Kann HJT-Eintrag nicht fixen - "Security Toolbar 7.1"

Cowaz · 15.10.2007, 22:11

Hallo zusammen,

ich habe mir einen Virus gefangen, der eine "Security Toolbar 7.1" installiert hat, das booten verlangsamt (teilweise klappts gar nicht) und mit Popups nervt.
Nach Googlerecherche habe ich mir Highjackthis heruntergeladen und installiert; hab aber keine wirkliche Ahnung von dem Programm.

Bei einer Internetauswertung wurde mir ein File angezeigt, das ich fixen soll.

Daraufhin habe ich die Systemwiederherstellung deaktiviert, HJT im abgesicherten Modus ausgeführt und die Zeile gefixt; leider ohne Erfolg :-(.

Würde mich sehr über Hilfe freuen, nachfolgend das Logfile.

Vielen Dank fürs Lesen und Bemühen,

Cowaz
____________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:44:33, on 15.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton Ghost\Agent\GhostTray.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\gbtnrzoe.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Programme\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\DOKUME~1\CARSTE~1\LOKALE~1\Temp\jwxstopx.dll",sitypnow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O4 - Global Startup: Zahlungserinnerung.lnk = C:\HCW\wzed.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks Basic Edition\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks Basic Edition\Norton Cleanup\WCQuick.lnk
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4D0AD56E-C249-42BF-B7F6-6E699FCC7C66} (ImageUploadControl) - h**ps://printweb.fujicolorprint.net/euronet/ImageUploadControl.CAB
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - h**ps://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - h**p://photoservice.fujicolor.de/ips-opdata/layout/fuji01/activex/IPSUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8A3E88B-D0DA-4EE1-AE57-286B52396570}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 10473 bytes

Apocalypt · 16.10.2007, 14:09

Hi,
logisch

Den Eintrag fixen alleine bringt nichts, die Datei muss auch noch weg

Versuch als erstes mal über Systemsteuerung->Software oder im Internetexplorer unter Extras oder so ähnlich

die Security Toolbar zu deinstallieren..wenn das nicht geht machst du so weiter:

Also mach zuerst mal alle Dateien und Ordner sichtbar

Danach gehst du in den abgesicherten Modus und suchst mal nach diesen Dateien und versuchst sie von Hand zu löschen.

Zitat:

C:\WINDOWS\system32\gbtnrzoe.dll

Falls das nicht geht folg der Anleitung zu Avenger in meiner Signatur.
Dein Script lautet:

Zitat:

Files to delete:
C:\WINDOWS\system32\gbtnrzoe.dll

Danach sollte die Datei weg sein

Dann musst du mit HijackThis noch diesen Eintrag fixen:

Zitat:

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\gbtnrzoe.dll

Poste anschließend ein neues Logfile

Cowaz · 16.10.2007, 19:24

@ Apocalypt:

Erstmal vielen Dank

!
Selbst der abgesicherte Modus war voll am spinnen, mit dem Avenger im Normalmodus ging es dann; ich hoffe nur alles ist runter.

Hier das gewünschte HJT-Logfile, und anschließend auch das Avenger-Logfile.

Noch Mal viiieeelen Dank, ich wäre beinahe verzweifelt!!!

Cowaz
__________________

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:18:31, on 16.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton Ghost\Agent\GhostTray.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Programme\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\buooosfr.dll",sitypnow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O4 - Global Startup: Zahlungserinnerung.lnk = C:\HCW\wzed.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks Basic Edition\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks Basic Edition\Norton Cleanup\WCQuick.lnk
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4D0AD56E-C249-42BF-B7F6-6E699FCC7C66} (ImageUploadControl) - h**ps://printweb.fujicolorprint.net/euronet/ImageUploadControl.CAB
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - h**ps://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - h**p://photoservice.fujicolor.de/ips-opdata/layout/fuji01/activex/IPSUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8A3E88B-D0DA-4EE1-AE57-286B52396570}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 10338 bytes
_____________________
AVENGER LOG:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\gwxsbjvj

*******************

Script file located at: \??\C:\WINDOWS\system32\aeetjoui.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\gbtnrzoe.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Cowaz · 16.10.2007, 19:53

Hallo noch mal,

Ich befürchte, dass noch irgendwas zurückgeblieben ist

Der Norton meldet nämlich ab und an von irgendwelchen Bedrohungen, vor denen ich aber geschützt sei (habe ich ja gemerkt, wie gut der teure Schutz ist).

Dazu ging gerade unvermittelt ein Popup auf

Die Secure Toolbar ist allerdings weg und die Startzicken sind auch vorbei.

Kann ich noch etwas tun???

Danke,

Cowaz

16.10.2007, 20:01

Welche Bedrohungen? Was stand im PopUp?

Cowaz · 16.10.2007, 20:22

Es stand da etwa:

"Autoprotect hat Downloader erkannt ... ihr System ist geschützt."

"Autoprotect hat erkannt Trojan.Vundo... blockiert."

Nachtrag: Popup war irgendeine Internetseite/Werbung?

Cowaz · 17.10.2007, 15:37

Hallo,

jetzt geht alles drunter und drüber.

Nach der Benutzung der Avenger-Software wurde mir von Norton ja noch der Trojan.Vundo gemeldet, dazu kamen vereinzelt Popups vom Internetexplorer.

Darum habe ich hier im Forum geforscht und die Datei VundoFix V6.5.10 laufen lassen.
Es wurden auch Dateien gefunden und gelöscht, danach war aber wieder alles beim alten inklusive Secure Toolbar!!!

Auch der HiJackThis-Eintrag der Leiste war wieder da; mit anderem Namen!

Daraufhin habe ich wieder den Avenger laufen lassen usw. usw.

Das System ist total instabil, beim Hochfahren läd es meist den Desktop nicht, beim Herunterfahren mit dem Taskmanager kommt die Fehlermeldung explorer.exe konnte nicht beendet werden, manchmal auch IAA Monitor Notify App.
Leerlaufprozess 99% CPU.

Im abgesicherten Modus läd der Desktop alle 10 sec neu!

Brauche dringend Hilfe,
DANKE.
Hier noch einmal ein HJT-Log:
________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:35:50, on 17.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton Ghost\Agent\GhostTray.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\lbelevvk.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Programme\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\wiahxsbf.dll",sitypnow
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O4 - Global Startup: Zahlungserinnerung.lnk = C:\HCW\wzed.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks Basic Edition\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks Basic Edition\Norton Cleanup\WCQuick.lnk
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4D0AD56E-C249-42BF-B7F6-6E699FCC7C66} (ImageUploadControl) - h**ps://printweb.fujicolorprint.net/euronet/ImageUploadControl.CAB
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - h**ps://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - h**p://photoservice.fujicolor.de/ips-opdata/layout/fuji01/activex/IPSUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8A3E88B-D0DA-4EE1-AE57-286B52396570}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 10447 bytes

Cowaz · 18.10.2007, 20:38

Nur kurz zur Info:

Leider war es mir nicht möglich den Virus loszuwerden.

Mit Avenger gelöscht und HijackThis gefixt, blieb immer noch die Vundo-Virenmeldung des Norton.
Nach anschließendem scannen und löschen mit VundoFix war alles wieder beim alten (Toolbar und HJT-Eintrag wieder da).
20x probiert; ging nicht im Normalmodus und nicht im abgesicherten Modus (der spinnt eh, läd alle 10 sec den Desktop neu).

Das Scannen mit Symantecs FixVundo brachte übrigens gar nichts :-(.

Werde den Rechner wohl oder übel am Wochenende neu installieren.

Vielen Dank allen, die sich bemüht haben,

Cowaz

nochdigger · 18.10.2007, 22:18

Hallo

bevor du die Harpune ins Seegras wirfst benutze mal diese Tools

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

Anschließend poste die Logs sowie ein neues HijackThis Log.

MFG

Cowaz · 19.10.2007, 07:45

Hallo nochdigger,

vielen Dank für den ComboFix Tipp!

Combofix hat viele Dateien gefunden und gelöscht; der anschließende Durchlauf von VundoFix war dann sauber, ebenso war kein HJT-Eintrag der Toolbar mehr da.

Auch der abgesicherte Modus zickt nicht mehr!

NUR: Die Netzwerkverbindung funktioniert jetzt nicht mehr (Meldung: Kein Kabel angeschlossen?)!!!
Darum kann ich mit dem Rechner leider nicht ins Internet und die Logs posten :-(

Ist das eine bekannte Begleiterscheinung von ComboFix?
Wie kann ich das Netzwerk wieder herstellen?

nochdigger · 19.10.2007, 07:56

Hallo

Zitat:

NUR: Die Netzwerkverbindung funktioniert jetzt nicht mehr (Meldung: Kein Kabel angeschlossen?)!!!
Darum kann ich mit dem Rechner leider nicht ins Internet und die Logs posten :-(

Das hab ich noch überhaupt nicht von Combofix gehört

Wird deine Netzwerkkarte in der Systemsteuerung erkannt?

MFG

Cowaz · 19.10.2007, 10:35

Jetzt läufts!!!

Merkwürdig, ich habe nichts geändert, den PC vor meinem letzten Posting in den Ruhezustand gefahren und jetzt wieder hoch - läuft!

Ist nur die Frage, ob das ein gutes oder schlechtes Zeichen ist

Hier die Logs:

ComboFix 07-10-17.8@ - **** 2007-10-19 7:54:55.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.498 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\****\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Hammer.dll
C:\WINDOWS\cookies.ini
C:\WINDOWS\system32\aybeg.bak1
C:\WINDOWS\system32\aybeg.bak1
C:\WINDOWS\system32\aybeg.bak1
C:\WINDOWS\system32\aybeg.bak2
C:\WINDOWS\system32\aybeg.bak2
C:\WINDOWS\system32\aybeg.bak2
C:\WINDOWS\system32\aybeg.ini
C:\WINDOWS\system32\aybeg.ini
C:\WINDOWS\system32\aybeg.ini
C:\WINDOWS\system32\aybeg.ini2
C:\WINDOWS\system32\aybeg.ini2
C:\WINDOWS\system32\aybeg.ini2
C:\WINDOWS\system32\aybeg.tmp
C:\WINDOWS\system32\aybeg.tmp
C:\WINDOWS\system32\aybeg.tmp
C:\WINDOWS\system32\dflqdbec.dll
C:\WINDOWS\system32\fgphkfhv.ini
C:\WINDOWS\system32\gebya.dll
C:\WINDOWS\system32\gebya.dll
C:\WINDOWS\system32\vhfkhpgf.dll
C:\WINDOWS\system32\ydojtxbl.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-19 bis 2007-10-19 ))))))))))))))))))))))))))))))
.

________________________
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:09, on 2007-10-19
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton Ghost\Agent\VProSvc.exe
C:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Norton Ghost\Agent\GhostTray.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Programme\Norton Ghost\Agent\GhostTray.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = ?
O4 - Global Startup: Zahlungserinnerung.lnk = C:\HCW\wzed.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks Basic Edition\Norton Cleanup\WCQuick.lnk
O9 - Extra 'Tools' menuitem: Express Cleanup - {5E638779-1818-4754-A595-EF1C63B87A56} - C:\Programme\Norton SystemWorks Basic Edition\Norton Cleanup\WCQuick.lnk
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4D0AD56E-C249-42BF-B7F6-6E699FCC7C66} (ImageUploadControl) - h**ps://printweb.fujicolorprint.net/euronet/ImageUploadControl.CAB
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - h**ps://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - h**p://photoservice.fujicolor.de/ips-opdata/layout/fuji01/activex/IPSUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A8A3E88B-D0DA-4EE1-AE57-286B52396570}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: dustanqp - dustanqp.dll (file missing)
O20 - Winlogon Notify: gbtnrzoe - gbtnrzoe.dll (file missing)
O20 - Winlogon Notify: koirefgn - koirefgn.dll (file missing)
O20 - Winlogon Notify: lbelevvk - lbelevvk.dll (file missing)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Norton Ghost\Agent\VProSvc.exe
O23 - Service: Norton UnErase Protection (NProtectService) - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~3\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 11324 bytes

nochdigger · 19.10.2007, 21:15

Hallo

Zitat:

Merkwürdig, ich habe nichts geändert, den PC vor meinem letzten Posting in den Ruhezustand gefahren und jetzt wieder hoch - läuft!

Hm

Zitat:

Ist nur die Frage, ob das ein gutes oder schlechtes Zeichen ist

Ich werte es als gutes Zeichen

Das Log von Combofix ist unvollständig bitte noch ergänzen.

Bitte diese Programme noch laufen lassen

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

sowie auch

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> http://www.trojaner-board.de/42731-escan-anleitung.html
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

MFG

Cowaz · 21.10.2007, 17:11

Hallo,

Zitat:

Das Log von Combofix ist unvollständig bitte noch ergänzen.

Das war alles, was in der txt-Datei unter Combofix zu finden war

Hier das eScan Log; ich habe die Sätze (nach jeder Zeile): "Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.", "Action taken: Keine Aktion vorgenommen." und "Aktion vorgenommen: Keine Aktion vorgenommen." rausgenommen, um unter 25000 (!) Zeichen zu kommen:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.4.9
Sprache: German
Virus-Datenbank Datum: 10/21/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
System found infected with flashget Unclassified ({a5366673-e8ca-11d3-9cd9-0090271d075b})!
System found infected with killav.nbd Browser Hijacker ({e0e899ab-f487-11d5-8d29-0050ba6940e3})!
System found infected with killav.nbd Browser Hijacker ({e0e899ab-f487-11d5-8d29-0050ba6940e3})!
System found infected with maxsearch Adware ({c4069e3a-68f1-403e-b40e-20066696354b})!
System found infected with flashget Unclassified ({a5366673-e8ca-11d3-9cd9-0090271d075b})!
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)!
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)!
System found infected with searchexe Spyware/Adware (ieplugin.dll)!
System found infected with ezula Spyware/Adware (ebay.url)!
System found infected with tinybar Spyware/Adware (hb.html)!
System found infected with tinybar Spyware/Adware (hb.html)!
System found infected with tinybar Spyware/Adware (hb.html)!
System found infected with tinybar Spyware/Adware (hb.html)!
System found infected with tinybar Spyware/Adware (hb.html)!
System found infected with clipgenie Spyware/Adware (f2.html)!
System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)!
System found infected with powerreg scheduler Spyware/Adware (norton disk doctor.lnk)!

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\DOKUME~1\****~1\LOKALE~1\Temp\bhpuwlcm.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\DOKUME~1\****~1\LOKALE~1\Temp\bmihnohl.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\DOKUME~1\****~1\LOKALE~1\Temp\dwtiqweu.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\DOKUME~1\****~1\LOKALE~1\Temp\fqkfyrdw.exe infiziert von "Trojan-Downloader.Win32.Tiny.id" Virus.
Datei C:\DOKUME~1\****~1\LOKALE~1\Temp\gpemrvhq.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\DOKUME~1\****~1\LOKALE~1\Temp\hqimbkje.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\DOKUME~1\****~1\LOKALE~1\Temp\jftogjnj.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\DOKUME~1\****~1\LOKALE~1\Temp\jlufwnsk.exe infiziert von "Trojan-Downloader.Win32.Tiny.id" Virus.
Datei C:\DOKUME~1\****~1\LOKALE~1\Temp\ldktifai.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\DOKUME~1\****~1\LOKALE~1\Temp\mwdsypth.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\DOKUME~1\****~1\LOKALE~1\Temp\oboilsvm.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\DOKUME~1\****~1\LOKALE~1\Temp\orwotawr.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\DOKUME~1\****~1\LOKALE~1\Temp\pkydmicc.exe infiziert von "Trojan-Downloader.Win32.Tiny.id" Virus.
Datei C:\DOKUME~1\****~1\LOKALE~1\Temp\snysiaeu.exe infiziert von "Trojan-Downloader.Win32.Tiny.id" Virus.
Datei C:\DOKUME~1\****~1\LOKALE~1\Temp\sxpiaseq.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\DOKUME~1\****~1\LOKALE~1\Temp\wgkxwici.exe infiziert von "Trojan-Downloader.Win32.Tiny.id" Virus.
Datei C:\DOKUME~1\****~1\LOKALE~1\Temp\xblmeivp.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\DOKUME~1\****~1\LOKALE~1\Temp\yjkajeos.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\024D6D3D.tmp//CryptFF/text/html infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\02673D20.tmp//CryptFF/product.pif infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\05C926C4.tmp//CryptFF/private_01.txt .pif infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\065A6602.htm//CryptFF infiziert von "Trojan-Downloader.JS.IstBar.ap" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\07F67D47.tmp//CryptFF//FSG infiziert von "Trojan-Downloader.Win32.Agent.zm" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\08D22F6D.tmp//CryptFF/text/html infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\10814AA2.tmp//CryptFF infiziert von "Email-Worm.Win32.Bagle.fj" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\1D4C70E0.tmp//CryptFF/text/html infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\1D5A18D2.tmp//CryptFF/details_webmaster.doc .pif infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\274E3F76.tmp//CryptFF/text/html infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\27A30319.tmp//CryptFF/text/html infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\2A097F44.tmp//CryptFF/text/html infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\2A374B12.tmp//CryptFF/message.zip/details.txt .pif infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\2C374C2F.tmp//CryptFF/details.zip/data.rtf .scr infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\2C9263CA.tmp//CryptFF/text/html infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\35B64387.tmp//CryptFF/word document.zip/details.txt .pif infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\35C71575.tmp//CryptFF/text/html infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\35D43D67.tmp//CryptFF/id04009.zip/document.txt .exe infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\35E40F55.tmp//CryptFF/text/html infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\40BE0D8A.tmp//CryptFF/data.zip/document.txt .exe infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\40D10975.tmp//CryptFF/text/html infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\423C03CE.tmp//CryptFF infiziert von "Trojan-Downloader.Win32.Small.ciw" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\4B2703CD.tmp//CryptFF/product_webmaster.zip/document.txt .exe infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\4C434895.tmp//CryptFF/text/html infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\506419AA.tmp//CryptFF/www.myx4free.zip/data.rtf .scr infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\50771595.tmp//CryptFF/text/html infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\5FFC6941.tmp//CryptFF infiziert von "Trojan-Spy.Win32.Gepost.a" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\6E1B6F84.tmp//CryptFF/text/html infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\6E3F404E.tmp//CryptFF infiziert von "Email-Worm.Win32.Bagle.fj" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\6E9B5C2E.tmp//CryptFF/text/html infiziert von "Email-Worm.Win32.NetSky.q" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\774B2A12.tmp//CryptFF infiziert von "Email-Worm.Win32.Bagle.fj" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\7C153562.tmp//CryptFF infiziert von "Email-Worm.Win32.Bagle.gen" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\7E437627.tmp//CryptFF infiziert von "Email-Worm.Win32.Bagle.fj" Virus.
Datei C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Quarantine\7E6743FF.tmp//CryptFF infiziert von "Email-Worm.Win32.Bagle.fj" Virus.
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\bhpuwlcm.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\bmihnohl.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\dwtiqweu.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\fqkfyrdw.exe infiziert von "Trojan-Downloader.Win32.Tiny.id" Virus.
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\gpemrvhq.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\hqimbkje.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\jftogjnj.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\jlufwnsk.exe infiziert von "Trojan-Downloader.Win32.Tiny.id" Virus.
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\ldktifai.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\mwdsypth.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\oboilsvm.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\orwotawr.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\pkydmicc.exe infiziert von "Trojan-Downloader.Win32.Tiny.id" Virus.
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\snysiaeu.exe infiziert von "Trojan-Downloader.Win32.Tiny.id" Virus.
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\sxpiaseq.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\wgkxwici.exe infiziert von "Trojan-Downloader.Win32.Tiny.id" Virus.
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\xblmeivp.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
Datei C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp\yjkajeos.exe infiziert von "Trojan.Win32.Agent.bck" Virus.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\****\Desktop\catchme.zip/gebya.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.acw".
File C:\avenger\backup.zip/avenger/koirefgn.dll markiert als "not-a-virus:AdWare.Win32.SecToolBar.f".
File C:\Dokumente und Einstellungen\****\Desktop\catchme.zip/gebya.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.acw".
File C:\qoobox\Quarantine\C\Programme\Hammer.dll.vir markiert als "not-a-virus:AdWare.Win32.SecToolBar.f".
File C:\RECYCLER\S-1-5-21-3016491960-571955025-3744868637-1007\Dc2.bad markiert als "not-a-virus:AdWare.Win32.SecToolBar.f".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000009.dll markiert als "not-a-virus:AdWare.Win32.SecToolBar.f".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000014.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.acw".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000054.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000407.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000408.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000409.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000410.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000411.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000412.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000413.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000414.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000415.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000416.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000417.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000418.dll markiert als "not-a-virus:AdWare.Win32.SecToolBar.f".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000419.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000420.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000421.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000422.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000423.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000424.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000425.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000426.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
File C:\System Volume Information\_restore{08A5F15B-D5F0-4D17-893D-8B358608DCF6}\RP2\A0000427.exe markiert als "not-a-virus:AdWare.Win32.SecToolBar.g".
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\****\Desktop\nswbe07100\ncu\ieplugin.dll
Offending file found: C:\Dokumente und Einstellungen\****\Favoriten\links\ebay.url
Offending file found: C:\Dokumente und Einstellungen\****\Eigene Dateien\stkg\fotos\2005_2006\stadtlauf_06\bearbeitet\450px\web\hb.html
Offending file found: C:\Dokumente und Einstellungen\****\Eigene Dateien\stkg\stkg_de\backup\hp05\fotos\romo_05\hb.html
Offending file found: C:\Dokumente und Einstellungen\****\Eigene Dateien\stkg\stkg_de\backup\hp05\startseite\fotos\romo_05\hb.html
Offending file found: C:\Dokumente und Einstellungen\****\Eigene Dateien\stkg\tmp_domainumzug_07_06\fotos\romo_05\hb.html
Offending file found: C:\Dokumente und Einstellungen\****\Eigene Dateien\stkg\tmp_domainumzug_07_06\fotos\sonst_06\rir\hb.html
Offending file found: C:\Dokumente und Einstellungen\****\Eigene Dateien\stkg\tmp_domainumzug_07_06\fotos\tbv_03\f2.html
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\norton systemworks\norton utilities\norton disk doctor.lnk
Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\norton systemworks\norton utilities\norton disk doctor.lnk
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\app2.upz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\app4.upz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\db1.upz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\hbkrnl.upz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\All Users\Dokumente\VR-NetWorld\OnlLoad\hlp.upz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\VR-NetWorld\OnlLoad\app2.upz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\VR-NetWorld\OnlLoad\app4.upz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\VR-NetWorld\OnlLoad\db1.upz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\VR-NetWorld\OnlLoad\hbkrnl.upz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\VR-NetWorld\OnlLoad\hlp.upz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\VR-NetWorld\recover\data\OnlLoad\app2.upz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\VR-NetWorld\recover\data\OnlLoad\app4.upz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\VR-NetWorld\recover\data\OnlLoad\db1.upz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\VR-NetWorld\recover\data\OnlLoad\hbkrnl.upz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\VR-NetWorld\recover\data\OnlLoad\hlp.upz nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 161149
Gefundene Viren: 116
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 55
Dauer des Scans bisher: 01:35:57
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 17:22:09.26
Batchende: 17:22:27.35

Filelist folgt...

Cowaz · 21.10.2007, 17:21

Und hier die 30 Tage Filelist; gesplittet auf 2 Posts, um unter 25000 Zeichen zu bleiben (kann das richtig sein?):

Verzeichnis von C:\

2007-10-21 17:09 1,071,804,416 hiberfil.sys
2007-10-21 17:09 1,610,612,736 pagefile.sys
2007-10-21 16:06 0 23990098.$$$
2007-10-19 08:03 4,502 VundoFix.txt
Verzeichnis von C:\WINDOWS\system32

2007-10-21 17:10 2,206 wpa.dbl
2007-10-21 17:10 29,204 nvapps.xml
2007-10-21 17:10 4,620 ModemLog_AVM ISDN FAX (G3).txt
2007-10-21 17:10 4,660 ModemLog_AVM ISDN Analog Modem (V.32bis).txt
2007-10-21 17:10 4,162 ModemLog_AVM ISDN Custom Config.txt
2007-10-21 17:10 4,672 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt
2007-10-21 17:10 5,044 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
2007-10-21 17:10 4,632 ModemLog_AVM ISDN Mailbox (X.75).txt
2007-10-21 17:10 5,054 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
2007-10-21 14:27 384 DVCState-{00000005-00000000-00000004-00001102-00000004-20061102}.dat
2007-10-21 14:27 384 DVCStateBkp-{00000005-00000000-00000004-00001102-00000004-20061102}.dat
2007-10-21 14:27 1,080 settingsbkup.sfm
2007-10-21 14:27 1,080 settings.sfm
2007-10-21 14:27 31,056 BMXStateBkp-{00000005-00000000-00000004-00001102-00000004-20061102}.rfx
2007-10-21 14:27 31,056 BMXState-{00000005-00000000-00000004-00001102-00000004-20061102}.rfx
2007-10-21 14:27 30,528 BMXBkpCtrlState-{00000005-00000000-00000004-00001102-00000004-20061102}.rfx
2007-10-21 14:27 30,528 BMXCtrlState-{00000005-00000000-00000004-00001102-00000004-20061102}.rfx
2007-10-18 10:22 490 koirefgn.dllbox
2007-10-18 09:16 172 mdccgvaj.dllbox
2007-10-18 08:48 693,781 fbsxhaiw.ini
2007-10-18 00:01 17,004 lbelevvk.dllbox
2007-10-17 16:20 474 xffaugwi.ini
2007-10-17 16:20 490 mjvyqfti.dllbox
2007-10-17 15:19 172 nwaipvds.dllbox
2007-10-17 12:49 17,004 srylklbo.dllbox
2007-10-17 12:37 17,006 hzfcgtmm.dllbox
2007-10-17 08:55 17,006 dustanqp.dllbox
2007-10-17 08:47 17,004 inbkekmv.dllbox
2007-10-17 08:06 694,460 ysehfryr.ini
2007-10-16 21:02 694,313 udsexgxi.ini
2007-10-16 20:29 694,193 rfsoooub.ini
2007-10-16 20:07 694,073 aendxuce.ini
2007-10-16 20:05 20,640 gbtnrzoe.dllbox
2007-10-16 19:58 693,953 jbcsbjjy.ini
2007-10-11 18:57 5,686 jupdate-1.6.0_03-b05.log
2007-10-06 14:28 60,800 S32EVNT1.DLL
2007-09-28 07:19 18,089,592 MRT.exe
2007-09-24 23:31 139,264 javaws.exe
2007-09-24 23:31 69,632 javacpl.cpl
2007-09-24 22:30 135,168 javaw.exe
2007-09-24 22:30 135,168 java.exe

Verzeichnis von C:\WINDOWS\Prefetch

2007-10-21 17:14 11,370 FIND.EXE-0EEAD1A7.pf
2007-10-21 17:14 15,318 CMD.EXE-034B0549.pf
2007-10-21 17:13 15,112 NOTEPAD.EXE-2F2D61E1.pf
2007-10-21 17:13 30,866 WMIPRVSE.EXE-0D449B4F.pf
2007-10-21 17:11 81,952 IEXPLORE.EXE-360BBB5C.pf
2007-10-21 17:10 27,498 WUAUCLT.EXE-1360D60A.pf
2007-10-21 17:10 19,684 SVCHOST.EXE-2D5FBD18.pf
2007-10-21 17:10 38,714 WGATRAY.EXE-350D4455.pf
2007-10-21 17:10 45,384 ACROTRAY.EXE-0F6A3378.pf
2007-10-21 17:10 53,036 GOOGLETOOLBARNOTIFIER.EXE-31A6BBAB.pf
2007-10-21 17:10 54,512 VRTOOLCHECKORDER.EXE-1B55CAA7.pf
2007-10-21 17:10 49,512 CTFMON.EXE-05E57A5E.pf
2007-10-21 17:10 68,034 DMXLAUNCHER.EXE-145D079A.pf
2007-10-21 17:10 75,988 CCAPP.EXE-2BAF98A3.pf
2007-10-21 17:10 23,022 AGENT.EXE-04D86242.pf
2007-10-21 17:10 52,056 GHOSTTRAY.EXE-1A153BE8.pf
2007-10-21 17:10 13,654 WZED.EXE-02221B70.pf
2007-10-21 17:10 7,834 ADOBE GAMMA LOADER.EXE-0C2694E8.pf
2007-10-21 17:10 18,590 OSCHECK.EXE-2BFCA30D.pf
2007-10-21 17:10 1,390,042 NTOSBOOT-B00DFAAD.pf
2007-10-21 14:27 75,364 LOGONUI.EXE-312BE1BF.pf
2007-10-21 14:27 17,122 LUCALLBACKPROXY.EXE-28AA6C95.pf
2007-10-21 14:27 31,552 AUPDATE.EXE-3712CED8.pf
2007-10-21 14:27 51,770 LUCOMS~1.EXE-1DF6F3E9.pf
2007-10-21 14:23 75,632 TFSWCTRL.EXE-2D67C816.pf
2007-10-21 14:23 21,192 CTHELPER.EXE-3B219A6C.pf
2007-10-21 14:23 13,374 CTDVDDET.EXE-353A06BA.pf
2007-10-21 14:23 30,592 ISUSPM.EXE-375F0166.pf
2007-10-21 14:23 6,926 UPDREG.EXE-1FDD8DC3.pf
2007-10-21 14:13 27,336 SSAUTORN.EXE-074DF210.pf
2007-10-21 14:12 18,050 DOWNLOAD.EXE-3B05CB43.pf
2007-10-21 14:10 51,084 MCUI32.EXE-390443F0.pf
2007-10-21 14:10 30,730 RUNDLL32.EXE-6500A116.pf
2007-10-21 14:10 30,730 RUNDLL32.EXE-6C9677A2.pf
2007-10-21 14:10 16,412 MWAVL.EXE-35F7E190.pf
2007-10-21 14:10 30,622 RUNDLL32.EXE-5D44AEDF.pf
2007-10-21 14:10 56,266 SCANNINGPROCESS.EXE-1252E7CF.pf
2007-10-21 14:10 34,394 RUNDLL32.EXE-56D3AF5C.pf
2007-10-21 14:09 33,236 MEXE.COM-08F6BE5B.pf
2007-10-21 14:09 76,480 MWAV.EXE-2A8492B0.pf
2007-10-21 14:09 106,380 NAVW32.EXE-0137B84D.pf
2007-10-21 14:09 60,980 NAVSHCOM.EXE-005EE494.pf
2007-10-21 14:02 32,292 WINACE.EXE-05C7E969.pf
2007-10-21 14:02 79,532 COH32.EXE-1F2A450E.pf
2007-10-21 14:00 28,522 FLASHGET.EXE-03F4AD4A.pf
2007-10-21 13:59 110,648 HIJACKTHIS.EXE-32795687.pf
2007-10-21 13:57 17,864 VERCLSID.EXE-28F52AD2.pf
2007-10-21 13:55 20,178 MSMSGS.EXE-1D037CD3.pf
2007-10-21 13:55 72,932 MSIMN.EXE-2E3AC8DB.pf
2007-10-21 13:54 38,066 ISSCH.EXE-0CA829D3.pf
2007-10-19 21:48 30,174 CTSYSVOL.EXE-0305D4FF.pf
2007-10-19 21:48 10,158 IAANOTIF.EXE-28829D5F.pf
2007-10-19 21:48 10,234 JUSCHED.EXE-36F8FA29.pf
2007-10-19 21:48 74,752 ALG.EXE-275708CF.pf
2007-10-19 21:48 17,236 RUNDLL32.EXE-6ACD0C83.pf
2007-10-19 21:48 16,480 RUNDLL32.EXE-5F120771.pf
2007-10-19 21:45 24,830 RUNDLL32.EXE-5050CCA1.pf
2007-10-19 20:48 79,564 HELPSVC.EXE-1C192440.pf
2007-10-19 20:45 60,028 DFRGNTFS.EXE-38C3807C.pf
2007-10-19 20:45 16,526 DEFRAG.EXE-2858C7E2.pf
2007-10-19 20:45 292,360 Layout.ini
2007-10-19 19:58 26,388 RUNDLL32.EXE-545CB8E6.pf
2007-10-19 19:20 33,658 RUNDLL32.EXE-41B8E17C.pf
2007-10-19 19:20 35,500 RUNDLL32.EXE-4F88F3DE.pf
2007-10-19 19:17 55,536 LUALL.EXE-2E6122A9.pf
2007-10-19 11:25 15,330 RUNDLL32.EXE-5ACE91DC.pf
2007-10-19 08:16 33,866 RUNDLL32.EXE-588FED79.pf
2007-10-19 08:16 34,396 RUNDLL32.EXE-5B401911.pf
2007-10-19 08:04 45,718 RUNDLL32.EXE-611547B7.pf
2007-10-19 08:01 69,328 VUNDOFIX.EXE-0F6DD58C.pf
2007-10-19 07:59 27,168 RUNDLL32.EXE-61CC0D7C.pf
2007-10-19 07:59 10,642 FINDSTR.EXE-1A4FC238.pf
2007-10-19 07:59 11,028 SORT.EXE-19728AC5.pf
2007-10-19 07:59 3,742 SED.CFEXE-019B7AC0.pf
2007-10-19 07:59 4,538 GREP.CFEXE-25FF7687.pf
2007-10-19 07:59 45,798 CATCHME.CFEXE-20352551.pf
2007-10-19 07:59 4,982 CTSVCCDA.EXE-260C5CD9.pf
2007-10-19 07:59 2,870 VFIND.CFEXE-25A8AB4B.pf
2007-10-19 07:59 11,936 NIRCMD.CFEXE-00BC64DF.pf
2007-10-19 07:59 22,238 REGT.CFEXE-30684912.pf
2007-10-19 07:57 77,602 RESTARTIT.CFEXE-12A5B897.pf
2007-10-19 07:57 5,746 DD.CFEXE-2C09041D.pf
2007-10-19 07:57 4,976 NTRIGHTS.CFEXE-11A02267.pf
2007-10-19 07:57 58,962 CSCRIPT.EXE-0A13A05C.pf
2007-10-19 07:57 11,066 REG.EXE-07FA5B3F.pf
2007-10-19 07:57 4,406 HANDLE.CFEXE-060063D0.pf
2007-10-19 07:57 13,824 AT.EXE-02A43BFA.pf
2007-10-19 07:57 10,848 NIRCMD.EXE-3789D3CC.pf
2007-10-19 07:56 13,008 NTP.EXE-064445B6.pf
2007-10-19 07:56 7,896 SWSC.CFEXE-0736E034.pf
2007-10-19 07:56 11,310 ATTRIB.EXE-15ACDFFE.pf
2007-10-19 07:56 7,034 SWXCACLS.CFEXE-2855D96D.pf
2007-10-19 07:56 6,992 SWREG.CFEXE-19E71DFD.pf
2007-10-19 07:56 2,970 VFIND.EXE-38C577AD.pf
2007-10-19 07:55 4,378 MTEE.CFEXE-283D2AF9.pf
2007-10-19 07:54 3,840 SF.CFEXE-380A15FC.pf
2007-10-19 07:54 6,084 DUMPHIVE.CFEXE-04BE9822.pf
2007-10-19 07:54 20,770 SETPATH.CFEXE-14595AEE.pf
2007-10-19 07:54 5,640 CHCP.COM-17EDBDC9.pf
2007-10-19 07:54 57,032 ERUNT.CFEXE-03BA0C46.pf
2007-10-19 07:53 7,096 SWREG.EXE-26F9D764.pf
2007-10-19 07:53 8,318 NIRCMD.EXE-2306D810.pf
2007-10-19 07:53 50,096 COMBOFIX.EXE-121D5868.pf
2007-10-19 07:53 41,160 NAVW32.EXE-214D87DC.pf
2007-10-19 07:48 14,634 UISTUB.EXE-20591189.pf
2007-10-19 07:47 58,100 UIMAIN.EXE-1D8D4101.pf
2007-10-19 07:47 57,336 NMAIN.EXE-1F6F19CA.pf
2007-10-18 10:29 7,292 UBUJNPMK.EXE-038E7E47.pf
2007-10-18 10:27 7,292 UYNSGNMQ.EXE-08F9D231.pf
2007-10-18 10:26 55,338 UE32.EXE-079F7933.pf
2007-10-18 10:24 11,558 REGEDIT.EXE-2AE3423E.pf
2007-10-18 10:24 5,232 ZIP.EXE-1B36D9D6.pf
2007-10-18 10:17 18,990 AVENGER.EXE-27B0C979.pf
2007-10-18 09:45 159,234 LOGON.SCR-24ADF392.pf
2007-10-18 09:24 21,088 TASKMGR.EXE-06144C13.pf
2007-10-18 08:52 15,968 RUNDLL32.EXE-4F50155F.pf
116 Datei(en) 5,388,556 Bytes
0 Verzeichnis(se), 220,276,158,464 Bytes frei

Verzeichnis von C:\WINDOWS

2007-10-21 17:10 0 0.log
2007-10-21 17:10 159 wiadebug.log
2007-10-21 17:10 1,566,810 WindowsUpdate.log
2007-10-21 17:10 50 wiaservc.log
2007-10-21 17:09 2,048 bootstat.dat
2007-10-21 14:30 50 Lic.xxx
2007-10-21 14:28 2,452,610 ntbtlog.txt
2007-10-21 14:27 32,630 SchedLgU.Txt
2007-10-21 14:27 4,933,091 {00000005-00000000-00000004-00001102-00000004-20061102}.CDF
2007-10-21 14:12 910 win.ini
2007-10-10 21:57 277,148 comsetup.log
2007-10-10 21:57 128,101 iis6.log
2007-10-10 21:57 313,638 tsoc.log
2007-10-10 21:57 11,728 KB933729.log
2007-10-10 21:57 44,520 ocmsn.log
2007-10-10 21:57 1,393 imsins.log
2007-10-10 21:57 167,070 ntdtcsetup.log
2007-10-10 21:57 396,392 ocgen.log
2007-10-10 21:57 40,682 msgsocm.log
2007-10-10 21:57 821,348 FaxSetup.log
2007-10-10 21:57 4,486 setupapi.log
2007-10-10 21:57 82,578 updspapi.log
2007-10-10 21:56 1,393 imsins.BAK
2007-10-10 21:56 22,288 KB939653-IE7.log
2007-10-10 21:55 10,205 KB941202.log
2007-09-28 09:06 135,168 catchme.exe

Verzeichnis von C:\WINDOWS\tasks

2007-10-21 17:09 6 SA.DAT
2007-09-10 20:00 676 Norton Internet Security - Systemprfung ausfhren - *****.job
2007-09-10 12:08 330 Norton SystemWorks - One Button Checkup.job

Verzeichnis von C:\WINDOWS\temp

2007-10-21 17:10 409 WGANotify.settings
2007-10-21 17:09 16,384 Perflib_Perfdata_c8.dat
2007-10-21 17:09 255 WGAErrLog.txt
2007-10-19 07:58 0 T30DebugLogFile.txt
4 Datei(en) 17,048 Bytes
0 Verzeichnis(se), 220,276,146,176 Bytes frei

Teil 2 folgt ...

16.10.2007, 20:01	#5
-SkY- Gast	Kann HJT-Eintrag nicht fixen - "Security Toolbar 7.1" Welche Bedrohungen? Was stand im PopUp?

Kann HJT-Eintrag nicht fixen - "Security Toolbar 7.1"

Log-Analyse und Auswertung: Kann HJT-Eintrag nicht fixen - "Security Toolbar 7.1"