Trojaner-Board - Programme, die nicht starten

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Programme, die nicht starten (https://www.trojaner-board.de/58447-programme-starten.html)

Programme, die nicht starten

Hallo Leute,

seit ein paar Wochen starten Programme nicht mehr ordentlich. Das bedeutet
doppelklicke ich auf eine Exe erscheint der Hinweis, es könne nicht gestartet
werden und dazu "Befehlszeile: -x -s 284" mit Hinweis auf dxwin.
Wie in dem untenstehenden HJT-Log zu sehen benutze ich XP SP2, habe kürz-
lich keine neuen Programme installiert oder gorßartige Faxen mit dem Rechner
gemacht und habe das Gefühl, nach und nach würden mehr Programme nicht
mehr ausführbar sein.
Mit AntiVir, AdAware, Sophos AntiRootkit und diversen anderen Apps konnte
ich keine Infektionen finden.
Zusätzlich fiel mir auf das mir zwei Audio-Programme, die zwar starten, nicht
mehr die Funktion speichern, zur Verfügung stellen obwohl es sich um Voll-
versionen handelt.

Habe sämtliche TuneUp Funktionen zur Systemwartung/Problembehandlung
durchprobiert. Nichts wirkt und bevor ich das System gezwungenermaßen
und als letzten Ausweg neuauflege, wende ich mich an Euch.

Leider habe ich im Netz dazu keine Hilfe gefunden und wende mich an Euch,
vielleicht kann mir jemand helfen.

_______________________________________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:32:40, on 23.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\DeltTray.exe
H:\IconSaver\IconSaver.exe
H:\WinPatrol\winpatrol.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe
C:\WINDOWS\system32\ctfmon.exe
H:\Lavasoft AdAware 2007\aawservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
H:\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Vidalia Bundle\Tor\tor.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Gemeinsame Dateien\Agnitum Shared\aupdate\aupdrun.exe
H:\Avira\AntiVir PersonalEdition Classic\update.exe
H:\Mozilla Firefox\firefox.exe
H:\Avira\AntiVir PersonalEdition Classic\avguard.exe
H:\Avira\AntiVir PersonalEdition Classic\avgnt.exe
H:\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\TuneUpDefragService.exe
H:\Hijackthis\HijackThis.exe

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [M-Audio Delta Taskbar Icon] C:\WINDOWS\System32\DeltTray.exe
O4 - HKLM\..\Run: [IconSaver] "h:\IconSaver\IconSaver.exe"
O4 - HKLM\..\Run: [WinPatrol] H:\WinPatrol\winpatrol.exe
O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Outpost Firewall] H:\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [avgnt] "H:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Privoxy.lnk = C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe
O8 - Extra context menu item: &NeoTrace It! - H:\NEOTRA~1\NTXcontext.htm
O8 - Extra context menu item: Download with Xilisoft Download YouTube Video - H:\Youtube Video Downloader\Download YouTube Video\upod_link.HTM
O8 - Extra context menu item: Download with Xilisoft YouTube Video Converter - H:\Youtube Video Downloader\YouTube Video Converter\upod_link.HTM
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe (file missing)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - H:\NEOTRA~1\NTXtoolbar.htm (HKCU)
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164233250375
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - H:\Lavasoft AdAware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - H:\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - H:\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - H:\Outpost Firewall\outpost.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5306 bytes

_______________________________________________

Der eine Punkt den ich ansprach (dxwin) bezieht sich wohl
auf die Outpost Firewall und dort steht dwwin.exe mit der
Befehlszeile: -x -s Zahlenwert. Anschließend kommt dann
halt die normale Fehlermeldung " * hat einen Fehler festge-
stellt und muss beendet werden."
Das wollte ich der Vollständigkeit wegen nur korrigieren.

+ sorry, ich habe keinen editierbutton gefunden.

Hallo

Du hast nicht zufällig Dein System mit TuneUp zerfrickelt? :rolleyes:
TunUp bietet zahlreiche Funktionen um sein System angeblich zu "optimieren" aber du wärst nicht der erste der damit sein System ordentlich durcheinandergebracht hätte.

Ist das jetzt nun dwwin oder dxwin ? :confused:

Zitat:

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Du solltest mal die Windowsupdateseite besuchen, da fehlen mind. das SP3 und der IE7!

Hallo root24,

hmm, vielleicht hast du recht denn ich habe auch erst seit einigen Wochen
Version 2008 von TuneUp. Darüber habe ich mir bisher auch keine Gedanken
gemacht weil mein System auch bisher mit den Vorgänger-Versionen gut und
lange gehalten hat, ohne mir das Gefühl zu vermitteln, ich müsse mal das OS
neu auflegen. Hast du vielleicht eine Ahnung ob es mehr Leute gibt die seit
2008 über Rechnerprobleme klagen, die vielleicht auf das Programm zurück-
zuführen wären?
Vielleicht kennst du ein Softwarepaket als Alternative? CCleaner bspw. hat
nur einen Bruchteil an Funktionsumfang. Obwohl ich mir über den Vorteil der
vielen TU-Funktionen ja jetzt nicht mehr so sicher sein kann, nach unseren
bisherigen Ergebnissen.

Aus dem HJT-Log kann man soweit aber nichts wesentliches entnehmen?

Ich habe zwar ab und zu die "Automatische Updates"-Funktion aktiviert und
es wurden auch Updates installiert, ein ServicePack muss aber manuell aus-
wählen...? Vielleicht ändert sich mit SP3 ja etwas aber viel Hoffnung habe
ich nicht und seh mich alles neu machen.

Eure Meinung?

Die neue Version von Tuneup kenn ich nicht, ich lese aber regelmäßig daß User mit derartigen "Zauberprogrammen" ihren Rechner zerfrickeln.
Was genau brauchst Du da an dem Funktionsumfang? IMHO reicht der CCleaner aus. Wenn man bedacht und verantwortungsvoll mit seinem PC umgeht, sich also nicht jeden Müll installiert und eben nicht alles anklickt, ist ein Tunen eh hinfällig.

Wenn wirklich NIX mehr an dem PC zustarten geht, wäre eine Neuinstallation wahrscheinlich das einfachste und schnellste. Das SP3 sollte eigentlich per Autoupdate zu bekommen sein,ansonsten nimmste diesen Downloadlink für das vollständige SP3 (laß Dich nicht von der Bezeichnung "für IT-Spezialisten und Entwickler" verwirren, das kann jedermann benutzen der WinXP hat).

Hallo root24,

durch die drei Links bin ich zwar nicht schlauer aber danke dir für die Mühe!
Beim Installationsversuch vom ServicePack 3 erscheint sowohl mit der Auto-
Run- als auch der WINDOWSXP-KB936929-SP3-X86-DEU.EXE diese Meldung:
Dekomprimierung fehlgeschlagen
Der Vorgang wurde erfolgreich beendet.

Wenig Funde dazu im Netz, ist das Problem neu oder wem bekannt?

Hätte das System längst neu installieren sollen, es wegen lauter Kleinigkeiten
aber vor mir hergeschoben.

Nochmal die Frage, ist im HJT-Log etwas eigenartig?

AFAIR war im HJT Log nix zu sehen an Schädlingen, daher sollten wir mal genauer analysieren, ich hoffe Du kannst die Programme starten.

A.) Führe dieses MBR-Tool aus und poste die Ausgabe

B.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten

C.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

D.) Mach ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Hallo und Danke für bisherige Tipps und Hilfe,

kennt jemand von Euch eine Lösung für das Dekomprimierungsproblem bei der
XP SP3 Installation?

Nach dem Check mit genannten Tools poste ich der Reihenfolge nach die Logs:

- A_Stealth MBR

Code:

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

- B_Blacklight

Code:

08/25/08 13:55:17 [Info]: BlackLight Engine 1.0.70 initialized

08/25/08 13:55:17 [Info]: OS: 5.1 build 2600 (Service Pack 2)

08/25/08 13:55:17 [Note]: 7019 4

08/25/08 13:55:17 [Note]: 7005 0

08/25/08 13:55:23 [Note]: 7006 0

08/25/08 13:55:23 [Note]: 7011 1120

08/25/08 13:55:23 [Note]: 7035 0

08/25/08 13:55:23 [Note]: 7026 0

08/25/08 13:55:24 [Note]: 7026 0

08/25/08 13:55:25 [Note]: FSRAW library version 1.7.1024

08/25/08 13:57:47 [Note]: 2000 1012

08/25/08 13:57:47 [Note]: 2000 1012

08/25/08 13:58:47 [Note]: 2000 1012

08/25/08 14:04:45 [Note]: 7007 0

- B_Malwarebytes' Anti-Malware

Code:

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 1

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\SEC (Rogue.SecureExpertCleaner) 

-> Quarantined and deleted successfully.

- C_Combofix

Beim ersten Versuch mit ComboFix kam der Rechner bis zum Anfang der
ersten Scan-Phase und gab mir dann den BlueScreen.
Beim zweiten Versuch kam dieses Ergebnis heraus:

Code:

ComboFix 08-08-24.02 - ******* 2008-08-25 17:22:02.1 - NTFSx86

Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1031.18.594 [GMT 2:00]

ausgeführt von:: C:\Dokumente und Einstellungen\*******\Desktop\ComboFix.exe
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

(((((((((((((((((((((((   Dateien erstellt von 2008-07-25 bis 2008-08-25  ))))))))))))))))))))))))))))))

.
 

2008-08-25 14:06 . 2008-08-25 14:06        <DIR>        d--------        C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Malwarebytes

2008-08-25 14:06 . 2008-08-25 14:06        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes

2008-08-25 14:06 . 2008-08-17 15:01        38,472        --a------        C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-08-25 14:06 . 2008-08-17 15:01        17,144        --a------        C:\WINDOWS\system32\drivers\mbam.sys

2008-08-24 19:47 . 2007-07-30 19:19        271,224        --a------        C:\WINDOWS\system32\mucltui.dll

2008-08-24 19:47 . 2007-07-30 19:18        30,072        --a------        C:\WINDOWS\system32\mucltui.dll.mui

2008-08-10 15:07 . 2008-08-10 15:10        <DIR>        d--------        C:\Dokumente und Einstellungen\*******\ntsvcfg

2008-08-07 17:31 . 2008-08-07 17:31        0        --a------        C:\WINDOWS\nsreg.dat

2008-08-07 11:41 . 2008-03-25 04:32        2,991,488        -ra------        C:\WINDOWS\system32\swflash.ocx

2008-08-07 11:27 . 2008-08-07 11:27        361,216        --a------        C:\WINDOWS\system32\TuneUpDefragService.exe

2008-08-07 11:26 . 2008-05-29 09:28        28,416        --a------        C:\WINDOWS\system32\uxtuneup.dll

2008-08-07 11:12 . 1997-11-19 15:49        303,616        --a------        C:\WINDOWS\IsUninst.exe

2008-08-03 14:57 . 2008-06-14 19:57        273,024        ---------        C:\WINDOWS\system32\drivers\bthport.sys

2008-07-30 23:36 . 2008-07-30 23:36        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Soulseek

2008-07-26 13:46 . 2008-07-26 13:46        5        --a------        C:\WINDOWS\wapc.dat

2008-07-26 13:46 . 2008-07-26 13:46        5        --a------        C:\WINDOWS\wamv.dat
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-25 15:17        ---------        d-----w        C:\Dokumente und Einstellungen\*******\Anwendungsdaten\tor

2008-08-25 11:48        ---------        d-----w        C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Vidalia

2008-08-04 11:13        ---------        d-----w        C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Azureus

2008-08-01 20:38        ---------        d-----w        C:\Programme\a-squared Free

2008-07-17 22:14        ---------        d--h--w        C:\Programme\InstallShield Installation Information

2008-07-17 22:14        ---------        d-----w        C:\Programme\NVIDIA Corporation

2008-07-17 22:13        151,552        ----a-w        C:\WINDOWS\system32\nvRegDev.dll

2008-07-14 16:26        ---------        d-----w        C:\Programme\Gemeinsame Dateien\InstallShield

2008-07-14 14:57        ---------        d-----w        C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Steinberg

2008-07-14 13:35        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Wise Installation Wizard

2008-07-13 05:52        ---------        d---a-w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP

2008-07-10 17:54        ---------        d-----w        C:\Programme\Gemeinsame Dateien\Adobe

2008-07-07 20:30        253,952        ----a-w        C:\WINDOWS\system32\es.dll

2008-07-01 15:34        ---------        d-----w        C:\Programme\Vidalia Bundle

2008-06-24 16:22        74,240        ----a-w        C:\WINDOWS\system32\mscms.dll

2008-06-23 15:38        665,088        ----a-w        C:\WINDOWS\system32\wininet.dll

2008-06-20 17:39        247,296        ----a-w        C:\WINDOWS\system32\mswsock.dll

.
 

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Vidalia"="C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe" [2007-08-26 08:02 11852288]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"M-Audio Delta Taskbar Icon"="C:\WINDOWS\System32\DeltTray.exe" [2004-08-27 00:43 56320]

"IconSaver"="h:\IconSaver\IconSaver.exe" [2004-01-12 13:59 110592]

"WinPatrol"="H:\WinPatrol\winpatrol.exe" [2006-10-01 13:03 255552]

"Lexmark X5100 Series"="C:\Programme\Lexmark X5100 Series\lxbabmgr.exe" [2003-03-04 14:54 86099]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-24 20:20 8527872]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-10-24 20:20 81920]

"Outpost Firewall"="H:\Outpost Firewall\outpost.exe" [2006-10-20 14:49 94720]

"avgnt"="H:\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-24 13:17 266497]

"nwiz"="nwiz.exe" [2007-10-24 20:20 1626112 C:\WINDOWS\system32\nwiz.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:57 15360]
 

C:\Dokumente und Einstellungen\*******\Startmen\Programme\Zubeh”r\Autostart\

Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2006-12-12 15:09:02 110592]
 

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\

Privoxy.lnk - C:\Programme\Vidalia Bundle\Privoxy\privoxy.exe [2006-11-20 16:30:54 250368]
 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

SecurityProviders        msapsspc.dllschannel.dlldigest.dllmsnsspc.dll
 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="H:\Quicktime\qttask.exe" -atboottime
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=
 

R0 PDDSLHND;PDDSLHND;C:\WINDOWS\system32\drivers\PDDSLHND.sys [2005-02-23 13:35]

R1 SandBox;Outpost Firewall Sandbox Driver;H:\Outpost Firewall\kernel\Sandbox.SYS [2006-10-26 17:27]

R1 VFILT;Outpost Firewall Kernel Driver;H:\Outpost Firewall\kernel\FILTNT.SYS [2006-10-20 14:48]

R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 00:58]

R3 PDDSLADP;ProDyne DSL Adapter;C:\WINDOWS\system32\DRIVERS\PDDSLADP.SYS [2005-02-23 13:35]

S0 NVStrap;NVStrap;C:\WINDOWS\system32\drivers\NVStrap.sys [2006-11-27 10:15]

S3 ADBLOCK.DLL;Outpost Firewall PlugIn (ADBLOCK.DLL);H:\Outpost Firewall\kernel\ADBLOCK.DLL [2006-10-20 14:49]

S3 ARP.DLL;Outpost Firewall PlugIn (ARP.DLL);H:\Outpost Firewall\kernel\ARP.DLL [2006-10-20 14:49]

S3 CONTENT.DLL;Outpost Firewall PlugIn (CONTENT.DLL);H:\Outpost Firewall\kernel\CONTENT.DLL [2006-10-20 14:49]

S3 DNSCACHE.DLL;Outpost Firewall PlugIn (DNSCACHE.DLL);H:\Outpost Firewall\kernel\DNSCACHE.DLL [2006-10-20 14:49]

S3 FTPFILT.DLL;Outpost Firewall PlugIn (FTPFILT.DLL);H:\Outpost Firewall\kernel\FTPFILT.DLL [2006-10-20 14:49]

S3 HTMLFILT.DLL;Outpost Firewall PlugIn (HTMLFILT.DLL);H:\Outpost Firewall\kernel\HTMLFILT.DLL [2006-10-20 14:49]

S3 HTTPFILT.DLL;Outpost Firewall PlugIn (HTTPFILT.DLL);H:\Outpost Firewall\kernel\HTTPFILT.DLL [2006-10-20 14:49]

S3 IMAPFILT.DLL;Outpost Firewall PlugIn (IMAPFILT.DLL);H:\Outpost Firewall\kernel\IMAPFILT.DLL [2006-10-20 14:49]

S3 MAILFILT.DLL;Outpost Firewall PlugIn (MAILFILT.DLL);H:\Outpost Firewall\kernel\MAILFILT.DLL [2006-10-20 14:49]

S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\7.tmp []

S3 NNTPFILT.DLL;Outpost Firewall PlugIn (NNTPFILT.DLL);H:\Outpost Firewall\kernel\NNTPFILT.DLL [2006-10-20 14:49]

S3 POP3FILT.DLL;Outpost Firewall PlugIn (POP3FILT.DLL);H:\Outpost Firewall\kernel\POP3FILT.DLL [2006-10-20 14:49]

S3 PROTECT.DLL;Outpost Firewall PlugIn (PROTECT.DLL);H:\Outpost Firewall\kernel\PROTECT.DLL [2006-10-20 14:49]

S3 SECRET.DLL;Outpost Firewall PlugIn (SECRET.DLL);H:\Outpost Firewall\kernel\SECRET.DLL [2006-10-20 14:49]

S3 TPP200;USB Storage Adapter V2 (TPP);C:\WINDOWS\system32\DRIVERS\TPP200.SYS [2002-06-24 12:20]

S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-08-07 11:27]

S3 UMSSSTOR;C-Media Storage;C:\WINDOWS\system32\DRIVERS\UMSS.SYS [2003-09-16 07:48]
 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs

UxTuneUp
 

*Newly Created Service* - CATCHME

*Newly Created Service* - PROCEXP90

.

Inhalt des "geplante Tasks" Ordners
 

2008-08-25 C:\WINDOWS\Tasks\1-Klick-Wartung.job

- H:\TuneUp Utilities 2008\OneClickStarter.exe [2008-08-01 17:22]

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

Notify-WgaLogon - (no file)
 
 

.

------- Zusätzlicher Scan -------

.

FireFox -: Profile - C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Mozilla\Firefox\Profiles\2.0.0.3. sux\

FireFox -: prefs.js - STARTUP.HOMEPAGE - about:blank

.
 

**************************************************************************
 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-25 17:25:18

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostart Einträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\MEMSWEEP2]

"ImagePath"="\??\C:\WINDOWS\system32\7.tmp"

.

Zeit der Fertigstellung: 2008-08-25 17:26:42

ComboFix-quarantined-files.txt  2008-08-25 15:26:22
 

Pre-Run: 2,110,779,392 Bytes frei

Post-Run: 2,124,541,952 Bytes frei
 

135        --- E O F ---        2008-08-24 18:02:58

________________________________________

Machen die Logs jemanden schlauer, ist darin etwas zu erkennen?
Etwas an meinem System ist auch merkwürdig und zwar verfärben sich für Milisekunden
Spalten rot, wie, einfaches Beispiel, im Windows Task-Manager. Gehe ich auf Prozesse und
fahre mit der Maus über die Zelle "Name", "CPU-Auslastung", etc. sieht man die Zelle sehr
kurz rot bevor sie diese On-Mouse-Over-Hellgrau annimmt. Das nur ein Beispiel. Mir fiel das
kurze Verfärben schonmal beim Firefox auf wenn auf Websites mit dem Mausrad gescrollt hat.

Wenn auch aus diesen Log-Ergebnissen niemand schlau wird dann es wohl wirklich das beste
sein, wenn ich das System platt mache??
Ist es da sinnvoll C:\ mehrmals zu überschreiben um keinen wiederherstellbaren Datenmüll
zubehalten?

mfg

Da scheint doch was zu sein:

Code:

C:\WINDOWS\system32\7.tmp

Bitte bei Virsutotal.com auswerten lassen.

Danke, leider nicht mehr dort auffindbar.
Wenn die Datei nach einem Neustart nicht gefunden wird muss ich die Routine
wiederholen? Eben habs einen Alarm von AntiVir:NirCmd.exe in C:\..\system32.

Die Datei ist anscheinend schon gelöscht worden.
nircmd.exe ist ein Bestandteil von Combofix, das hat AniVir fälschlicherweise angemeckert.

Starten die Programme mittlerweile eigentlich wieder normal?

Nein, leider ist alles beim alten. Vielleicht hast du oder jemand anderes
noch eine Idee?

mfg

Vermutlich wird dann das einfachste und schnellste sein, das System neu aufzusetzenm, bevor man weitere Wochen lang den Fehler sucht...wäre nur außerst ungüngstig wenn das Neuaufsetzen nichts bringen könnte :eek:

Hast Du ein Backup-/Imageprogramm wie z.B. Acronis True Image? Dann könntest Du vom jetzigen Zusatnd des System ein Image (quasi ein Schnappschuß) erstellen und jederzeit zu diesem Stand zurück.