Bin ich endlich Virenfrei ??? LOG FILE ?

Lord_bach · 14.10.2007, 22:46

HALLO ERSTMAL
.

Hatte letztens diesen fiesen w 32 looksky virus auf rechner!!!
Hab aber so ziemlich alles wieder entfernt denke ich

.
Jetzt ist meine Frage ob ihr aus meinem Logfile heraus noch was bösartiges erkennt oder nicht????
Danke schonmals im voraus.

Hier ist mein LOGfile von hijackthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:46:02, on 14.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: (no name) - {15272B08-F6FE-4E71-B2BD-A59AD23EBE3C} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: (no name) - {D1413F77-5B69-4562-84E1-78F997794E9D} - (no file)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

--
End of file - 6384 bytes

cosinus · 14.10.2007, 23:09

Im HJT-Logfile seh ich keine bösen Einträge. Wir müssen das System genauer analysieren: Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Silentrunners
- combofix

Lord_bach · 14.10.2007, 23:22

Wenn ich sillent runners starten will kommt:

DER ZUGRIFF AUF WINDOWS SCRIPT HOST WURDE DEAKTIVIERT.WENDEN SIE SICH AN DEN ADMINISTRATOR.

Wie kann ich das ändern ???

cosinus · 14.10.2007, 23:32

- starte regedit.exe über Start => Ausführen (oder Windowstaste+R)
- navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
- stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat

Lord_bach · 14.10.2007, 23:53

Meinst du so ????

Lord_bach · 15.10.2007, 00:52

Hier ist Das LOGFILE von escan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: DSREPAIR

eScan Version: 9.4.6
Sprache: German
Virus-Datenbank Datum: 10/15/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "prutect Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with minibug Adware ({2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Programme\SlySoft\run.exe infiziert von "Trojan-Downloader.Win32.Zlob.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\uncut\Desktop\Neuer Ordner (2)\progs\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\uncut\Desktop\Neuer Ordner (2)\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\uncut\Desktop\Neuer Ordner (2)\progs\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\uncut\Desktop\Neuer Ordner (2)\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\DAEMON Tools\SetupDTSB.exe markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{863DDAAF-35E0-48E4-8E54-E10AA337DAAB}\RP534\A0271868.dll markiert als "not-a-virus:AdWare.Win32.Vapsup.aj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{863DDAAF-35E0-48E4-8E54-E10AA337DAAB}\RP534\A0271869.dll markiert als "not-a-virus:AdWare.Win32.Vapsup.aj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{863DDAAF-35E0-48E4-8E54-E10AA337DAAB}\RP534\A0271870.dll markiert als "not-a-virus:AdWare.Win32.Vapsup.aj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{863DDAAF-35E0-48E4-8E54-E10AA337DAAB}\RP534\A0271871.exe markiert als "not-a-virus:AdWare.Win32.Vapsup.aj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{863DDAAF-35E0-48E4-8E54-E10AA337DAAB}\RP534\A0271911.dll markiert als "not-a-virus:AdWare.Win32.Vapsup.aj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{863DDAAF-35E0-48E4-8E54-E10AA337DAAB}\RP535\A0272448.dll markiert als "not-a-virus:AdWare.Win32.Vapsup.aj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{863DDAAF-35E0-48E4-8E54-E10AA337DAAB}\RP535\A0272449.dll markiert als "not-a-virus:AdWare.Win32.Vapsup.aj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{863DDAAF-35E0-48E4-8E54-E10AA337DAAB}\RP535\A0272450.dll markiert als "not-a-virus:AdWare.Win32.Vapsup.aj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{863DDAAF-35E0-48E4-8E54-E10AA337DAAB}\RP535\A0272451.exe markiert als "not-a-virus:AdWare.Win32.Vapsup.aj". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\uncut\Desktop\neuer ordner (2)\progs\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\uncut\Desktop\neuer ordner (2)\progs\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\uncut\Desktop\neuer ordner (2)\progs\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\uncut\Desktop\neuer ordner (2)\progs\smitfraudfix\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKLM\Software\ptech !!!
Offending Key found: HKCR\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
E:\MEINE GRAFIK ABTEILUNG\Grafix\corel draww\CD1\Digital Signatures\SETUPW95.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
F:\musik\GÜ RECORDS!\wave lab 4\Steinberg - Wavelab v4.00c.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
F:\musik\GÜ RECORDS!\wave lab 4\Steinberg - Wavelab4\WaveLabv4.00c.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt...
F:\Seb\Steinberg - Wavelab4\Steinberg - Wavelab4\WaveLabv4.00c.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 116324
Gefundene Viren: 26
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 37
Dauer des Scans bisher: 01:10:06
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 1:47:03,46
Batchende: 1:47:07,45

Lord_bach · 15.10.2007, 00:55

und hier ist das LOGFILE von Sillent Runners :

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}" = ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"" ["Nero AG"]
"H/PC Connection Agent" = ""C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"BluetoothAuthenticationAgent" = "rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent" [MS]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"Ashampoo FireWall" = ""C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY" [null data]
"!AVG Anti-Spyware" = ""C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized" ["GRISOFT s.r.o."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{EFA24E62-B078-11d0-89E4-00C04FC9E26E}" = "History Band"
-> {HKLM...CLSID} = "History Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\SHDOCVW.DLL" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["GRISOFT s.r.o."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoSMBalloonTip" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoRecentDocsHistory" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"CDRAutoRun" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoLowDiskSpaceChecks" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"MemCheckBoxInRunDlg" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoAutoTrayNotify" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoResolveTrack" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoResolveSearch" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"LinkResolveIgnoreLinkInfo" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoStartBanner" = (REG_DWORD) hex:0x00000000
{Remove "Click here to begin" from Start button}

"NoWelcomeScreen" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

"NoRecentDocsNetHood" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoDesktopCleanupWizard" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoSharedDocuments" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|Windows Components|Windows Explorer|
Remove Shared Documents from My Computer}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoRemoteRecursiveEvents" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

"NoStrCmpLogical" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|System|
Prevent access to registry editing tools}

HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery\Restrictions\

"NoUpdateCheck" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

"RunStartupScriptSync" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"SynchronousMachineGroupPolicy" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"SynchronousUserGroupPolicy" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\uncut\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp"

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "%SystemRoot%\system32\wshbth.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\Programme\Ashampoo\Ashampoo FireWall\spi.dll [null data], 01 - 05, 20
%SystemRoot%\system32\mswsock.dll [MS], 06 - 19, 21 - 23
%SystemRoot%\system32\rsvpsp.dll [MS], 24 - 25

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar mit Pop-Up-Blocker"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar mit Pop-Up-Blocker"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{0E921E80-267A-42AA-AEE4-60B9A1222A44}\
"ButtonText" = "Klicke hier um das Projekt xp-AntiSpy zu unterstützen"
"MenuText" = "Unterstützung für xp-AntiSpy"
"Exec" = "C:\Programme\xp-AntiSpy\sponsoring\sponsor.html" [null data]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{2EAF5BB1-070F-11D3-9307-00C04FAE2D4F}\
"ButtonText" = "Mobilen Favoriten erstellen"
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {HKLM...CLSID} = "Create Mobile Favorite"
\InProcServer32\(Default) = "C:\Programme\Microsoft ActiveSync\INETREPL.DLL" [MS]

{2EAF5BB2-070F-11D3-9307-00C04FAE2D4F}\
"MenuText" = "Mobilen Favoriten erstellen..."
"CLSIDExtension" = "{2EAF5BB0-070F-11D3-9307-00C04FAE2D4F}"
-> {HKLM...CLSID} = "Create Mobile Favorite"
\InProcServer32\(Default) = "C:\Programme\Microsoft ActiveSync\INETREPL.DLL" [MS]

{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\
"ButtonText" = "PartyPoker.com"
"MenuText" = "PartyPoker.com"
"Exec" = "C:\Programme\PartyGaming\PartyPoker\RunApp.exe" [file not found]

{CCA281CA-C863-46EF-9331-5C8D4460577F}\
"ButtonText" = "@btrez.dll,-4015"
"MenuText" = "@btrez.dll,-4017"
"Script" = "C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm" [null data]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = "*i" (unwritable string)
-> {HKLM...CLSID} = "Yahoo! Toolbar mit Pop-Up-Blocker"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe" ["GRISOFT s.r.o."]
Bluetooth Service, btwdins, "C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe" ["Broadcom Corporation."]
Bluetooth Support Service, BthServ, "C:\WINDOWS\system32\svchost.exe -k bthsvcs" {"C:\WINDOWS\System32\bthserv.dll" [MS]}
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
SecuROM User Access Service (V7), UserAccess7, "C:\WINDOWS\system32\UAService7.exe" ["Sony DADC Austria AG."]
Ulead Burning Helper, UleadBurningHelper, "C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe" ["Ulead Systems, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]
WMDM PMSP Service, WMDM PMSP Service, "C:\WINDOWS\system32\MsPMSPSv.exe" [MS]

---------- (launch time: 2007-10-15 01:54:02)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 55 seconds.
---------- (total run time: 104 seconds)

Cleriker · 15.10.2007, 11:16

Hallo,

bis Cosinus weitermachen kann,
reinige erst einmal deine Systemwiderherstellung
von deinem Virenbefall (falls es einer ist):

* Schädlinge in der Systemwiederherstellung
- Deaktiviere die Systemwiederherstellung und wechsel
in den abgesichteren Modus -> Anleitung
- Überprüfe mit deinem Antivirscanner die localen Festplatten
- Neustart

Anschließend beide Scans wiederholen, da du escan abgebrochen hast:

Zitat:

Dauer des Scans bisher: 01:10:06

mfg Cleriker

Lord_bach · 15.10.2007, 15:36

Soll ich jetzt nochmal nen eScan machen.
Der ist komplett durchgelaufen. Den hab ich nicht abgebrochen.
mhhh?

cosinus · 15.10.2007, 18:53

Im silentrunners ist mir so nichts aufgefallen. Aber:

Zitat:

Java Plug-in 1.5.0_06

Java solltest du unbedingt mal aktualisieren.
Führe auch mal Combofix aus und poste davon das Logfile.

Lord_bach · 15.10.2007, 19:35

Hier nochmal das Escan LOGFILE:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.6
Sprache: German
Virus-Datenbank Datum: 10/15/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "prutect Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with minibug Adware ({2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c})! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Programme\SlySoft\run.exe infiziert von "Trojan-Downloader.Win32.Zlob.gen" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\uncut\Desktop\Neuer Ordner (2)\progs\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\uncut\Desktop\Neuer Ordner (2)\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\uncut\Desktop\Neuer Ordner (2)\progs\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\uncut\Desktop\Neuer Ordner (2)\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Programme\DAEMON Tools\SetupDTSB.exe markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\uncut\Desktop\neuer ordner (2)\progs\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\uncut\Desktop\neuer ordner (2)\progs\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\uncut\Desktop\neuer ordner (2)\progs\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\uncut\Desktop\neuer ordner (2)\progs\smitfraudfix\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKLM\Software\ptech !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4809b7f8-6d00-11da-9c63-806d6172696f} !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in {4809b7f8-6d00-11da-9c63-806d6172696f}\Name\shell\Autoplay\DropTarget\play\command: C:\Programme\VideoLAN\VLC\vlc.exe dvd:%1@1:0
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
E:\MEINE GRAFIK ABTEILUNG\Grafix\corel draww\CD1\Digital Signatures\SETUPW95.CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
F:\musik\GÜ RECORDS!\wave lab 4\Steinberg - Wavelab v4.00c.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
F:\musik\GÜ RECORDS!\wave lab 4\Steinberg - Wavelab4\WaveLabv4.00c.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt...
F:\Seb\Steinberg - Wavelab4\Steinberg - Wavelab4\WaveLabv4.00c.EXE nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 108839
Gefundene Viren: 18
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 37
Dauer des Scans bisher: 00:43:05
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 20:33:54,54
Batchende: 20:34:13,89

Lord_bach · 15.10.2007, 19:40

Und hier ist das LogFile von ComboFIX:

ComboFix 07-10-12.4 - uncut 2007-10-15 20:37:19.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.649 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\uncut\Desktop\Neuer Ordner (2)\progs\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-15 bis 2007-10-15 ))))))))))))))))))))))))))))))
.

2007-10-15 00:34 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-10-15 00:34 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-10-15 00:34 <DIR> d-a------ C:\WINDOWS\system32\systems.txt
2007-10-15 00:34 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-10-15 00:34 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-10-15 00:34 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-10-15 00:34 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-10-15 00:24 153,600 --a------ C:\WINDOWS\R.COM
2007-10-15 00:24 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-10-14 17:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-10-14 17:07 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2007-10-14 06:44 <DIR> d-------- C:\Programme\Trend Micro
2007-10-14 05:42 <DIR> d-------- C:\Dokumente und Einstellungen\uncut\Anwendungsdaten\Grisoft
2007-10-14 05:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-10-14 05:42 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-10-14 05:24 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-14 05:10 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-14 04:58 <DIR> d-------- C:\Programme\Yahoo!
2007-10-14 04:58 <DIR> d-------- C:\Programme\CCleaner
2007-10-14 04:39 <DIR> d-------- C:\WINDOWS\ERUNT
2007-10-14 03:24 1,950 --a------ C:\WINDOWS\system32\tmp.reg
2007-10-14 03:23 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-10-14 03:23 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-10-14 03:23 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-10-14 03:23 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-10-14 03:23 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-10-09 22:26 <DIR> d-------- C:\Programme\Ashampoo
2007-10-04 18:34 <DIR> d-------- C:\Dokumente und Einstellungen\uncut\Anwendungsdaten\Joost
2007-09-24 22:34 <DIR> d-------- C:\Programme\PKR
2007-09-17 23:02 <DIR> d-------- C:\Programme\xp-AntiSpy
2007-09-17 01:42 <DIR> d-------- C:\Dokumente und Einstellungen\uncut\Anwendungsdaten\X-Setup Pro
2007-09-17 01:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\X-Setup Pro
2007-09-16 20:11 3,727,720 --a------ C:\WINDOWS\system32\d3dx9_35.dll
2007-09-16 20:11 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2007-09-16 20:11 1,358,192 --a------ C:\WINDOWS\system32\D3DCompiler_35.dll
2007-09-16 20:11 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2007-09-16 20:11 444,776 --a------ C:\WINDOWS\system32\d3dx10_35.dll
2007-09-16 20:11 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2007-09-16 20:11 267,112 --a------ C:\WINDOWS\system32\xactengine2_9.dll
2007-09-16 20:11 266,088 --a------ C:\WINDOWS\system32\xactengine2_8.dll
2007-09-16 20:11 18,280 --a------ C:\WINDOWS\system32\x3daudio1_2.dll
2007-09-16 20:10 3,495,784 --a------ C:\WINDOWS\system32\d3dx9_33.dll
2007-09-16 20:10 1,123,696 --a------ C:\WINDOWS\system32\D3DCompiler_33.dll
2007-09-16 20:10 443,752 --a------ C:\WINDOWS\system32\d3dx10_33.dll
2007-09-16 20:10 261,480 --a------ C:\WINDOWS\system32\xactengine2_7.dll
2007-09-16 20:10 255,848 --a------ C:\WINDOWS\system32\xactengine2_6.dll
2007-09-16 19:25 8 --a------ C:\WINDOWS\system32\nvModes.dat

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-15 14:19 --------- d-----w C:\Dokumente und Einstellungen\uncut\Anwendungsdaten\dvdcss
2007-10-14 02:12 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
2007-10-14 02:11 --------- d-----w C:\Programme\Security Task Manager
2007-10-14 01:24 --------- d-----w C:\Programme\Eraser
2007-10-12 12:55 --------- d-----w C:\Programme\SlySoft
2007-10-12 12:30 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SlySoft
2007-10-11 21:05 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2007-10-04 16:17 --------- d-----w C:\Programme\Activision Value
2007-10-03 22:32 --------- d-----w C:\Dokumente und Einstellungen\uncut\Anwendungsdaten\Azureus
2007-09-17 21:51 --------- d-----w C:\Programme\All Video to VCD SVCD DVD Creator & Burner
2007-09-17 21:50 --------- d-----w C:\Programme\Image-Line
2007-09-17 21:48 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-09-11 21:51 --------- d-----w C:\Programme\Temp
2007-09-11 21:49 8,864 ----a-w C:\WINDOWS\system32\drivers\CDAC15BA.SYS
2007-09-09 20:27 685,816 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-09-09 00:22 --------- d-----w C:\Dokumente und Einstellungen\uncut\Anwendungsdaten\Oxin's Style!
2007-09-04 21:51 --------- d-----w C:\Programme\PartyGaming
2007-08-28 22:20 --------- d-----w C:\Programme\AV Vcs 4.0 DIAMOND
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-17 17:26 --------- d-----w C:\Dokumente und Einstellungen\uncut\Anwendungsdaten\Nokia
2007-08-17 17:24 --------- d-----w C:\Dokumente und Einstellungen\uncut\Anwendungsdaten\PC Suite
2007-08-17 17:24 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Suite
2007-08-17 17:23 --------- d-----w C:\Programme\DIFX
2007-08-17 17:22 --------- d-----w C:\Programme\PC Connectivity Solution
2007-08-17 17:22 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Installations
2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll
2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2006-04-28 01:50 24,192 -c--a-w C:\Dokumente und Einstellungen\uncut\usbsermptxp.sys
2006-04-28 01:50 22,768 -c--a-w C:\Dokumente und Einstellungen\uncut\usbsermpt.sys
2005-05-13 16:12:00 217,073 --sha-r C:\WINDOWS\meta4.exe
2005-10-24 10:13:58 66,560 --sha-r C:\WINDOWS\MOTA113.exe
2005-07-14 11:31:20 27,648 --sha-r C:\WINDOWS\system32\AVSredirect.dll
2005-06-26 14:32:28 616,448 --sha-r C:\WINDOWS\system32\cygwin1.dll
2005-06-21 21:37:42 45,568 --sha-r C:\WINDOWS\system32\cygz.dll
2004-01-24 23:00:00 70,656 --sha-r C:\WINDOWS\system32\i420vfw.dll
2005-02-28 12:16:22 240,128 --sha-r C:\WINDOWS\system32\x.264.exe
2004-01-24 23:00:00 70,656 --sha-r C:\WINDOWS\system32\yv12vfw.dll
.

((((((((((((((((((((((((((((( snapshot@2007-10-14_ 7.09.51,14 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-07-09 13:16:16 582,656 ----a-w C:\WINDOWS\$hf_mig$\KB933729\SP2QFE\rpcrt4.dll
+ 2007-06-18 22:24:36 373,760 ----a-w C:\WINDOWS\$hf_mig$\KB933729\SP2QFE\spru0407.dll
+ 2005-10-12 23:11:08 15,584 ----a-w C:\WINDOWS\$hf_mig$\KB933729\spmsg.dll
+ 2005-10-12 23:11:08 217,312 ----a-w C:\WINDOWS\$hf_mig$\KB933729\spuninst.exe
+ 2005-10-12 23:11:06 22,752 ----a-w C:\WINDOWS\$hf_mig$\KB933729\update\spcustom.dll
+ 2005-10-12 23:11:11 725,728 ----a-w C:\WINDOWS\$hf_mig$\KB933729\update\update.exe
+ 2005-10-12 23:11:18 377,568 ----a-w C:\WINDOWS\$hf_mig$\KB933729\update\updspapi.dll
+ 2007-08-21 06:25:05 683,520 ----a-w C:\WINDOWS\$hf_mig$\KB941202\SP2QFE\inetcomm.dll
+ 2007-03-06 01:14:12 15,584 ----a-w C:\WINDOWS\$hf_mig$\KB941202\spmsg.dll
+ 2007-03-06 01:14:17 217,312 ----a-w C:\WINDOWS\$hf_mig$\KB941202\spuninst.exe
+ 2007-03-06 01:14:11 22,752 ----a-w C:\WINDOWS\$hf_mig$\KB941202\update\spcustom.dll
+ 2007-03-06 01:14:35 725,728 ----a-w C:\WINDOWS\$hf_mig$\KB941202\update\update.exe
+ 2007-03-06 01:15:25 377,568 ----a-w C:\WINDOWS\$hf_mig$\KB941202\update\updspapi.dll
+ 2004-08-03 23:57:34 581,120 -c----w C:\WINDOWS\$NtUninstallKB933729$\rpcrt4.dll
+ 2005-10-12 23:11:08 217,312 -c----w C:\WINDOWS\$NtUninstallKB933729$\spuninst\spuninst.exe
+ 2005-10-12 23:11:18 377,568 -c----w C:\WINDOWS\$NtUninstallKB933729$\spuninst\updspapi.dll
+ 2007-05-16 15:11:44 683,520 -c----w C:\WINDOWS\$NtUninstallKB941202$\inetcomm.dll
+ 2007-03-06 01:14:17 217,312 -c----w C:\WINDOWS\$NtUninstallKB941202$\spuninst\spuninst.exe
+ 2007-03-06 01:15:25 377,568 -c----w C:\WINDOWS\$NtUninstallKB941202$\spuninst\updspapi.dll
+ 2007-05-07 14:38:46 500,120 ----a-w C:\WINDOWS\Downloaded Program Files\daas_s.dll
+ 2007-05-07 14:39:00 192,920 ----a-w C:\WINDOWS\Downloaded Program Files\fsauc.dll
+ 2007-05-07 14:39:24 254,360 ----a-w C:\WINDOWS\Downloaded Program Files\fscax.dll
+ 2007-08-22 13:13:00 1,022,976 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\browseui.dll
+ 2007-08-22 13:13:00 152,064 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\cdfview.dll
+ 2007-08-22 13:13:00 1,056,256 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\danim.dll
+ 2007-08-22 13:13:00 357,888 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\dxtmsft.dll
+ 2007-08-22 13:13:01 205,312 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\dxtrans.dll
+ 2007-08-22 13:13:01 55,808 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\extmgr.dll
+ 2007-08-21 10:30:45 18,432 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\iedw.exe
+ 2007-08-22 13:13:01 251,392 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\iepeers.dll
+ 2007-08-22 13:13:01 96,768 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\inseng.dll
+ 2007-08-22 13:13:01 16,384 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\jsproxy.dll
+ 2007-08-22 13:13:02 3,079,168 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\mshtml.dll
+ 2007-08-22 13:13:02 449,024 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\mshtmled.dll
+ 2007-08-22 13:13:02 146,432 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\msrating.dll
+ 2007-08-22 13:13:02 532,480 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\mstime.dll
+ 2007-08-22 13:13:02 39,424 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\pngfilt.dll
+ 2007-08-22 13:13:03 1,494,528 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\shdocvw.dll
+ 2007-08-22 13:13:03 474,624 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\shlwapi.dll
+ 2007-08-21 10:53:25 123,904 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\spru0407.dll
+ 2007-08-22 13:13:03 617,472 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\urlmon.dll
+ 2007-08-22 13:13:04 664,576 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2gdr\wininet.dll
+ 2007-08-22 12:56:31 1,022,976 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\browseui.dll
+ 2007-08-22 12:56:31 152,064 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\cdfview.dll
+ 2007-08-22 12:56:33 1,056,256 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\danim.dll
+ 2007-08-22 12:56:33 357,888 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\dxtmsft.dll
+ 2007-08-22 12:56:33 205,824 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\dxtrans.dll
+ 2007-08-22 12:56:33 55,808 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\extmgr.dll
+ 2007-08-21 10:19:39 18,432 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\iedw.exe
+ 2007-08-22 12:56:33 251,904 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\iepeers.dll
+ 2007-08-22 12:56:33 96,768 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\inseng.dll
+ 2007-08-22 12:56:33 16,384 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\jsproxy.dll
+ 2007-08-22 12:56:36 3,085,824 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\mshtml.dll
+ 2007-08-22 12:56:37 449,024 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\mshtmled.dll
+ 2007-08-22 12:56:37 146,432 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\msrating.dll
+ 2007-08-22 12:56:37 532,480 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\mstime.dll
+ 2007-08-22 12:56:37 39,424 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\pngfilt.dll
+ 2007-08-22 12:56:39 1,498,112 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\shdocvw.dll
+ 2007-08-22 12:56:39 474,624 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\shlwapi.dll
+ 2007-08-21 10:50:51 373,760 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\spru0407.dll
+ 2007-08-22 12:56:39 620,032 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\urlmon.dll
+ 2007-08-22 12:56:40 671,232 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\sp2qfe\wininet.dll
+ 2007-03-06 01:14:12 15,584 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\spmsg.dll
+ 2007-03-06 01:14:17 217,312 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\spuninst.exe
+ 2007-03-06 01:14:11 22,752 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\update\spcustom.dll
+ 2007-03-06 01:14:35 725,728 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\update\update.exe
+ 2007-03-06 01:15:25 377,568 ----a-w C:\WINDOWS\SoftwareDistribution\Download\3beb0aeb33f58fa8fe5f8edf680d5498\update\updspapi.dll
- 2007-05-16 15:11:44 683,520 -c----w C:\WINDOWS\system32\dllcache\inetcomm.dll
+ 2007-08-21 06:16:14 683,520 -c----w C:\WINDOWS\system32\dllcache\inetcomm.dll
- 2007-09-06 02:50:42 17,474,680 ----a-w C:\WINDOWS\system32\MRT.exe
+ 2007-09-28 05:19:39 18,089,592 ----a-w C:\WINDOWS\system32\MRT.exe
- 2004-08-03 23:57:34 581,120 ----a-w C:\WINDOWS\system32\rpcrt4.dll
+ 2007-07-09 13:11:35 584,192 ----a-w C:\WINDOWS\system32\rpcrt4.dll
- 2007-03-06 01:14:12 15,584 ------w C:\WINDOWS\system32\spmsg.dll
+ 2005-10-12 23:11:08 15,584 ------w C:\WINDOWS\system32\spmsg.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{15272B08-F6FE-4E71-B2BD-A59AD23EBE3C}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-04 00:58 C:\WINDOWS\system32\bthprops.cpl]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-06-29 00:43]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-06-29 00:43]
"Ashampoo FireWall"="C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" [2007-04-05 14:57]
"!AVG Anti-Spyware"="C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 11:25]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [2006-04-21 17:03]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-04 00:16]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"RunStartupScriptSync"=0 (0x0)
"SynchronousMachineGroupPolicy"=0 (0x0)
"SynchronousUserGroupPolicy"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoStrCmpLogical"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMBalloonTip"=0 (0x0)
"NoRecentDocsHistory"=0 (0x0)
"MemCheckBoxInRunDlg"=0 (0x0)
"NoAutoTrayNotify"=0 (0x0)
"NoResolveTrack"=0 (0x0)
"NoResolveSearch"=0 (0x0)
"NoWelcomeScreen"=1 (0x1)
"NoRecentDocsNetHood"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^BTTray.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\BTTray.lnk
backup=C:\WINDOWS\pss\BTTray.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PCSuiteForNokia3650 Detect.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\PCSuiteForNokia3650 Detect.lnk
backup=C:\WINDOWS\pss\PCSuiteForNokia3650 Detect.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^PCSuiteForNokia3650 TS.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\PCSuiteForNokia3650 TS.lnk
backup=C:\WINDOWS\pss\PCSuiteForNokia3650 TS.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcoholAutomount]
"C:\Programme\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
"C:\Programme\SlySoft\AnyDVD\AnyDVD.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Ashampoo FireWall]
"C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVGCtrl]
C:\Programme\AVPersonal\AVGNT.EXE /min

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 -noicon

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Eraser]
C:\Programme\Eraser\eraser.exe -hide

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
%systemroot%\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LiveMonitor]
C:\Programme\MSI\Live Update 3\LMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MySpaceIM]
C:\Programme\MySpace\IM\MySpaceIM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\razer]
C:\Programme\Razer_Pro_Solutions\razerhid.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
"C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"e:\spiele\half life 2\steam.exe" -silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UVS10 Preload]
C:\Programme\Ulead Systems\Ulead VideoStudio 10\uvPL.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VD]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WebCam Go Sti Service Application]
wbcgosvc

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zone Labs Client]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AVWUpSrv"=2 (0x2)

R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys
R2 Vcs;Vcs support;\??\C:\WINDOWS\system32\Drivers\Vcs.sys
S3 188IR;WORLD ADS-188IR IrDA Adapter;C:\WINDOWS\system32\DRIVERS\188IR.sys
S3 Razerlow;Razerlow USB Filter Driver;C:\WINDOWS\system32\Drivers\Razerlow.sys
S3 WBCGOHAL;WBCGOHAL;C:\WINDOWS\system32\DRIVERS\Wbcgohal.sys
S3 WBCGOVID;Video Blaster WebCam Go (WDM);C:\WINDOWS\system32\DRIVERS\wbcgovid.sys
S3 xtouch;xtouch;C:\WINDOWS\system32\DRIVERS\xtouch.sys
S4 AVWUpSrv;AntiVir Update;"C:\Programme\AVPersonal\AVWUPSRV.EXE"

.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-15 20:39:05
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-15 20:39:53
C:\ComboFix2.txt ... 2007-10-14 07:10
C:\ComboFix3.txt ... 2007-10-14 05:13
.
--- E O F ---

cosinus · 15.10.2007, 19:53

Zitat:

Datei C:\Programme\SlySoft\run.exe infiziert von "Trojan-Downloader.Win32.Zlob.gen"

Hey, kommen jetzt die illegalen Brenntools auch schon mit dem Zlob daher?

Werte die Datei mal bei Virustotal aus und poste die Ergebnisse.

Lord_bach · 15.10.2007, 22:33

So habs mal bei virustotal hochgeladen:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.13.1 2007.10.12 -
AntiVir 7.6.0.23 2007.10.15 DR/Zlob.Gen
Authentium 4.93.8 2007.10.14 -
Avast 4.7.1051.0 2007.10.15 Win32:Zlober
AVG 7.5.0.488 2007.10.15 Downloader.Zlob
BitDefender 7.2 2007.10.15 -
CAT-QuickHeal 9.00 2007.10.15 TrojanDownloader.Zlob.gen
ClamAV 0.91.2 2007.10.14 Trojan.Dropper-2557
DrWeb 4.44.0.09170 2007.10.15 -
eSafe 7.0.15.0 2007.10.15 -
eTrust-Vet 31.2.5213 2007.10.15 -
Ewido 4.0 2007.10.15 -
FileAdvisor 1 2007.10.15 -
Fortinet 3.11.0.0 2007.10.15 -
F-Prot 4.3.2.48 2007.10.14 -
F-Secure 6.70.13030.0 2007.10.15 Trojan-Downloader.Win32.Zlob.gen
Ikarus T3.1.1.12 2007.10.15 -
Kaspersky 7.0.0.125 2007.10.15 Trojan-Downloader.Win32.Zlob.gen
McAfee 5141 2007.10.15 -
Microsoft 1.2908 2007.10.15 -
NOD32v2 2592 2007.10.15 -
Norman 5.80.02 2007.10.15 -
Panda 9.0.0.4 2007.10.15 -
Prevx1 V2 2007.10.15 -
Rising 19.45.02.00 2007.10.15 Trojan.DL.Win32.Zlob.cqk
Sophos 4.22.0 2007.10.15 Mal/ZlobInst-A
Sunbelt 2.2.907.0 2007.10.13 -
Symantec 10 2007.10.14 -
TheHacker 6.2.8.091 2007.10.15 Trojan/Downloader.Zlob.cma
VBA32 3.12.2.4 2007.10.15 Trojan-Downloader.Win32.Zlob.gen
VirusBuster 4.3.26:9 2007.10.15 -
Webwasher-Gateway 6.6.1 2007.10.15 Trojan.Zlob.Gen

weitere Informationen
File size: 94258 bytes
MD5: c1b6e4467832449fae8e543de5790b63
SHA1: 0de73141b648120bb8b0c083c79c1af41e4206cd

cosinus · 15.10.2007, 22:45

Tja, dann kommen diverse illegale Tools von Slysoft tatsächlich mit dem Zlob daher. Oder du hast es von einer Seite geladen, wo modifizierte Programme vertrieben werden. Schon aus zweierlei Hinsicht solltest du auf die Programme daher verzichten.

14.10.2007, 23:09	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Bin ich endlich Virenfrei ??? LOG FILE ? Im HJT-Logfile seh ich keine bösen Einträge. Wir müssen das System genauer analysieren: Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles: - eScan - Silentrunners - combofix __________________ __________________

14.10.2007, 23:32	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Bin ich endlich Virenfrei ??? LOG FILE ? - starte regedit.exe über Start => Ausführen (oder Windowstaste+R) - navigiere zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings - stell sicher, dass dort die Zeichenfolge "Enabled" ist und den Wert 1 hat __________________ Logfiles bitte immer in CODE-Tags posten

15.10.2007, 22:45	#15
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Bin ich endlich Virenfrei ??? LOG FILE ? Tja, dann kommen diverse illegale Tools von Slysoft tatsächlich mit dem Zlob daher. Oder du hast es von einer Seite geladen, wo modifizierte Programme vertrieben werden. Schon aus zweierlei Hinsicht solltest du auf die Programme daher verzichten. __________________ Logfiles bitte immer in CODE-Tags posten

Bin ich endlich Virenfrei ??? LOG FILE ?

Log-Analyse und Auswertung: Bin ich endlich Virenfrei ??? LOG FILE ?