09-28 21:33 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\Steinberg
2008-09-28 18:58 . 2008-09-28 18:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-09-27 21:26 . 2008-09-27 21:32 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\Winamp
2008-09-27 21:26 . 2007-03-08 01:51 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2008-09-27 21:26 . 2007-03-08 01:51 9,464 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2008-09-27 21:26 . 2007-03-08 01:51 9,336 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2008-09-27 20:18 . 2008-09-27 20:18 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\Nero
2008-09-27 19:15 . 2008-09-27 19:16 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\.clamwin
2008-09-27 19:15 . 2008-09-27 19:15 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\.clamwin
2008-09-27 18:41 . 2008-09-27 18:43 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\U3
2008-09-21 19:26 . 2008-09-21 19:26 <DIR> d-------- C:\Programme\Kensington
2008-09-21 19:26 . 2003-05-27 14:47 167,936 --a------ C:\WINDOWS\system32\KMW_SHOW.EXE
2008-09-21 19:26 . 2003-05-27 14:48 110,592 --a------ C:\WINDOWS\system32\KMW_DLL.DLL
2008-09-21 19:26 . 2003-05-27 14:48 106,496 --a------ C:\WINDOWS\system32\KMW_RUN.EXE
2008-09-21 19:26 . 2003-05-27 14:58 5,248 --a------ C:\WINDOWS\system32\drivers\kmw_kbd.sys
2008-09-21 19:26 . 2003-05-27 14:58 4,736 --a------ C:\WINDOWS\system32\drivers\kmw_lib.sys
2008-09-21 19:06 . 2003-12-11 11:15 626,960 -ra------ C:\WINDOWS\system32\hpvaut32.dll
2008-09-21 19:06 . 2003-12-11 11:15 487,424 -ra------ C:\WINDOWS\system32\hpvcp70.dll
2008-09-21 19:06 . 2003-12-11 11:15 344,064 -ra------ C:\WINDOWS\system32\hpvcr70.dll
2008-09-21 19:06 . 2003-12-11 11:15 44,544 -ra------ C:\WINDOWS\system32\MSXML4a.dll
2008-09-21 19:05 . 2008-09-21 19:05 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Hewlett-Packard
2008-09-21 19:01 . 2008-09-21 19:01 <DIR> d-------- C:\Programme\Gemeinsame Dateien\HP
2008-09-21 19:01 . 2008-09-21 19:01 43,488 --a------ C:\WINDOWS\system32\drivers\AFS2K.SYS
2008-09-21 18:57 . 2004-01-05 11:44 51,056 -ra------ C:\WINDOWS\system32\drivers\hpzid412.sys
2008-09-21 18:57 . 2004-01-05 11:44 16,496 -ra------ C:\WINDOWS\system32\drivers\HPZipr12.sys
2008-09-21 18:56 . 2004-01-05 11:44 21,488 -ra------ C:\WINDOWS\system32\drivers\HPZius12.sys
2008-09-21 18:56 . 2008-04-14 00:15 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-09-21 18:56 . 2008-04-14 00:15 15,104 --a------ C:\WINDOWS\system32\dllcache\usbscan.sys
2008-09-21 18:54 . 2008-09-21 19:06 <DIR> d-------- C:\Programme\HP
2008-09-21 18:53 . 2004-01-05 11:44 38,879 --------- C:\WINDOWS\hpomdl03.dat
2008-09-21 18:53 . 2008-09-21 19:08 29,240 --a------ C:\WINDOWS\hpoins03.dat
2008-09-21 18:04 . 2008-04-14 00:15 32,128 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-09-21 18:04 . 2008-04-14 00:15 32,128 --a------ C:\WINDOWS\system32\dllcache\usbccgp.sys
2008-09-21 18:04 . 2008-04-14 00:17 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-09-21 18:04 . 2008-04-14 00:17 25,856 --a------ C:\WINDOWS\system32\dllcache\usbprint.sys
2008-09-21 17:48 . 2008-09-21 17:54 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\OpenOffice.org2
2008-09-21 17:47 . 2008-09-21 17:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ALM
2008-09-21 17:31 . 2008-09-21 17:31 <DIR> d-------- C:\Programme\Bonjour
2008-09-21 17:26 . 2008-09-21 17:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Macrovision Shared
2008-09-21 17:23 . 2008-09-21 17:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe
2008-09-21 17:18 . 2008-09-21 17:18 <DIR> d-------- C:\Programme\silex technology
2008-09-21 17:07 . 2008-09-21 17:07 <DIR> d-------- C:\Programme\COMODO
2008-09-21 17:07 . 2008-09-21 17:07 249,592 --a------ C:\WINDOWS\system32\cssdll32.dll
2008-09-21 17:06 . 2008-09-21 17:09 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\comodo
2008-09-21 17:06 . 2008-09-21 17:06 143,104 --a------ C:\WINDOWS\system32\guard32.dll
2008-09-21 17:06 . 2008-09-21 17:06 87,056 --a------ C:\WINDOWS\system32\drivers\cmdguard.sys
2008-09-21 17:06 . 2008-09-21 17:06 24,208 --a------ C:\WINDOWS\system32\drivers\cmdhlp.sys
2008-09-21 17:05 . 2008-09-21 17:05 <DIR> d-------- C:\Programme\TPFanControl
2008-09-21 17:05 . 2005-03-30 12:11 53,248 --a------ C:\WINDOWS\system\TVicPort.dll
2008-09-21 17:05 . 2006-10-13 03:21 20,512 --a------ C:\WINDOWS\system32\drivers\TVicPort.sys
2008-09-21 15:00 . 2008-09-21 15:00 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\vlc
2008-09-21 14:49 . 2008-09-21 14:49 <DIR> d-------- C:\Programme\NeroInstall.bak
2008-09-21 14:47 . 2008-09-21 14:48 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Nero
2008-09-21 14:47 . 2008-09-21 14:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-09-21 14:40 . 2006-10-26 19:56 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll
2008-09-21 14:39 . 2008-09-21 14:39 <DIR> d-------- C:\Programme\MSBuild
2008-09-21 14:39 . 2008-09-21 14:39 <DIR> d-------- C:\Programme\Microsoft Works
2008-09-21 14:38 . 2008-09-21 14:38 <DIR> d-------- C:\Programme\Microsoft.NET
2008-09-21 14:35 . 2008-09-21 14:38 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-09-21 14:35 . 2008-09-21 14:40 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-09-21 12:57 . 2008-09-21 12:57 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-09-21 12:51 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\002684_.tmp
2008-09-21 12:30 . 2008-06-23 18:14 6,066,176 --------- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-09-21 12:30 . 2007-04-17 11:32 2,455,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-09-21 12:30 . 2007-03-08 07:09 1,040,384 --------- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-09-21 12:30 . 2008-06-23 18:14 459,264 --------- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-09-21 12:30 . 2008-06-23 18:14 383,488 --------- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-09-21 12:30 . 2008-06-23 18:14 267,776 --------- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-09-21 12:30 . 2008-06-23 18:14 63,488 --------- C:\WINDOWS\system32\dllcache\icardie.dll
2008-09-21 12:30 . 2008-06-23 18:14 52,224 --------- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-09-21 12:30 . 2008-06-23 11:20 13,824 --------- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-09-21 12:29 . 2008-09-21 12:29 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\TuneUp Software
2008-09-21 12:29 . 2008-06-14 19:32 273,024 --------- C:\WINDOWS\system32\dllcache\bthport.sys
2008-09-21 12:29 . 2006-11-23 16:45 24,072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2008-09-21 12:28 . 2008-10-05 00:39 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-21 12:28 . 2008-09-21 12:30 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2008-09-21 12:23 . 2008-09-21 17:06 <DIR> d-------- C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\Comodo
2008-09-21 12:21 . 2008-05-01 16:34 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll
2008-09-21 12:21 . 2008-05-08 16:02 203,136 --------- C:\WINDOWS\system32\dllcache\rmcast.sys
2008-09-21 12:16 . 2008-04-11 21:04 691,712 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-09-21 12:15 . 2008-09-21 12:15 0 --a------ C:\WINDOWS\nsreg.dat
2008-09-21 11:53 . 2008-09-21 11:53 <DIR> d-------- C:\Programme\PowerQuest
2008-09-16 17:27 . 2008-09-18 12:55 <DIR> d-------- C:\Programme\ThinkVantage Fingerprint Software
2008-09-16 17:27 . 2008-09-16 17:27 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software
2008-09-16 17:26 . 2008-09-16 17:26 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\UIB

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-09-28 21:27 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-09-21 10:22 --------- d-----w C:\Programme\Windows Media Connect
2008-09-21 10:21 --------- d-----w C:\Programme\PC-Doctor for Windows
2008-09-21 10:18 --------- d-----w C:\Programme\IBM
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2004-11-08 512000]
"TpShocks"="TpShocks.exe" [2005-04-05 C:\WINDOWS\system32\TpShocks.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "D:\SecurityApps\Superantispyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 D:\SecurityApps\Superantispyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\psfus]
2007-08-14 15:54 89600 C:\WINDOWS\system32\psqlpwd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\QConGina]
2005-03-18 04:07 262144 C:\WINDOWS\system32\QConGina.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\tphotkey]
2004-08-12 21:11 24576 C:\WINDOWS\system32\tphklock.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ scecli pwdmon psqlpwd

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
"Fan Control Software"=C:\Programme\TPFanControl\TPFanControl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
"BLOG"=rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\BatLogEx.DLL,StartBattLog
"PSQLLauncher"="C:\Programme\ThinkVantage Fingerprint Software\launcher.exe" /startup
"HotKeysCmds"=C:\WINDOWS\system32\hkcmd.exe
"QCTRAY"=C:\Programme\ThinkPad\ConnectUtilities\QCTRAY.EXE
"QCWLICON"=C:\Programme\ThinkPad\ConnectUtilities\QCWLICON.EXE
"EZEJMNAP"=C:\PROGRA~1\ThinkPad\UTILIT~1\EzEjMnAp.Exe
"PWRMGRTR"=rundll32 C:\PROGRA~1\ThinkPad\UTILIT~1\PWRMGRTR.DLL,PwrMgrBkGndMonitor
"TP4EX"=tp4ex.exe
"IBMPRC"=C:\IBMTOOLS\UTILS\ibmprc.exe
"IgfxTray"=C:\WINDOWS\system32\igfxtray.exe
"TPKMAPHELPER"=C:\Programme\ThinkPad\Utilities\TpKmapAp.exe -helper
"dla"=C:\WINDOWS\system32\dla\tfswctrl.exe
"UpdateManager"="C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
"SoundMAX"=C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
"TPHOTKEY"=C:\PROGRA~1\ThinkPad\PkgMgr\HOTKEY\TPHKMGR.exe
"SynTPLpr"=C:\Programme\Synaptics\SynTP\SynTPLpr.exe
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
"HP Software Update"="C:\Programme\HP\HP Software Update\HPWuSchd.exe"
"ClamWin"="d:\SecurityApps\ClamWin\bin\ClamTray.exe" --logon
"COMODO Firewall Pro"="D:\SecurityApps\Comodo\Firewall\cfp.exe" -h
"SoundMAXPnP"=C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
"GrooveMonitor"="D:\OfficeApps\Microsoft Office\Office12\GrooveMonitor.exe"
"kmw_run.exe"=kmw_run.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\OfficeApps\\Microsoft Office\\Office12\\GROOVE.EXE"=
"D:\\OfficeApps\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Programme\\silex technology\\SX Virtual Link\\Connect.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"19540:UDP"= 19540:UDP:SXUPTP

R0 Shockprf;Shockprf;C:\WINDOWS\system32\drivers\Shockprf.sys [2005-01-14 59776]
R0 TPDiskPM;TPDiskPM;C:\WINDOWS\system32\drivers\TPDiskPM.sys [2004-12-02 14208]
R1 ANC;ANC;C:\WINDOWS\system32\drivers\ANC.SYS [2005-03-18 11520]
R1 cmdGuard;COMODO Firewall Pro Sandbox Driver;C:\WINDOWS\system32\DRIVERS\cmdguard.sys [2008-09-21 87056]
R1 cmdHlp;COMODO Firewall Pro Helper Driver;C:\WINDOWS\system32\DRIVERS\cmdhlp.sys [2008-09-21 24208]
R1 IBMTPCHK;IBMTPCHK;C:\WINDOWS\system32\drivers\IBMBLDID.SYS [2005-03-18 2432]
R1 ShockMgr;ShockMgr;C:\WINDOWS\system32\drivers\ShockMgr.sys [2004-05-14 4608]
R1 TPPWRIF;TPPWRIF;C:\WINDOWS\system32\drivers\Tppwrif.sys [2005-04-14 4442]
R2 ibmfilter;ibmfilter;C:\WINDOWS\system32\drivers\ibmfilter.sys [2005-04-27 63616]
R2 smihlp;SMI Helper Driver (smihlp);C:\Programme\Gemeinsame Dateien\ThinkVantage Fingerprint Software\Drivers\smihlp.sys [2007-08-14 10896]
R2 sxuptp;SXUPTP Driver;C:\WINDOWS\system32\DRIVERS\sxuptp.sys [2008-06-20 261912]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2008-04-14 14336]
R3 KMW_KBD;Kensington Input Devices Class filter driver;C:\WINDOWS\system32\DRIVERS\KMW_KBD.sys [2003-05-27 5248]
R3 TPInput;TPInput;C:\WINDOWS\system32\DRIVERS\TPInput.sys [2004-12-02 6016]
R3 TPM11;NSC Integrated Trusted Platform Module 1.1;C:\WINDOWS\system32\DRIVERS\nsctpm11.sys [2005-04-21 14336]
S3 QCNDISIF;QCNDISIF;C:\WINDOWS\system32\drivers\qcndisif.SYS [2005-03-18 12288]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2008-09-21 C:\WINDOWS\Tasks\PMTask.job
- C:\PROGRA~1\ThinkPad\UTILIT~1\PWMIDTSK.EXE [2005-04-14 02:01]
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Notebook\Anwendungsdaten\Mozilla\Firefox\Profiles\oe10bd7u.default\
FF -: plugin - D:\AdobeApps\Acrobat 8.0\Acrobat\browser\nppdf32.dll
FF -: plugin - D:\InternetApps\Mozilla Firefox\plugins\npnul32.dll
FF -: plugin - D:\InternetApps\Mozilla Firefox\plugins\NPOFF12.DLL
FF -: plugin - D:\InternetApps\Mozilla Firefox\plugins\nppdf32.dll
FF -: plugin - D:\InternetApps\Mozilla Firefox\plugins\NPSWF32.dll
FF -: plugin - D:\InternetApps\Opera\program\plugins\npdsplay.dll
FF -: plugin - D:\InternetApps\Opera\program\plugins\NPSWF32.dll
FF -: plugin - D:\InternetApps\Opera\program\plugins\npwmsdrm.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-08 12:24:25
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

Prozess: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\tphklock.dll

Prozess: C:\WINDOWS\system32\lsass.exe
-> C:\WINDOWS\system32\pwdmon.dll
.
------------------------ Weitere laufende Prozesse ------------------------
.
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\ati2evxx.exe
D:\Tools\Ad-Aware\aawservice.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
D:\SecurityApps\Comodo\Firewall\cmdagent.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\WINDOWS\system32\QCONSVC.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\TPHDEXLG.exe
C:\WINDOWS\system32\TpKmpSvc.exe
C:\WINDOWS\system32\wdfmgr.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-10-08 12:28:20 - PC wurde neu gestartet [Notebook]
ComboFix-quarantined-files.txt 2008-10-08 10:27:48
ComboFix2.txt 2008-10-07 19:03:26

Vor Suchlauf: 15 Verzeichnis(se), 37,393,072,128 Bytes frei
Nach Suchlauf: 18 Verzeichnis(se), 37,378,367,488 Bytes frei

285 --- E O F --- 2008-10-04 22:28:09


Vielen Dank für die Unterstützung
Dundrum

Alt 09.10.2008, 00:18   #7
schrauber
/// the machine
/// TB-Ausbilder
 

Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008 - Standard

Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008




Kaspersky - Onlinescanner


Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online-Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 09.10.2008, 12:12   #8
Dundrum
 
Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008 - Standard

Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008



Hallo schrauber,

wir haben anstatt des Online-Scanns einen Durchlauf mit der Kaspersky-Testversion (30 Tage voll funktionsfähig) durchgeführt. Ist das okay?

Hier das Logfile:

Schnelle Suche: abgeschlossen 2008-10-09 10:57 (Ereignis: 2, Objekte: 2448, Zeit: 00:05:42)
2008-10-09 10:10 Die Aufgabe wurde beendet
2008-10-09 10:08 Gefunden: http://www.viruslist.com/de/advisories/30150 d:\officeapps\microsoft office\office12\mspub.exe
2008-10-09 10:08 Gefunden: http://www.viruslist.com/de/advisories/30599 d:\officeapps\openoffice.org 2.0\program\soffice.exe
2008-10-09 10:07 Gefunden: http://www.viruslist.com/de/advisories/28506 d:\officeapps\microsoft office\office12\excel.exe
2008-10-09 10:07 Gefunden: http://www.viruslist.com/de/advisories/30143 d:\officeapps\microsoft office\office12\winword.exe
2008-10-09 10:06 Aufgabe wurde gestartet
Schnelle Suche: abgeschlossen 2008-10-09 10:57 (Ereignis: 2, Objekte: 2448, Zeit: 00:05:42)
2008-10-09 10:19 Aufgabe wurde gestartet
2008-10-09 10:20 Gefunden: http://www.viruslist.com/de/advisories/31454 d:\officeapps\microsoft office\office12\excel.exe
2008-10-09 10:20 Gefunden: http://www.viruslist.com/de/advisories/30143 d:\officeapps\microsoft office\office12\winword.exe
2008-10-09 10:21 Gefunden: http://www.viruslist.com/de/advisories/30150 d:\officeapps\microsoft office\office12\mspub.exe
2008-10-09 10:21 Gefunden: http://www.viruslist.com/de/advisories/30599 d:\officeapps\openoffice.org 2.0\program\soffice.exe
2008-10-09 11:13 Gefunden: http://www.viruslist.com/de/advisories/28083 C:\WINDOWS\system32\Macromed\Flash\FlDbg9c.ocx
2008-10-09 11:13 Gefunden: http://www.viruslist.com/de/advisories/28083 C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
2008-10-09 11:14 Gefunden: http://www.viruslist.com/de/advisories/30832 d:\AdobeApps\Acrobat 8.0\Acrobat\plug_ins\Annots.api
2008-10-09 11:16 Gefunden: http://www.viruslist.com/de/advisories/28083 d:\AdobeApps\Adobe Bridge CS3\browser\plugins\NPSWF32.dll
2008-10-09 11:18 Gefunden: http://www.viruslist.com/de/advisories/28083 d:\AdobeApps\Adobe Dreamweaver CS3\configuration\Plugins\NPSWF32.dll
2008-10-09 11:20 Gefunden: http://www.viruslist.com/de/advisories/28083 d:\InternetApps\Mozilla Firefox\plugins\NPSWF32.dll
2008-10-09 11:20 Gefunden: http://www.viruslist.com/de/advisories/28083 d:\InternetApps\Opera\program\plugins\NPSWF32.dll
2008-10-09 11:22 Gefunden: http://www.viruslist.com/de/advisories/31454 d:\officeapps\microsoft office\office12\excel.exe
2008-10-09 11:22 Gefunden: http://www.viruslist.com/de/advisories/30150 d:\officeapps\microsoft office\office12\mspub.exe
2008-10-09 11:22 Gefunden: http://www.viruslist.com/de/advisories/30143 d:\officeapps\microsoft office\office12\winword.exe
2008-10-09 11:23 Gefunden: http://www.viruslist.com/de/advisories/30599 d:\officeapps\openoffice.org 2.0\program\soffice.bin
2008-10-09 11:29 Aufgabe wurde abgeschlossen
Schnelle Suche: abgeschlossen 2008-10-09 10:57 (Ereignis: 2, Objekte: 2448, Zeit: 00:05:42)
2008-10-09 10:51 Aufgabe wurde gestartet
2008-10-09 10:57 Aufgabe wurde abgeschlossen


Wie sieht es denn grundsätzlich aus? Der Rechner scheint doch in Ordnung oder was meinst du?

Besteht eine Gefahr, dass unsere Netzwerk Rechner ebenfalls infiziert sind? Und was sollen wir mit den Dateien im Quarantäne-Ordner anstellen? Können wir diese bedenkenlos löschen?

Ciao
und nochmal vielen Dank für deine Unterstützung
Dundrum

Alt 09.10.2008, 23:19   #9
schrauber
/// the machine
/// TB-Ausbilder
 

Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008 - Standard

Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008



für die netzwerkrechner denke ich nicht, aber ein onlinescan an diesen kann nicht schaden.



Combofix Deinstallieren


Klick auf Start -> Ausführen -> eintippen combofix /U



Damit ist Combofix und alle weiteren Programme entfernt wurden.

===

Tool-Bereinigung mit OTCleanIt
Bitte lade Dir OTCleanIt von OldTimer herunter.
  • Speichere es auf Deinem Desktop.
  • Doppelklick auf OTCleanIt.exe um das Programm auszuführen.
  • Eine Datei* sollte nun heruntergeladen werden.
    *Das ist eine Datei mit einer Liste von Helferprogrammen, die dann automatisch von Deinem System entfernt werden.
  • OTCleanIt fragt eventuell nach einem Neustart.
    Sollte es dies tun, so lasse dies bitte zu.
Anmerkung: Nach dem Neustart werden OTCleanIt und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind.

===

Systemwiederherstellung deaktivieren und wieder aktivieren:
  • •*Windows XP: Deaktiviere die
    Systemwiederherstellung
    •*Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
    •*Wähle den Reiter Systemwiederherstellung
    •*Mache einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => drücke "übernehmen"
    •*der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
    •*den Haken wieder entfernen und OK drücken
    •*wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten

===

diesen onlinescan machen

F-Secure Support-Seiten: F-Secure Online-Virenscanner

===

neues hjt-log posten.
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 10.10.2008, 21:14   #10
Dundrum
 
Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008 - Standard

Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008



Guten Abend Schrauber,

wir haben alle Punkte abgearbeitet - f-secure hat nichts mehr gefunden.
Hier das Hjt-log:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:25, on 2008-10-10
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
D:\Tools\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\TpShocks.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
C:\WINDOWS\System32\QCONSVC.EXE
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TPHDEXLG.EXE
C:\WINDOWS\system32\TpKmpSVC.exe
D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\wscntfy.exe
D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\Common\FSMA32.EXE
D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\Common\FSMB32.EXE
D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\Common\FCH32.EXE
D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\Common\FSM32.EXE
D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\Anti-Virus\fsqh.exe
D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\FSAUA\program\fsaua.exe
D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\Common\FAMEH32.EXE
D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\FWES\Program\fsdfwd.exe
D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\FSAUA\program\fsus.exe
D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\FSGUI\fsguidll.exe
D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\Anti-Virus\fsav32.exe
D:\SecurityApps\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://www.comodo.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h++p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h++p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h++p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h++p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\OFFICE~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\AdobeApps\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\AdobeApps\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [TpShocks] TpShocks.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [F-Secure Manager] "D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://D:\AdobeApps\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\AdobeApps\Acrobat 

8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\AdobeApps\Acrobat 

8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\AdobeApps\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\AdobeApps\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\AdobeApps\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\OFFICE~1\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\AdobeApps\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\AdobeApps\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll
O9 - Extra 'Tools' menuitem: IBM Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\IBM\Java142\jre\bin\NPJPI142.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\OFFICE~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\OFFICE~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\OFFICE~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\ThinkPad\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [JAVA_IBM] Java (IBM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{30B8F4A6-EF3A-4010-870A-4AD996A4220E}: NameServer = 194.25.0.69,194.25.0.70,194.25.2.129,217.5.100.185,212.201.24.17
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\OFFICE~1\MICROS~1\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - D:\SecurityApps\Superantispyware\SASWINLO.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Tools\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\ThinkPad\Bluetooth Software\bin\btwdins.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\FSAUA\program\fsaua.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - D:\SecurityApps\Kaspersky trial\F-Secure Internet Security\ORSP Client\fsorsp.exe
O23 - Service: IBM Rapid Restore Ultra Service - Unknown owner - C:\Programme\IBM\IBM Rapid Restore Ultra\rrpcsb.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: IBM PSA Access Driver Control (PsaSrv) - Unknown owner - C:\WINDOWS\system32\PsaSrv.exe (file missing)
O23 - Service: QCONSVC - IBM Corp. - C:\WINDOWS\System32\QCONSVC.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: IBM HDD APS Logging Service (TPHDEXLGSVC) - IBM Corporation - C:\WINDOWS\System32\TPHDEXLG.EXE
O23 - Service: IBM KCU Service (TpKmpSVC) - Unknown owner - C:\WINDOWS\system32\TpKmpSVC.exe

--
End of file - 10310 bytes
         

Klasse, dass wir anscheinend ohne eine Neuinstallation auskommen (?).

Immer wieder vielen Dank für deine Hilfe
Ciao
Dundrum

Alt 10.10.2008, 23:21   #11
schrauber
/// the machine
/// TB-Ausbilder
 

Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008 - Standard

Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008



clean
__________________
gruß,
schrauber

Proud Member of UNITE and ASAP since 2009

Spenden
Anleitungen und Hilfestellungen
Trojaner-Board Facebook-Seite

Keine Hilfestellung via PM!

Alt 11.10.2008, 10:49   #12
Dundrum
 
Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008 - Daumen hoch

Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008



Hallo schrauber,

Vielen Dank für die stete Unterstützung und die professionelle Analyse! Ihr seid eine tolle community

Viel Glück und alles Gute

Dundrum

Antwort

Themen zu Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008
0 bytes, abgesicherten modus, ad-aware, antivir, antivirus, antvir, audiofiles, avgnt, avgnt.exe, avira, bho, bluescree, bluescreen, bonjour, browser, combofix, computer, ctfmon.exe, cubase, hijack, hijackthis, hijackthis logfile, hkus\s-1-5-18, internet, internet explorer, intranet, letzt, logfile, netzwerk, problem, programm, senden, sicherheitsexperten, software, studio, suchlauf, system, trojaner, verweise, virus gefunden, warnung, windows xp, windows xp sp3, xp sp3



Ähnliche Themen: Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008


  1. Doch noch Reste nach Erfolgreicher Bekämpfung Re-Infekt Malaha.net?
    Plagegeister aller Art und deren Bekämpfung - 13.06.2015 (7)
  2. Trojaner nach erfolgreicher Bekämpfung wieder da! | Win32/Small.CA und Zwangs-Neustarts
    Plagegeister aller Art und deren Bekämpfung - 14.05.2013 (11)
  3. Log nach scheinbar erfolgreicher(?)Entfernung von ,,System Progressive Protection''
    Log-Analyse und Auswertung - 14.10.2012 (21)
  4. Nach Befall von Exploit.Drop.GS und Trojan.PWS - Pc trotz angeblicher erfolgreicher Bereinigung immer noch langsam
    Plagegeister aller Art und deren Bekämpfung - 02.10.2012 (32)
  5. Ende des Mainstream-Supports für Windows Server 2008 und 2008 R2 steht fest
    Nachrichten - 25.09.2012 (0)
  6. Weiterleitung zu Babylon nach erfolgreicher anmeldung bei Facebook
    Log-Analyse und Auswertung - 22.09.2012 (1)
  7. Nach GVU Trojaner Entfernung RUNDLL Fehlermeldung nach Systemstart ?
    Plagegeister aller Art und deren Bekämpfung - 11.07.2012 (2)
  8. Ubuntu nach erfolgreicher Installation nicht bootfähig + verloren gegangener Speicherplatz
    Alles rund um Mac OSX & Linux - 04.07.2012 (36)
  9. Nach Antivirus 2008 Infektion, Reste von Tdssserv.sys
    Plagegeister aller Art und deren Bekämpfung - 09.08.2009 (18)
  10. Bitte um Auswertung nach (hoffentlich) erfolgreicher Virusbeseitigung
    Log-Analyse und Auswertung - 30.11.2008 (3)
  11. Bluescreen trotz (hoffentlich) erfolgreicher VIrenbeseitigung
    Log-Analyse und Auswertung - 22.09.2008 (0)
  12. Warnung von Avira Antvir
    Antiviren-, Firewall- und andere Schutzprogramme - 22.09.2008 (6)
  13. System nach Antivirus XP 2008
    Log-Analyse und Auswertung - 18.09.2008 (10)
  14. Nach Antivirus XP 2008 fehlt etwas
    Log-Analyse und Auswertung - 13.09.2008 (3)
  15. Diverse Probleme nach Antivirus 2008 xp / W32/Polip.A
    Plagegeister aller Art und deren Bekämpfung - 06.09.2008 (16)
  16. Probleme nach Entfernung von "Antivir XP 2008"
    Plagegeister aller Art und deren Bekämpfung - 18.08.2008 (1)
  17. HJT-Log nach hoffentlich erfolgreicher Säuberung
    Log-Analyse und Auswertung - 10.08.2005 (3)

Zum Thema Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008 - Hallo Zusammen, wir haben uns am Samstag nachmittag versehentlich den lästigen Trojaner installiert, welcher den Windows-Desktop in ein großes Werbebanner für Anti-Spyware verwandelt. Das Programm hat außerdem die Reiter »Desktop« - Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008...
Archiv
Du betrachtest: Log nach hoffentlich erfolgreicher Entfernung von xp antvir 2008 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.