Trojaner-Board - Pop-ups mit Virenwarnung, HJT-Starten unterbinden

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Pop-ups mit Virenwarnung, HJT-Starten unterbinden - vermute Trojaner (https://www.trojaner-board.de/49678-pop-ups-virenwarnung-hjt-starten-unterbinden-vermute-trojaner.html)

Tobasco

20.02.2008 12:44

Pop-ups mit Virenwarnung, HJT-Starten unterbinden - vermute Trojaner

Hallo,

seit gestern habe ich regelmäßig ein Pop-up mit einer Virenwarnung, die aussagt:
Trojan Adware.W32.ExpDwnlodr spyware detected und mich dann auf eine Website ziehen will. Hab einiges drüber gelesen und auch versucht es mit SmitfraudFix zu beheben. Ohne Erfolg.
Ebenso habe ich eine Norton Antivir Warnung bekommen über den HTTP Trojan Vundo Activity. Dafür habe ich ein Symantec Removal Tool genutzt. Hoffe der ist weg. Das Pop-up bleibt allerdings. Ad-Aware hat auch einmal klar Tisch gemacht. Ohne Erfolg bzgl. dem Pop-up.

Als ich dann HJT nutzen wollte, beendete sich das Programm immer, sobald ich auf Log speichern klickte. Hab die Exe einfach in ABC umbenannt, nun ging es.

Meine letzte Hoffnung ist nun, dass ihr mir mit dem Log helfen könnt. Wäre euch sehr dankbar.

__________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:32:34, on 20.2.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\sistray.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Multimedia Keyboard\KbdAp32A.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\msiconf.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\xxx\Desktop\ABC.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 100.100.100.1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 100.100.100.1:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 3000
1000
8000;<local>
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: {b3640cf4-a5ef-c158-c1d4-75388a73fdd0} - {0ddf37a8-8357-4d1c-851c-fe5a4fc0463b} - C:\WINDOWS\system32\imiihjse.dll
O2 - BHO: (no name) - {182C7ED7-E56D-4509-9D9B-AC49318D9895} - C:\WINDOWS\system32\ssqqrqq.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {AC297A4F-452C-4409-A7A0-C13858D4E360} - C:\WINDOWS\system32\ddccy.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Multimedia Keyboard\KbdAp32A.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mspd] C:\WINDOWS\system32\mspd.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [34b821ea] rundll32.exe "C:\WINDOWS\system32\nkktiawg.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [msiconf.exe] msiconf.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Audible Download Manager.lnk = C:\Programme\Audible\Bin\AudibleDownloadHelper.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1163577680265
O17 - HKLM\System\CCS\Services\Tcpip\..\{14917138-20D5-4E11-ADDB-ACADB897622B}: NameServer = 100.100.100.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA5ED244-C85A-408A-A01A-D41CF4EDFBB4}: NameServer = 100.100.100.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{14917138-20D5-4E11-ADDB-ACADB897622B}: NameServer = 100.100.100.1
O20 - Winlogon Notify: ssqqrqq - C:\WINDOWS\SYSTEM32\ssqqrqq.dll
O20 - Winlogon Notify: winjvd32 - winjvd32.dll (file missing)
O21 - SSODL: RomAlrt - {97a27373-658b-42cb-b0ab-2f6cc721e6f9} - C:\WINDOWS\Installer\{97a27373-658b-42cb-b0ab-2f6cc721e6f9}\RomAlrt.dll
O21 - SSODL: zip - {76ddbbf1-650c-4b8a-b2a0-2a751836f267} - C:\WINDOWS\Installer\{76ddbbf1-650c-4b8a-b2a0-2a751836f267}\zip.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 10791 bytes

______________

Danke für die Mühe

myrtille

20.02.2008 23:53

Hi,
lasse bitte folgende Datei bei virustotal auswerten:

Zitat:

C:\WINDOWS\system32\mspd.exe

Erstelle außerdem bitte noch Logs mit den beiden folgenden Tools und poste sie hier:

Anleitung VundoFix:

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.
* Es sollte sich ein Logfile öffnen, poste dieses im Board

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen. (Option 1)

http://www.castlecops.com/zx/sjpritch25/Fix01b.jpg

-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Danach greifen wir dann richtig an.

lg myrtille

Tobasco

21.02.2008 09:49

Vielen vielen Dank fürs Helfen.

Virustotal sagt folgendes:

MD5: a5ae20750b3cd9f16e851da7827250e1
Datum 2008.02.16 00:33:46 (CET) [>5D]
Ergebnisse 0/32
Permalink: hxxp://www.virustotal.com/de/analisis/1996cdfd9bfc6b1025d7b0e926d52b4d

Nun lasse ich VundoFix laufen.

Tobasco

21.02.2008 10:19

So,

VundoFix hat nix gefunden, von daher auch keine Desktop Symbole gelöscht und kein Report ausgegeben.

Allerdings: Ich habe gestern (hoffentlich nicht zu voreilig?) aus der Hüfte geschossen und Blacklight sowie ComboFix drüber gejagt.

Ergebnisse von gestern:

02/20/08 15:32:14 [Info]: BlackLight Engine 1.0.67 initialized
02/20/08 15:32:14 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/20/08 15:32:14 [Note]: 7019 4
02/20/08 15:32:14 [Note]: 7005 0
02/20/08 15:32:20 [Note]: 7006 0
02/20/08 15:32:20 [Note]: 7011 956
02/20/08 15:32:20 [Note]: 7026 0
02/20/08 15:32:20 [Note]: 7026 0
02/20/08 15:32:24 [Note]: FSRAW library version 1.7.1024
02/20/08 15:42:07 [Note]: 2000 1012
02/20/08 15:43:35 [Note]: 7007 0

ComboFix 08-02-20.2 - Tobias 2008-02-20 17:02:26.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.541 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ddccy.dll
C:\WINDOWS\system32\ssqqrqq.dll
C:\WINDOWS\system32\ddccy.dll
C:\WINDOWS\system32\gwaitkkn.ini
C:\WINDOWS\system32\imiihjse.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\msiconf.exe
C:\WINDOWS\system32\nkktiawg.dll
C:\WINDOWS\system32\ssqqrqq.dll
C:\WINDOWS\system32\tuvtttq.dll
C:\WINDOWS\system32\winupdate.exe
C:\WINDOWS\system32\yccdd.ini
C:\WINDOWS\system32\yccdd.ini2

.
((((((((((((((((((((((( Dateien erstellt von 2008-01-20 bis 2008-02-20 ))))))))))))))))))))))))))))))
.

2008-02-20 08:56 . 2008-02-20 16:43 3,816 --a------ C:\WINDOWS\system32\tmp.reg
2008-02-20 07:30 . 2008-02-20 07:30 15,872 --a------ C:\Programme\tmp406468.exe
2008-02-20 07:30 . 2008-02-20 07:30 15,872 --a------ C:\Programme\tmp406421.exe
2008-02-19 16:59 . 2008-02-19 16:59 <DIR> d-------- C:\Programme\Lavasoft
2008-02-19 16:59 . 2008-02-19 17:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-19 16:58 . 2008-02-19 16:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-19 16:50 . 2008-02-19 17:00 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\WinXProtector
2008-02-19 11:36 . 2008-02-19 11:36 15,872 --a------ C:\Programme\tmp11075218.exe
2008-02-19 11:36 . 2008-02-19 11:36 15,872 --a------ C:\Programme\tmp11075125.exe
2008-02-19 11:36 . 2008-02-19 11:36 15,872 --a------ C:\Programme\tmp11074671.exe
2008-01-21 14:46 . 2008-01-25 18:17 215 --a------ C:\WINDOWS\url2bmp.INI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-20 16:08 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-02-20 15:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-02-05 12:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-01 11:11 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-02-01 11:11 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-02-01 11:11 10,740 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-02-01 11:11 --------- d-----w C:\Programme\Symantec
2008-01-30 13:52 --------- d-----w C:\Programme\iPodder
2008-01-30 13:52 --------- d-----w C:\Programme\FlashGet
2008-01-18 15:07 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Screeny
2008-01-18 15:02 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-01-18 15:02 716,800 ------w C:\WINDOWS\Setup1.exe
2008-01-17 15:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdf995
2008-01-15 08:54 10,537 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.cat
2008-01-15 04:28 706 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.inf
2008-01-12 17:32 23,904 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.sys
2008-01-10 16:22 --------- d-----w C:\Programme\VistaCodecPack
2007-11-20 13:46 45,056 -c--a-w C:\WINDOWS\NCUNINST.EXE
2007-06-21 12:19 50 -c--a-w C:\Programme\NORTON Internet Security.txt
2007-06-21 12:16 47,231,928 -c--a-w C:\Programme\NIS071020GE.exe
2006-10-17 07:18 34,473,519 -c--a-w C:\Programme\NAV061220GE.exe
2006-08-31 15:27 598,399 -c--a-w C:\Programme\JHymn_0_9_2_win.zip
2006-08-31 14:16 4,506,024 -c--a-w C:\Programme\Cole2k.Media.-.Nero.Audio.Plugin.Pack V1.5.3.Setup.exe
2006-07-18 08:41 588,201 -c--a-w C:\Programme\lame3.96.1.zip
2006-03-28 08:09 1,181,812 -c--a-w C:\Programme\flvplayer_setup.exe
2006-01-11 20:31 992,399 ----a-w C:\Programme\JHymn.exe
2005-12-12 13:05 9,873,824 ----a-w C:\Programme\fotokasten_Comfort_2.0.exe
2005-02-14 11:21 3,483,648 -c--a-w C:\Programme\PDF_Maker.exe
2004-07-26 10:12 187,904 -c--a-w C:\Programme\lame.exe
2004-07-21 14:27 1,950,272 -c--a-w C:\Programme\ppviewer.exe
2003-10-23 15:52 40,960 -c--a-w C:\Programme\Uninstall_CDS.exe
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-21 09:50 68856]
"msiconf.exe"="msiconf.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 11:15 106496]
"Cmaudio"="cmicnfg.cpl" []
"SiS Tray"="C:\WINDOWS\System32\sistray.EXE" [2003-10-30 13:10 667648]
"SiS Windows KeyHook"="C:\WINDOWS\System32\keyhook.exe" [2003-10-30 13:09 249856]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"SoundMan"="SOUNDMAN.EXE" [2006-03-01 09:22 577536 C:\WINDOWS\SOUNDMAN.EXE]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-11-03 18:20 866584]
"FLMK08KB"="C:\Programme\Multimedia Keyboard\KbdAp32A.exe" [2007-02-27 16:16 380928]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 22:59 115816]
"osCheck"="C:\Programme\Norton Internet Security\osCheck.exe" [2007-01-14 00:11 771704]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 09:22 517768]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24 286720]
"mspd"="C:\WINDOWS\system32\mspd.exe" [2003-08-27 22:22 389632]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-26 13:42 267064]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2005-03-03 21:47 483328]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2005-04-25 12:45 36040]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"RomAlrt"= {97a27373-658b-42cb-b0ab-2f6cc721e6f9} - C:\WINDOWS\Installer\{97a27373-658b-42cb-b0ab-2f6cc721e6f9}\RomAlrt.dll [2008-02-19 11:35 14374]
"zip"= {76ddbbf1-650c-4b8a-b2a0-2a751836f267} - C:\WINDOWS\Installer\{76ddbbf1-650c-4b8a-b2a0-2a751836f267}\zip.dll [2008-02-20 07:33 24102]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjvd32]
winjvd32.dll

R2 ACEDRV09;ACEDRV09;C:\WINDOWS\system32\drivers\ACEDRV09.sys [2007-09-24 13:24]
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2007-01-10 12:45]
S3 BQS88CDC;BenQ S88 Driver;C:\WINDOWS\system32\DRIVERS\bqs88cdc.sys [2004-12-07 05:52]
S3 MTK;Media Technology Kernel Driver;C:\WINDOWS\system32\Drivers\fide.sys [2004-05-28 08:46]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-01-25 18:31]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0787c824-44a9-11db-aa6b-000b6a483ab3}]
\Shell\AutoRun\command - E:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0925b69e-2f7d-11dc-ab8d-0019212982d6}]
\Shell\AutoRun\command - explorer.exe http://"www.web-stick.com"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{553d41d3-e8c3-11db-ab31-0019212982d6}]
\Shell\AutoRun\command - F:\podcastready.exe

*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
"2008-02-20 16:11:40 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
"2007-06-21 09:53:22 C:\WINDOWS\Tasks\Norton Internet Security - Systemprüfung ausführen - Tobias.job"

____________

Zusatzinfo: Ab danach gab Norton immer eine fehlermeldung beim Phishing Schutz aus. Nach befolgter Anweisung auf den Symantec Seiten und Eintrag in der Registry geht das aber wieder.

Und heute morgen gab es folgende Fehlermeldungen:
Norton blockierte Downloader.MisleadApp
Und synpower.exe, winsys.exe, svhost.exe und 16sv.exe wollten nach aussen Kontakt aufnehmen, hab die Firewall mal blocken lassen.

Nun der heutige Scan von SmitfraudFix:

SmitFraudFix v2.292

Scan done at 10:09:05.31, 2008-02-21
Run from C:\Dokumente und Einstellungen\XXX\Desktop\Sicherheit\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\sistray.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Multimedia Keyboard\KbdAp32A.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

»»»»»»»»»»»»»»»»»»»»»»»» C:\

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\XXX

»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\XXX\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\XXX\FAVORI~1

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport
DNS Server Search Order: 100.100.100.1

Description: Realtek RTL8139-Familie-PCI-Fast Ethernet-NIC - Paketplaner-Miniport
DNS Server Search Order: 100.100.100.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{14917138-20D5-4E11-ADDB-ACADB897622B}: NameServer=100.100.100.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{FA5ED244-C85A-408A-A01A-D41CF4EDFBB4}: NameServer=100.100.100.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{14917138-20D5-4E11-ADDB-ACADB897622B}: NameServer=100.100.100.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{FA5ED244-C85A-408A-A01A-D41CF4EDFBB4}: NameServer=100.100.100.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{14917138-20D5-4E11-ADDB-ACADB897622B}: NameServer=100.100.100.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{FA5ED244-C85A-408A-A01A-D41CF4EDFBB4}: NameServer=100.100.100.1

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

Dann bin ich mal gespannt wie es weiter geht.
Schon im vorraus vielen Dank

myrtille

21.02.2008 10:24

Naja, wenn du Combofix vorher hast drüberlaufen lassen, ist es kein Wunder, das Vundofix nichts gefunden hat. :p

Zitat:

synpower.exe, winsys.exe, svhost.exe und 16sv.exe

Allerdings machen mir die von dir genannten Dateien ein wenig Angst! Kannst du diese auch bei Virustotal auswerten lassen, bitte?

lg myrtille

Tobasco

21.02.2008 10:24

letzter Zusatz:

Hatte gestern auch Vundo Removal Tool laufen lassen.
Der hatte was gefunden.
Ergebnis:

Symantec Trojan.Vundo Removal Tool 1.5.0
The process "iexplore.exe" might be affected by the threat. It has been suspended.
The process "iexplore.exe" might be affected by the threat. It has been terminated.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\Quarantine: (not scanned)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtETmp: (not scanned)
C:\Dokumente und Einstellungen\ZKM-AMD-2400: (not scanned)
C:\System Volume Information: (not scanned)

Trojan.Vundo has been successfully removed from your computer!

Here is the report:

The total number of the scanned files: 64467
The number of deleted files: 0
The number of viral processes terminated: 1
The number of viral processes suspended: 1
The number of viral threads terminated: 0
The number of registry entries fixed: 0

Tobasco

21.02.2008 10:38

Virustotal sagt:

Datei SYNPOWER.EXE-05F263C9.pf empfangen 2008.02.21 10:26:58 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.20.0 2008.02.20 -
AntiVir 7.6.0.67 2008.02.21 -
Authentium 4.93.8 2008.02.21 -
Avast 4.7.1098.0 2008.02.20 -
AVG 7.5.0.516 2008.02.21 -
BitDefender 7.2 2008.02.21 -
CAT-QuickHeal 9.50 2008.02.20 -
ClamAV 0.92.1 2008.02.21 -
DrWeb 4.44.0.09170 2008.02.21 -
eSafe 7.0.15.0 2008.02.20 -
eTrust-Vet 31.3.5552 2008.02.21 -
Ewido 4.0 2008.02.20 -
FileAdvisor 1 2008.02.21 -
Fortinet 3.14.0.0 2008.02.19 -
F-Prot 4.4.2.54 2008.02.20 -
F-Secure 6.70.13260.0 2008.02.21 -
Ikarus T3.1.1.20 2008.02.21 -
Kaspersky 7.0.0.125 2008.02.21 -
McAfee 5234 2008.02.20 -
Microsoft 1.3204 2008.02.20 -
NOD32v2 2891 2008.02.21 -
Norman 5.80.02 2008.02.20 -
Panda 9.0.0.4 2008.02.20 -
Prevx1 V2 2008.02.21 -
Rising 20.32.31.00 2008.02.21 -
Sophos 4.26.0 2008.02.21 -
Sunbelt 3.0.884.0 2008.02.19 -
Symantec 10 2008.02.21 -
TheHacker 6.2.9.225 2008.02.21 -
VBA32 3.12.6.1 2008.02.17 -
VirusBuster 4.3.26:9 2008.02.20 -
Webwasher-Gateway 6.6.2 2008.02.21 -
weitere Informationen
File size: 17690 bytes
MD5: 68377eb01552f60d494ef81057eda1d6
SHA1: 2528dfceb2dbb03bb605f88506cc634ec8e71995
PEiD: -

_______

Die anderen Dateien lassen sich per Windowssuche nicht finden...gibts da sonst noch ne Lösung?

Neu ist auch: Wenn ich Word starte, kriege ich ne Fehlermeldung:
Dies ist kein gültiges Maß

Wenn ich auf ok klicke, gehts aber normal weiter.

myrtille

21.02.2008 10:47

Hi,
du hast die Prefetchdatei hochgeladen, nicht die Datei selber. ;)

Die Dateien müssten sich mE unter C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp befinden.
Mach erstmal alle Dateien sichtbar: anleitung und versuch dein Glück nochmal.

Du scheinst dir was recht neues eingefangen zu haben, ich guck mal ob ich irgendwie Infos finde.

lg myrtille

Tobasco

21.02.2008 10:56

Wenn ich zwar nicht weiss was eine Prefetech Datei ist ... du hast dennoch recht:)

Hab sie nun alle gefunden und sie enthalten auch was (scheinen alle vom selben zu sein, oder?:

16sv.exe:
MD5: 19dea565264fd824ff5ebb22d3b38f3c
Datum 2008.02.19 07:04:51 (CET) [>2D]
Ergebnisse 7/31
Permalink: hxxp://www.virustotal.com/de/analisis/994954a9b1882c662e14d047e4b32645

svhost.exe:
MD5: 19dea565264fd824ff5ebb22d3b38f3c
Datum 2008.02.19 07:04:51 (CET) [>2D]
Ergebnisse 7/31
Permalink: hxxp://www.virustotal.com/de/analisis/994954a9b1882c662e14d047e4b32645

synpower.exe:
MD5: 19dea565264fd824ff5ebb22d3b38f3c
Datum 2008.02.19 07:04:51 (CET) [>2D]
Ergebnisse 7/31
Permalink: hxxp://www.virustotal.com/de/analisis/994954a9b1882c662e14d047e4b32645

winsys.exe
MD5: 19dea565264fd824ff5ebb22d3b38f3c
Datum 2008.02.19 07:04:51 (CET) [>2D]
Ergebnisse 7/31
Permalink: hxxp://www.virustotal.com/de/analisis/994954a9b1882c662e14d047e4b32645

myrtille

21.02.2008 11:17

Ok, super... :p
Ich find nichts sinnvolles...
arbeite bitte mal diese Anleitung ab:
Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Ich melde mich dnan heute abend wieder.
lg myrtille

Tobasco

21.02.2008 11:33

Ist hochgeladen:
http://www.file-upload.net/download-681225/listing.txt.html

Hab nur ein paar private Sachen mit XXX anonymisiert, da es Arbeitssachen sind. Allerdings sind das Word-Dokumente.

Eventuell ist ganz unten, letzter Block, WinXProtector interessant. Der nervte vorgestern mal, mit Warnmeldungen und der Nachfrage Vollversionen von deren Antivir-ENgines zu kaufen. Dachte davon wäre alles gelöscht gewesen, aber unter Anwendungsdaten liegts wohl noch.

Danke

Tobasco

21.02.2008 12:22

Hab mal zu WinXProtector gegoogelt:

hxxp://ftp.spycatcher.com/src/info.php?id=5159101
Könnte das schuld sein?

zumindest für einen Teil passt das wie die Faust aufs Auge.
Aber die anderen infizierten Dateien ändern ihre Namen, werden also wohl von irgendwas ständig neu generiert.

myrtille

21.02.2008 17:29

Jein :D

Das du die PopUps kommen glaube ich gern, Vundo macht sowas gerne. :D Allerdings dachte ich, dass wir den los wären.
Kommen die Popups denn immernoch? (Durchaus möglich a) weiß ich nicht so recht, was die Dateien tun, scheint aber Adware zu sein und b) hab ihc sie bis jetzt immer im Zusammenhang mit ähnlichen "Werbeprogrammen" gesehen, wenn auch nicht immer Vundo)

Ich meld mich nachher nochmal :)
EDIT: Lass der Vollständigkeit halber noch folgendes bei Virustotal auswerten:
C:\WINDOWS\Installer\{97a27373-658b-42cb-b0ab-2f6cc721e6f9}\RomAlrt.dll
C:\WINDOWS\Installer\{76ddbbf1-650c-4b8a-b2a0-2a751836f267}\zip.dll

lg myrtille

Tobasco

21.02.2008 17:55

Nein, die Pop-ups kommen nicht mehr.

Derzeitig hab ich ausschlielich folgende Auswirkungen:

Vorhin machte fast alles macken, manchmal konnt ich nichts mehr klicken, keine Ordner öffnen, erst wenn ich alles andere geschlossen habe etc.

Nachm Neustart gehts nun wieder.

Dauerhaft ist, das Word ne Fehlermeldung ausgibt, wie vorher schon beschrieben.
Und die infizierten Dateien im temp Ordner wechseln, sprich sind immer mal mit anderen Namen da (aber selbe Auswertung bei Virustotal)

Bei den neuen beiden Dateien scheinst du auch ins Schwarze getroffen zu haben, Auswertungen:
C:\WINDOWS\Installer\{97a27373-658b-42cb-b0ab-2f6cc721e6f9}\RomAlrt.dll
hxxp://www.virustotal.com/de/analisis/d5f7ce6ea30c91424e55be33aa1285f0

C:\WINDOWS\Installer\{76ddbbf1-650c-4b8a-b2a0-2a751836f267}\zip.dll
http://www.virustotal.com/de/analisis/032feb74058e9a490e2c671f9a37d710

Nochmals vielen Dank, dass die Hilfe immer so schnell kommt. Bin gespannt, wies weitergeht mit dem Kruppzeug hier :snyper:

BataAlexander

21.02.2008 18:51

*tag*

Ich find die hier ja auch spannend

Zitat:

Verzeichnis von C:\Programme

2008-02-21 08:37 15,872 tmp294937.exe
2008-02-21 08:37 15,872 tmp294890.exe
2008-02-21 08:37 2,591 tmp294875.exe
2008-02-21 08:37 15,872 tmp294859.exe
2008-02-21 08:37 15,872 tmp294843.exe
2008-02-20 07:30 15,872 tmp406421.exe
2008-02-20 07:30 15,872 tmp406468.exe
2008-02-19 11:36 15,872 tmp11075218.exe
2008-02-19 11:36 15,872 tmp11075125.exe
2008-02-19 11:36 15,872 tmp11074671.exe

myrtille

21.02.2008 19:18

@Bata
Ich auch ;)

@tobasco

Du hast PM, bitte antworten.

lg myrtille

BataAlexander

22.02.2008 00:19

Poste den Inhalt der c:\keyhook.txt! (Wenn dort eventuell Deine Paswörter im Klartext auftauchen, dann nicht, in dem Fall alle ändern und den Rechner neu installieren)

SDFIX ausführen

Download SDFix und speichere es auf dem Desktop.
Mache einen Doppelklick auf die SDFix.exe und wähle "Install" um es in den Ordner X:\SDFix zu entpacken
(X = Dein Windowslaufwerk)

Bitte starte Deinen Pc im abgesicherten Modus neu

Starte den PC neu

Nachdem dein Rechner einmal bei starten gepiept hat, bevor das Windows Logo erscheint, drücke die F8 Taste mehrfach

Anstatt Windows normal zu starten wird ein Menü erscheinen

Wähle die Option "Starte Windows im abgesicherten Modus", dann drücke "Enter"

Wähle Deinen Anmeldenamen

Im abgesicherten Modus, gehst Du zum SDFix Ordner X:\SDFix (X = Dein Windowslaufwerk)

Öffne den Ordner und doppelklicke die Datei RunThis.bat um das Script zu starten

Drücke "Y" um das Script zu starten.

Es entfernt bösartige Dienste und repariert die Registry. Wenn es durchgelaufen ist, bittet es eine Taste zu drücken um zu rebooten.

Drücke eine Taste um zu reboooten.

Dein System wird länger brauchen um jetzt wieder im normalen Modus zu starten, denn das fixtool startet mit und löscht noch einige Dateien.

Wenn der Desktop geladen ist, ist das Fixtool mit der Bereinigung fertig und sagt das auch, jetzt drücke eine Taste um das Script zu beenden und Deinen Desktop zu laden.

Jetzt öffne den SDFix Ordner auf Deinem Desktop und copy & paste den Inhalt der Report.txt in Deinen Thread.

Tobasco

22.02.2008 09:46

Dann arbeite ich mal die Liste ab.

Vorab: Eben beim STarten des Systems gabs neue Symptome:

Der Rechner wollt nach 1 minute alleine runterfahren, 2 mal in Folge. Gestartet vom NT-AUTORITÄT/SYSTEM. Habs mit shutdown -a in der Ausführenkonsole bearbeitet. Hoffe das ist ok. Dazu hat Norton ne Fehlermeldung ausgegeben, dass es keine Alarmsignale starten konnte, man solle es neu installieren.Und ich konnte die SD Fix nicht installieren. Nachm DOppelklick passierte einfach nichts. Nach nem Neustart ging Norton aber wieder. Dafür Fehlermeldungen vonSpooler Sub System, LSA Shell Export und Service Executable. Hab jeweils keinen Bericht senden lassen.
Jetzt geht derzeit alles wieder.

Here we go:

temp294843 & 294859 & 294890 & 294937 & 406421 & 406468 & 7522031 & 7522046 & 11075218 & 11075125 & 11074671 alle gleich:
MD5: 19dea565264fd824ff5ebb22d3b38f3c
Datum 2008.02.19 07:04:51 (CET) [>3D]
Ergebnisse 7/31
Permalink: http://www.virustotal.com/de/analisis/994954a9b1882c662e14d047e4b32645

temp294875:
Datei tmp294875.exe empfangen 2008.02.22 09:28:44 (CET)
Ergebnis: 3/32 (9.38%)
hxxp://www.virustotal.com/de/analisis/da5447a4eb33bb0072ba2c34c3e088d3

temp7523125:
Datei tmp7523125.exe empfangen 2008.02.22 09:32:30 (CET)
Ergebnis: 5/32 (15.63%)
hxxp://www.virustotal.com/de/analisis/417843086705ecd15909e2cda7a0bbfc

Datei Kexhook.txt:
DestroyWindow

FreeDirectInput

DestroyWindow

FreeDirectInput

DestroyWindow

FreeDirectInput

DestroyWindow

FreeDirectInput

und das ganze noch 15 mal (jeweils beides)

Nun werd ich SDFix ausführen und mich dann wieder melden.
Danke

Tobasco

22.02.2008 10:52

Da hat SDFix auch gleich die vorgenannten Übeltäter gelöscht.

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Wed 20 Feb 2008 509,952 A..H. --- "C:\RECYCLER\S-1-5-21-2009361043-3271142707-2987706449-1009\Dc12.tmp"
Thu 21 Feb 2008 24,102 ..SHR --- "C:\WINDOWS\Installer\{c5458162-62b8-4975-9647-43a9dc686335}\zip.dll"
Wed 22 Nov 2006 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\005e20a3642158b88fa97bb9118f2894\BIT140.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\00ba8cb60d30ccf48ec8d1370d0632fc\BIT1D7.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0846833724f6b9372a5d380322e7d400\BIT122.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\14be296ed8208e7a08cc0b5504e9cb24\BIT1CB.tmp"
Fri 7 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1879808f0785a260065780cb0d845931\BIT1E6.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\19abcee2f430e6f136c212f071acc267\BIT1C1.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1e4147f522e0ae565ec3f4866e124e87\BIT1CC.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2d625528b51330feeb1f61d4c00d35f1\BIT118.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4071c86951ba70e8e90b87063f318706\BIT10A.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\42bf46b49765b8418b7a2cf912cdb9f1\BIT1DB.tmp"
Wed 19 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\42ca44b88caf1929345778a88a0ede6b\BIT121.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\43dcf7297629265159ca2f39e33234f2\BIT11E.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4e8be88cfdc5903f6166933101fdb85e\BIT1ED.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\5cf845645e4476c18cf3b31b7b69d9f9\BIT1D2.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\61b6e430303b093b5d55e1f7591c3838\BIT1E1.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\65c7088395b4b54c4c27bcad75996bdf\BIT1E5.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\66bde38ef8227d5982e2b6212afa8600\BIT10C.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\713f0aeed110188be1d768de33da2de0\BIT107.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\7a9a15a92e81bc1276602e406b697a32\BIT1C6.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\8dbf0f4424218c97fa801be8e5357ee6\BIT1DE.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\9f76b8b55507c6b08b6927f51c7d2379\BIT1C2.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\ab31d6a0b3dd958825358f52514ab440\BIT1E3.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\bd065a062f11a6abc89248980efaa3b4\BIT1C5.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\be06a3356aefaf00a717740989d18dcc\BIT1E4.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\be39201e9a2f608fe8161babfd096dbb\BIT1CA.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d3daea276409fc12c7974f9a2da91bfc\BIT13F.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d7cdd0b06b7be922896c6478d1650dda\BIT1EB.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\dedad02453c401d4af20cf4075752c5f\BIT1EA.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\dfe6923b5c23049b6115c768851bee3d\BIT1F1.tmp"
Wed 19 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e0ecb9f48524a8ff2100292e3d88848a\BIT11A.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e9134a00458c6d256ed88b6e0fe266ac\BIT10B.tmp"

Finished!

BataAlexander

22.02.2008 11:49

Ich würd sagen bei dem SDFIX Log fehlt der Kopf. :)

Tobasco

22.02.2008 11:49

sehe gerade, dass der SDFix Report nur halb reinkopiert war. Hier noch mal der ganze Bericht:

SDFix: Version 1.144

Run by Tobias on 2008-02-22 at 10:21

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services:

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Checking Files:

Trojan Files Found:

C:\WINDOWS\Installer\{97a27373-658b-42cb-b0ab-2f6cc721e6f9}\RomAlrt.dll - Deleted
C:\WINDOWS\Installer\{2568959b-d123-4914-8db8-50a7940a6383}\zip.dll - Deleted
C:\Programme\tmp294843.exe - Deleted
C:\Programme\tmp294859.exe - Deleted
C:\Programme\tmp294875.exe - Deleted
C:\Programme\tmp294890.exe - Deleted
C:\Programme\tmp294937.exe - Deleted
C:\Programme\tmp406421.exe - Deleted
C:\Programme\tmp406468.exe - Deleted
C:\Programme\tmp7522031.exe - Deleted
C:\Programme\tmp7522046.exe - Deleted
C:\Programme\tmp7523125.exe - Deleted

Removing Temp Files...

ADS Check:

Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-22 10:34:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services:

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

Wed 20 Feb 2008 509,952 A..H. --- "C:\RECYCLER\S-1-5-21-2009361043-3271142707-2987706449-1009\Dc12.tmp"
Thu 21 Feb 2008 24,102 ..SHR --- "C:\WINDOWS\Installer\{c5458162-62b8-4975-9647-43a9dc686335}\zip.dll"
Wed 22 Nov 2006 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\005e20a3642158b88fa97bb9118f2894\BIT140.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\00ba8cb60d30ccf48ec8d1370d0632fc\BIT1D7.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0846833724f6b9372a5d380322e7d400\BIT122.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\14be296ed8208e7a08cc0b5504e9cb24\BIT1CB.tmp"
Fri 7 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1879808f0785a260065780cb0d845931\BIT1E6.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\19abcee2f430e6f136c212f071acc267\BIT1C1.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1e4147f522e0ae565ec3f4866e124e87\BIT1CC.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2d625528b51330feeb1f61d4c00d35f1\BIT118.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4071c86951ba70e8e90b87063f318706\BIT10A.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\42bf46b49765b8418b7a2cf912cdb9f1\BIT1DB.tmp"
Wed 19 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\42ca44b88caf1929345778a88a0ede6b\BIT121.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\43dcf7297629265159ca2f39e33234f2\BIT11E.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4e8be88cfdc5903f6166933101fdb85e\BIT1ED.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\5cf845645e4476c18cf3b31b7b69d9f9\BIT1D2.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\61b6e430303b093b5d55e1f7591c3838\BIT1E1.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\65c7088395b4b54c4c27bcad75996bdf\BIT1E5.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\66bde38ef8227d5982e2b6212afa8600\BIT10C.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\713f0aeed110188be1d768de33da2de0\BIT107.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\7a9a15a92e81bc1276602e406b697a32\BIT1C6.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\8dbf0f4424218c97fa801be8e5357ee6\BIT1DE.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\9f76b8b55507c6b08b6927f51c7d2379\BIT1C2.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\ab31d6a0b3dd958825358f52514ab440\BIT1E3.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\bd065a062f11a6abc89248980efaa3b4\BIT1C5.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\be06a3356aefaf00a717740989d18dcc\BIT1E4.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\be39201e9a2f608fe8161babfd096dbb\BIT1CA.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d3daea276409fc12c7974f9a2da91bfc\BIT13F.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d7cdd0b06b7be922896c6478d1650dda\BIT1EB.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\dedad02453c401d4af20cf4075752c5f\BIT1EA.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\dfe6923b5c23049b6115c768851bee3d\BIT1F1.tmp"
Wed 19 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e0ecb9f48524a8ff2100292e3d88848a\BIT11A.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e9134a00458c6d256ed88b6e0fe266ac\BIT10B.tmp"

Finished!

___________

Wenn ich das richtig sehe, hat der die meisten tmp.exe dateien gelöscht die infiziert waren. Aber ich seh nichts über die Dateien:
temp11075218.exe & temp11075125.exe & temp11074671.exe

BataAlexander

22.02.2008 11:58

Genau das sollte SDFIX machen. :)

Jetzt bitte ein neues Combofix Log, deinstalliere es dafür zuerst (gebe unter Start /Ausfuehren "combofix /u" ein) und lade es dann neu.

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Tobasco

22.02.2008 15:09

ComboFix Log:

ComboFix 08-02-22.2 - Tobias 2008-02-22 15:00:24.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.520 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\XXX\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-01-22 bis 2008-02-22 ))))))))))))))))))))))))))))))
.

2008-02-22 10:17 . 2008-02-22 10:18 <DIR> d-------- C:\WINDOWS\ERUNT
2008-02-22 07:59 . 2008-02-22 07:59 <DIR> d-------- C:\spoolerlogs
2008-02-21 11:20 . 2008-02-21 11:20 <DIR> d-------- C:\Dokumente und Einstellungen\XXX\temporary internet files
2008-02-20 08:56 . 2008-02-21 10:09 3,666 --a------ C:\WINDOWS\system32\tmp.reg
2008-02-19 16:59 . 2008-02-19 16:59 <DIR> d-------- C:\Programme\Lavasoft
2008-02-19 16:59 . 2008-02-19 17:02 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-02-19 16:58 . 2008-02-19 16:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-19 16:50 . 2008-02-19 17:00 <DIR> d-------- C:\Dokumente und Einstellungen\Tobias.ZKM-AMD-2400\Anwendungsdaten\WinXProtector
2008-02-19 11:36 . 2008-02-19 11:36 15,872 --a------ C:\Programme\tmp11075218.exe
2008-02-19 11:36 . 2008-02-19 11:36 15,872 --a------ C:\Programme\tmp11075125.exe
2008-02-19 11:36 . 2008-02-19 11:36 15,872 --a------ C:\Programme\tmp11074671.exe
2008-02-19 10:03 . 2008-02-20 16:18 518,144 --a------ C:\Profil_Presseeinladung.doc
2008-01-30 17:32 . 2008-02-18 11:04 86,016 --a------ C:\K_Profil_Neue Maßnahmen.doc
2008-01-25 11:29 . 2008-01-25 11:29 1,291,477 --a------ C:\Gesamttabellen.xlsx

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-02-22 13:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-02-22 09:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-02-05 12:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-02-01 11:11 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-02-01 11:11 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2008-02-01 11:11 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-02-01 11:11 10,740 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-02-01 11:11 --------- d-----w C:\Programme\Symantec
2008-01-30 13:52 --------- d-----w C:\Programme\iPodder
2008-01-30 13:52 --------- d-----w C:\Programme\FlashGet
2008-01-18 15:07 --------- d-----w C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Screeny
2008-01-18 15:02 74,752 ----a-w C:\WINDOWS\ST6UNST.EXE
2008-01-18 15:02 716,800 ------w C:\WINDOWS\Setup1.exe
2008-01-17 15:47 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\pdf995
2008-01-15 08:54 10,537 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.cat
2008-01-15 04:28 706 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.inf
2008-01-12 17:32 23,904 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.sys
2008-01-10 16:22 --------- d-----w C:\Programme\VistaCodecPack
2007-12-27 21:05 7,680 ----a-w C:\WINDOWS\system32\ff_vfw.dll
2007-12-14 10:32 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2007-12-07 01:06 665,088 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:40 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
2007-06-21 12:19 50 -c--a-w C:\Programme\NORTON Internet Security.txt
2007-06-21 12:16 47,231,928 -c--a-w C:\Programme\NIS071020GE.exe
2006-10-17 07:18 34,473,519 -c--a-w C:\Programme\NAV061220GE.exe
2006-08-31 15:27 598,399 -c--a-w C:\Programme\JHymn_0_9_2_win.zip
2006-08-31 14:16 4,506,024 -c--a-w C:\Programme\Cole2k.Media.-.Nero.Audio.Plugin.Pack V1.5.3.Setup.exe
2006-07-18 08:41 588,201 -c--a-w C:\Programme\lame3.96.1.zip
2006-03-28 08:09 1,181,812 -c--a-w C:\Programme\flvplayer_setup.exe
2006-01-11 20:31 992,399 ----a-w C:\Programme\JHymn.exe
2005-12-12 13:05 9,873,824 ----a-w C:\Programme\fotokasten_Comfort_2.0.exe
2005-02-14 11:21 3,483,648 -c--a-w C:\Programme\PDF_Maker.exe
2004-07-26 10:12 187,904 -c--a-w C:\Programme\lame.exe
2004-07-21 14:27 1,950,272 -c--a-w C:\Programme\ppviewer.exe
2003-10-23 15:52 40,960 -c--a-w C:\Programme\Uninstall_CDS.exe
2001-11-23 04:08 712,704 -c--a-w C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-21 09:50 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2002-07-12 11:15 106496]
"Cmaudio"="cmicnfg.cpl" []
"SiS Tray"="C:\WINDOWS\System32\sistray.EXE" [2003-10-30 13:10 667648]
"SiS Windows KeyHook"="C:\WINDOWS\System32\keyhook.exe" [2003-10-30 13:09 249856]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"SoundMan"="SOUNDMAN.EXE" [2006-03-01 09:22 577536 C:\WINDOWS\SOUNDMAN.EXE]
"Windows Defender"="C:\Programme\Windows Defender\MSASCui.exe" [2006-11-03 18:20 866584]
"FLMK08KB"="C:\Programme\Multimedia Keyboard\KbdAp32A.exe" [2007-02-27 16:16 380928]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2007-01-09 22:59 115816]
"osCheck"="C:\Programme\Norton Internet Security\osCheck.exe" [2007-01-14 00:11 771704]
"Symantec PIF AlertEng"="C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 09:22 517768]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24 286720]
"mspd"="C:\WINDOWS\system32\mspd.exe" [2003-08-27 22:22 389632]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-26 13:42 267064]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2005-03-03 21:47 483328]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]
"DWQueuedReporting"="C:\PROGRA~1\GEMEIN~1\MICROS~1\DW\dwtrig20.exe" [2005-04-25 12:45 36040]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Audible Download Manager.lnk - C:\Programme\Audible\Bin\AudibleDownloadHelper.exe [2007-04-11 10:40:06 845408]
Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2007-06-28 13:51:57 598016]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winjvd32]
winjvd32.dll

R2 ACEDRV09;ACEDRV09;C:\WINDOWS\system32\drivers\ACEDRV09.sys [2007-09-24 13:24]
R2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" [2007-01-10 12:45]
S3 BQS88CDC;BenQ S88 Driver;C:\WINDOWS\system32\DRIVERS\bqs88cdc.sys [2004-12-07 05:52]
S3 MTK;Media Technology Kernel Driver;C:\WINDOWS\system32\Drivers\fide.sys [2004-05-28 08:46]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0787c824-44a9-11db-aa6b-000b6a483ab3}]
\Shell\AutoRun\command - E:\setupSNK.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0925b69e-2f7d-11dc-ab8d-0019212982d6}]
\Shell\AutoRun\command - explorer.exe http://"www.web-stick.com"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{553d41d3-e8c3-11db-ab31-0019212982d6}]
\Shell\AutoRun\command - F:\podcastready.exe

*Newly Created Service* - COMHOST
.
Inhalt des "geplante Tasks" Ordners
"2008-02-22 12:51:55 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Programme\Windows Defender\MpCmdRun.exe
"2007-06-21 09:53:22 C:\WINDOWS\Tasks\Norton Internet Security - Systemprüfung ausführen - Tobias.job"
- C:\Programme\Norton Internet Security\Norton AntiVirus\Navw32.exel/TASK:
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-22 15:02:24
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-02-22 15:03:00
.
2008-02-22 07:19:20 --- E O F ---

__________________________

HJT Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:04, on 2008-02-22
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\sistray.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\Multimedia Keyboard\KbdAp32A.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\XXX\Desktop\Sicherheit\ABC.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = 100.100.100.1
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 100.100.100.1:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 3000
1000
8000;<local>
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\System32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\System32\keyhook.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Multimedia Keyboard\KbdAp32A.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mspd] C:\WINDOWS\system32\mspd.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Audible Download Manager.lnk = C:\Programme\Audible\Bin\AudibleDownloadHelper.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1163577680265
O17 - HKLM\System\CCS\Services\Tcpip\..\{14917138-20D5-4E11-ADDB-ACADB897622B}: NameServer = 100.100.100.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{FA5ED244-C85A-408A-A01A-D41CF4EDFBB4}: NameServer = 100.100.100.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{14917138-20D5-4E11-ADDB-ACADB897622B}: NameServer = 100.100.100.1
O20 - Winlogon Notify: winjvd32 - winjvd32.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 9700 bytes

myrtille

23.02.2008 13:42

Ok,
dann also ich :p

Lass bitte SDFix nochmal über dien System laufen und poste den Rapport hier.
Es wurde nicht alles entfernt.

Lade dir außerdem bitte den ATF-Cleaner herunter lösche alle Temporären Dateien. Sind die winsys.exe weiterhin vorhanden? Werden sie neu erstellt?

lg myrtille

Tobasco

25.02.2008 11:08

Die winsys.exe datein sind nicht mehr da. Generellist keine exe.datei im lokale einstellungen/temp ordner mehr zu finden.

ATF Cleaner ist durchgelaufen, alles gelöscht.

Hier das SDFix Log, diesmal auch die drei anderen temp.exen gelöscht, die es im alten Log gab.

SDFix: Version 1.146

Run by Tobias on 2008-02-25 at 10:32

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting

Checking Files :

Trojan Files Found:

C:\Programme\tmp11074671.exe - Deleted
C:\Programme\tmp11075125.exe - Deleted
C:\Programme\tmp11075218.exe - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-25 10:41:55
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:00000000
"TracesSuccessful"=dword:00000000
"LastTraceFailure"=dword:00000000

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files :

File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Thu 21 Feb 2008 24,102 ..SHR --- "C:\WINDOWS\Installer\{c5458162-62b8-4975-9647-43a9dc686335}\zip.dll"
Wed 22 Nov 2006 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\005e20a3642158b88fa97bb9118f2894\BIT140.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\00ba8cb60d30ccf48ec8d1370d0632fc\BIT1D7.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\0846833724f6b9372a5d380322e7d400\BIT122.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\14be296ed8208e7a08cc0b5504e9cb24\BIT1CB.tmp"
Fri 7 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1879808f0785a260065780cb0d845931\BIT1E6.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\19abcee2f430e6f136c212f071acc267\BIT1C1.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\1e4147f522e0ae565ec3f4866e124e87\BIT1CC.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\2d625528b51330feeb1f61d4c00d35f1\BIT118.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4071c86951ba70e8e90b87063f318706\BIT10A.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\42bf46b49765b8418b7a2cf912cdb9f1\BIT1DB.tmp"
Wed 19 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\42ca44b88caf1929345778a88a0ede6b\BIT121.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\43dcf7297629265159ca2f39e33234f2\BIT11E.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\4e8be88cfdc5903f6166933101fdb85e\BIT1ED.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\5cf845645e4476c18cf3b31b7b69d9f9\BIT1D2.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\61b6e430303b093b5d55e1f7591c3838\BIT1E1.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\65c7088395b4b54c4c27bcad75996bdf\BIT1E5.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\66bde38ef8227d5982e2b6212afa8600\BIT10C.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\713f0aeed110188be1d768de33da2de0\BIT107.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\7a9a15a92e81bc1276602e406b697a32\BIT1C6.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\8dbf0f4424218c97fa801be8e5357ee6\BIT1DE.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\9f76b8b55507c6b08b6927f51c7d2379\BIT1C2.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\ab31d6a0b3dd958825358f52514ab440\BIT1E3.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\bd065a062f11a6abc89248980efaa3b4\BIT1C5.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\be06a3356aefaf00a717740989d18dcc\BIT1E4.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\be39201e9a2f608fe8161babfd096dbb\BIT1CA.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d3daea276409fc12c7974f9a2da91bfc\BIT13F.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\d7cdd0b06b7be922896c6478d1650dda\BIT1EB.tmp"
Wed 17 Oct 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\dedad02453c401d4af20cf4075752c5f\BIT1EA.tmp"
Mon 16 Jul 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\dfe6923b5c23049b6115c768851bee3d\BIT1F1.tmp"
Wed 19 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e0ecb9f48524a8ff2100292e3d88848a\BIT11A.tmp"
Wed 15 Aug 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\S-1-5-18\e9134a00458c6d256ed88b6e0fe266ac\BIT10B.tmp"

Finished!

myrtille

25.02.2008 12:45

Hi,

schau mal bitte ob folgende Datei bei dir noch existiert:

Zitat:

C:\WINDOWS\Installer\{c5458162-62b8-4975-9647-43a9dc686335}\zip.dll

Wenn ja, begebe dich bitte auf folgende Seite: klick
Gib bei
http://i265.photobucket.com/albums/i...e_/upload1.jpg
folgendes ein:

Zitat:

http://www.trojaner-board.de/49678-pop-ups-mit-virenwarnung-hjt-starten-unterbinden-vermute-trojaner.html

und navigiere bei
http://i265.photobucket.com/albums/i...e_/upload3.jpg
mittels des Knopfs Durchsuchen zu folgender Datei:

Zitat:

C:\WINDOWS\Installer\{c5458162-62b8-4975-9647-43a9dc686335}\zip.dll

und lade die Datei dann mittels des Knopfs http://i265.photobucket.com/albums/i...e_/upload2.jpg dann hoch.

lg myrtille

Tobasco

25.02.2008 15:18

Ist hochgeladen.

Antwort:

Le fichier zip.dll a été copié.

Taille: 24102
MD5: 384FF64146059A333217B8C8B978E4E3
SHA-1: B61A000FD94AEAE6AFB383B58CC1B080AE74882E

myrtille

25.02.2008 15:31

Thx :)

Die Datei und den Ordner C:\windows\{c5458162-62b8-4975-9647-43a9dc686335} bitte löschen.

Zur abschließenden Kontrolle bitte noch folgende Logs posten:
- eScan
- Blacklight
- Silentrunners

wenn da nichts gefunden wird, sollte alles ok sein. :)

lg myrtille

Tobasco

26.02.2008 11:11

Moin,

irgendwie funktionierte es bei mir nicht mit der find.bat. Das Fenster zeigte immer an :copying mwav.log
und dann passiert 10 minuten lang nix.

Was ist denn von dem Log relevant? Die Fehlermeldungen die er ausgibt bei bestimmten Dateien?

Der Kopf des Logs:
25 Feb 2008 16:30:11 => **********************************************************
25 Feb 2008 16:30:11 => eScan-AntiViren- und Antispywarewerkzeugsatz.
25 Feb 2008 16:30:11 => Copyright © MicroWorld Technologies
25 Feb 2008 16:30:11 => **********************************************************
25 Feb 2008 16:30:11 => Source: C:\DOKUME~1\TOBIAS~1.ZKM\Desktop\mwav.exe
25 Feb 2008 16:30:11 => Version 9.7.5 (C:\DOKUME~1\TOBIAS~1.ZKM\LOKALE~1\Temp\mexe.com)
25 Feb 2008 16:30:11 => Logdatei: C:\DOKUME~1\XXX\LOKALE~1\Temp\MWAV.LOG
25 Feb 2008 16:30:11 => MWAV Registered: FALSE
25 Feb 2008 16:30:11 => User Account: Tobias (Administrator Mode)
25 Feb 2008 16:30:11 => OS Type: Windows Workstation
25 Feb 2008 16:30:11 => OS: Windows XP
25 Feb 2008 16:30:11 => Ver: Service Pack 2 (Build 2600)
25 Feb 2008 16:30:11 => Windows Root Folder: C:\WINDOWS
25 Feb 2008 16:30:11 => Windows Sys32 Folder: C:\WINDOWS\system32
25 Feb 2008 16:30:11 => Interface0 NameServer: 100.100.100.1
25 Feb 2008 16:30:11 => Interface1 NameServer: 100.100.100.1
25 Feb 2008 16:30:11 => ProxyServer: 100.100.100.1:3128
25 Feb 2008 16:30:11 => ProxyOverride: 3000

1000

8000;<local>
25 Feb 2008 16:30:11 => Proxy Connection: ENABLED
25 Feb 2008 16:30:11 => Local Fixed Drives: c:\
25 Feb 2008 16:30:11 => MWAV Mode: Only Scan files
25 Feb 2008 16:30:11 => [CREATED ZIP FILE C:\DOKUME~1\XXX\LOKALE~1\Temp\pinfect.zip]

25 Feb 2008 16:30:11 => ********** Die in den letzten 14 Tagen im Windows-Ordner erstellten/modifizierten Dateien **********
25 Feb 2008 16:30:12 => C:\WINDOWS\system32\aac_parser.ax (81920), 06-Aug-2007 [HSR], aac_parser [Added C:\WINDOWS\system32\aac_parser.ax to ZIP FILE]
25 Feb 2008 16:30:12 => C:\WINDOWS\system32\CoreAAC.ax (175104), 06-Aug-2007 [HSR] [Added C:\WINDOWS\system32\CoreAAC.ax to ZIP FILE]
25 Feb 2008 16:30:12 => C:\WINDOWS\system32\DiracSplitter.ax (179200), 06-Aug-2007 [HSR], Gabest, Dirac Splitter [Added C:\WINDOWS\system32\DiracSplitter.ax to ZIP FILE]
25 Feb 2008 16:30:12 => C:\WINDOWS\system32\RLOgg.ax (186880), 06-Aug-2007 [HSR], RadLight, RadLight Ogg Splitter [Added C:\WINDOWS\system32\RLOgg.ax to ZIP FILE]
25 Feb 2008 16:30:12 => C:\WINDOWS\system32\RLSpeexDec.ax (51712), 06-Aug-2007 [HSR] [Added C:\WINDOWS\system32\RLSpeexDec.ax to ZIP FILE]
25 Feb 2008 16:30:12 => C:\WINDOWS\system32\RLTheoraDec.ax (67584), 06-Aug-2007 [HSR], RadLight, LLC, Theora Decoder [Added C:\WINDOWS\system32\RLTheoraDec.ax to ZIP FILE]
25 Feb 2008 16:30:12 => C:\WINDOWS\system32\RLVorbisDec.ax (92672), 06-Aug-2007 [HSR], RadLight, RadLight Vorbis Decoder [Added C:\WINDOWS\system32\RLVorbisDec.ax to ZIP FILE]
25 Feb 2008 16:30:12 => C:\bootfont.bin (4952), 02-Apr-2003 [HSR]
25 Feb 2008 16:30:12 => C:\kmd.exe (401408), 22-Feb-2008, Microsoft Corporation, Betriebssystem Microsoft® Windows®
25 Feb 2008 16:30:12 => C:\K_Profil_Neue Maßnahmen.doc (86016), 18-Feb-2008 [Added C:\K_Profil_Neue Maßnahmen.doc to ZIP FILE]
25 Feb 2008 16:30:12 => C:\NTDETECT.COM (47564), 02-Apr-2003 [HSR]
25 Feb 2008 16:30:13 => C:\Profil_Presseeinladung.doc (518656), 25-Feb-2008 [Added C:\Profil_Presseeinladung.doc to ZIP FILE]

25 Feb 2008 16:30:13 => C:\WINDOWS\$hf_mig$, 29-Dec-2004 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\$MSI31Uninstall_KB893803v2$, 06-Dec-2005 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\$NtServicePackUninstallIDNMitigationAPIs$, 12-Oct-2006 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\$NtServicePackUninstallNLSDownlevelMapping$, 12-Oct-2006 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\$NtUninstallMSCompPackV1$, 22-Nov-2006 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\$NtUninstallWMFDist11$, 18-Oct-2006 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\$NtUninstallwmp11$, 18-Oct-2006 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\$NtUninstallWudf01000$, 18-Oct-2006 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\erdnt, 20-Feb-2008 [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\ERUNT, 22-Feb-2008 [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\Fonts, 24-May-2004 [SR] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\inf, 24-May-2004 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\msdownld.tmp, 29-Dec-2004 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\PIF, 04-Sep-2006 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\ShellNew, 21-Jun-2004 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\Tasks, 24-May-2004 [S] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\system32\dllcache, 24-May-2004 [HSR] [Ordner]
25 Feb 2008 16:30:13 => C:\WINDOWS\system32\Microsoft, 24-May-2004 [S] [Ordner]
25 Feb 2008 16:30:13 => C:\Config.Msi, 22-Nov-2006 [HS] [Ordner]
25 Feb 2008 16:30:13 => C:\MSOCache, 21-Jun-2004 [HR] [Ordner]
25 Feb 2008 16:30:13 => C:\SDFix, 25-Feb-2008 [Ordner]
25 Feb 2008 16:30:13 => C:\spoolerlogs, 22-Feb-2008 [Ordner]
25 Feb 2008 16:30:13 => C:\Programme\Lavasoft, 19-Feb-2008 [Ordner]
25 Feb 2008 16:30:13 => C:\Programme\WindowsUpdate, 24-May-2004 [H] [Ordner]
25 Feb 2008 16:30:13 => C:\Programme\Gemeinsame Dateien\Wise Installation Wizard, 19-Feb-2008 [Ordner]

25 Feb 2008 16:30:13 => [Made copy of PINFECT.ZIP as C:\DOKUME~1\XXX\EIGENE~1\pinfect.zip]
25 Feb 2008 16:30:13 => *********************************************************************************************

25 Feb 2008 16:30:13 => Das aktuellste Datum der MWAV-Dateien: 20 Feb 2008 10:02:31.
25 Feb 2008 16:30:14 => ** Changed Value of "NoDriveTypeAutoRun" in "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" from DWORD:255 to DWORD:145
25 Feb 2008 16:30:14 => ** Changed Value of "NoDriveAutoRun" in "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" from DWORD:67108863 to DWORD:0
25 Feb 2008 16:30:19 => AV Bibliothek geladen...
25 Feb 2008 16:30:19 => MWAV doing self scanning...
25 Feb 2008 16:30:19 => Datei C:\DOKUME~1\XXX\LOKALE~1\Temp\getvlist.exe wird gescannt
25 Feb 2008 16:30:19 => Datei C:\DOKUME~1\XXX\LOKALE~1\Temp\main.avi wird gescannt
25 Feb 2008 16:30:19 => Datei C:\DOKUME~1\XXX\LOKALE~1\Temp\virus.avi wird gescannt
25 Feb 2008 16:30:19 => Datei C:\DOKUME~1\XXX\LOKALE~1\Temp\ScanningProcess.exe wird gescannt
25 Feb 2008 16:30:19 => Datei C:\DOKUME~1\XXX\LOKALE~1\Temp\kave.dll wird gescannt
25 Feb 2008 16:30:19 => Datei C:\DOKUME~1\XXX\LOKALE~1\Temp\prloader.dll wird gescannt
25 Feb 2008 16:30:19 => MWAV files are clean.
25 Feb 2008 16:30:23 => Virendatenbank Datum: 20 Feb 2008
25 Feb 2008 16:30:23 => Virendatenbankzähler: 573496
25 Feb 2008 16:30:47 => Antiviren- und Antispywaredatenbanken werden heruntergeladen...
25 Feb 2008 16:30:48 => Herunterladen war nicht erfolgreich!

25 Feb 2008 16:30:55 => **********************************************************
25 Feb 2008 16:30:55 => eScan-AntiViren- und Antispywarewerkzeugsatz.
25 Feb 2008 16:30:55 => Copyright © MicroWorld Technologies
25 Feb 2008 16:30:55 =>
25 Feb 2008 16:30:55 => Support: support@mwti.net
25 Feb 2008 16:30:55 => Web: http://www.mwti.net
25 Feb 2008 16:30:55 => **********************************************************
25 Feb 2008 16:30:55 => Version 9.7.5 (C:\DOKUME~1\XXX\LOKALE~1\Temp\mexe.com)
25 Feb 2008 16:30:55 => Logdatei: C:\DOKUME~1\XXX\LOKALE~1\Temp\MWAV.LOG
25 Feb 2008 16:30:55 => User Account: Tobias
25 Feb 2008 16:30:55 => Windows Root Folder: C:\WINDOWS
25 Feb 2008 16:30:55 => Windows Sys32 Folder: C:\WINDOWS\system32
25 Feb 2008 16:30:55 => OS: Windows XP
25 Feb 2008 16:30:55 => Ver: Service Pack 2 (Build 2600)
25 Feb 2008 16:30:56 => Das aktuellste Datum der MWAV-Dateien: 20 Feb 2008 10:02:31.

25 Feb 2008 16:30:56 => Vom Benutzer gewählte Optionen:
25 Feb 2008 16:30:56 => Speicherüberprüfung: Aktiviert
25 Feb 2008 16:30:56 => Registrierungsdatenbank-Überprüfung: Aktiviert
25 Feb 2008 16:30:56 => Überprüfung des Startordners: Aktiviert
25 Feb 2008 16:30:56 => Überprüfung des Systemordners: Aktiviert
25 Feb 2008 16:30:56 => Überprüfung der Systembereiche: Deaktiviert
25 Feb 2008 16:30:56 => Überprüfung der Dienste: Aktiviert
25 Feb 2008 16:30:56 => Überprüfung der Laufwerke: Deaktiviert
25 Feb 2008 16:30:56 => Überprüfung aller Laufwerke:Aktiviert
25 Feb 2008 16:30:56 => Überprüfung der Ordner: Deaktiviert

______________

Die Meldungen:

25 Feb 2008 16:32:09 => ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft *****
25 Feb 2008 16:32:09 => Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\XXX\LOKALE~1\Temp\spydb.avs, Size: 354592].
25 Feb 2008 16:32:13 => Indexed Spyware Databases Successfully Created...

25 Feb 2008 16:32:14 => System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})! Action taken: Keine Maßnahme ergriffen.
25 Feb 2008 16:32:17 => Offending Key found: HKCU\Software\kazaa !!!
25 Feb 2008 16:32:17 => Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:22 => Offending file found: C:\Dokumente und Einstellungen\Tobias.ZKM-AMD-2400\Desktop\sicherheit\smitfraudfix\process.exe
25 Feb 2008 16:32:22 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:22 => Offending file found: C:\Dokumente und Einstellungen\Tobias.ZKM-AMD-2400\Desktop\sicherheit\smitfraudfix\reboot.exe
25 Feb 2008 16:32:22 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:23 => Offending file found: C:\Dokumente und Einstellungen\Tobias.ZKM-AMD-2400\Desktop\sicherheit\smitfraudfix\swreg.exe
25 Feb 2008 16:32:23 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:23 => Offending file found: C:\Dokumente und Einstellungen\Tobias.ZKM-AMD-2400\Desktop\sicherheit\smitfraudfix\swsc.exe
25 Feb 2008 16:32:23 => System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:41 => Checking MountPoints2 Registry Key...
25 Feb 2008 16:32:41 => Invalid Command Found in {0787c824-44a9-11db-aa6b-000b6a483ab3}\Shell\Autoplay\DropTarget\AutoRun\command: E:\setupSNK.exe
25 Feb 2008 16:32:41 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0787c824-44a9-11db-aa6b-000b6a483ab3} !!!
25 Feb 2008 16:32:41 => Objekt "Possible Fujacks-type Worm" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:41 => Executable Command Found in {0925b69e-2f7d-11dc-ab8d-0019212982d6}\Shell\AutoRun\command: explorer.exe http://"www.web-stick.com"
25 Feb 2008 16:32:41 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{0925b69e-2f7d-11dc-ab8d-0019212982d6} !!!
25 Feb 2008 16:32:41 => Objekt "Possible Fujacks-type Worm" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:41 => Invalid Command Found in {553d41d3-e8c3-11db-ab31-0019212982d6}\includeRuntimeComponents\Shell\Autoplay\DropTarget\AutoRun\command: F:\podcastready.exe
25 Feb 2008 16:32:41 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{553d41d3-e8c3-11db-ab31-0019212982d6} !!!
25 Feb 2008 16:32:41 => Objekt "Possible Fujacks-type Worm" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:41 => Checking CLSID Reference Entries...
25 Feb 2008 16:32:43 => Eintrag "HKCR\MSPaper.Document" verweist auf das ungültige Objekt "{F086132E-222E-410A-BED7-343FF4D963A7}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:44 => Eintrag "HKCR\PhotoshopElements.Application" verweist auf das ungültige Objekt "{16aa0b9e-79ac-43b5-86ca-ab961fbeed5f}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:44 => Eintrag "HKCR\PhotoshopElements.Application.4" verweist auf das ungültige Objekt "{16aa0b9e-79ac-43b5-86ca-ab961fbeed5f}". Maßnahme ergriffen: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:45 => Checking Module Usage Entries...
25 Feb 2008 16:32:45 => Checking User Trusted External App Entries...
25 Feb 2008 16:32:45 => Checking Shared DLL Entries...
25 Feb 2008 16:32:51 => Checking Installer Entries...
25 Feb 2008 16:32:56 => Checking Shared Tools Entries...
25 Feb 2008 16:32:56 => Checking File Extension Entries...
25 Feb 2008 16:32:56 => Eintrag "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".pf". Maßnahme ergriffen: Keine Maßnahme ergriffen.

25 Feb 2008 16:32:56 => Checking Application Cache Entries...
25 Feb 2008 16:32:56 => Eintrag "HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache" verweist auf das ungültige Objekt "Pdf995". Maßnahme ergriffen: Keine Maßnahme ergriffen.

Ansonsten scannt er halt alle Dateien durch. Wenn mehr wichtig ist, kann ich auch das komplette große Log irgendwie zukommen lassen.

Die übrigen Logs:

Blacklight:
02/26/08 10:39:04 [Info]: BlackLight Engine 1.0.67 initialized
02/26/08 10:39:04 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/26/08 10:39:05 [Note]: 7019 4
02/26/08 10:39:05 [Note]: 7005 0
02/26/08 10:39:08 [Note]: 7006 0
02/26/08 10:39:08 [Note]: 7011 1456
02/26/08 10:39:08 [Note]: 7026 0
02/26/08 10:39:08 [Note]: 7026 0
02/26/08 10:39:12 [Note]: FSRAW library version 1.7.1024
02/26/08 10:48:41 [Note]: 2000 1012
02/26/08 10:49:07 [Note]: 7007 0

Tobasco

26.02.2008 11:12

Und hier noch das Log von Silent Runner:

Silent Runner:
"Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"swg" = "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" ["Google Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SiSUSBRG" = "C:\WINDOWS\SiSUSBrg.exe" ["Silicon Integrated Systems Corp."]
"Cmaudio" = "RunDll32 cmicnfg.cpl,CMICtrlWnd" [MS]
"SiS Tray" = "C:\WINDOWS\System32\sistray.EXE" ["Silicon Integrated Systems Corporation"]
"SiS Windows KeyHook" = "C:\WINDOWS\System32\keyhook.exe" ["Silicon Integrated Systems Corporation"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"Windows Defender" = ""C:\Programme\Windows Defender\MSASCui.exe" -hide" [MS]
"FLMK08KB" = "C:\Programme\Multimedia Keyboard\KbdAp32A.exe" [empty string]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"osCheck" = ""C:\Programme\Norton Internet Security\osCheck.exe"" ["Symantec Corporation"]
"Symantec PIF AlertEng" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"" ["Symantec Corporation"]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Inc."]
"mspd" = "C:\WINDOWS\system32\mspd.exe" [null data]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Inc."]
"Acrobat Assistant 7.0" = ""C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"" ["Adobe Systems Inc."]

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
<{12d0ed0d-0ee0-4f90-8827-78cefb8f4988}\(Default) = "IE7 Uninstall Stub"
\StubPath = "C:\WINDOWS\system32\ieudinit.exe" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{1E8A6170-7264-4D0F-BEAE-D42A53123C75}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll" ["Symantec Corporation"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Spybot - Search & Destroy\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Helper"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]
{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Google Toolbar Notifier BHO"
\InProcServer32\(Default) = "C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll" ["Google Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]
"{8D1636FD-CA49-4b4e-90E4-0A20E03A15E8}" = "jetAudio"
-> {HKLM...CLSID} = "JetFlExt"
\InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."]
"{46E22146-59C0-4136-9233-FB7720E777B2}" = "EzCddax extension"
-> {HKLM...CLSID} = "EzCddax Class"
\InProcServer32\(Default) = "C:\Programme\Easy CD-DA Extractor 10\ezcddax10.dll" [null data]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"
-> {HKLM...CLSID} = "Microsoft Office Metadata Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"
-> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{16148659-720A-457d-850B-2DBD87BB129D}" = "Audible Shlell Extension"
-> {HKLM...CLSID} = "AudibleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Audible\Bin\AudibleExt.dll" ["Audible, Inc."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Inc."]
"{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}" = "Adobe.Acrobat.ContextMenu"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}" = ""ShellExecuteHook" von Microsoft AntiMalware"
-> {HKLM...CLSID} = "Microsoft AntiMalware ShellExecuteHook"
\InProcServer32\(Default) = "C:\PROGRA~1\WINDOW~4\MpShHook.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"lsdelete" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{16148659-720A-457d-850B-2DBD87BB129D}\(Default) = "Audible Column Ext"
-> {HKLM...CLSID} = "AudibleShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Audible\Bin\AudibleExt.dll" ["Audible, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Adobe.Acrobat.ContextMenu\(Default) = "{D25B2CAB-8A9A-4517-A9B2-CB5F68A5A802}"
-> {HKLM...CLSID} = "Acrobat Elements Context Menu"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\Acrobat Elements\ContextMenu.dll" ["Adobe Systems Inc."]
EzCddax\(Default) = "{46E22146-59C0-4136-9233-FB7720E777B2}"
-> {HKLM...CLSID} = "EzCddax Class"
\InProcServer32\(Default) = "C:\Programme\Easy CD-DA Extractor 10\ezcddax10.dll" [null data]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\PROGRA~1\NORTON~2\NORTON~1\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
jetAudio\(Default) = "{8D1636FD-CA49-4b4e-90E4-0A20E03A15E8}"
-> {HKLM...CLSID} = "JetFlExt"
\InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
jetAudio\(Default) = "{8D1636FD-CA49-4b4e-90E4-0A20E03A15E8}"
-> {HKLM...CLSID} = "JetFlExt"
\InProcServer32\(Default) = "C:\Programme\JetAudio\JetFlExt.dll" ["JetAudio, Inc."]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{FAD61B3D-699D-49B2-BE16-7F82CB4C59CA}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\PROGRA~1\NORTON~2\NORTON~1\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing, Inc."]

Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoCDBurning" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Startup items in "Tobias" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Audible Download Manager" -> shortcut to: "C:\Programme\Audible\Bin\AudibleDownloadHelper.exe /Startup" ["Audible, Inc."]
"Logitech SetPoint" -> shortcut to: "C:\Programme\Logitech\SetPoint\SetPoint.exe" ["Logitech Inc."]

Enabled Scheduled Tasks:
------------------------

"MP Scheduled Scan" -> launches: "C:\Programme\Windows Defender\MpCmdRun.exe Scan -RestrictPrivileges" [MS]
"Norton Internet Security - Systemprüfung ausführen - Tobias" -> launches: "C:\Programme\Norton Internet Security\Norton AntiVirus\Navw32.exe /TASK:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}"
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{2318C2B1-4965-11D4-9B18-009027A5CD4F}" = (no title provided)
-> {HKLM...CLSID} = "&Google"
\InProcServer32\(Default) = "c:\programme\google\googletoolbar2.dll" ["Google Inc."]
"{90222687-F593-4738-B738-FBEE9C7B26DF}" = "NCO Toolbar"
-> {HKLM...CLSID} = "Show Norton Toolbar"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll" ["Symantec Corporation"]

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft"]
Adobe Active File Monitor V4, AdobeActiveFileMonitor4.0, "C:\Programme\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe" [null data]
Apple Mobile Device, Apple Mobile Device, ""C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe"" ["Apple, Inc."]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Automatisches LiveUpdate - Scheduler, Automatisches LiveUpdate - Scheduler, ""C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"" ["Symantec Corporation"]
iPod-Dienst, iPod Service, "C:\Programme\iPod\bin\iPodService.exe" ["Apple Inc."]
LiveUpdate Notice Service Ex, LiveUpdate Notice Ex, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe"" [MS]
SmartLinkService, SLService, "slserv.exe" [" "]
Symantec AppCore Service, SymAppCore, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe"" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"]
Symantec Lic NetConnect service, CLTNetCnService, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h cltCommon" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon" ["Symantec Corporation"]
Windows Defender, WinDefend, ""C:\Programme\Windows Defender\MsMpEng.exe"" [MS]

Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Adobe PDF Port\Driver = "C:\WINDOWS\system32\AdobePDF.dll" ["Adobe Systems Incorporated."]
HP Master Monitor\Driver = "HPBMMON.DLL" ["Hewlett-Packard"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]

---------- (launch time: 2008-02-26 10:49:42)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 48 seconds.
---------- (total run time: 214 seconds)

myrtille

26.02.2008 13:49

Hi,
die Logs sehen sauber aus.
Die find.bat braucht lange, ja. :schmoll: Und sie hat derzeit noch andere Probleme. :p
Ich würde gern die letzten Zeilen des Logs noch sehen, also die in denen die Scandauer, die Anzahl der gescannten Dateis und die Anzahl der gefundenen Infektionen stehen. Daran lässt sich dann recht gut ablesen, ob evtl eine Meldung hier übersehen wurde.

Könntest du mir evtl auch dein komplettes mwav.log zb bei file-upload.net hochladen? Das wäre für Tests an der find.bat sicherlich hilfreich. :)
Den Link dann entweder hier veröffentlichen oder mir per PM schicken. :)

lg myrtille

Tobasco

26.02.2008 14:54

26 Feb 2008 09:14:57 => ***** Scannen abgeschlossen *****

26 Feb 2008 09:14:57 => Zahl der gescannten Objekte: 106058
26 Feb 2008 09:14:57 => Zahl der kritischen Objekte: 14
26 Feb 2008 09:14:57 => Zahl der desinfizierten Objekte: 0
26 Feb 2008 09:14:57 => Zahl der umbenannten Dateien: 0
26 Feb 2008 09:14:57 => Zahl der gelöschten Objekte: 0
26 Feb 2008 09:14:57 => Zahl der Fehler: 13
26 Feb 2008 09:14:57 => Zeit verstrichen: 01:06:17
26 Feb 2008 09:14:57 => Virendatenbank Datum: 20 Feb 2008
26 Feb 2008 09:14:57 => Virendatenbankzähler: 573496

26 Feb 2008 09:14:57 => Scannen abgeschlossen.

Ich lad das komplette Log gerade hoch, bekommst du dann per PM.
Wenn die find.bat ewig braucht ist das ja ok, nur dann sollte man das am besten in dem Fenster einmal kurz schreiben, das es bis zu x minuten dauern kann. Ich wusste nicht, obs abgestürzt ist oder noch rechnet :)

Hoffe, dass der Rechner wirklich clean ist. Das einzige was noch passiert, ist die Fehlermeldung bei Word (und outlook, da es word als Editor nutzt). Beim ersten Mal starten (wenn der Rechner frisch hochgefahren ist) kommt immer einmal die Meldung: "Dies ist kein gültiges Maß" ("Dies" oder "Das", gerade nicht mehr sicher). Danach funktioniert alles reibungslos

myrtille

26.02.2008 16:40

@escan
Ist noch in Arbeit. ;) Aber ich denke da kommen keine bösen Überraschungen mehr auf. ;)

@find.bat

Zitat:

Ich wusste nicht, obs abgestürzt ist oder noch rechnet

Diese Frage gilt es zu klären. ;)

@Fehlermeldung

Tue mal Folgendes:
Start->Systemsteuerung -> Regions- und Sprachoptionen -> Anpassen -> Dezimaltrennzeichen "." in ", "ändern

Es kann sein, dass dies von einem der Tools verstellt und nicht korrekt zurückgesetzt wurde.

lg myrtille

Tobasco

27.02.2008 13:12

Jap, war verstellt. Hoffe mal, daran lags. Werd ich beim nächsten Neustart merken.
Danke:)

myrtille

27.02.2008 13:25

Schlön. :)
Dann entlasse ich dich hiermit offiziell als geheilt. ;)

@Fehlermeldung

Die meisten Tools werden hauptsächlich für den englischsprachigen Tool entwickelt bzw adaptiert. Dementsprechend braucht die Tools dann auch dieselben Einstellungen um zu funktionieren.
Da es einfacher ist, auf einem deutschen System in der Registry schnell deutsch in englisch umzusetzen als das ganze Tool neuzuschreiben, werden viele solche Veränderungen vorgenommen.
Manchmal ziehen solche Veränderungen ihre Kreise und es reicht nicht die Sprache zurückzusetzen. Das dürfte hier passiert sein.
Ist kein Drama, wenn auch ärgerlich. Aber zum Glück leicht zu beheben. ;)

lg myrtille

Alle Zeitangaben in WEZ +1. Es ist jetzt 16:37 Uhr.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131