Trojaner-Board - Es funzt kein Antivirenprogramm mehr!!!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Es funzt kein Antivirenprogramm mehr!!! (https://www.trojaner-board.de/71099-funzt-kein-antivirenprogramm-mehr.html)

Es funzt kein Antivirenprogramm mehr!!!

Hallo Leute,

ich hab seit Heute ein erhebliches Problem.
Ich hab mir wohl einen ziemlich lästigen Virus eingefangen.
Und zwar wurde Norton Internet Security 2009 nach einem Neustart einfach deaktiviert.Nach dem ich es löscht und neu installierte wird immer immer angezeigt das "Auto Protect" Deatktiviert ist,ich kann machen was ich will,es lässt sich nicht mehr einschalten.Ein Update für die Virendatenbank geht auch nicht mehr.Hab das auch schon mit Avira Probiert,und siehe da,gleiches Problem.Antimalware lässt sich nicht starten.....

Norton zeigt mir unter "Netzwerk Anzeigen" ein zweites Netzwerk an mit folgender IP 192.168.2.101

Eine Whois abfrage meint dass die nach Amsterdam reicht.
Hab auch nicht auf meine HDs zugreifen können,Autorun Eater schaffte zumindest hier abhilfe.

Code:

GMER 1.0.15.14939 - http://www.gmer.net

Rootkit scan 2009-03-16 18:19:19

Windows 5.1.2600 Service Pack 3
 

Hier der gmer log der eine Rootkit funktion entdeckte:
 

---- System - GMER 1.0.15 ----
 

SSDT            859ECA08                                                                                                                   ZwConnectPort

SSDT            85288BA8                                                                                                                   ZwCreateThread

SSDT            \??\C:\WINXP\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                   ZwDeleteKey [0xAB55E2A0]

SSDT            8632BD88                                                                                                                   ZwLoadDriver

SSDT            F7B2B818                                                                                                                   ZwOpenProcess

SSDT            F7B2B81D                                                                                                                   ZwOpenThread

SSDT            861449C8                                                                                                                   ZwResumeThread

SSDT            \??\C:\WINXP\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)                                   ZwSetValueKey [0xAB55EA50]

SSDT            F7B2B827                                                                                                                   ZwTerminateProcess

SSDT            F7B2B822                                                                                                                   ZwWriteVirtualMemory
 

Code            8614E818                                                                                                                   ZwEnumerateKey

Code            860E2980                                                                                                                   ZwFlushInstructionCache

Code            860DA4B0                                                                                                                   ZwQueryValueKey

Code            860BEC56                                                                                                                   IofCallDriver

Code            860CC76E                                                                                                                   IofCompleteRequest
 

---- Kernel code sections - GMER 1.0.15 ----
 

.text           ntkrnlpa.exe!IofCallDriver                                                                                                 804EF1A6 5 Bytes  JMP 860BEC5B 

.text           ntkrnlpa.exe!IofCompleteRequest                                                                                            804EF236 5 Bytes  JMP 860CC773 

.text           ntkrnlpa.exe!ZwCallbackReturn + 2FA0                                                                                       8050483C 4 Bytes  JMP C0F4AB55 

PAGE            ntkrnlpa.exe!ZwFlushInstructionCache                                                                                       805B683E 5 Bytes  JMP 860E2984 

PAGE            ntkrnlpa.exe!ZwQueryValueKey                                                                                               806219F6 5 Bytes  JMP 860DA4B4 

PAGE            ntkrnlpa.exe!ZwEnumerateKey                                                                                                80623FFE 5 Bytes  JMP 8614E81C 
 

---- User code sections - GMER 1.0.15 ----
 

.text           C:\Programme\Autorun Eater\oldmcdonald.exe[1432] USER32.dll!GetCursor                                                      7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\Programme\Autorun Eater\oldmcdonald.exe[1432] USER32.dll!DrawIconEx                                                     7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\Programme\Autorun Eater\oldmcdonald.exe[1432] USER32.dll!GetIconInfo                                                    7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\Programme\Autorun Eater\billy.exe[1440] USER32.dll!GetCursor                                                            7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\Programme\Autorun Eater\billy.exe[1440] USER32.dll!DrawIconEx                                                           7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\Programme\Autorun Eater\billy.exe[1440] USER32.dll!GetIconInfo                                                          7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\Dokumente und Einstellungen\****\Desktop\gmer.exe[1468] USER32.dll!GetCursor                                   7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\Dokumente und Einstellungen\*****\Desktop\gmer.exe[1468] USER32.dll!DrawIconEx                                  7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\Dokumente und Einstellungen\******\Desktop\gmer.exe[1468] USER32.dll!GetIconInfo                                 7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\WINXP\Explorer.EXE[1492] USER32.dll!GetCursor                                                                           7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\WINXP\Explorer.EXE[1492] USER32.dll!DrawIconEx                                                                          7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\WINXP\Explorer.EXE[1492] USER32.dll!GetIconInfo                                                                         7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe[2656] USER32.dll!GetCursor    7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe[2656] USER32.dll!DrawIconEx   7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe[2656] USER32.dll!GetIconInfo  7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\nmapapp.exe[3196] USER32.dll!GetCursor     7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\nmapapp.exe[3196] USER32.dll!DrawIconEx    7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\nmapapp.exe[3196] USER32.dll!GetIconInfo   7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\Programme\Opera 10 Preview\opera.exe[3284] USER32.dll!GetCursor                                                         7E37A91B 5 Bytes  JMP 10001080 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\Programme\Opera 10 Preview\opera.exe[3284] USER32.dll!DrawIconEx                                                        7E37CB84 5 Bytes  JMP 10001120 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )

.text           C:\Programme\Opera 10 Preview\opera.exe[3284] USER32.dll!GetIconInfo                                                       7E37D427 5 Bytes  JMP 10001030 C:\Programme\CursorXP\CurXP0.dll (CursorXP control panel/ )
 

---- User IAT/EAT - GMER 1.0.15 ----
 

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress]                                          [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]                                 [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]                                   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]                                    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress]                                   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]                                   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress]                                    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress]                                 [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress]                                    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress]                                 [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]                                   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1492] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]                                  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                                                   SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                                                  SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                                                  SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                                                SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
 

---- Modules - GMER 1.0.15 ----
 

Module          \systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys (*** hidden *** )                                  AE778000-AE78E000 (90112 bytes)                                                             
 

---- Services - GMER 1.0.15 ----
 

Service         C:\WINXP\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys (*** hidden *** )                                     [SYSTEM] gaopdxserv.sys                                                                      <-- ROOTKIT !!!
 

---- Registry - GMER 1.0.15 ----
 

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys                                                                      

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@start                                                                1

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@type                                                                 1

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@imagepath                                                            \systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys@group                                                                file system

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules                                                              

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxserv                                                   \\?\globalroot\systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys

Reg             HKLM\SYSTEM\CurrentControlSet\Services\gaopdxserv.sys\modules@gaopdxl                                                      \\?\globalroot\systemroot\system32\gaopdxpvrfvmjrrbtkusckvlsxptatrlehjbcc.dll

Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys                                                                          

Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@start                                                                    1

Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@type                                                                     1

Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@imagepath                                                                \systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys

Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys@group                                                                    file system

Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules                                                                  

Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxserv                                                       \\?\globalroot\systemroot\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys

Reg             HKLM\SYSTEM\ControlSet002\Services\gaopdxserv.sys\modules@gaopdxl                                                          \\?\globalroot\systemroot\system32\gaopdxpvrfvmjrrbtkusckvlsxptatrlehjbcc.dll
 

---- Files - GMER 1.0.15 ----
 

File            C:\WINXP\system32\gaopdxcounter                                                                                            4 bytes

File            C:\WINXP\system32\gaopdxpvrfvmjrrbtkusckvlsxptatrlehjbcc.dll                                                               19456 bytes executable

File            C:\WINXP\system32\drivers\gaopdxomilmwvqfedhnekxufltdquxatmnucux.sys                                                       44032 bytes executable                                                                       <-- ROOTKIT !!!

File            C:\WINXP\system32\drivers\gaopdxserv.sys                                                                                   40960 bytes executable

File            C:\WINXP\Temp\gaopdx347859                                                                                                 6656 bytes executable
 

---- EOF - GMER 1.0.15 ----

Und hier noch der HijackThis Log.

Ich hoffe ihr könnt helfen :schmoll:

Code:

Running processes:

C:\WINXP\System32\smss.exe

C:\WINXP\system32\winlogon.exe

C:\WINXP\system32\services.exe

C:\WINXP\system32\lsass.exe

C:\WINXP\system32\Ati2evxx.exe

C:\WINXP\system32\svchost.exe

C:\WINXP\system32\Ati2evxx.exe

C:\WINXP\Explorer.EXE

C:\Programme\avmwlanstick\WlanNetService.exe

C:\WINXP\System32\TUProgSt.exe

C:\Programme\Cyberlink\Shared Files\brs.exe

C:\Programme\avmwlanstick\wlangui.exe

C:\WINXP\system32\ctfmon.exe

C:\Programme\CursorXP\CursorXP.exe

C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe

C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe

C:\Programme\Autorun Eater\oldmcdonald.exe

C:\Programme\Autorun Eater\billy.exe

C:\WINXP\System32\svchost.exe

C:\Programme\Opera 10 Preview\opera.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R3 - URLSearchHook: IsoBuster Toolbar - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - C:\Programme\IsoBuster\tbIsoB.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: IsoBuster Toolbar - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - C:\Programme\IsoBuster\tbIsoB.dll

O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\IPSBHO.DLL

O3 - Toolbar: IsoBuster Toolbar - {266fcdca-7bb3-4da7-b3bf-f845dea2ebd6} - C:\Programme\IsoBuster\tbIsoB.dll

O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\coIEPlg.dll

O4 - HKLM\..\Run: [RemoteControl9] C:\Programme\CyberLink\PowerDVD9\PDVD9Serv.exe

O4 - HKLM\..\Run: [PDVD9LanguageShortcut] C:\Programme\CyberLink\PowerDVD9\Language\Language.exe

O4 - HKLM\..\Run: [BDRegion] C:\Programme\Cyberlink\Shared Files\brs.exe

O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe

O4 - HKLM\..\Run: [Autorun Eater] C:\Programme\Autorun Eater\oldmcdonald.exe

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe

O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1236774808953

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F100B7C-A76F-423A-8847-DF01F1D59876}: NameServer = 85.255.112.171,85.255.112.109

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.171,85.255.112.109

O17 - HKLM\System\CS1\Services\Tcpip\..\{0F100B7C-A76F-423A-8847-DF01F1D59876}: NameServer = 85.255.112.171,85.255.112.109

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.171,85.255.112.109

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe

O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe

O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINXP\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINXP\System32\TUProgSt.exe

Hab jetzt die IP gecheckt die Hijackthis mir im log anzeigte.

Ist wohl der alte Ukrainische Freund :snyper:

Whois Record

inetnum: 85.255.112.0 - 85.255.127.255
netname: UkrTeleGroup
descr: UkrTeleGroup Ltd.
admin-c: UA481-RIPE
tech-c: UA481-RIPE
country: UA
org: ORG-UL25-RIPE
status: ASSIGNED PI
mnt-by: RIPE-NCC-HM-PI-MNT
mnt-lower: RIPE-NCC-HM-PI-MNT
mnt-by: UKRTELE-MNT
mnt-routes: UKRTELE-MNT
mnt-domains: UKRTELE-MNT
source: RIPE # Filtered

organisation: ORG-UL25-RIPE
org-name: UkrTeleGroup Ltd.
org-type: LIR
address: UkrTeleGroup Ltd.
Mechnikova 58/5
65029 Odessa
Ukraine
phone: +380487311011
fax-no: +380487502499
mnt-ref: UKRTELE-MNT
mnt-ref: RIPE-NCC-HM-MNT
mnt-by: RIPE-NCC-HM-MNT
source: RIPE # Filtered

person: Andrew Sotov
address: Mechnikova 58/5 65029 Odessa
abuse-mailbox:
phone: +380631508855
nic-hdl: UA481-RIPE
source: RIPE # Filtered

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{0F100B7C-A76F-423A-8847-DF01F1D59876}: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CS1\Services\Tcpip\..\{0F100B7C-A76F-423A-8847-DF01F1D59876}: NameServer = 85.255.112.171,85.255.112.109
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.171,85.255.112.109

Zur Auflösung, du hast einen Trojan.DNSchanger drauf Bitte kein Onlinebanking, eBay und Amazon mehr betreiben, von einem sicheren PC aus die Kenn- und Passwörter ändern. Bei Auffälligkeiten die Bank informieren und das Konto sperren lassen.

Lass mal bitte Malwarebytes drüberlaufen und poste das Ergebnis hier, wenn das nicht gehen sollte dann bitte Superantispyware versuchen.

Erst einmal danke für deine Antwort :daumenhoc

Das die DNS einstellungen verstellt waren und mein PC als "Zombie" verwendet wurde wusste ich hehe.

Ich hab jetzt mal Windows neu aufgesetzt.

HijackThis hat keine Fehler bei der Logauswertung gemeldet.

Ich hoffe dass es dass jetzt war.

Ist bekannt dass der Virus viell. auch nach einer neuinstallation aktiv bleibt?

Grüße

Es ist sogar bekannt, dass der Virus einige Einstellungen im Router ändert. Fälle mit neuem Einstellen des Routers ist auch bekannt - bei dem Problem mit DNSchanger.

DNSchanger und Silentbanker sind die neusten Waffen für Betrüger um irgendwie an Daten ranzukommen. Die sind sehr beliebt geworden gg

Poste mal ein neues HijackThis Logfile bitte :)

Habe jetzt noch mal Malwarebytes durchlaufen lassen,zeigt mir keine Fehler an.Aber Norton Internet Security 2009 entfernt immer und immer wieder einen "Trojan Horse" Virus.

Hier der HijackThis Log.

Code:

C:\WINXP\System32\smss.exe

C:\WINXP\system32\winlogon.exe

C:\WINXP\system32\services.exe

C:\WINXP\system32\lsass.exe

C:\WINXP\system32\Ati2evxx.exe

C:\WINXP\system32\svchost.exe

C:\WINXP\System32\svchost.exe

C:\WINXP\system32\Ati2evxx.exe

C:\WINXP\system32\spoolsv.exe

C:\WINXP\Explorer.EXE

C:\WINXP\SOUNDMAN.EXE

C:\WINXP\system32\ctfmon.exe

C:\Programme\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe

C:\Programme\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe

C:\Programme\Opera 10 Preview\opera.exe

C:\Programme\avmwlanstick\WlanNetService.exe

C:\Programme\avmwlanstick\wlangui.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Norton Internet Security\Engine\16.1.0.33\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programme\Norton Internet Security\Engine\16.1.0.33\IPSBHO.DLL

O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Norton Internet Security\Engine\16.1.0.33\coIEPlg.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{9CE98B9D-0707-42C6-B224-7F80CF2F4E43}: NameServer = 192.168.2.1

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe

O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe

O23 - Service: Norton Internet Security - Symantec Corporation - C:\Programme\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe

Kannst du vielleicht zeigen welchen Trojan Horse er genau meint?

By the Way: Norton würde ich deinstallieren und Avira würde ich nehmen auf Agressive Einstellung. http://www.trojaner-board.de/54192-a...tellungen.html

Zitat:

Zitat von Angel21 (Beitrag 421740)

Also Norton zeigt leider nur "Trojan Horse" an,ansonsten leider keine genaue Bezeichnung usw.

Ich hab aber leider schon Geld für Norton ausgegeben,deswegen möchte ich es jetzt auch nutzen ;-)

BTW: Danke dass du dich so nett um mich kümmerst hehe

Bitte keine Ursache :).......Hast du kein Pfad? Zeigt dir Norton keinen Pfad an?

Zitat:

O17 - HKLM\System\CCS\Services\Tcpip\..\{9CE98B9D-0707-42C6-B224-7F80CF2F4E43}: NameServer = 192.168.2.1

Beziehst du die IPs automatisch oder per fester Einstellung?

Leider zeigt mir Norton keinen Pfad an,hab da schon alles durchgecheckt weils mich selbst interessiert hat :daumenhoc

Hab ne feste IP ja :heilig:

Ich würde die IP automatisch beziehen lassen ;)

Kannst du mir mal das Logfile (Report) von Norton schicken? also hier posten? Das interessiert mich auch xD

Wo finde ich denn die Logdatei?Kann nur den Verlauf speichern (Ist eine Datei mit mcf als Endung).

Kannst du was damit Anfangen?

Grüße

Dann speicher den Verlauf und setze ihn hier rein. Ich weiß nicht, ich habe ein leicht Ungutes Gefühl bei der Sache. Evtl. mal einen Rootkitscan machen lassen und bitte auf jeden Fall CCleaner drüberlaufen lassen.

Hallo PeterLustig,

ich kenne leider Norton nicht in der neuen Version. Gibt es bei Dir die Möglichkeit unter Statistik -> Logfiles anzeigen verschiedene Optionen zu markieren und dann zu exportieren?

Wenn ja, bitte Logfile posten. Wenn nein, nutze bitte den Kaspersky online scanner, damit wir uns ein Bild von Deinem System (und mögliche Infektionen machen können).

Grüße
a5cl3p1o5

Hier ist der Norton Verlauf,ich hoffe du kannst was damit anfangen : http://rapidshare.com/files/210048340/Norton-Verlauf.zip.html

PS:

Einen Kaspersky Online Scan wird grad vollzogen :aplaus:
Danach lass ich noch gmer durchlaufen und poste sofort die Ergebnisse.

LG

hast du alle partitionen formatiert oder nur die windows?

Hi,

ich hatte nur eine Partion soweit ich weiß,und auf dieser war Windows XP installiert,dem zu folge wurde auch nur diese Formatiert ;-)

Hier schon mal der gmer Log :daumenhoc

Code:

GMER 1.0.15.14939 - http://www.gmer.net

Rootkit scan 2009-03-17 22:44:43

Windows 5.1.2600 Service Pack 3
 
 

---- System - GMER 1.0.15 ----
 

SSDT            85C4D598                                                                                    ZwAlertResumeThread

SSDT            8540E578                                                                                    ZwAlertThread

SSDT            8540C100                                                                                    ZwAllocateVirtualMemory

SSDT            85412008                                                                                    ZwAssignProcessToJobObject

SSDT            8608D848                                                                                    ZwConnectPort

SSDT            \??\C:\WINXP\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)    ZwCreateKey [0xAB70A020]

SSDT            84340BE0                                                                                    ZwCreateMutant

SSDT            85412050                                                                                    ZwCreateSymbolicLinkObject

SSDT            85CCB008                                                                                    ZwCreateThread

SSDT            85611D98                                                                                    ZwDebugActiveProcess

SSDT            \??\C:\WINXP\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)    ZwDeleteKey [0xAB70A2A0]

SSDT            \??\C:\WINXP\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)    ZwDeleteValueKey [0xAB70A800]

SSDT            86117E20                                                                                    ZwDuplicateObject

SSDT            8433D108                                                                                    ZwFreeVirtualMemory

SSDT            86117DA0                                                                                    ZwImpersonateAnonymousToken

SSDT            846A5E50                                                                                    ZwImpersonateThread

SSDT            85E69B88                                                                                    ZwLoadDriver

SSDT            85613850                                                                                    ZwMapViewOfSection

SSDT            8540ECF8                                                                                    ZwOpenEvent

SSDT            852F6C60                                                                                    ZwOpenProcess

SSDT            85411358                                                                                    ZwOpenProcessToken

SSDT            8540DD90                                                                                    ZwOpenSection

SSDT            846A5ED0                                                                                    ZwOpenThread

SSDT            85412120                                                                                    ZwProtectVirtualMemory

SSDT            85BAE2E0                                                                                    ZwResumeThread

SSDT            852FB890                                                                                    ZwSetContextThread

SSDT            856136F8                                                                                    ZwSetInformationProcess

SSDT            85611E58                                                                                    ZwSetSystemInformation

SSDT            \??\C:\WINXP\system32\Drivers\SYMEVENT.SYS (Symantec Event Library/Symantec Corporation)    ZwSetValueKey [0xAB70AA50]

SSDT            8540DE50                                                                                    ZwSuspendProcess

SSDT            84684A48                                                                                    ZwSuspendThread

SSDT            85301008                                                                                    ZwTerminateProcess

SSDT            84685CD8                                                                                    ZwTerminateThread

SSDT            84345CE0                                                                                    ZwUnmapViewOfSection

SSDT            8433D008                                                                                    ZwWriteVirtualMemory
 

---- User code sections - GMER 1.0.15 ----
 

.text           C:\Programme\Internet Explorer\iexplore.exe[4060] kernel32.dll!VirtualProtect + 1C          7C801AF0 7 Bytes  JMP 028E0034 

.text           C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!DialogBoxParamW                7E3747AB 5 Bytes  JMP 444DF301 C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!DialogBoxIndirectParamW        7E382072 5 Bytes  JMP 4467179F C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!MessageBoxIndirectA            7E38A082 5 Bytes  JMP 44671720 C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!DialogBoxParamA                7E38B144 5 Bytes  JMP 44671764 C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!MessageBoxExW                  7E3A0838 5 Bytes  JMP 446716AC C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!MessageBoxExA                  7E3A085C 5 Bytes  JMP 446716E6 C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!DialogBoxIndirectParamA        7E3A6D7D 5 Bytes  JMP 446717DA C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4060] USER32.dll!MessageBoxIndirectW            7E3B64D5 5 Bytes  JMP 445016B6 C:\WINXP\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text           C:\Programme\Internet Explorer\iexplore.exe[4060] ole32.dll!CoCreateInstanceEx              774D0526 5 Bytes  JMP 028E00B8 

.text           C:\Programme\Internet Explorer\iexplore.exe[4060] ole32.dll!CoGetClassObject                774E56C5 5 Bytes  JMP 028E013F 
 

---- User IAT/EAT - GMER 1.0.15 ----
 

IAT             C:\WINXP\Explorer.EXE[1560] @ C:\WINXP\Explorer.EXE [KERNEL32.dll!GetProcAddress]           [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1560] @ C:\WINXP\system32\ADVAPI32.dll [KERNEL32.dll!GetProcAddress]  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1560] @ C:\WINXP\system32\RPCRT4.dll [KERNEL32.dll!GetProcAddress]    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1560] @ C:\WINXP\system32\Secur32.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1560] @ C:\WINXP\system32\GDI32.dll [KERNEL32.dll!GetProcAddress]     [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1560] @ C:\WINXP\system32\USER32.dll [KERNEL32.dll!GetProcAddress]    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1560] @ C:\WINXP\system32\msvcrt.dll [KERNEL32.dll!GetProcAddress]    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1560] @ C:\WINXP\system32\ole32.dll [KERNEL32.dll!GetProcAddress]     [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1560] @ C:\WINXP\system32\SHLWAPI.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1560] @ C:\WINXP\system32\CRYPT32.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1560] @ C:\WINXP\system32\NETAPI32.dll [KERNEL32.dll!GetProcAddress]  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1560] @ C:\WINXP\system32\WININET.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1560] @ C:\WINXP\system32\SHELL32.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1560] @ C:\WINXP\system32\USERENV.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1560] @ C:\WINXP\system32\PSAPI.DLL [KERNEL32.dll!GetProcAddress]     [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1560] @ C:\WINXP\system32\iphlpapi.dll [KERNEL32.dll!GetProcAddress]  [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1560] @ C:\WINXP\system32\WS2_32.dll [KERNEL32.dll!GetProcAddress]    [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)

IAT             C:\WINXP\Explorer.EXE[1560] @ C:\WINXP\system32\WS2HELP.dll [KERNEL32.dll!GetProcAddress]   [5CF07774] C:\WINXP\system32\ShimEng.dll (Shim Engine DLL/Microsoft Corporation)
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \Driver\Tcpip \Device\Ip                                                                    SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                   SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\Udp                                                                   SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                 SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)
 

---- EOF - GMER 1.0.15 ----

So,der Kaspersky Online Scan für die Wichtigen Objekte sagt folgendes.

[CODE]-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Dienstag, 17. März 2009 22:54:48
Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.2
Letztes Update der Antiviren-Datenbanken: 16/03/2009
Anzahl der Einträge in den Antiviren-Datenbanken: 1917679
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Kritische Objekte:
C:\WINXP
C:\DOKUME~1\SCHWAN~1\LOKALE~1\Temp\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 9882
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:06:38

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\WINXP\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINXP\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINXP\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\drivers\NIS\1001000.021\Cat.DB Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINXP\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINXP\Temp\JET863D.tmp Das Objekt ist gesperrt übersprungen
C:\WINXP\Temp\Perflib_Perfdata_668.dat Das Objekt ist gesperrt übersprungen
C:\WINXP\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.
[/CODE0

Lass nochmal CCleaner rüberlaufen :)

Grad gemacht,und zwar den Festplatten Cleaner und den Registry Cleaner :daumenhoc

Denkt ihr mein System ist wieder sicher?

LG

Bei dem Kaspersky Log irritieren mich die vielen übersprungenen Einträge ^^

Zitat:

Bei dem Kaspersky Log irritieren mich die vielen übersprungenen Einträge ^^

Muss Dich nicht irritieren - ist unbedenklich

Zitat:

Denkt ihr mein System ist wieder sicher?

Seit der Neuinstallation war es wohl nie unsicher. Norton hat da anscheinend Mist gebaut.

Grüße
a5cl3p1o5

Zitat:

Zitat von Angel21 (Beitrag 421775)

Bei dem Kaspersky Log irritieren mich die vielen übersprungenen Einträge ^^

Kann das eventuell daran liegen dass ich trotz dem Rat des Kaspersky Online Scans Norton aktiv lies und nicht abstellte?Hab einfach Angst dass sobald ich Norton deaktiviere ,wieder der Virus zu schlägt (Falls vorhanden).

Mach grad noch mal einen kompletten Online Scan,also nicht nur den,der wichtigen Dateien.

LG

Kann durchaus an Nortons Aktivität liegen, Virenscanner bremsen sich gegenseitig aus, wenn man zu viele drauf hat und dann können auch einige fehler beim Scan entstehen.

So,der komplette Kaspersky Online Scan hat da wohl was auf meiner externen HD gefunden.Scanne ich diese allerdings mit Norton wird mir nichts angezeigt.

Hier der Log.

Code:



-------------------------------------------------------------------------------

 PROTOKOLL FÜR KASPERSKY ONLINE SCANNER

 Dienstag, 17. März 2009 23:22:56

 Betriebssystem: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

 Version von Kaspersky Online Scanner: 5.0.98.2

 Letztes Update der Antiviren-Datenbanken: 16/03/2009

 Anzahl der Einträge in den Antiviren-Datenbanken: 1917679

-------------------------------------------------------------------------------
 

Scan-Einstellungen:

        Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte

        Archive untersuchen: ja

        Mail-Datenbanken untersuchen: ja
 

Untersuchungsobjekt - Arbeitsplatz:

        C:\

        D:\

        E:\

        F:\

        G:\

        H:\

        I:\

        J:\
 

Untersuchungsergebnisse:

        Untersuchte Objekte insgesamt: 25674

        Viren gefunden: 1

        Infizierte Objekte gefunden: 4

        Verdächtige Objekte gefunden: 0

        Untersuchungszeit: 00:24:56
 

Name des infizierten Objekts / Virusname / Letzte Aktion

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\00000082\000000fb\000002bf\cltLMS1.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\00000082\000000fb\000002bf\cltLMS2.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\BASH\ShdsSettg.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\BASH\Shl_{13015755-AABE-4E64-BE92-925FE655942D}.ldb        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\BASH\Shl_{13015755-AABE-4E64-BE92-925FE655942D}.sds        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\BASH\SPSettg.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\ccGLog\LM.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\ccJobMgr\ccJobMgr.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\ccSetMgr\dbinfo.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\ccSetMgr\user.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\ccSetMgr\volatile.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\ccSubSDK\submissions.idx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\ccSubSDKConfiguration.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\EmailProxy-Options.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\_lck\_AVPAPP_{BB639333-810A-4bf8-85F5-C537857F55FC}0        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\_lck\_ISDATAPR_{E8EFD4CD-DE52-4444-9511-EFF3B158724B}0        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Common Client\_lck\_ISDATAPR_{FF9AC67A-E394-46ae-B150-B3365343F166}G        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Connections\connections.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\HTEC\HTecData.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\IdentitySafeDataStore\S-1-5-21-1123561945-1965331169-1801674531-1003\IDDStore.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\itbLUReg\{2A85E335-7417-424d-AD89-31DED1689794}.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\itbLUReg\{407D1C08-B366-4aca-92FB-E04E97F6681D}.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\itbLUReg\{591D2F72-6BF6-4E6D-AEE1-2C53200DE57E}.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\itbLUReg\{65190544-26C3-43a4-A78A-694964901607}.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\itbLUReg\{6E3396BD-C6A6-4f0f-9254-267F9058FEC4}.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\itbLUReg\{71B3DD3A-BC1F-40cc-A74F-C0C30DFCE7D5}.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\itbLUReg\{7CA2EC62-AD5E-432c-B974-7B33D5AA2142}.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\itbLUReg\{D4F4CC32-7A41-4684-AE57-41E59E9B4503}.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\ANTISPAM.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\bash.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\ced.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\ClientIDS.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\firewall.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\navscan.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\navthr.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\nco.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\SMode.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Logs\SymNetDrv.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Lue\LueDyn.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\LuReg\{221C5684-9CB7-4e17-A839-71C374CAA376}.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\LuReg\{D06948D5-FB30-4721-9983-45F86F6D2D85}.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\NCO\WACert.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\NCO\WADB.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\NCO\WADomain.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\NPCInstOpts.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\NPCSettings.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\NPCSupport.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\NUMSettings.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Product\CAVDNode.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Product\CAVENode.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Product\cltDynam.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Product\ProdExcl.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Product\set-data.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Product\set-priv.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\QBackup\index.qbs        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\SRTSP\SrtspSet.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\SRTSP\SrtETmp\9A90664E.TMP        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\SRTSP\SrtETmp\AABF6454.TMP        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Cookies\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\mail\indexer\indexer.axx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\mail\indexer\indexer.bx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\mail\indexer\message_id        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\mail\lexicon\lexicon.axx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\mail\lexicon\lexicon.bx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\mail\omailbase.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0000\adoc.bx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0000\md.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0000\url.axx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0000\w.axx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0000\wb.vx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0001\adoc.bx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0001\md.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0001\url.axx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0001\w.axx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0001\wb.vx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0002\adoc.bx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0002\md.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0002\url.axx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0002\w.axx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0002\wb.vx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0003\adoc.bx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0003\md.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0003\url.axx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0003\w.axx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0003\wb.vx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0004\adoc.bx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0004\md.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0004\url.axx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0004\w.axx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Opera\Opera 10 Preview\profile\vps\0004\wb.vx        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Verlauf\History.IE5\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Verlauf\History.IE5\MSHist012009031720090318\index.dat        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\NTUSER.DAT        Das Objekt ist gesperrt        übersprungen

C:\Dokumente und Einstellungen\******\ntuser.dat.LOG        Das Objekt ist gesperrt        übersprungen

C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EPERSIST.DAT        Das Objekt ist gesperrt        übersprungen

C:\System Volume Information\EfaData\SYMEFA.DB        Das Objekt ist gesperrt        übersprungen

C:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen

C:\System Volume Information\_restore{DFFA7FD7-53B9-4D82-823E-D10BFF1324C9}\RP3\change.log        Das Objekt ist gesperrt        übersprungen

C:\WINXP\Debug\PASSWD.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINXP\SchedLgU.Txt        Das Objekt ist gesperrt        übersprungen

C:\WINXP\SoftwareDistribution\ReportingEvents.log        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\CatRoot2\edb.log        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\CatRoot2\tmp.edb        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\config\AppEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\config\default        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\config\default.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\config\Internet.evt        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\config\SAM        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\config\SAM.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\config\SecEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\config\SECURITY        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\config\SECURITY.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\config\software        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\config\software.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\config\SysEvent.Evt        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\config\system        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\config\system.LOG        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\drivers\NIS\1001000.021\Cat.DB        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\h323log.txt        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\wbem\Repository\FS\INDEX.BTR        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\wbem\Repository\FS\INDEX.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\wbem\Repository\FS\MAPPING.VER        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\wbem\Repository\FS\MAPPING1.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\wbem\Repository\FS\MAPPING2.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\wbem\Repository\FS\OBJECTS.DATA        Das Objekt ist gesperrt        übersprungen

C:\WINXP\system32\wbem\Repository\FS\OBJECTS.MAP        Das Objekt ist gesperrt        übersprungen

C:\WINXP\Temp\JET863D.tmp        Das Objekt ist gesperrt        übersprungen

C:\WINXP\Temp\Perflib_Perfdata_668.dat        Das Objekt ist gesperrt        übersprungen

C:\WINXP\WindowsUpdate.log        Das Objekt ist gesperrt        übersprungen

J:\RECYCLER\S-4-5-11-100017703-100031168-100022485-4446.com        Infizierte Objekte: Trojan.Win32.TDSS.sgm        übersprungen

J:\RECYCLER\S-5-9-32-100020552-100031408-100014937-4527.com        Infizierte Objekte: Trojan.Win32.TDSS.sgm        übersprungen

J:\RECYCLER\S-6-8-31-100003086-100005425-100013277-6189.com        Infizierte Objekte: Trojan.Win32.TDSS.sgm        übersprungen

J:\RECYCLER\S-9-7-85-100007146-100020279-100004249-9610.com        Infizierte Objekte: Trojan.Win32.TDSS.sgm        übersprungen

J:\System Volume Information\EfaData\SYMEFA.DB        Das Objekt ist gesperrt        übersprungen

J:\System Volume Information\MountPointManagerRemoteDatabase        Das Objekt ist gesperrt        übersprungen

J:\System Volume Information\_restore{DFFA7FD7-53B9-4D82-823E-D10BFF1324C9}\RP3\change.log        Das Objekt ist gesperrt        übersprungen
 

Die Untersuchung wurde abgeschlossen.

Außerdem finde ich einen Eintrag bei Nortons Heimnetzwerk Überwachung komisch.
Da wird mir ein zweite Verbindung angezeigt,hab die "Vertrauensstufe" erstmal auf eingeschränkt gestellt.

Eine Whois Abfrage mit angezeigter IP ergibt folgendes:

Code:

Connect whois.ripe.net ....

 

Whois - Abfrage von Bitsoft        4.0

Die IP 192.168.2.101 ist:        Registriert

% This is the RIPE Whois query server #1.

% The objects are in RPSL format.

%

% Rights restricted by copyright.

% See http://www.ripe.net/db/copyright.html

 

% Information related to '192.168.0.0 - 192.168.255.255'

 

inetnum:        192.168.0.0 - 192.168.255.255

netname:        IANA-CBLK-RESERVED1

descr:        Class C address space for private internets

descr:See http

country:        EU # Country is really world wide

org:        ORG-IANA1-RIPE

admin-c:        RFC1918-RIPE

tech-c:        RFC1918-RIPE

status:        ALLOCATED UNSPECIFIED

remarks:        Country is really worldwide

remarks:        This network should never be routed outside an enterprise

remarks:        See RFC1918 for further information

mnt-by:        RIPE-NCC-HM-MNT

mnt-lower:        RIPE-NCC-HM-MNT

changed:        rfc1918@ripe.net 20020129

changed:        hostmaster@ripe.net 20030526

changed:        hostmaster@ripe.net 20030904

changed:        hostmaster@ripe.net 20031014

changed:        ripe-dbm@ripe.net 20040422

source:        RIPE

 

organisation:        ORG-IANA1-RIPE

org-name:        Internet Assigned Numbers Authority

org-type:        IANA

address:see http

remarks:        The IANA allocates IP addresses and AS number blocks to RIRs

remarks:see http

remarks:and http

e-mail:        bitbucket@ripe.net

admin-c:        IANA1-RIPE

tech-c:        IANA1-RIPE

mnt-ref:        RIPE-NCC-HM-MNT

mnt-by:        RIPE-NCC-HM-MNT

changed:        bitbucket@ripe.net 20040417

source:        RIPE

 

role:        RFC1918 Role

address:        Singel 258

address:        1016 ABAmsterdam

address:        The Netherlands

e-mail:        rfc1918@ripe.net

remarks:trouble

admin-c:        RFC1918-RIPE

tech-c:        RFC1918-RIPE

nic-hdl:        RFC1918-RIPE

mnt-by:        RFC1918-MNT

changed:        rfc1918@ripe.net 20020121

changed:        rfc1918@ripe.net 20021218

source:        RIPE

Habe noch ein PIC erstellt.Kann mir einer sagen was genau das ist?

http://img18.imageshack.us/img18/585/norton.jpg

Die IP ist aus Deinem Netzwerk. Hast Du noch einen zweiten Computer?

Führe bitte Combofix nach der verlinkten Anleitung aus.
Die Wiederherstellungskonsole kann auch Combofix für Dich installieren, wenn Du Deine Internetverbindung währenddessen an hast.
WICHTIG: Beende alle Programme (auch Norton!), nutze weder Maus noch Tastatur während Combofix läuft und stecke alle USB-Geräte an Deinen Computer (Laufwerke, USB-Sticks, Kamera mit Karte).

Die Logfile auf jeden Fall posten!

Grüße
a5cl3p1o5

Benutze keinen zweiten PC.

PS: Ich werde combofix ausführen.Und sobald ich fertig bin werde ich die Ergebnisse hier posten.Habe noch eine kleine Frage wegen der Wiederherstellungskonsole.Also ich hab diese schon aktiviert,kann ich diesen Schritt dann im Tutorial überspringen oder?

Grüße

wie gesagt, Combofix erinnert Dich daran, falls Du sie doch nicht installiert hast. Dann würde ich Dir aber empfehlen, sie zu installieren.

So,

hier der ComboFix log.

EDIT: Nach einem Neustart geht Norton wieder,kleiner Fehlalarm ;-)

Code:

ComboFix 09-03-15.01 - ***** 2009-03-18  0:14:04.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1023.636 [GMT 4.5:30]

ausgeführt von:: c:\dokumente und einstellungen\*****\Desktop\ComboFix.exe

AV: Norton Internet Security *On-access scanning disabled* (Updated)

FW: Norton Internet Security *enabled*

 * Neuer Wiederherstellungspunkt wurde erstellt

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

j:\recycler\S-4-5-11-100017703-100031168-100022485-4446.com

j:\recycler\S-5-9-32-100020552-100031408-100014937-4527.com

j:\recycler\S-6-8-31-100003086-100005425-100013277-6189.com

j:\recycler\S-9-7-85-100007146-100020279-100004249-9610.com

J:\resycled

j:\resycled\boot.com
 

.

(((((((((((((((((((((((   Dateien erstellt von 2009-02-17 bis 2009-03-17  ))))))))))))))))))))))))))))))

.
 

2009-03-18 00:09 . 2009-03-18 00:09        <DIR>        d--------        c:\winxp\LastGood

2009-03-18 00:02 . 2006-06-29 13:07        14,048        ---------        c:\winxp\system32\spmsg2.dll

2009-03-17 23:56 . 2009-03-18 00:02        <DIR>        d--------        c:\winxp\system32\XPSViewer

2009-03-17 23:56 . 2009-03-17 23:56        <DIR>        d--------        c:\programme\Reference Assemblies

2009-03-17 23:56 . 2009-03-17 23:56        <DIR>        d--------        c:\programme\MSBuild

2009-03-17 23:55 . 2009-03-17 23:56        <DIR>        d--------        C:\5446aedc5abd62fb992f966890

2009-03-17 23:55 . 2008-07-06 16:36        1,676,288        ---------        c:\winxp\system32\xpssvcs.dll

2009-03-17 23:55 . 2008-07-06 16:36        1,676,288        -----c---        c:\winxp\system32\dllcache\xpssvcs.dll

2009-03-17 23:55 . 2008-07-06 15:20        597,504        -----c---        c:\winxp\system32\dllcache\printfilterpipelinesvc.exe

2009-03-17 23:55 . 2008-07-06 16:36        575,488        ---------        c:\winxp\system32\xpsshhdr.dll

2009-03-17 23:55 . 2008-07-06 16:36        575,488        -----c---        c:\winxp\system32\dllcache\xpsshhdr.dll

2009-03-17 23:55 . 2008-07-06 16:36        117,760        ---------        c:\winxp\system32\prntvpt.dll

2009-03-17 23:55 . 2008-07-06 16:36        89,088        -----c---        c:\winxp\system32\dllcache\filterpipelineprintproc.dll

2009-03-17 23:44 . 2008-10-24 15:51        455,296        -----c---        c:\winxp\system32\dllcache\mrxsmb.sys

2009-03-17 23:39 . 2008-10-16 14:09        43,544        --a------        c:\winxp\system32\wups2.dll

2009-03-17 23:39 . 2008-10-16 14:08        31,768        --a------        c:\winxp\system32\wucltui.dll.mui

2009-03-17 23:39 . 2008-10-16 14:08        27,672        --a------        c:\winxp\system32\wuaucpl.cpl.mui

2009-03-17 23:39 . 2008-10-16 14:08        27,672        --a------        c:\winxp\system32\wuapi.dll.mui

2009-03-17 23:39 . 2008-10-16 14:07        18,968        --a------        c:\winxp\system32\wuaueng.dll.mui

2009-03-17 23:23 . 2009-03-18 00:07        <DIR>        d--------        c:\programme\Autorun Eater

2009-03-17 22:49 . 2009-03-17 22:51        <DIR>        d--------        c:\programme\uTorrent

2009-03-17 22:49 . 2009-03-18 00:05        <DIR>        d--------        c:\dokumente und einstellungen\SchwanzosLongus\Anwendungsdaten\uTorrent

2009-03-17 22:30 . 2009-03-17 22:30        <DIR>        d--------        c:\winxp\system32\Kaspersky Lab

2009-03-17 22:30 . 2009-03-17 22:30        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab

2009-03-17 22:22 . 2009-03-17 22:22        <DIR>        d--------        c:\programme\CCleaner

2009-03-17 21:29 . 2009-03-17 21:29        <DIR>        d--------        c:\programme\Malwarebytes' Anti-Malware

2009-03-17 21:29 . 2009-03-17 21:29        <DIR>        d--------        c:\dokumente und einstellungen\SchwanzosLongus\Anwendungsdaten\Malwarebytes

2009-03-17 21:29 . 2009-03-17 21:29        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes

2009-03-17 21:29 . 2009-02-11 10:19        38,496        --a------        c:\winxp\system32\drivers\mbamswissarmy.sys

2009-03-17 21:29 . 2009-02-11 10:19        15,504        --a------        c:\winxp\system32\drivers\mbam.sys

2009-03-17 21:24 . 2009-03-17 21:24        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec

2009-03-17 21:15 . 2009-03-17 21:15        <DIR>        d--------        c:\programme\Trend Micro

2009-03-17 21:09 . 2009-03-17 21:09        <DIR>        d--------        c:\programme\Opera 10 Preview

2009-03-17 21:04 . 2009-03-17 21:19        <DIR>        d--------        c:\programme\avmwlanstick

2009-03-17 21:03 . 2009-03-17 21:03        <DIR>        d--------        c:\programme\AVM_update

2009-03-17 21:03 . 2006-09-29 10:30        1,570        --a------        c:\winxp\system32\nvide.nvu

2009-03-17 21:01 . 2009-03-17 21:01        <DIR>        d--------        c:\winxp\system32\drivers\NIS

2009-03-17 21:01 . 2009-03-17 21:01        <DIR>        d--------        c:\programme\Windows Sidebar

2009-03-17 21:01 . 2009-03-17 21:01        <DIR>        d--------        c:\programme\Symantec

2009-03-17 21:01 . 2009-03-17 21:01        <DIR>        d--------        c:\programme\NortonInstaller

2009-03-17 21:01 . 2009-03-17 21:01        <DIR>        d--------        c:\programme\Norton Internet Security

2009-03-17 21:01 . 2009-03-17 21:14        <DIR>        d--------        c:\programme\Gemeinsame Dateien\Symantec Shared

2009-03-17 21:01 . 2009-03-17 21:01        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller

2009-03-17 21:01 . 2009-03-17 21:01        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton

2009-03-17 21:01 . 2009-03-17 21:01        124,464        --a------        c:\winxp\system32\drivers\SYMEVENT.SYS

2009-03-17 21:01 . 2009-03-17 21:01        60,808        --a------        c:\winxp\system32\S32EVNT1.DLL

2009-03-17 21:01 . 2009-03-17 21:01        35,888        -ra------        c:\winxp\system32\drivers\SymIM.sys

2009-03-17 21:01 . 2009-03-17 21:01        10,635        --a------        c:\winxp\system32\drivers\SYMEVENT.CAT

2009-03-17 21:01 . 2009-03-17 21:01        806        --a------        c:\winxp\system32\drivers\SYMEVENT.INF

2009-03-17 20:59 . 2009-03-17 20:59        0        --a------        c:\winxp\ativpsrm.bin
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-16 19:56        ---------        d--h--w        c:\programme\InstallShield Installation Information

2009-03-16 19:56        ---------        d-----w        c:\programme\Realtek AC97

2009-03-16 19:56        ---------        d-----w        c:\programme\Gemeinsame Dateien\InstallShield

2009-03-16 19:56        ---------        d-----w        c:\programme\ATI Technologies

2009-03-16 19:47        ---------        d-----w        c:\programme\microsoft frontpage

2009-03-16 19:43        ---------        d-----w        c:\programme\Online-Dienste

2009-03-16 19:43        ---------        d-----w        c:\programme\Gemeinsame Dateien\Dienste

2009-03-16 19:41        ---------        d-----w        c:\programme\Windows Media Connect 2

2009-02-09 13:57        1,847,680        ----a-w        c:\winxp\system32\win32k.sys

2009-02-04 07:27        3,488,768        ----a-w        c:\winxp\system32\drivers\ati2mtag.sys

2009-02-04 05:57        11,702,272        ----a-w        c:\winxp\system32\atioglxx.dll

2009-02-04 05:03        290,816        ----a-w        c:\winxp\system32\atiok3x2.dll

2009-02-04 04:56        442,368        ----a-w        c:\winxp\system32\ATIDEMGX.dll

2009-02-04 04:55        324,096        ----a-w        c:\winxp\system32\ati2dvag.dll

2009-02-04 04:44        196,608        ----a-w        c:\winxp\system32\atipdlxx.dll

2009-02-04 04:44        155,648        ----a-w        c:\winxp\system32\Oemdspif.dll

2009-02-04 04:43        43,520        ----a-w        c:\winxp\system32\ati2edxx.dll

2009-02-04 04:43        26,112        ----a-w        c:\winxp\system32\Ati2mdxx.exe

2009-02-04 04:43        155,648        ----a-w        c:\winxp\system32\ati2evxx.dll

2009-02-04 04:41        602,112        ----a-w        c:\winxp\system32\ati2evxx.exe

2009-02-04 04:40        53,248        ----a-w        c:\winxp\system32\ATIDDC.DLL

2009-02-04 04:30        3,884,768        ----a-w        c:\winxp\system32\ati3duag.dll

2009-02-04 04:14        2,645,504        ----a-w        c:\winxp\system32\ativvaxx.dll

2009-02-04 03:58        49,664        ----a-w        c:\winxp\system32\amdpcom32.dll

2009-02-04 03:54        471,040        ----a-w        c:\winxp\system32\atikvmag.dll

2009-02-04 03:53        122,880        ----a-w        c:\winxp\system32\atiadlxx.dll

2009-02-04 03:52        53,248        ----a-w        c:\winxp\system32\drivers\ati2erec.dll

2009-02-04 03:52        17,408        ----a-w        c:\winxp\system32\atitvo32.dll

2009-02-04 03:46        626,688        ----a-w        c:\winxp\system32\ati2cqag.dll

2009-02-04 03:44        307,200        ----a-w        c:\winxp\system32\atiiiexx.dll

2009-02-04 02:43        45,056        ----a-w        c:\winxp\system32\aticalrt.dll

2009-02-04 02:42        45,056        ----a-w        c:\winxp\system32\aticalcl.dll

2009-02-04 02:40        3,244,032        ----a-w        c:\winxp\system32\aticaldd.dll

2009-02-03 16:35        593,920        ------w        c:\winxp\system32\ati2sgag.exe

2008-12-20 22:31        826,368        ----a-w        c:\winxp\system32\wininet.dll

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2008-09-05 1794048]

"Autorun Eater"="c:\programme\Autorun Eater\oldmcdonald.exe" [2008-11-27 501768]

"SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\winxp\soundman.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\uTorrent\\uTorrent.exe"=
 

R0 SymEFA;Symantec Extended File Attributes;c:\winxp\system32\drivers\NIS\1001000.021\SymEFA.sys [2009-03-17 309296]

R1 BHDrvx86;Symantec Heuristics Driver;c:\winxp\system32\drivers\NIS\1001000.021\BHDrvx86.sys [2009-03-17 255536]

R1 ccHP;Symantec Hash Provider;c:\winxp\system32\drivers\NIS\1001000.021\cchpx86.sys [2009-03-17 362544]

R1 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090310.003\IDSxpx86.sys [2009-03-17 276344]

R2 Norton Internet Security;Norton Internet Security;c:\programme\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe [2009-03-17 115560]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2009-03-16 101936]

S3 avmeject;AVM Eject;c:\winxp\system32\drivers\avmeject.sys [2008-09-05 4352]

S3 FWLANUSB;AVM FRITZ!WLAN;c:\winxp\system32\drivers\fwlanusb.sys [2008-09-05 265088]
 

--- Andere Dienste/Treiber im Speicher ---
 

*NewlyCreated* - ATAPI

*NewlyCreated* - ERASERUTILREBOOTDRV

*NewlyCreated* - PCIIDE

.

.

------- Zusätzlicher Suchlauf -------

.

TCP: {9CE98B9D-0707-42C6-B224-7F80CF2F4E43} = 192.168.2.1

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-18 00:14:50

Windows 5.1.2600 Service Pack 3 NTFS
 

Scanne versteckte Prozesse... 
 

Scanne versteckte Autostarteinträge... 
 

Scanne versteckte Dateien... 
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************
 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Norton Internet Security]

"ImagePath"="\"c:\programme\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\programme\Norton Internet Security\Engine\16.1.0.33\diMaster.dll\" /prefetch:1"

.

--------------------- Durch laufende Prozesse gestartete DLLs ---------------------
 

- - - - - - - > 'winlogon.exe'(1004)

c:\winxp\system32\Ati2evxx.dll

.

Zeit der Fertigstellung: 2009-03-18  0:15:29

ComboFix-quarantined-files.txt  2009-03-17 19:45:27
 

Vor Suchlauf: 10 Verzeichnis(se), 154.862.149.632 Bytes frei

Nach Suchlauf: 10 Verzeichnis(se), 154,928,533,504 Bytes frei
 

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINXP

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
 

174

Lade bitte folgende zwei Dateien bei Virustotal hoch und lass sie analysieren.

Code:

c:\winxp\system32\dllcache\printfilterpipelinesvc.exe

c:\winxp\system32\drivers\SymIM.sys

Wenn keine Funde ausgegeben werden, dann bitte unter Start -> Ausführen -> "combofix /u" eingeben (ohne "") und ok klicken. Fertig!

Sollten Funde gemeldet werden, bitte das Ergebnis komplett posten. Werde sie mir dann morgen früh anschauen.

Grüße und gute Nacht
a5cl3p1o5

Hey,

hab beide Dateien hochgeladen.

Bei der printfilterpipelinesvc.exe wird nur bei McAfee-GW-Edition 6.7.6 folgendes anezeigt ----> Win32.LooksLike.Virut

Die restlichen Analysetools finden nichts.

Bei der SymIM.sys meint jede Analyse das sie sauber wär.

Grüße

Hab jetzt noch einen Scan bei http://virscan.org/ gemacht.

Code:

Datei InformationenDateiname :          printfilterpipelinesvc.exe

Größe :          597504 byte

Typ :          PE32 executable for MS Windows (GUI) Intel 80386 32-bit

MD5 :          9cac2bee7724fc829567400ee751856a

SHA1 :          69ededb886e6f0a9220f6463caf6c804f567e7ef
 

Scan ErgebnisScan Ergebnis :          Es wurde keine Infektion ermittelt!

Zeit :          2009/03/17 02:14:02 (CET)

Code:

Datei InformationenDateiname :          SymIM.sys

Größe :          35888 byte

Typ :          PE32 executable for MS Windows (native) Intel 80386 32-bit

MD5 :          e9abe92091b108aa5650c18c9fc77356

SHA1 :          0410c6cc72d2897dc2ed2dae31a639d2e89755d3
 

Scan ErgebnisScan Ergebnis :          Es wurde keine Infektion ermittelt!

Zeit :          2009/03/17 02:25:16 (CET)

Zitat:

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

j:\recycler\S-4-5-11-100017703-100031168-100022485-4446.com
j:\recycler\S-5-9-32-100020552-100031408-100014937-4527.com
j:\recycler\S-6-8-31-100003086-100005425-100013277-6189.com
j:\recycler\S-9-7-85-100007146-100020279-100004249-9610.com
J:\resycled
j:\resycled\boot.com

deswegen meine frage ob alle partitionen gelöscht wurden, aber das wort partitionen war schlecht gewählt :D

Yo :)

Na ja,jetzt noch gucken was der Meister dazu sagt.
Ich denke soweit ist alles gut :aplaus:

Das Einzige was mich noch ein wenig zum nachdenken bringt
ist das "Zweite Netzwerk" dass mir Norton anzeigt (Pic ist ein
paar posts zu vor zu finden)

Grüße

also meine Meinung dazu ist ganz Bob Marley: don't worry, be happy :singsing:

Wenn Du über Lan ins Internet gehst und Deine Wlan-Karte nicht nutzt, dann deaktiviere sie.

Grüße
a5cl3p1o5

Erst einmal geht ein RIESEN DANKESCHÖN an ALLE die mir hier so gut geholfen haben.Besonders an dich a5cl3p1o5q :aplaus::aplaus:

Ich werde dieses Forum auf jeden Fall weiterempfehlen,ganz große Klasse.

Ich gehe über WLAN ins internet,habe jetzt im Gerätemanager unter
"Netzwerkadapter" folgendes deinstalliert -->"1394-Netzwerkadapter".
Ist nach nem Neustart aber wieder aktiv,hab den Adapter jetzt
deaktiviert,aber die Norton Meldung ist immer noch aktiv,aber ich denke
dass mich die nicht weiter stören sollte oder? *G*

Noch mal,besten Dank für eure Mühe Leute,einfach super.

Grüße

Das deaktivieren des Netzwerkadapters hat doch was gebracht,die Noron Meldung ist nicht mehr aktiv.

Dass wars nun endgültig,Thread kann auf GELÖST gestellt werden.Besten Danke an alle :aplaus::aplaus:

Grüße