Trojaner-Board - Bootet lange, Antivirus nicht Installierbar

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Bootet lange, Antivirus nicht Installierbar (https://www.trojaner-board.de/58285-bootet-lange-antivirus-installierbar.html)

Bootet lange, Antivirus nicht Installierbar

Hab das Problem das mein Windows XP endlange bootet, dazu kommt dass ich seit heute jedes mal wenn ich ne "Antivirus Seite" aufrufe mein Firefox oder auch IE abstürzt, desweiteren is kein Antivirus installierbar, und Hijackthis nicht ausführbar. Hab den Log von Silent Runner aber.

"Silent Runners.vbs", revision 58, http://w*w.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"MsnMsgr" = ""C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background" [MS]
"DAEMON Tools Lite" = ""C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun" ["DT Soft Ltd"]
"Steam" = ""c:\programme\steam\steam.exe" -silent" ["Valve Corporation"]
"BLASC" = ""C:\Programme\buffed\BLASC.exe" silent" ["Computec Media AG"]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"LogitechSoftwareUpdate" = "C:\Programme\Logitech\Video\ManifestEngine.exe boot" ["Logitech Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"D-Link AirPlus G" = "C:\Programme\D-Link\AirPlus G\AirGCFG.exe" ["D-Link"]
"ANIWZCS2Service" = "C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" ["Alpha Networks Inc."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"CTHelper" = "CTHELPER.EXE" ["Creative Technology Ltd"]
"CTxfiHlp" = "CTXFIHLP.EXE" ["Creative Technology Ltd"]
"MPTBox" = "C:\PROGRA~1\Canon\MULTIP~1\MPTBox.exe" ["Canon Inc."]
"BearShare" = ""C:\Programme\BearShare\BearShare.exe" /pause" ["Free Peers, Inc."]
"KernelFaultCheck" = "C:\WINDOWS\system32\dumprep 0 -k"
"LVCOMSX" = "C:\WINDOWS\system32\LVCOMSX.EXE" ["Logitech Inc."]
"LogitechVideoRepair" = "C:\Programme\Logitech\Video\ISStart.exe " ["Logitech Inc."]
"LogitechVideoTray" = "C:\Programme\Logitech\Video\LogiTray.exe" ["Logitech Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Anmelde-Hilfsprogramm"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{933ED98E-57E9-11DD-BF82-A36255D89593}\(Default) = "CUNta"
-> {HKLM...CLSID} = "CUNta"
\InProcServer32\(Default) = "C:\WINDOWS\system32\cunta.dll" ["Insoft"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\Windows Live\Messenger\fsshext.8.5.1302.1018.dll" [MS]
"{44440D00-FF19-4AFC-B765-9A0970567D97}" = "TuneUp Theme Extension"
-> {HKLM...CLSID} = "TuneUp Theme Extension"
\InProcServer32\(Default) = "C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]
"{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}" = "TuneUp Shredder Shell Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\OLKFSTUB.DLL" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\MLSHEXT.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office12\msohevi.dll" [MS]
"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"
-> {HKLM...CLSID} = "Microsoft Office Metadata Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"
-> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{4B4604E0-8961-11D4-A0EC-009099164712}" = "Mein MultiPASS"
-> {HKLM...CLSID} = "Mein MultiPASS"
\InProcServer32\(Default) = "C:\Programme\Canon\MultiPASS4\DTM4.DLL" ["Canon Inc."]
"{400CFEE2-39D0-46DC-96DF-E0BB5A4324B3}" = "Eigene Logitech-Bilder"
-> {HKLM...CLSID} = "Eigene Logitech-Bilder"
\InProcServer32\(Default) = "C:\Programme\Logitech\Video\Namespc2.dll" ["Logitech Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\windows\system32\WPDShServiceObj.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> dffcfecfdbab\DLLName = "C:\WINDOWS\system32\dffcfecfdbab.dll" [null data]
<<!>> DUSAN\DLLName = "C:\WINDOWS\system32\DUSAN.dll" [null data]

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807563E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = "Microsoft Office InfoPath XML Mime Filter"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL" [MS]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder Shell Extension\(Default) = "{4858E7D9-8E12-45a3-B6A3-1CD128C9D403}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Extension"
\InProcServer32\(Default) = "C:\Programme\TuneUp Utilities 2008\SDShelEx-win32.dll" ["TuneUp Software GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

LogitechQuickSync\
"Provider" = "Logitech QuickSync"
"InvokeProgID" = "Applications\QSync.exe"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\Applications\QSync.exe\shell\open\command\(Default) = "C:\Programme\Logitech\Video\QSync.exe" ["Logitech Inc."]

MSWPDShellNamespaceHandler\
"Provider" = "@%SystemRoot%\System32\WPDShextRes.dll,-501"
"CLSID" = "{A55803CC-4D53-404c-8557-FD63DBA95D24}"
"InitCmdLine" = " "
-> {HKLM...CLSID} = "WPDShextAutoplay"
\LocalServer32\(Default) = "C:\WINDOWS\system32\WPDShextAutoplay.exe" [MS]

VLCPlayCDAudioOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.CDAudio"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file cdda:%1" ["VideoLAN Team"]

VLCPlayDVDMovieOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.DVDMovie"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --started-from-file dvd:%1" ["VideoLAN Team"]

WinampMTPHandler\
"Provider" = "Winamp"
"ProgID" = "Shell.HWEventHandlerShellExecute"
"InitCmdLine" = "C:\Programme\Winamp\winamp.exe"
HKLM\SOFTWARE\Classes\Shell.HWEventHandlerShellExecute\CLSID\(Default) = "{FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}"
-> {HKLM...CLSID} = "ShellExecute HW Event Handler"
\LocalServer32\(Default) = "rundll32.exe shell32.dll,SHCreateLocalServerRunDll {FFB8655F-81B9-4fce-B89C-9A6BA76D13E7}" [MS]

WinampPlayMediaOnArrival\
"Provider" = "Winamp"
"InvokeProgID" = "Winamp.File"
"InvokeVerb" = "Play"
HKLM\SOFTWARE\Classes\Winamp.File\shell\Play\command\(Default) = ""C:\Programme\Winamp\winamp.exe" "%1"" ["Nullsoft"]
HKLM\SOFTWARE\Classes\Winamp.File\shell\Play\DropTarget\CLSID = "{46986115-84D6-459c-8F95-52DD653E532E}"
-> {HKLM...CLSID} = (no title provided)
\LocalServer32\(Default) = ""C:\Programme\Winamp\winamp.exe"" ["Nullsoft"]

Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe /schedulestart" [null data]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_07"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_07"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Research"

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Creative Audio Service, CTAudSvcService, "C:\Programme\Creative\Shared Files\CTAudSvc.exe" ["Creative Technology Ltd"]
Messenger USN Journal Reader-Service für freigegebene Ordner, usnjsvc, ""C:\Programme\Windows Live\Messenger\usnsvc.exe"" [MS]
MpService, MpService, "C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE" ["Canon Inc."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
TuneUp Designerweiterung, UxTuneUp, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\uxtuneup.dll" ["TuneUp Software GmbH"]}

Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Canon MP-Sprachüberwachung\Driver = "MPASSMON.DLL" ["Canon Inc."]
Canon MultiPASS-USB-Anschluss\Driver = "mpupmon.dll" [null data]

---------- (launch time: 2008-08-21 02:02:03)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 31 seconds, including 12 seconds for message boxes)

Hi,

hast du versucht Hijackthis umzubennen und dann zu starten? Geht das?

Kannst du Malwarebytes herunterladen und ausführen?

lg myrtille

Auch mit Umbennen nicht Ausführbar.
Malwarebytes durchlaufen lassen und folgendes gefunden und gelöscht :

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1073
Windows 5.1.2600 Service Pack 2

03:18:18 21.08.2008
mbam-log-08-21-2008 (03-18-13).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 107867
Laufzeit: 35 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{933ed98e-57e9-11dd-bf82-a36255d89593} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{933ed98e-57e9-11dd-bf82-a36255d89593} (Trojan.BHO) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\cunta.dll (Trojan.BHO) -> No action taken.

Hi,

Arbeite bitte folgendes ab:

Lade dir SDFix herunter und speichere es auf deinem Desktop.
Starte SDFix.exe per Doppelklick, wähle installieren, um das Programm in seinen eigenen Ordner unter C:\ zu entpacken.
Wechsle in den abgesicherten Modus
Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf RunThis.bat, um das Skript zu starten.
Gib ein Y ein, um den Reinigungsprozess zu beginnen.
Wenn dich das Skript dazu auffordert, drücke bitte eine Taste, um den Rechner neuzustarten.
Wenn der Rechner hochgefahren ist, wird das Programm zuende laufen.
Zum Schluss muss nochmal eine Taste gedrückt werden, um das Skript zu beenden und den explorer zu starten.
Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.

Eine bebilderte Anleitung für den abgesicherten Modus gibt es hier

Versuch danahc bitte nochmal ein Hijackthislog zu erstellen.

lg myrtille

Werde ich machen, sobald ich wieder ins Windows reinkomm...

Inwiefern kommst du nicht mehr ins Windows?

lg myrtille

so das nach dem ladebildschirm alles schwarz bleibt und entweder bootet er ganz durch oder darf neustarten.
SDFix lauft grad durch.
im System32 Ordner war ne DUSAN.DLL datei die nich geöffnet werden konnte.
Test leift weiter... poste dann Ergebniss.
Danke schonmal für die hilfe bisher

Edit: Das wäre dann dieser Eintrag

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> dffcfecfdbab\DLLName = "C:\WINDOWS\system32\dffcfecfdbab.dll" [null data]
<<!>> DUSAN\DLLName = "C:\WINDOWS\system32\DUSAN.dll" [null data]

Edit 2: Seh mir grad das SDFix log durch, sieht nicht gut aus ^^

SDFix: Version 1.218
Run by Administrator on 21.08.2008 at 12:20

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-21 12:28:50
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:1f,53,03,43,e7,90,6a,c8,65,4c,82,6e,bd,1a,fb,98,40,40,e4,a8,2f,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,41,16,d0,b3,ef,f7,f0,a9,a9,e5,45,d5,9f,63,0b,ae,87,..
"khjeh"=hex:1d,dc,ae,22,8c,b8,d1,6f,c8,04,d7,04,d5,8d,fc,5d,9d,e6,dd,0b,c6,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:69,4e,a1,1d,2a,f3,e0,46,c1,9d,26,d0,31,5f,b2,eb,05,23,4f,cd,93,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:1f,53,03,43,e7,90,6a,c8,65,4c,82,6e,bd,1a,fb,98,40,40,e4,a8,2f,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,41,16,d0,b3,ef,f7,f0,a9,a9,e5,45,d5,9f,63,0b,ae,87,..
"khjeh"=hex:1d,dc,ae,22,8c,b8,d1,6f,c8,04,d7,04,d5,8d,fc,5d,9d,e6,dd,0b,c6,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:69,4e,a1,1d,2a,f3,e0,46,c1,9d,26,d0,31,5f,b2,eb,05,23,4f,cd,93,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Programme\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:1f,53,03,43,e7,90,6a,c8,65,4c,82,6e,bd,1a,fb,98,40,40,e4,a8,2f,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,41,16,d0,b3,ef,f7,f0,a9,a9,e5,45,d5,9f,63,0b,ae,87,..
"khjeh"=hex:1d,dc,ae,22,8c,b8,d1,6f,c8,04,d7,04,d5,8d,fc,5d,9d,e6,dd,0b,c6,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:69,4e,a1,1d,2a,f3,e0,46,c1,9d,26,d0,31,5f,b2,eb,05,23,4f,cd,93,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\BearShare\\BearShare.exe"="C:\\Programme\\BearShare\\BearShare.exe:*:Enabled:BearShare"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :

Files with Hidden Attributes :

Tue 15 Jan 2002 33,791 A..H. --- "C:\WINDOWS\Removejoy.exe"
Tue 6 May 2008 4,348 ..SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\DRMv1.bak"
Wed 21 May 2008 0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv01.tmp"
Wed 14 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\0a67b6c406b1d7e0f5c1e6f6d44a3f6e\BIT7.tmp"
Wed 14 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\18b19374451d28a8fbaf1939cf31ff45\BITA.tmp"
Wed 14 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\26924cbc8132a10b438ce6e2b49d4652\BIT6.tmp"
Wed 14 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\2d9afc485ff57441ce14a08241df89e8\BITC.tmp"
Wed 7 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4844df1d57a292079101da42a26d7d72\BIT6.tmp"
Mon 19 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\78670cbd6a90baaa408a8a72f52fdce2\BIT5.tmp"
Wed 14 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ad2d37be81d37204b0a12680c06ffd51\BIT9.tmp"
Wed 7 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\bc066f3f60df1b38218903dd0d40ce98\BIT7.tmp"
Wed 7 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ccba472a05828aa2a3ee32c96c6466ca\BIT8.tmp"
Wed 14 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\d77b9b5b8fed23dd91f50d167cce60d3\BITB.tmp"
Wed 14 May 2008 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\ed6c7531380802fe7c2504f3909edb19\BIT8.tmp"

Finished!

Hi,

das

Zitat:

<<!>> DUSAN\DLLName = "C:\WINDOWS\system32\DUSAN.dll" [null data]

dürfte nur die Spitze des Eisbergs sein, wenn die Dateien von Windows nicht gesehen werden.

Ich würd den Bericht trotzdem gerne sehen ;) Das einfachste dürfte jedoch ein Neuaufsetzen sein. ;)

lg myrtille

Siehe Post über dir für Bericht ^^

Hi,
die meisten Einträge sind mehr oder minder legitim.

kannst du bitte die Datei

Zitat:

C:\WINDOWS\Removejoy.exe
C:\WINDOWS\system32\DUSAN.dll

bei virustotal hochladen und das Ergebnis hier posten?

Sowie einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
nichts am Rechner getan werden
nach jedem Scan der Rechner neu gestartet werden

Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
Starte gmer.exe. Alle anderen Programme sollen geschlossen sein.
Starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Catchme scannen lassen

Lade dir Catchme runter auf deinen Desktop.
Starte Catchme.exe. Alle anderen Programme sollen geschlossen sein. Mit "Scan" starten.
Falls nach dem Ende des Scans im Fenster Dateien stehen, dann klicke auf "Zip" damit eine Kopie dieser Dateien erzeugt wird. Die Dateien werden dabei nicht entfernt.
Das Log ist in catchme.log, füge es vollständig in deine Antwort ein.

RootkitRevealer scannen lassen

Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
Starte in diesem Ordner RootkitRevealer.exe. Alle anderen Programme schließen.
Starte durch Klick auf "Scan".
Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

lg myrtille

Die DUSAN.DLL nimmt virustotal nicht an, iwas von 0byte oder so.

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.21.0 2008.08.21 -
AntiVir 7.8.1.23 2008.08.21 -
Authentium 5.1.0.4 2008.08.21 -
Avast 4.8.1195.0 2008.08.20 -
AVG 8.0.0.161 2008.08.21 -
BitDefender 7.2 2008.08.21 -
CAT-QuickHeal 9.50 2008.08.20 -
ClamAV 0.93.1 2008.08.21 -
DrWeb 4.44.0.09170 2008.08.21 -
eSafe 7.0.17.0 2008.08.20 -
eTrust-Vet 31.6.6039 2008.08.21 -
Ewido 4.0 2008.08.21 -
F-Prot 4.4.4.56 2008.08.20 -
F-Secure 7.60.13501.0 2008.08.21 -
Fortinet 3.14.0.0 2008.08.21 -
GData 2.0.7306.1023 2008.08.20 -
Ikarus T3.1.1.34.0 2008.08.21 -
K7AntiVirus 7.10.422 2008.08.20 -
Kaspersky 7.0.0.125 2008.08.21 -
McAfee 5366 2008.08.21 -
Microsoft 1.3807 2008.08.21 -
NOD32v2 3374 2008.08.21 -
Norman 5.80.02 2008.08.20 -
Panda 9.0.0.4 2008.08.21 -
PCTools 4.4.2.0 2008.08.20 -
Prevx1 V2 2008.08.21 -
Rising 20.58.32.00 2008.08.21 -
Sophos 4.32.0 2008.08.21 -
Sunbelt 3.1.1564.1 2008.08.21 -
Symantec 10 2008.08.21 -
TheHacker 6.3.0.6.056 2008.08.21 -
TrendMicro 8.700.0.1004 2008.08.21 -
VBA32 3.12.8.3 2008.08.20 -
ViRobot 2008.8.21.1344 2008.08.21 -
VirusBuster 4.5.11.0 2008.08.20 -
Webwasher-Gateway 6.6.2 2008.08.21 -

weitere Informationen
File size: 33791 bytes
MD5...: 3896cd1fd975f24f7128f46ff9548648
SHA1..: a333bf3aa66c2fda74f8908970f781e1e438fd72
SHA256: a223d6b9b1450a49459c99bfd819034301d228e25aa72efe794f191bc6eea233
SHA512: dcde1d497cff274ffae9098492927e2beb745743fcf7a1cca7698a73028a1995
0fb79d844ccc9698f64f5cd84fec271c1d4224bbed80397bedba36a9313828ba
PEiD..: InstallShield 2000
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1001800
timedatestamp.....: 0x3c43d42c (Tue Jan 15 07:03:08 2002)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4aa6 0x4c00 6.48 cfe94dc8252d8042ed01cfdf0f9869c9
.data 0x6000 0x3df8 0x2a00 0.54 67dfce74a3c596abecb19d51fbcb157a
.rsrc 0xa000 0x3d8 0x400 3.32 ffbdad5b0467dfebfa71d2f7cd32624f

( 2 imports )
> KERNEL32.dll: GetStartupInfoA, LocalFree, FormatMessageA, GetLastError, lstrlenA, LocalAlloc, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, MultiByteToWideChar, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, WideCharToMultiByte, GetCPInfo, GetACP, GetOEMCP, SetHandleCount, GetStdHandle, GetFileType, SetLastError, HeapDestroy, HeapCreate, VirtualFree, RtlUnwind, WriteFile, HeapFree, HeapAlloc, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, VirtualAlloc, GetProcAddress, LoadLibraryA, FlushFileBuffers, SetFilePointer, SetStdHandle, CloseHandle
> SETUPAPI.dll: SetupDiCallClassInstaller, SetupDiGetDeviceRegistryPropertyA, SetupDiEnumDeviceInfo, SetupDiGetClassDevsA, SetupDiDestroyDeviceInfoList

Fals es Iwie weithilft, ich surfe mit Router und seid kurzem mit W-Lan

Nun zu den Logs, vorweg : Ich krieg den RootkitRevealer.exe nicht gestartet. Selbst mit umbennenen gehts nicht.

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-08-21 13:07:35
Windows 5.1.2600 Service Pack 2

---- Kernel code sections - GMER 1.0.14 ----

? C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\catchme.sys Das System kann die angegebene Datei nicht finden. !

---- User code sections - GMER 1.0.14 ----

.text C:\Programme\Windows Live\Messenger\MsnMsgr.Exe[988] kernel32.dll!SetUnhandledExceptionFilter 7C84467D 5 Bytes JMP 0056DBBD C:\Programme\Windows Live\Messenger\MsnMsgr.Exe (Windows Live Messenger/Microsoft Corporation)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x1F 0x53 0x03 0x43 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x1D 0xDC 0xAE 0x22 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x69 0x4E 0xA1 0x1D ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x1F 0x53 0x03 0x43 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x1D 0xDC 0xAE 0x22 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x69 0x4E 0xA1 0x1D ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Programme\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x1F 0x53 0x03 0x43 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x1D 0xDC 0xAE 0x22 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x69 0x4E 0xA1 0x1D ...

---- EOF - GMER 1.0.14 ----

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Hi,

wie heißt dein Router? Wie geht es dem Rechner?

lg myrtille

Nachwievor keine Antivirus Seiten aufrufbar und auch nicht Installierbar.
Hijackthis startet auch nicht.
D-Link DSL-G624T

Hoi ;)

Was kommt für eine Fehlermeldung, wenn du z.B. Antivir installieren willst oder Hijackthis starten willst?

Hast du schonmal Hijackthis in "test.com" umbenannt?

mfg

Problem ist ja, dass garkeine Fehlermeldung kommt.
Hijackthis startet kurz, und beendet sich dann iwie von selbst, ohne angabe von Gründen.
Wie als würde man im Taskmanager einen Prozess beenden.
Selbiges bei Antivir.

Ja habs auch umbennant.

Seltsam.
Sowas ist mir noch nie begegnet, aber ich denke nicht, das dies von Schädlingen verursacht wird.
Ich würde in dem Fall Neuaufsetzen empfehlen, aber ich geh davon aus, das du das nicht willst.
Hast du schonmal die Systemwiederherstellung probiert? Btw. zu einem Zeitpunkt, wo das Problem noch nicht auftrat.

mfg

Werd ich gleich versuchen. 1-2 Monate sollten reichen. Poste dann das Ergebniss.
Die Logs sehn sonnst in Ordnung aus?

Jop,
wenn das mit der Systemwiederherstellung geklappt hat, kannst du gleich ein Hijackthis Logfile posten. ;)

Juhuuu es ging :D
Hier der Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:10:44, on 22.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\Programme\Creative\Shared Files\CTAudSvc.exe
C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
C:\windows\system32\nvsvc32.exe
C:\windows\system32\svchost.exe
C:\windows\Explorer.EXE
C:\windows\system32\wscntfy.exe
C:\windows\system32\ctfmon.exe
C:\windows\system32\wuauclt.exe
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\windows\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\windows\system32\CTHELPER.EXE
C:\windows\system32\CTXFIHLP.EXE
C:\PROGRA~1\Canon\MULTIP~1\MPTBox.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\Programme\Steam\Steam.exe
C:\Programme\buffed\BLASC.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\TuneUp Utilities 2008\OneClick.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Meine empfangenen Dateien\HiJackThis\test.com
C:\Programme\TuneUp Utilities 2008\RegistryCleaner.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htp://search.bearshare.com/ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = htp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = htp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = htp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = htp://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [MPTBox] C:\PROGRA~1\Canon\MULTIP~1\MPTBox.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [BLASC] "C:\Programme\buffed\BLASC.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209843752593
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1209899219890
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Programme\Creative\Shared Files\CTAudSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MpService - Canon Inc. - C:\Programme\Canon\MultiPASS4\MPSERVIC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\windows\System32\TuneUpDefragService.exe

--
End of file - 5989 bytes

Hi,
das Logfile ist im großen und ganzen sauber, bis auf Bearshare.
Deinstalliere den Müll und fixe mit HijackThis folgenden Eintrag:

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = htp://search.bearshare.com/ch/

Achja, verabschiede dich auch von TuneUp Utilities, damit kannst du so ziemlich dein System zerschießen.

Gefixt, bearshare brauch ich :P
TuneUP wurde so gut wie nie gebraucht, aber werd ich machen.
Was für Programme ausser Avira Antivir kannst du mir noch empfehlen?

Zitat:

Gefixt, bearshare brauch ich :P

Dann freuts dich bestimmt zu hören das Bearshare mit abstand die größte Virenschleuder is und zudem noch polizeilich überwacht wird.

Also nicht wundern, wir sehen uns. ;)

:P:P läuft ja nicht ständig mit.
btw ich lass grad Antivir durchscannen, bisher 3 Funde
Physing, Trojaner und der 3te weiss ich nimma :/

Edit: Die oben genannte DUSAN.dll ist TR/Agent.did.2
Edit2: http://forum.chip.de/viren-trojaner-...=1#post6279702
da hatte einer das selbe Problem.

Wirst du dann schon merken. ;)
Poste dann den Report von Avira.

och nöööö
windows is grad stehn geblieben. kann nix machen, scann is bei 98.9% -.-
komisch das die uhr in der taskbar stehngeblieben is, die im antivir fenster (benötigte zeit) weiterläuft ^^
wenn ich jetzt neu starte, bleiben die dateien in der quarantäne?

meine neustarten im sinne von reset knopf betätigen ^^
Edit: ok sind in der Quarantäne, jedoch kein Log vorhanden.
C wurde durchgescannt und bei D (500GB Platte) eben stehngeblieben bei 98.9%.
Kann auch n Screen hochladen von der Quarantäne wenns hilft.

Du kannst auch schauen, welche Trojaner gefunden wurden, und welche Dateien als diese Trojaner angegeben wurden. Steht alles in der Quarantäne.

Jap schon klar, ich meinte, ob ich dir die Trojaner usw posten soll. :)

Und DICKES DANKESCHÖN an dir und myrtille für eure hilfe! =)

DANKE

Hi,

wir bräuchten den Antivirscan, zur Not auch nur von der C:\ Platte.

Außerdem würde mich der Inhalt der folgenden Datei interessieren:
C:\windows\system32\drivers\etc\hosts

Ist das Passwort an deinem Router geändert worden, als du ihn eingerichtet hast?

Wenn ich ehrlich bin, würde ich hier auch zu einem neuaufsetzen tendieren, es sind doch einige "Einschränkungen" in denem System bemerkbar.

Lass grad C:\ durchscannen.
Nein das Passwort wurde nie geändert.
Inhalt der Host Datei:

# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a "#" symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
#
127.0.0.1 localhost

Und der Log :

Avira AntiVir Premium
Erstellungsdatum der Reportdatei: Freitag, 22. August 2008 13:46

Es wird nach 1567339 Virenstämmen gesucht.

Lizenznehmer: XXXXX
Seriennummer: 2200090902-PEPWE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Administrator
Computername: XXXX

Versionsinformationen:
BUILD.DAT : 8.1.0.367 20012 Bytes 12.08.2008 11:28:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 26.06.2008 08:57:49
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 10:33:34
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 13:54:15
ANTIVIR2.VDF : 7.0.6.10 2587136 Bytes 14.08.2008 22:20:01
ANTIVIR3.VDF : 7.0.6.55 226816 Bytes 22.08.2008 11:43:45
Engineversion : 8.1.1.23
AEVDF.DLL : 8.1.0.5 102772 Bytes 25.02.2008 09:58:21
AESCRIPT.DLL : 8.1.0.68 315770 Bytes 21.08.2008 22:20:05
AESCN.DLL : 8.1.0.23 119156 Bytes 10.07.2008 12:44:49
AERDL.DLL : 8.1.0.20 418165 Bytes 24.04.2008 12:37:48
AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 12:58:35
AEOFFICE.DLL : 8.1.0.22 192890 Bytes 21.08.2008 22:20:05
AEHEUR.DLL : 8.1.0.50 1388918 Bytes 21.08.2008 22:20:04
AEHELP.DLL : 8.1.0.15 115063 Bytes 10.07.2008 12:44:48
AEGEN.DLL : 8.1.0.36 315764 Bytes 21.08.2008 22:20:03
AEEMU.DLL : 8.1.0.7 430452 Bytes 31.07.2008 08:33:21
AECORE.DLL : 8.1.1.8 172406 Bytes 31.07.2008 08:33:21
AEBB.DLL : 8.1.0.1 53617 Bytes 10.07.2008 12:44:48
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 21.08.2008 22:20:02
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2564353 Bytes 12.06.2008 13:26:26
RCTEXT.DLL : 8.0.51.0 90369 Bytes 27.06.2008 10:57:53

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Premium\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Freitag, 22. August 2008 13:46

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avwebgrd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avmailc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BLASC.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTxfispi.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Ctxfihlp.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CtHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WZCSLDR2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AirGCFG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mpservic.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avesvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CTAudSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '37' Prozesse mit '37' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '58' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Ende des Suchlaufs: Freitag, 22. August 2008 14:12
Benötigte Zeit: 26:03 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

4486 Verzeichnisse wurden überprüft
200438 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
200436 Dateien ohne Befall
1426 Archive wurden durchsucht
2 Warnungen
0 Hinweise

Und welche Dateien wurdne in Quarantäne verschoben?

Führe bitte folgendes aus: Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Arbeite die Anleitung ab. Installiere dafür unbedingt die Recovery Console.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille

Mom ich stell grad Screens von der Quarantäne ein.
Dann Comobfix

Und hier der Log :

ComboFix 08-08-21.02 - Administrator 2008-08-22 14:58:09.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.1633 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows Media\10.0\WMSDKNSD.XML

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-22 bis 2008-08-22 ))))))))))))))))))))))))))))))
.

2099-05-03 13:54 . 2008-04-13 22:09 142,592 --a------ C:\WINDOWS\system32\drivers\aec.sys
2099-05-03 13:54 . 2008-04-14 00:15 56,576 --a------ C:\WINDOWS\system32\drivers\swmidi.sys
2099-05-03 13:54 . 2008-04-14 00:15 6,272 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2099-05-03 13:54 . 2008-04-14 00:09 4,992 --a------ C:\WINDOWS\system32\drivers\mspqm.sys
2099-05-03 13:54 . 2008-04-14 00:15 2,944 --a------ C:\WINDOWS\system32\drivers\drmkaud.sys
2099-05-03 13:53 . 2008-04-14 00:15 172,416 --a------ C:\WINDOWS\system32\drivers\kmixer.sys
2099-05-03 13:53 . 2008-04-14 00:47 83,072 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2099-05-03 13:53 . 2008-04-14 00:45 60,800 --a------ C:\WINDOWS\system32\drivers\sysaudio.sys
2099-05-03 13:53 . 2008-04-14 07:22 57,728 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2099-05-03 13:53 . 2008-04-14 00:15 52,864 --a------ C:\WINDOWS\system32\drivers\dmusic.sys
2099-05-03 13:53 . 2008-04-14 00:09 7,552 --a------ C:\WINDOWS\system32\drivers\mskssrv.sys
2099-05-03 13:53 . 2008-04-14 00:09 5,376 --a------ C:\WINDOWS\system32\drivers\mspclock.sys
2099-05-03 13:53 . 2001-08-17 14:59 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2099-05-03 13:52 . 2008-04-14 00:49 146,048 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2099-05-03 13:52 . 2008-04-14 07:53 129,536 --a------ C:\WINDOWS\system32\ksproxy.ax
2099-05-03 13:52 . 2008-04-14 00:15 60,160 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2099-05-03 13:52 . 2008-04-14 00:15 10,624 --a------ C:\WINDOWS\system32\drivers\gameenum.sys
2099-05-03 13:52 . 2001-08-17 14:46 6,400 --a------ C:\WINDOWS\system32\drivers\enum1394.sys
2099-05-03 13:52 . 2008-04-14 07:52 4,096 --a------ C:\WINDOWS\system32\ksuser.dll
2099-05-03 13:52 . 2001-08-17 15:00 2,944 --a------ C:\WINDOWS\system32\drivers\msmpu401.sys
2099-05-03 13:51 . 2008-04-14 07:52 77,312 --a------ C:\WINDOWS\system32\usbui.dll
2099-05-03 13:49 . 2008-08-22 14:40 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2099-05-03 13:49 . 2008-08-22 14:37 <DIR> d-------- C:\WINDOWS\system32\CatRoot
2099-05-03 13:49 . 2008-05-03 14:02 <DIR> d-------- C:\Dokumente und Einstellungen
2099-05-03 13:49 . 2004-08-04 01:59 1,014,663 -ra------ C:\WINDOWS\SET3.tmp
2099-05-03 13:06 . 2099-05-03 12:57 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2099-05-03 13:06 . 2099-05-03 13:50 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2099-05-03 13:06 . 2099-05-03 13:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2099-05-03 13:06 . 2008-08-22 15:00 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2099-05-03 13:06 . 2008-05-06 15:32 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2099-05-03 13:06 . 2008-08-21 13:08 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2099-05-03 13:06 . 2099-05-03 13:50 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2099-05-03 13:06 . 2008-08-21 02:25 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2099-05-03 13:04 . 2099-05-03 13:04 8,192 --a------ C:\WINDOWS\REGLOCS.OLD
2099-05-03 13:02 . 2008-04-14 07:50 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll
2099-05-03 13:01 . 2099-05-03 13:01 <DIR> d-------- C:\WINDOWS\system32\xircom
2099-05-03 13:01 . 2099-05-03 13:01 <DIR> d-------- C:\Programme\microsoft frontpage
2099-05-03 13:00 . 2008-07-25 16:02 <DIR> d---s---- C:\WINDOWS\Downloaded Program Files
2099-05-03 13:00 . 2099-05-03 13:00 <DIR> d-------- C:\Programme\Online-Dienste
2099-05-03 13:00 . 2099-05-03 13:00 749 -rah----- C:\WINDOWS\WindowsShell.Manifest
2099-05-03 13:00 . 2099-05-03 13:00 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest
2099-05-03 13:00 . 2099-05-03 13:00 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest
2099-05-03 13:00 . 2099-05-03 13:00 749 -rah----- C:\WINDOWS\system32\nwc.cpl.manifest
2099-05-03 13:00 . 2099-05-03 13:00 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest
2099-05-03 13:00 . 2099-05-03 13:00 749 -rah----- C:\WINDOWS\system32\cdplayer.exe.manifest
2099-05-03 13:00 . 2099-05-03 13:00 488 -rah----- C:\WINDOWS\system32\WindowsLogon.manifest
2099-05-03 13:00 . 2099-05-03 13:00 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest
2008-08-22 14:34 . 2008-08-22 14:34 <DIR> d-------- C:\WINDOWS\LastGood.Tmp
2008-08-22 14:30 . 2008-08-22 14:30 <DIR> d-------- C:\WINDOWS\system32\de
2008-08-22 14:28 . 2008-08-22 14:31 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-08-22 14:24 . 2006-12-29 00:31 19,569 --a------ C:\WINDOWS\003069_.tmp
2008-08-22 00:19 . 2008-08-22 00:20 <DIR> d-------- C:\Programme\Windows Live Safety Center
2008-08-22 00:18 . 2008-08-22 00:18 <DIR> d-------- C:\Programme\Avira
2008-08-22 00:18 . 2008-08-22 00:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-08-21 12:17 . 2008-08-21 12:17 <DIR> d-------- C:\WINDOWS\ERUNT
2008-08-21 12:09 . 2008-08-22 00:03 <DIR> d-------- C:\SDFix
2008-08-21 02:25 . 2008-08-22 00:03 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-21 02:25 . 2008-08-21 02:25 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-21 02:25 . 2008-08-21 02:25 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Malwarebytes
2008-08-19 03:50 . 2008-08-22 00:03 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2
2008-08-18 03:34 . 2008-08-18 03:34 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Logitech
2008-08-18 03:34 . 2003-06-09 20:39 29,795 --a------ C:\WINDOWS\system32\ITIG726.acm
2008-08-18 03:33 . 2008-08-18 03:34 <DIR> d-------- C:\Programme\Logitech
2008-08-15 15:50 . 2008-08-15 15:50 <DIR> d-------- C:\Programme\Lavalys
2008-08-13 20:08 . 2008-08-22 00:04 <DIR> d-------- C:\Programme\AbiSuite2
2008-08-13 20:08 . 2008-08-13 20:08 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\AbiSuite
2008-08-13 20:05 . 2008-08-13 20:05 <DIR> d-------- C:\Programme\MSECache

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2099-05-03 10:59 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste
2008-08-22 12:42 --------- d-----w C:\Programme\Steam
2008-08-21 22:05 --------- d-----w C:\Programme\World of Warcraft
2008-08-21 22:05 --------- d-----w C:\Programme\NfS CarTuner
2008-08-18 01:34 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-17 21:40 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\teamspeak2
2008-08-14 03:11 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-07-27 09:12 --------- d-----w C:\Programme\Java
2008-07-21 13:15 --------- d-----w C:\Programme\EA GAMES
2008-06-25 13:48 --------- d-----w C:\Programme\DivX
2008-06-25 12:12 --------- d-----w C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\vlc
2008-06-25 12:03 --------- d-----w C:\Programme\VideoLAN
2008-05-30 23:22 823,296 ----a-w C:\windows\system32\divx_xx0c.dll
2008-05-30 23:22 823,296 ----a-w C:\windows\system32\divx_xx07.dll
2008-05-30 23:22 815,104 ----a-w C:\windows\system32\divx_xx0a.dll
2008-05-30 23:22 802,816 ----a-w C:\windows\system32\divx_xx11.dll
2008-05-30 23:22 683,520 ----a-w C:\windows\system32\DivX.dll
2008-05-30 23:22 593,920 ----a-w C:\windows\system32\dpuGUI11.dll
2008-05-30 23:22 57,344 ----a-w C:\windows\system32\dpv11.dll
2008-05-30 23:22 53,248 ----a-w C:\windows\system32\dpuGUI10.dll
2008-05-30 23:22 344,064 ----a-w C:\windows\system32\dpus11.dll
2008-05-30 23:22 294,912 ----a-w C:\windows\system32\dpu11.dll
2008-05-30 23:22 294,912 ----a-w C:\windows\system32\dpu10.dll
2008-05-22 22:22 524,288 ----a-w C:\windows\system32\DivXsm.exe
2008-05-22 22:22 3,596,288 ----a-w C:\windows\system32\qt-dx331.dll
2008-05-22 22:20 200,704 ----a-w C:\windows\system32\ssldivx.dll
2008-05-22 22:20 1,044,480 ----a-w C:\windows\system32\libdivx.dll
2008-05-22 22:19 81,920 ----a-w C:\windows\system32\dpl100.dll
2008-05-22 22:19 196,608 ----a-w C:\windows\system32\dtu100.dll
2008-05-22 22:19 161,096 ----a-w C:\windows\system32\DivXCodecVersionChecker.exe
2008-05-22 22:18 12,288 ----a-w C:\windows\system32\DivXWMPExtType.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\windows\system32\ctfmon.exe" [2008-04-14 07:52 15360]
"MsnMsgr"="C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-04-01 11:39 486856]
"Steam"="C:\Programme\Steam\Steam.exe" [2008-05-07 16:17 1271032]
"BLASC"="C:\Programme\buffed\BLASC.exe" [2008-05-27 19:58 2243072]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"D-Link AirPlus G"="C:\Programme\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 15:04 1544192]
"ANIWZCS2Service"="C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2005-10-19 18:19 49152]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-11-06 11:30 8523776]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-11-06 11:30 81920]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"MPTBox"="C:\PROGRA~1\Canon\MULTIP~1\MPTBox.exe" [2002-11-01 15:26 167936]
"BearShare"="C:\Programme\BearShare\BearShare.exe" [2006-07-26 13:48 3305472]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-06-12 14:28 266497]
"nwiz"="nwiz.exe" [2007-11-06 11:30 1626112 C:\WINDOWS\system32\nwiz.exe]
"CTHelper"="CTHELPER.EXE" [2008-02-20 20:58 19456 C:\WINDOWS\system32\CtHelper.exe]
"CTxfiHlp"="CTXFIHLP.EXE" [2008-02-20 20:58 19968 C:\WINDOWS\system32\Ctxfihlp.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 07:52 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Shareaza\\Shareaza.exe"=
"C:\\Programme\\Azureus\\Azureus.exe"=
"C:\\Programme\\Steam\\steamapps\\duki4057\\counter-strike source\\hl2.exe"=
"C:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Programme\\BearShare\\BearShare.exe"=
"C:\\Dokumente und Einstellungen\\Administrator\\Desktop\\Novos Easy Mangos\\diskw\\usr\\local\\Apache2\\bin\\Apache.exe"=
"C:\\Dokumente und Einstellungen\\Administrator\\Desktop\\Novos Easy Mangos\\diskw\\usr\\local\\mysql\\bin\\mysqld-nt.exe"=
"C:\\Dokumente und Einstellungen\\Administrator\\Desktop\\Novos Easy Mangos\\realmd.exe"=
"C:\\Dokumente und Einstellungen\\Administrator\\Desktop\\Novos Easy Mangos\\mangosd.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 AntiVirMailService;Avira AntiVir Premium MailGuard;C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe [2008-07-11 12:23]
R2 antivirwebservice;Avira AntiVir Premium WebGuard;C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE [2008-06-12 14:59]
R2 AVEService;Avira AntiVir Premium MailGuard Hilfsdienst;C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe [2008-05-09 13:22]
R2 CTAudSvcService;Creative Audio Service;C:\Programme\Creative\Shared Files\CTAudSvc.exe [2008-03-07 19:24]
R2 UxTuneUp;TuneUp Designerweiterung;C:\windows\System32\svchost.exe [2008-04-14 07:53]
R3 ha20x2k;Creative 20X HAL Driver;C:\windows\system32\drivers\ha20x2k.sys [2008-02-25 09:44]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\windows\System32\TuneUpDefragService.exe [2008-05-07 14:41]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-08-22 C:\windows\Tasks\1-Klick-Wartung.job
- C:\Programme\TuneUp Utilities 2008\OneClickStarter.exe [2008-04-15 10:01]
.
.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles\oepapgvs.default\
FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-22 15:00:34
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-22 15:02:39
ComboFix-quarantined-files.txt 2008-08-22 13:02:27

Pre-Run: 12 Verzeichnis(se), 26,720,989,184 Bytes frei
Post-Run: 17 Verzeichnis(se), 26,740,199,424 Bytes frei

193 --- E O F --- 2008-06-20 23:59:17

Hi,

an deinem Rechner ist einiges faul! Schau dir mal das Erstelldatum der Dateien an:

Zitat:

2099-05-03 13:01 . 2099-05-03 13:01 <DIR> d-------- C:\WINDOWS\system32\xircom
2099-05-03 13:01 . 2099-05-03 13:01 <DIR> d-------- C:\Programme\microsoft frontpage

Die Dateien, die ich eigentlich entfernen wollte, hatte Antivir schon angegriffen.

Wie gehts dem Rechner?

lg myrtille

Dem Rechner gehts blendent ^^
Erklär dir gleich wieso dieses Datum da is in ner PN ^^

Zitat:

Zitat von Dusan91 (Beitrag 365021)

Erklär dir gleich wieso dieses Datum da is in ner PN ^^

Wieso möchtest du das in einer PN erklären, wieso nicht öffentlich?
Es ist bekannt das wenn man das Datum vorstellt diverse Gültigkeitsfunktionen von Software umgehen kann.. :teufel2: