New System Bitte mal schauen

Meyer · 05.07.2007, 09:08

Hi leute ich habe mein sys mal neu gemacht nachdem es nur noch mies lief und fehler drauf waren.
nun hatte ich aber schon am anfang des sys wieder probs.

und zwar haben sich bestimmte autostart einträge nach entfernen immer wieder neu eingetragen.

zb. ctfmon.exe diese habe ich dann einfach aus dem sys gelöscht das ist also behoben.

daher möchte ich euch nur noch mal bitten über die log zu schauen und mir sagen obs OK aussieht oder eher weniger.

schon mal vielen dank.

Logfile of HijackThis v1.99.1
Scan saved at 09:57:17, on 06.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Programme\Softex\OmniPass\Omniserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Softex\OmniPass\scureapp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\****\Desktop\hijackthis_199\This.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://security.symantec.com/sscv6/default.asp?langid=ge
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = h**p://go.microsoft.com/fwlink/?LinkId=54843
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.intel.com/support/chipsets/iaa
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [OmniPass] C:\Programme\Softex\OmniPass\scureapp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O20 - Winlogon Notify: OPXPGina - C:\WINDOWS\
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Programme\Softex\OmniPass\Omniserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Und eScan:

Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\WholeSecurity.CATEEAx" verweist auf das ungültige Objekt "{3ba494b1-d507-4c11-9bda-d47e1a65dfcf}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCR\WholeSecurity.CATEEAx.1" verweist auf das ungültige Objekt "{3ba494b1-d507-4c11-9bda-d47e1a65dfcf}". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".key". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Entry "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts" verweist auf das ungültige Objekt ".xpas". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

undoreal · 05.07.2007, 09:15

Du bist im falschen Forum. Lass dich bitte in's Windows Forum verschieben..

mfg

Meyer · 05.07.2007, 14:33

wieso bin ich hier im falschem forum???????

Zitat:

Hier könnt Ihr HijackThis Logs zwecks Auswertung posten. Ebenso allgemeine Fragen zu Hijackern.

und genau darum geht es also warum falsch man.

kannste nicht lesen????

Franz1968 · 05.07.2007, 14:40

Wer wird denn gleich an die Decke gehen...
Wenn du einen eScan gemacht hast, dann poste bitte die Ergebnisse mit Hilfe der find.bat, wie in unserer Anleitung beschrieben (Link z. B. in Undoreals Signatur). Ansonsten ist eine Auswertung nicht möglich.

**Sunny** · 05.07.2007, 15:21

Hallo und im Trojaner Board!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:

Datenträgerbereinigung

Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist!
(wird normalerweise automatisch erkannt!)

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

und das komplette eScan-Log:

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.

Gruß
Sunny

Meyer · 05.07.2007, 19:19

so nun gut hier.

ComboFix:

Zitat:

"Meyer" - 2007-07-06 17:49:12 - ComboFix 07-07-04.4 - Service Pack 2

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

((((((((((((((((((((((((( Files Created from 2007-06-06 to 2007-07-06 )))))))))))))))))))))))))))))))

2007-07-06 17:48 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-06 17:48 <DIR> d-------- C:\WINDOWS\LastGood
2007-07-06 17:37 <DIR> d-------- C:\bases_x
2007-07-06 16:09 <DIR> d-------- C:\WINDOWS\CSC
2007-07-06 09:32 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\SecTaskMan
2007-07-06 09:31 <DIR> d-------- C:\Programme\Security Task Manager
2007-07-06 09:07 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-07-06 09:07 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-07-06 09:07 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-07-06 09:07 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-07-06 09:07 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-07-06 09:07 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-07-06 09:06 153,600 --a------ C:\WINDOWS\R.COM
2007-07-06 09:06 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-07-06 09:02 28,672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys
2007-07-06 08:47 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\NVIDIA
2007-07-05 23:59 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Acronis
2007-07-05 23:01 <DIR> d-------- C:\WINDOWS\pss
2007-07-05 22:55 1,165 --a------ C:\WINDOWS\mozver.dat
2007-07-05 22:47 29,704 --a------ C:\WINDOWS\system32\uxtuneup.dll
2007-07-05 22:47 <DIR> d-------- C:\Programme\TuneUp Utilities 2007
2007-07-05 22:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-07-05 22:47 <DIR> d-------- C:\DOKUME~1\Meyer\ANWEND~1\TuneUp Software
2007-07-05 22:47 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\TuneUp Software
2007-07-05 22:29 <DIR> d-------- C:\Programme\Softex
2007-07-05 22:29 <DIR> d-------- C:\DOKUME~1\Meyer\ANWEND~1\InstallShield
2007-07-05 22:07 36,528 --------- C:\WINDOWS\system32\drivers\PxHelp20.sys
2007-07-05 22:07 2,560 --------- C:\WINDOWS\system32\drivers\cdralw2k.sys
2007-07-05 22:07 2,432 --------- C:\WINDOWS\system32\drivers\cdr4_xp.sys
2007-07-05 22:07 129,784 --------- C:\WINDOWS\system32\pxafs.dll
2007-07-05 22:07 115,880 --------- C:\WINDOWS\system32\pxinsi64.exe
2007-07-05 22:07 <DIR> d-------- C:\Programme\Winamp
2007-07-05 21:58 <DIR> d-------- C:\WINDOWS\system32\oodag
2007-07-05 21:54 397,296 --a------ C:\WINDOWS\system32\drivers\timntr.sys
2007-07-05 21:54 33,488 --a------ C:\WINDOWS\system32\drivers\tifsfilt.sys
2007-07-05 21:54 107,056 --a------ C:\WINDOWS\system32\drivers\snapman.sys
2007-07-05 21:54 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Acronis
2007-07-05 21:54 <DIR> d-------- C:\Programme\Acronis
2007-07-05 21:52 <DIR> d-------- C:\DOKUME~1\Meyer\ANWEND~1\Thunderbird
2007-07-05 21:51 0 --a------ C:\WINDOWS\nsreg.dat
2007-07-05 21:51 <DIR> d-------- C:\Programme\Mozilla Thunderbird
2007-07-05 21:51 <DIR> d-------- C:\DOKUME~1\Meyer\ANWEND~1\Talkback
2007-07-05 21:44 <DIR> d-------- C:\Programme\OO Software
2007-07-05 21:43 <DIR> d-------- C:\Programme\UltraISO
2007-07-05 21:43 <DIR> d-------- C:\Programme\Gemeinsame Dateien\EZB Systems
2007-07-05 21:22 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-07-05 21:22 <DIR> d-------- C:\WINDOWS\system32\SoftwareDistribution
2007-07-05 21:16 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-07-05 21:13 <DIR> d-------- C:\WINDOWS\system32\Lang
2007-07-05 21:12 40,960 --a------ C:\WINDOWS\system32\ChCfg.exe
2007-07-05 21:12 <DIR> d-------- C:\WINDOWS\system32\RTCOM
2007-07-05 21:11 9,709,568 --a------ C:\WINDOWS\RTLCPL.exe
2007-07-05 21:11 86,016 --a------ C:\WINDOWS\SoundMan.exe
2007-07-05 21:11 69,632 --a------ C:\WINDOWS\Alcmtr.exe
2007-07-05 21:11 487,424 --a------ C:\WINDOWS\RtlExUpd.dll
2007-07-05 21:11 4,304,384 --a------ C:\WINDOWS\system32\drivers\RtkHDAud.Sys
2007-07-05 21:11 364,544 --a------ C:\WINDOWS\RtlUpd.exe
2007-07-05 21:11 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-07-05 21:11 2,879,488 --a------ C:\WINDOWS\SkyTel.exe
2007-07-05 21:11 2,808,832 --a------ C:\WINDOWS\alcwzrd.exe
2007-07-05 21:11 2,158,592 --a------ C:\WINDOWS\MicCal.exe
2007-07-05 21:11 16,248,320 --a------ C:\WINDOWS\RTHDCPL.exe
2007-07-05 21:11 <DIR> d-------- C:\Programme\Realtek
2007-07-05 21:08 <DIR> d-------- C:\Programme\xp-AntiSpy
2007-07-05 20:57 122,880 --a------ C:\WINDOWS\system32\Imsmudlg.exe
2007-07-05 20:57 <DIR> d-------- C:\WINDOWS\system32\ReinstallBackups
2007-07-05 20:57 <DIR> d-------- C:\WINDOWS\system32\DEU
2007-07-05 20:57 <DIR> d-------- C:\Programme\Intel
2007-07-05 20:56 78,976 --a------ C:\WINDOWS\system32\drivers\Rtenicxp.sys
2007-07-05 20:56 <DIR> d--h----- C:\Programme\InstallShield Installation Information
2007-07-05 20:56 <DIR> d-------- C:\WINDOWS\OPTIONS
2007-07-05 20:52 208,896 --a------ C:\WINDOWS\system32\NVUNINST.EXE
2007-07-05 20:52 208,896 --a------ C:\WINDOWS\system32\nvudisp.exe
2007-07-05 20:52 <DIR> d-------- C:\WINDOWS\nview
2007-07-05 20:52 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-07-05 20:40 <DIR> d--hs---- C:\RECYCLER
2007-07-05 20:36 2,621,440 --ah----- C:\DOKUME~1\Meyer\NTUSER.DAT
2007-07-05 20:36 <DIR> dr-h----- C:\DOKUME~1\Meyer\Anwendungsdaten
2007-07-05 20:36 <DIR> dr------- C:\DOKUME~1\Meyer\Startmen
2007-07-05 20:36 <DIR> dr------- C:\DOKUME~1\Meyer\Favoriten
2007-07-05 20:36 <DIR> dr------- C:\DOKUME~1\Meyer\Eigene Dateien
2007-07-05 20:36 <DIR> d--h----- C:\DOKUME~1\Meyer\Vorlagen
2007-07-05 20:36 <DIR> d--h----- C:\DOKUME~1\Meyer\Netzwerkumgebung
2007-07-05 20:36 <DIR> d--h----- C:\DOKUME~1\Meyer\Lokale Einstellungen
2007-07-05 20:36 <DIR> d--h----- C:\DOKUME~1\Meyer\Druckumgebung
2007-07-05 20:34 75,512 --a------ C:\WINDOWS\zllsputility.exe
2007-07-05 20:34 54,936 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2007-07-05 20:34 42,648 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2007-07-05 20:34 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-07-05 20:34 22,168 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2007-07-05 20:34 18,072 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2007-07-05 20:34 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-07-05 20:33 1,087,216 --a------ C:\WINDOWS\system32\zpeng24.dll
2007-07-05 20:33 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2007-07-05 20:33 <DIR> d-------- C:\WINDOWS\Internet Logs
2007-07-05 20:32 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-07-05 20:16 786,432 --ah----- C:\DOKUME~1\ADMINI~1\NTUSER.DAT
2007-07-05 20:16 1,310,720 --ah----- C:\DOKUME~1\LOCALS~1\NTUSER.DAT
2007-07-05 20:16 <DIR> dr-h----- C:\DOKUME~1\ADMINI~1\Anwendungsdaten
2007-07-05 20:16 <DIR> dr------- C:\DOKUME~1\ADMINI~1\Startmen

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-05 20:34:44 70,778 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-07-05 20:34:44 405,448 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-07-05 19:11:04 360,576 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2007-04-25 14:22:27 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-19 11:26:00 888,832 ----a-w C:\WINDOWS\system32\nvmobls.dll
2007-04-19 11:26:00 86,016 ----a-w C:\WINDOWS\system32\nvmctray.dll
2007-04-19 11:26:00 81,920 ----a-w C:\WINDOWS\system32\nvwddi.dll
2007-04-19 11:26:00 794,624 ----a-w C:\WINDOWS\system32\nvcplui.exe
2007-04-19 11:26:00 7,700,480 ----a-w C:\WINDOWS\system32\nvcpl.dll
2007-04-19 11:26:00 581,632 ----a-w C:\WINDOWS\system32\nvhwvid.dll
2007-04-19 11:26:00 5,644,288 ----a-w C:\WINDOWS\system32\nvoglnt.dll
2007-04-19 11:26:00 5,619,712 ----a-w C:\WINDOWS\system32\nvdisps.dll
2007-04-19 11:26:00 5,255,168 ----a-w C:\WINDOWS\system32\nvdispsr.dll
2007-04-19 11:26:00 466,944 ----a-w C:\WINDOWS\system32\nvshell.dll
2007-04-19 11:26:00 458,752 ----a-w C:\WINDOWS\system32\nvmccssr.dll
2007-04-19 11:26:00 45,056 ----a-w C:\WINDOWS\system32\nvmccsrs.dll
2007-04-19 11:26:00 442,368 ----a-w C:\WINDOWS\system32\nvappbar.exe
2007-04-19 11:26:00 425,984 ----a-w C:\WINDOWS\system32\keystone.exe
2007-04-19 11:26:00 4,543,616 ----a-w C:\WINDOWS\system32\nv4_disp.dll
2007-04-19 11:26:00 35,840 ----a-w C:\WINDOWS\system32\nvcodins.dll
2007-04-19 11:26:00 35,840 ----a-w C:\WINDOWS\system32\nvcod.dll
2007-04-19 11:26:00 335,872 ----a-w C:\WINDOWS\system32\nvwrses.dll
2007-04-19 11:26:00 335,872 ----a-w C:\WINDOWS\system32\nvwrsel.dll
2007-04-19 11:26:00 327,680 ----a-w C:\WINDOWS\system32\nvwrsfr.dll
2007-04-19 11:26:00 327,680 ----a-w C:\WINDOWS\system32\nvwrsesm.dll
2007-04-19 11:26:00 323,584 ----a-w C:\WINDOWS\system32\nvwrspt.dll
2007-04-19 11:26:00 323,584 ----a-w C:\WINDOWS\system32\nvwrsit.dll
2007-04-19 11:26:00 323,584 ----a-w C:\WINDOWS\system32\nvrshe.dll
2007-04-19 11:26:00 323,584 ----a-w C:\WINDOWS\system32\nvrsar.dll
2007-04-19 11:26:00 319,488 ----a-w C:\WINDOWS\system32\nvwrsptb.dll
2007-04-19 11:26:00 319,488 ----a-w C:\WINDOWS\system32\nvwrsnl.dll
2007-04-19 11:26:00 315,392 ----a-w C:\WINDOWS\system32\nvwrsru.dll
2007-04-19 11:26:00 315,392 ----a-w C:\WINDOWS\system32\nvwrshu.dll
2007-04-19 11:26:00 311,296 ----a-w C:\WINDOWS\system32\nvwrsde.dll
2007-04-19 11:26:00 311,296 ----a-w C:\WINDOWS\system32\nvexpbar.dll
2007-04-19 11:26:00 303,104 ----a-w C:\WINDOWS\system32\nvwrstr.dll
2007-04-19 11:26:00 303,104 ----a-w C:\WINDOWS\system32\nvwrssl.dll
2007-04-19 11:26:00 303,104 ----a-w C:\WINDOWS\system32\nvwrsfi.dll
2007-04-19 11:26:00 3,203,072 ----a-w C:\WINDOWS\system32\nvgamesr.dll
2007-04-19 11:26:00 3,035,136 ----a-w C:\WINDOWS\system32\nvgames.dll
2007-04-19 11:26:00 299,008 ----a-w C:\WINDOWS\system32\nvwrssk.dll
2007-04-19 11:26:00 299,008 ----a-w C:\WINDOWS\system32\nvwrsno.dll
2007-04-19 11:26:00 294,912 ----a-w C:\WINDOWS\system32\nvwrssv.dll
2007-04-19 11:26:00 294,912 ----a-w C:\WINDOWS\system32\nvwrspl.dll
2007-04-19 11:26:00 294,912 ----a-w C:\WINDOWS\system32\nvwrsda.dll
2007-04-19 11:26:00 286,720 ----a-w C:\WINDOWS\system32\nvwrseng.dll
2007-04-19 11:26:00 286,720 ----a-w C:\WINDOWS\system32\nvwrscs.dll
2007-04-19 11:26:00 286,720 ----a-w C:\WINDOWS\system32\nvnt4cpl.dll
2007-04-19 11:26:00 282,624 ----a-w C:\WINDOWS\system32\nvwrsar.dll
2007-04-19 11:26:00 278,528 ----a-w C:\WINDOWS\system32\nvwrshe.dll
2007-04-19 11:26:00 278,528 ----a-w C:\WINDOWS\system32\nvrsfr.dll
2007-04-19 11:26:00 274,432 ----a-w C:\WINDOWS\system32\nvrsit.dll
2007-04-19 11:26:00 274,432 ----a-w C:\WINDOWS\system32\nvrses.dll
2007-04-19 11:26:00 274,432 ----a-w C:\WINDOWS\system32\nvrsel.dll
2007-04-19 11:26:00 270,336 ----a-w C:\WINDOWS\system32\nvrsde.dll
2007-04-19 11:26:00 266,240 ----a-w C:\WINDOWS\system32\nvrspt.dll
2007-04-19 11:26:00 266,240 ----a-w C:\WINDOWS\system32\nvrsnl.dll
2007-04-19 11:26:00 266,240 ----a-w C:\WINDOWS\system32\nvrsesm.dll
2007-04-19 11:26:00 262,144 ----a-w C:\WINDOWS\system32\nvrsru.dll
2007-04-19 11:26:00 262,144 ----a-w C:\WINDOWS\system32\nvrsptb.dll
2007-04-19 11:26:00 262,144 ----a-w C:\WINDOWS\system32\nvrsja.dll
2007-04-19 11:26:00 258,048 ----a-w C:\WINDOWS\system32\nvrsko.dll
2007-04-19 11:26:00 253,952 ----a-w C:\WINDOWS\system32\nvrshu.dll
2007-04-19 11:26:00 249,856 ----a-w C:\WINDOWS\system32\nvrstr.dll
2007-04-19 11:26:00 249,856 ----a-w C:\WINDOWS\system32\nvrssl.dll
2007-04-19 11:26:00 249,856 ----a-w C:\WINDOWS\system32\nvrssk.dll
2007-04-19 11:26:00 249,856 ----a-w C:\WINDOWS\system32\nvrspl.dll
2007-04-19 11:26:00 249,856 ----a-w C:\WINDOWS\system32\nvrsno.dll
2007-04-19 11:26:00 245,760 ----a-w C:\WINDOWS\system32\nvrssv.dll
2007-04-19 11:26:00 245,760 ----a-w C:\WINDOWS\system32\nvrsda.dll
2007-04-19 11:26:00 241,664 ----a-w C:\WINDOWS\system32\nvrsfi.dll
2007-04-19 11:26:00 241,664 ----a-w C:\WINDOWS\system32\nvrseng.dll
2007-04-19 11:26:00 241,664 ----a-w C:\WINDOWS\system32\nvrscs.dll
2007-04-19 11:26:00 229,376 ----a-w C:\WINDOWS\system32\nvmccs.dll
2007-04-19 11:26:00 221,184 ----a-w C:\WINDOWS\system32\nvrszhc.dll
2007-04-19 11:26:00 212,992 ----a-w C:\WINDOWS\system32\nvwrsja.dll
2007-04-19 11:26:00 212,992 ----a-w C:\WINDOWS\system32\nvapi.dll
2007-04-19 11:26:00 2,973,696 ----a-w C:\WINDOWS\system32\nvvitvsr.dll
2007-04-19 11:26:00 2,924,544 ----a-w C:\WINDOWS\system32\nvvitvs.dll
2007-04-19 11:26:00 2,859,008 ----a-w C:\WINDOWS\system32\nvmoblsr.dll
2007-04-19 11:26:00 196,608 ----a-w C:\WINDOWS\system32\nvwrsko.dll
2007-04-19 11:26:00 188,416 ----a-w C:\WINDOWS\system32\nvmccss.dll
2007-04-19 11:26:00 167,936 ----a-w C:\WINDOWS\system32\nvwrszht.dll
2007-04-19 11:26:00 163,840 ----a-w C:\WINDOWS\system32\nvwrszhc.dll
2007-04-19 11:26:00 159,810 ----a-w C:\WINDOWS\system32\nvsvc32.exe
2007-04-19 11:26:00 147,456 ----a-w C:\WINDOWS\system32\nvcolor.exe
2007-04-19 11:26:00 118,784 ----a-w C:\WINDOWS\system32\nvrszht.dll
2007-04-19 11:26:00 1,732,608 ----a-w C:\WINDOWS\system32\nvwssr.dll
2007-04-19 11:26:00 1,703,936 ----a-w C:\WINDOWS\system32\nvwdmcpl.dll
2007-04-19 11:26:00 1,626,112 ----a-w C:\WINDOWS\system32\nwiz.exe
2007-04-19 11:26:00 1,474,560 ----a-w C:\WINDOWS\system32\nview.dll
2007-04-19 11:26:00 1,339,392 ----a-w C:\WINDOWS\system32\nvdspsch.exe
2007-04-19 11:26:00 1,236,992 ----a-w C:\WINDOWS\system32\nvwss.dll
2007-04-19 11:26:00 1,019,904 ----a-w C:\WINDOWS\system32\nvwimg.dll
2007-04-19 11:26:00 1,011,712 ----a-w C:\WINDOWS\system32\nvcpluir.dll
2007-04-18 16:13:24 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-16 20:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-16 20:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-04-16 20:44:18 208,248 ----a-w C:\WINDOWS\system32\muweb.dll

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{53707962-6F74-2D53-2644-206D7942484F}]
2005-05-31 01:04 853672 --a------ C:\PROGRA~1\SPYBOT~1\SDHelper.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-04-02 10:35]
"ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]
"OmniPass"="C:\Programme\Softex\OmniPass\scureapp.exe" [2007-01-31 15:40]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"TSClientMSIUninstaller"=cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs"
"tscuninstall"=%systemroot%\system32\tscupgrd.exe
"nltide_2"=regsvr32 /s /n /i:U shell32
"nltide_3"=rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Authentication Packages msv1_0 relog_ap

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"AcronisTimounterMonitor"=C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
"Acronis Scheduler2 Service"="C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
"TrueImageMonitor.exe"=C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - netsvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{148404ed-2b27-11dc-8499-ecf4eae5249e}]
AutoRun\command- G:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe

Contents of the 'Scheduled Tasks' folder
2007-07-05 20:47:54 C:\WINDOWS\tasks\1-Klick-Wartung.job

**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-06 17:49:48
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-06 17:50:07
C:\ComboFix-quarantined-files.txt ... 2007-07-06 17:50

--- E O F ---

eScan:

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.6
Sprache: German
C:\DOKUME~1\Meyer\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei D:\djasfkjdgggh\alles behalten\sammel kiste\WinXP_100__legal_machen\keyfinder.exe/xpkey.exe markiert als not-a-virus:PSWTool.Win32.RAS.a. Keine Aktion vorgenommen.
Datei D:\djasfkjdgggh\alles behalten\sammel kiste\WinXP_100__legal_machen.rar/keyfinder.exe/xpkey.exe markiert als not-a-virus:PSWTool.Win32.RAS.a. Keine Aktion vorgenommen.
Datei D:\djasfkjdgggh\alles behalten\sammel kiste\WinXP_100__legal_machen\keyfinder.exe/xpkey.exe markiert als not-a-virus:PSWTool.Win32.RAS.a. Keine Aktion vorgenommen.
Datei D:\djasfkjdgggh\alles behalten\sammel kiste\WinXP_100__legal_machen.rar/keyfinder.exe/xpkey.exe markiert als not-a-virus:PSWTool.Win32.RAS.a. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{148404ed-2b27-11dc-8499-ecf4eae5249e} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{148404ed-2b27-11dc-8499-ecf4eae5249e} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{148404ed-2b27-11dc-8499-ecf4eae5249e} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{148404ed-2b27-11dc-8499-ecf4eae5249e} !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 26292
Gescannte Dateien: 26259
Gescannte Dateien: 49061
Gescannte Dateien: 48030
Gefundene Viren: 2
Gefundene Viren: 2
Gefundene Viren: 4
Gefundene Viren: 6
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 3
Anzahl Fehler: 5
Anzahl Fehler: 13
Anzahl Fehler: 14
Dauer des Scans bisher: 00:01:42
Dauer des Scans bisher: 00:01:33
Dauer des Scans bisher: 01:23:16
Dauer des Scans bisher: 01:40:48
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 20:13:23,39
Batchende: 20:13:26,46

machmal kommt es auch vor das mein pc einfach einen neustart macht aber ohne runterzufahren.

**Sunny** · 05.07.2007, 19:30

Also, ich kann beim besten Willen nichts finden/erkennen, bis auf ein paar cracks

!

Hast du vielleicht ein Hardwareproblem gehabt, neue Software installiert oder Programme?

Mal die Temperaturen im System überprüft? (CPU, GPU, Northbridge)

undoreal · 05.07.2007, 20:00

Zitat:

Also, ich kann beim besten Willen nichts finden/erkennen,

dankeschön..

Mensch Meyer..

Meyer · 05.07.2007, 20:31

seid ihr euch da sicher also das wäre ja dann super.

aber was hat es zb aufsich mit der ctfmon.exe die ich aus dem autostart gelöscht habe aber die sich immer wieder eingetragen hatte.erst nach dem ich die aus dem system ordner gelöscht habe kar die nicht mehr im autostart was ja logisch war.

und was ist NULLBYTE Spyware/Adware und Possible Fujacks-type Worm und trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe) ????

und er sagt doch
Gefundene Viren: 2
Gefundene Viren: 2
Gefundene Viren: 4
Gefundene Viren: 6

undoreal · 05.07.2007, 20:57

Zitat:

kannste nicht lesen????

sagte ich doch bereits.!.

Zitat:

Du bist im falschen Forum. Lass dich bitte in's Windows Forum verschieben..

mfg

und du kackst gleich so rum!

wisch dir den arsch ab..

Roman Gschwend · 05.07.2007, 21:04

Meyer bitte ein Bischen Freundlicher.Es geht auch mit Freundlichen Ausdrücken

Meyer · 05.07.2007, 21:07

erstens habe ich keine ausdrücke benutzt.
zweitens ist das hier das forum wo man die logs posten soll wo ander mal einen blick drauf werfen.

und dritens hat das alles nix mit dieser sache zutun.

also zurück zur sache.

wieso sollte dies in das windows forum???? das will ich doch noch erklärt bekommen.

system neu aufgesetzt nix zuheis nix neues drin

Roman Gschwend · 05.07.2007, 21:13

hmmm keine ahnung was die haben

..Und nicht so schnell Verückt werden

Ich verzieh mich

myrtille · 05.07.2007, 21:14

Zitat:

Zitat von Meyer

seid ihr euch da sicher also das wäre ja dann super.

Genau so sicher wie undoreal bereits am Anfang war. Also sehr sicher. (Das wäre dann jetzt das Dritte Mal, das man es dir bestätigt. Langsam wär es angebracht uns zu glauben

)

Zitat:

aber was hat es zb aufsich mit der ctfmon.exe die ich aus dem autostart gelöscht habe aber die sich immer wieder eingetragen hatte.erst nach dem ich die aus dem system ordner gelöscht habe kar die nicht mehr im autostart was ja logisch war.

Das war der verzweifelte Versuch von Windows sich nicht zerschießen zu lassen. Vielleicht hast du ja deswegen jetzt auch Problem mit deinem Rechner?

Zitat:

und was ist NULLBYTE Spyware/Adware und Possible Fujacks-type Worm und trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe) ????

und er sagt doch
Gefundene Viren: 2
Gefundene Viren: 2
Gefundene Viren: 4
Gefundene Viren: 6

Fehlalarme. Die swsc.exe dürfte zu smitfraudfix gehören.
Deswegen lassen wir von dem Programm auch nichts löschen und bitten um Rückmeldung hier.
lg myrtille

EDIT: Der Thread gehört ins Windowsforum, weil du offensichtlich kein Malwareproblem (nur solche kann man mit HJT erkennen) hast, sondern ein Windowsproblem. Solche ÜProbleme sollten nicht hier sondern im Windowsforum besprochen werden. Selbst wenn du ein HJT-Log geposest hast.

05.07.2007, 09:15	#2
undoreal /// AVZ-Toolkit Guru	New System Bitte mal schauen Du bist im falschen Forum. Lass dich bitte in's Windows Forum verschieben.. mfg __________________ __________________

05.07.2007, 14:40	#4
Franz1968 /// Helfer-Team	New System Bitte mal schauen Wer wird denn gleich an die Decke gehen... Wenn du einen eScan gemacht hast, dann poste bitte die Ergebnisse mit Hilfe der find.bat, wie in unserer Anleitung beschrieben (Link z. B. in Undoreals Signatur). Ansonsten ist eine Auswertung nicht möglich. __________________ Alle Tipps und Anleitungen ohne Gewähr

05.07.2007, 21:04	#11
Roman Gschwend Gesperrt	New System Bitte mal schauen Meyer bitte ein Bischen Freundlicher.Es geht auch mit Freundlichen Ausdrücken

05.07.2007, 21:13	#13
Roman Gschwend Gesperrt	New System Bitte mal schauen hmmm keine ahnung was die haben ..Und nicht so schnell Verückt werden Ich verzieh mich

New System Bitte mal schauen

Log-Analyse und Auswertung: New System Bitte mal schauen