und Teil 3:

- 2005-01-28 07:53:18 1,594,880 -c--a-w C:\WINDOWS\system32\wmpencen.dll
+ 2006-10-18 19:47:20 1,661,440 ----a-w C:\WINDOWS\system32\wmpencen.dll
- 2005-01-28 14:23:22 3,407,872 -c--a-w C:\WINDOWS\system32\wmploc.dll
+ 2006-11-03 08:02:58 8,282,112 ----a-w C:\WINDOWS\system32\wmploc.dll
+ 2006-10-18 19:47:20 613,376 ------w C:\WINDOWS\system32\wmpmde.dll
+ 2006-10-18 19:47:20 130,048 ------w C:\WINDOWS\system32\wmpps.dll
- 2005-01-28 14:23:26 86,016 ----a-w C:\WINDOWS\system32\wmpshell.dll
+ 2006-11-03 07:56:20 99,840 ----a-w C:\WINDOWS\system32\wmpshell.dll
- 2005-01-28 07:53:18 175,104 -c--a-w C:\WINDOWS\system32\wmpsrcwp.dll
+ 2006-10-18 19:47:20 204,288 ----a-w C:\WINDOWS\system32\wmpsrcwp.dll
- 2005-01-28 12:32:56 774,904 -c--a-w C:\WINDOWS\system32\wmsdmod.dll
+ 2006-10-18 19:47:22 4,096 ----a-w C:\WINDOWS\system32\wmsdmod.dll
- 2005-01-28 07:53:18 1,119,744 -c--a-w C:\WINDOWS\system32\wmsdmoe2.dll
+ 2006-10-18 19:47:22 4,096 ----a-w C:\WINDOWS\system32\wmsdmoe2.dll
- 2005-01-28 12:32:44 413,944 -c--a-w C:\WINDOWS\system32\wmspdmod.dll
+ 2006-10-18 19:47:22 603,648 ----a-w C:\WINDOWS\system32\WMSPDMOD.dll
- 2005-01-28 07:53:18 940,544 -c--a-w C:\WINDOWS\system32\wmspdmoe.dll
+ 2006-10-18 19:47:22 1,329,152 ----a-w C:\WINDOWS\system32\WMSPDMOE.dll
- 2005-01-28 12:32:56 1,218,808 -c--a-w C:\WINDOWS\system32\wmvadvd.dll
+ 2006-10-18 19:47:22 4,096 ----a-w C:\WINDOWS\system32\WMVADVD.dll
- 2005-01-28 07:53:20 1,512,448 -c--a-w C:\WINDOWS\system32\WMVADVE.DLL
+ 2006-10-18 19:47:22 4,096 ----a-w C:\WINDOWS\system32\WMVADVE.DLL
- 2006-12-07 05:29:34 2,374,472 ----a-w C:\WINDOWS\system32\wmvcore.dll
+ 2006-10-18 19:47:22 2,450,944 ----a-w C:\WINDOWS\system32\wmvcore.dll
+ 2006-10-18 19:47:22 1,543,680 ------w C:\WINDOWS\system32\WMVDECOD.dll
- 2005-01-28 12:32:58 895,736 -c--a-w C:\WINDOWS\system32\wmvdmod.dll
+ 2006-10-18 19:47:22 4,096 ----a-w C:\WINDOWS\system32\wmvdmod.dll
- 2005-01-28 07:53:18 1,003,008 -c--a-w C:\WINDOWS\system32\wmvdmoe2.dll
+ 2006-10-18 19:47:22 4,096 ----a-w C:\WINDOWS\system32\wmvdmoe2.dll
+ 2006-10-18 19:47:22 1,574,912 ------w C:\WINDOWS\system32\WMVENCOD.dll
+ 2006-10-18 19:47:22 1,382,912 ------w C:\WINDOWS\system32\WMVSDECD.dll
+ 2006-10-18 19:47:22 767,488 ------w C:\WINDOWS\system32\WMVSENCD.dll
+ 2006-10-18 19:47:22 656,896 ------w C:\WINDOWS\system32\WMVXENCD.dll
- 2005-01-28 00:36:28 38,912 -c--a-w C:\WINDOWS\system32\wpd_ci.dll
+ 2006-10-18 19:47:22 629,760 ----a-w C:\WINDOWS\system32\wpd_ci.dll
- 2005-01-28 00:36:20 61,952 -c--a-w C:\WINDOWS\system32\wpdconns.dll
+ 2006-10-18 19:47:22 35,840 ----a-w C:\WINDOWS\system32\wpdconns.dll
- 2005-01-28 00:36:24 114,176 -c--a-w C:\WINDOWS\system32\wpdmtp.dll
+ 2006-10-18 19:47:22 154,624 ----a-w C:\WINDOWS\system32\wpdmtp.dll
- 2005-01-28 00:36:22 66,560 -c--a-w C:\WINDOWS\system32\wpdmtpus.dll
+ 2006-10-18 19:47:22 63,488 ----a-w C:\WINDOWS\system32\wpdmtpus.dll
+ 2006-10-18 19:47:22 2,603,008 ------w C:\WINDOWS\system32\WpdShext.dll
+ 2006-10-18 18:00:14 17,408 ------w C:\WINDOWS\system32\wpdshextautoplay.exe
+ 2006-11-02 09:51:52 43,008 ------w C:\WINDOWS\system32\wpdshextres.dll
+ 2006-10-18 19:47:22 133,632 ------w C:\WINDOWS\system32\WPDShServiceObj.dll
- 2005-01-28 00:36:28 331,264 -c--a-w C:\WINDOWS\system32\wpdsp.dll
+ 2006-10-18 19:47:22 356,352 ----a-w C:\WINDOWS\system32\wpdsp.dll
+ 2006-09-28 18:13:26 95,344 ------w C:\WINDOWS\system32\WUDFCoinstaller.dll
+ 2006-09-28 16:56:38 146,432 ------w C:\WINDOWS\system32\WudfHost.exe
+ 2006-09-28 16:56:16 165,376 ------w C:\WINDOWS\system32\WudfPlatform.dll
+ 2006-09-28 16:56:14 55,808 ------w C:\WINDOWS\system32\WudfSvc.dll
+ 2006-09-28 16:56:38 316,416 ------w C:\WINDOWS\system32\WUDFx.dll
- 2007-03-09 11:51:21 270,336 ----a-w C:\WINDOWS\system32\xpsp3res.dll
+ 2007-06-18 22:24:36 373,760 ----a-w C:\WINDOWS\system32\xpsp3res.dll
+ 2000-04-03 20:00:00 130,560 ----a-w C:\WINDOWS\system32\ZIPDLL.DLL
+ 2006-06-05 12:14:28 479,232 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcm80.dll
+ 2006-06-05 12:14:28 548,864 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcp80.dll
+ 2006-06-05 12:14:28 626,688 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.163_x-ww_681e29fb\msvcr80.dll
.
-- Snapshot reset to current date --
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe" [2004-02-23 00:44]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2006-03-09 22:29]
"PMXInit"="C:\WINDOWS\System32\pmxinit.exe" [2002-08-22 01:00]
"MailScan Dispatcher"="C:\PROGRA~1\eScan\LAUNCH.EXE" [2007-04-17 16:02]
"HydraVisionDesktopManager"="C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe" [2003-04-01 17:41]
"eScan Updater"="C:\PROGRA~1\eScan\TRAYICOS.exe" [2007-04-18 16:27]
"eScan Server"="C:\PROGRA~1\eScan\ESERV.exe" [2007-05-15 10:38]
"eScan Monitor"="C:\PROGRA~1\eScan\AVPMWrap.EXE" [2007-04-19 15:25]
"eScan Install-checker"="C:\WINDOWS\system32\eInstall.exe" [2005-01-24 12:50]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 02:08]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-09-29 08:15]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 09:57]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"=0 (0x0)
"SynchronousUserGroupPolicy"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"=0 (0x0)
"NoFileAssociate"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoCommonGroups"=0 (0x0)
"NoSimpleStartMenu"=0 (0x0)
"NoToolbarsOnTaskbar"=0 (0x0)
"NoTrayContextMenu"=0 (0x0)
"NoWinKeys"=0 (0x0)
"NoShellSearchButton"=0 (0x0)
"NoFileAssociate"=0 (0x0)
"NoRecentDocsHistory"=0 (0x0)
"NoTrayItemsDisplay"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"WMPNSCFG"=C:\Programme\Windows Media Player\WMPNSCFG.exe
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.Exe" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"DAEMON Tools-1033"="C:\Programme\D-Tools\daemon.exe" -lang 1033

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys
R1 SSHDRV84;SSHDRV84;\??\C:\WINDOWS\system32\drivers\SSHDRV84.sys
R2 eScan-eServ;eScan Management-Console;C:\PROGRA~1\eScan\TRAYESER.EXE
R2 eScan-trayicos;eScan Server-Updater;C:\PROGRA~1\eScan\TRAYSSER.EXE
R2 KAVMonitorService;eScan Monitor Service;C:\PROGRA~1\eScan\avpm.exe /service
R3 DKbFltr;Dritek HotKey Filter Driver;C:\WINDOWS\system32\DRIVERS\DKbFltr.sys
S3 powervr;powervr;C:\WINDOWS\system32\DRIVERS\powervr.sys
S3 Probe;Probe;C:\WINDOWS\system32\DRIVERS\probe.sys
S3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys

.
**************************************************************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-18 21:36:21
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-10-18 21:36:52
C:\ComboFix-quarantined-files.txt ... 2007-10-18 01:20
C:\ComboFix2.txt ... 2007-10-18 01:20
C:\ComboFix3.txt ... 2007-09-19 20:43
.
--- E O F ---


Soll ich die von eScan angegebenen Dateien von VirusTotal scannen lassen?

Und hier silentrunners:

"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = "C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe" [null data]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"PMXInit" = "C:\WINDOWS\System32\pmxinit.exe" [null data]
"MailScan Dispatcher" = "C:\PROGRA~1\eScan\LAUNCH.EXE" ["MicroWorld Technologies Inc."]
"HydraVisionDesktopManager" = "C:\Programme\ATI Technologies\ATI HydraVision\HydraDM.exe" ["ATI Technologies Inc."]
"eScan Updater" = "C:\PROGRA~1\eScan\TRAYICOS.EXE /App" ["MicroWorld Technologies Inc."]
"eScan Server" = "C:\PROGRA~1\eScan\ESERV.EXE /App" ["MicroWorld Technologies Inc."]
"eScan Monitor" = "C:\PROGRA~1\eScan\AVPMWrap.EXE" ["MicroWorld Technologies Inc."]
"eScan Install-checker" = "C:\WINDOWS\system32\eInstall.exe" ["MicroWorld Technologies Inc."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{59403EC0-EA55-11d5-954A-9A53884D6E09}" = "SecureDoc"
-> {HKLM...CLSID} = "SecureDoc"
\InProcServer32\(Default) = "C:\PROGRA~1\MSI\SECURE~1\SecDoc.dll" ["msi"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
SecureDocMenu\(Default) = "{59403EC0-EA55-11d5-954A-9A53884D6E09}"
-> {HKLM...CLSID} = "SecureDoc"
\InProcServer32\(Default) = "C:\PROGRA~1\MSI\SECURE~1\SecDoc.dll" ["msi"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
SecureDocMenu\(Default) = "{59403EC0-EA55-11d5-954A-9A53884D6E09}"
-> {HKLM...CLSID} = "SecureDoc"
\InProcServer32\(Default) = "C:\PROGRA~1\MSI\SECURE~1\SecDoc.dll" ["msi"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoCommonGroups" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoSimpleStartMenu" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoToolbarsOnTaskbar" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoSMHelp" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|Start Menu and Taskbar|
Remove Help menu from Start Menu}

"NoTrayContextMenu" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoWinKeys" = (REG_DWORD) hex:0x00000000
{Disable Windows+X hotkeys}

"NoShellSearchButton" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoFileAssociate" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoFileMenu" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoCDBurning" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoRecentDocsHistory" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoLowDiskSpaceChecks" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

"NoTrayItemsDisplay" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|Start Menu and Taskbar|
Hide the notification area}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoResolveTrack" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoPropertiesMyComputer" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoFileAssociate" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"NoSMHelp" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

"SynchronousMachineGroupPolicy" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"SynchronousUserGroupPolicy" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"ShutdownWithoutLogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"NoDispBackgroundPage" = (REG_DWORD) hex:0x00000000
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Startup items in "Günter" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Gamma Loader" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"EPSON Status Monitor 3 Environment Check 2" -> shortcut to: "C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE" ["SEIKO EPSON CORPORATION"]
"LightSurf" -> shortcut to: "C:\Programme\LightSurf\Common\IconMgr.exe" ["LightSurf Technologies, Inc."]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mwtsp.dll ["MicroWorld Technologies Inc."], 01 - 02, 22
%SystemRoot%\system32\mswsock.dll [MS], 03 - 05, 08 - 21
%SystemRoot%\system32\rsvpsp.dll [MS], 06 - 07


Toolbars, Explorer Bars, Extensions:
------------------------------------

Extensions (Tools menu items, main toolbar menu buttons)

HKCU\Software\Microsoft\Internet Explorer\Extensions\
{6FDD5236-C9F0-49EF-935D-385F5E21991A}\
"ButtonText" = "Poker.com"
"Exec" = "C:\Programme\Poker.com\Poker.exe" ["Poker.com"]

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{08B0E5C0-4FCB-11CF-AAA5-00401C608501}"

{49783ED4-258D-4F9F-BE11-137C18D3E543}\
"ButtonText" = "Titan Poker"
"MenuText" = "Titan Poker"
"Exec" = "C:\Poker\Titan Poker\casino.exe" [null data]

{A68FC757-51CF-4F3C-B13A-BFB8CA69BB99}\
"ButtonText" = "CDPoker"
"MenuText" = "CDPoker"
"Exec" = "C:\Poker\CDPoker\casino.exe" [null data]

{B723B1B8-9788-4684-ADA7-D1DB02E1D516}\
"ButtonText" = "Noble Poker"
"MenuText" = "Noble Poker"
"Exec" = "C:\Poker\Noble Poker\casino.exe" [null data]

{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}\
"ButtonText" = "PartyPoker.com"
"MenuText" = "PartyPoker.com"
"Exec" = "C:\Programme\PartyGaming\PartyPoker\RunApp.exe" [empty string]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["Avira GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
EPSON Printer Status Agent2, EPSONStatusAgent2, "C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe" ["SEIKO EPSON CORPORATION"]
eScan Management-Console, eScan-eServ, "C:\PROGRA~1\eScan\TRAYESER.EXE" ["MWTI2"]
eScan Monitor Service, KAVMonitorService, "C:\PROGRA~1\eScan\avpm.exe /service" ["Kaspersky Labs."]
eScan Server-Updater, eScan-trayicos, "C:\PROGRA~1\eScan\TRAYSSER.EXE" ["MicroWorld Technologies Inc."]
MWAgent, MWAgent, "C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE" ["MicroWorld Technologies Inc."]
Windows Media Player-Netzwerkfreigabedienst, WMPNetworkSvc, ""C:\Programme\Windows Media Player\WMPNetwk.exe"" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor S750\Driver = "CNMLM3q.DLL" ["CANON INC."]
EPSON V5 2KMonitor\Driver = "EBPMON2.DLL" ["SEIKO EPSON CORPORATION"]


---------- (launch time: 2007-10-18 21:49:47)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 37 seconds, including 7 seconds for message boxes)


Lg Günter

PS: WICHTIGE ANMERKUNG: Während des Scanns hat Antivir 4x augeschrien, dass ein TR/Hijack.Agent.AC an Bord ist.

Hier das Resultat von process.exe:

Datei process.exe empfangen 2007.10.18 21:40:56 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 7/32 (21.88%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 48 und 68 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.19.0 2007.10.18 Win-AppCare/PrcViewer.53248
AntiVir 7.6.0.27 2007.10.18 -
Authentium 4.93.8 2007.10.18 -
Avast 4.7.1051.0 2007.10.17 -
AVG 7.5.0.488 2007.10.18 -
BitDefender 7.2 2007.10.18 -
CAT-QuickHeal 9.00 2007.10.18 -
ClamAV 0.91.2 2007.10.17 -
DrWeb 4.44.0.09170 2007.10.18 -
eSafe 7.0.15.0 2007.10.15 -
eTrust-Vet 31.2.5220 2007.10.18 -
Ewido 4.0 2007.10.18 -
FileAdvisor 1 2007.10.18 High threat detected
Fortinet 3.11.0.0 2007.10.18 Misc/PrcViewer
F-Prot 4.3.2.48 2007.10.18 -
F-Secure 6.70.13030.0 2007.10.18 -
Ikarus T3.1.1.12 2007.10.18 -
Kaspersky 7.0.0.125 2007.10.18 -
McAfee 5144 2007.10.18 potentially unwanted program PrcViewer
Microsoft 1.2908 2007.10.18 -
NOD32v2 2601 2007.10.18 Win32/PrcView
Norman 5.80.02 2007.10.18 -
Panda 9.0.0.4 2007.10.18 Application/Processor
Prevx1 V2 2007.10.18 -
Rising 19.45.32.00 2007.10.18 -
Sophos 4.22.0 2007.10.18 -
Sunbelt 2.2.907.0 2007.10.18 -
Symantec 10 2007.10.18 -
TheHacker 6.2.9.097 2007.10.18 Aplicacion/Processor.20
VBA32 3.12.2.4 2007.10.17 -
VirusBuster 4.3.26:9 2007.10.18 -
Webwasher-Gateway 6.6.1 2007.10.18 -
weitere Informationen
File size: 53248 bytes
MD5: 7397f6ee4a9601a123b645c0cd428017
SHA1: 890368473ecbc404dcd42ff0c6c38397102f59c0
Bit9 info: Bit9 FileAdvisor - Search Results
_______________________________________________________________________________
Datei swsc.exe empfangen 2007.10.18 21:50:45 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 3/32 (9.38%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.19.0 2007.10.18 -
AntiVir 7.6.0.27 2007.10.18 -
Authentium 4.93.8 2007.10.18 -
Avast 4.7.1051.0 2007.10.17 -
AVG 7.5.0.488 2007.10.18 -
BitDefender 7.2 2007.10.18 -
CAT-QuickHeal 9.00 2007.10.18 -
ClamAV 0.91.2 2007.10.17 -
DrWeb 4.44.0.09170 2007.10.18 -
eSafe 7.0.15.0 2007.10.15 suspicious Trojan/Worm
eTrust-Vet 31.2.5220 2007.10.18 -
Ewido 4.0 2007.10.18 -
FileAdvisor 1 2007.10.18 Low threat detected
Fortinet 3.11.0.0 2007.10.18 -
F-Prot 4.3.2.48 2007.10.18 -
F-Secure 6.70.13030.0 2007.10.18 -
Ikarus T3.1.1.12 2007.10.18 -
Kaspersky 7.0.0.125 2007.10.18 -
McAfee 5144 2007.10.18 -
Microsoft 1.2908 2007.10.18 -
NOD32v2 2601 2007.10.18 -
Norman 5.80.02 2007.10.18 -
Panda 9.0.0.4 2007.10.18 -
Prevx1 V2 2007.10.18 Prevx Database Unreachable
Rising 19.45.32.00 2007.10.18 -
Sophos 4.22.0 2007.10.18 -
Sunbelt 2.2.907.0 2007.10.18 -
Symantec 10 2007.10.18 -
TheHacker 6.2.9.097 2007.10.18 -
VBA32 3.12.2.4 2007.10.17 -
VirusBuster 4.3.26:9 2007.10.18 -
Webwasher-Gateway 6.6.1 2007.10.18 -
weitere Informationen
File size: 40960 bytes
MD5: c16b1595e3c2ffc875ef28bf66ec557f
SHA1: 4da6d047e81fd13e0cfa4e390b85d35f9a136887
packers: UPX
Bit9 info: Bit9 FileAdvisor - Search Results
packers: UPX
packers: UPX
______________________________________________________________________________
Datei swreg.exe empfangen 2007.10.18 21:50:08 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 3/31 (9.68%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 6.
Geschätzte Startzeit is zwischen 61 und 87 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.19.0 2007.10.18 -
AntiVir 7.6.0.27 2007.10.18 -
Authentium 4.93.8 2007.10.18 -
Avast 4.7.1051.0 2007.10.17 -
AVG 7.5.0.488 2007.10.18 -
BitDefender 7.2 2007.10.18 -
CAT-QuickHeal 9.00 2007.10.18 -
ClamAV 0.91.2 2007.10.17 -
DrWeb 4.44.0.09170 2007.10.18 -
eSafe 7.0.15.0 2007.10.15 suspicious Trojan/Worm
eTrust-Vet 31.2.5220 2007.10.18 -
Ewido 4.0 2007.10.18 -
FileAdvisor 1 2007.10.18 -
Fortinet 3.11.0.0 2007.10.18 -
F-Prot 4.3.2.48 2007.10.18 -
F-Secure 6.70.13030.0 2007.10.18 -
Ikarus T3.1.1.12 2007.10.18 -
Kaspersky 7.0.0.125 2007.10.18 -
McAfee 5144 2007.10.18 -
Microsoft 1.2908 2007.10.18 -
NOD32v2 2601 2007.10.18 -
Norman 5.80.02 2007.10.18 -
Panda 9.0.0.4 2007.10.18 Suspicious file
Prevx1 V2 2007.10.18 Malware.Gen
Rising 19.45.32.00 2007.10.18 -
Sophos 4.22.0 2007.10.18 -
Sunbelt 2.2.907.0 2007.10.18 -
Symantec 10 2007.10.18 -
TheHacker 6.2.9.097 2007.10.18 -
VBA32 3.12.2.4 2007.10.17 -
VirusBuster 4.3.26:9 2007.10.18 -
weitere Informationen
File size: 139776 bytes
MD5: 7e09f238407804941805a8514547493d
SHA1: 57ac7d24b4ec75c2e697064a0d40146762169837
packers: UPX
packers: UPX
packers: UPX
Prevx info: SWREG.EXE, Prevx


Bis später...

Hmm...wirklich handfeste Einträge, die auf eine Infektion hinweisen, hab ich nicht gesehen. Escan hat auch nichts schlimmes gefunden. Was es da gefunden hat, dürften die Dateien vom smitfraudfix sein.

Kennst du diese Ordner?

Code: Alles auswählenAufklappen

ATTFilter

C:\PUB
C:\WINDOWS\system32\ebay
         

Vllt. kannst auch mal ein Blick reinwerfen oder mit dem dir Befehl den Inhalt dieser Ordner auflisten und hierrein posten.

Welche Datei genau hast du da jetzt auswerten lassen? Ich würd sie auf jeden Fall löschen. Beobachte ob die Dateien auch beim nächsten Systemstart auch wirklich weg sind und nicht wieder "respawned" sind.

Sry, ich meinte nat. diese Dateien, die du auswerten solltest:

Code: Alles auswählenAufklappen

ATTFilter

C:\Windows\System32\sulimo_Delete_Me_Dummy_systems.txt
C:\Windows\System32\sulimo_Delete_Me_Dummy_systems.dat
         

Sowie die sulimo.dat. Was du ausgewertet hast sind die Executables vom smitfraudfix!

Das ist ja genau das Problem.

Angefangen hat alles mit einer C:\WINDOWS\xlavra.exe Datei, die sich zwar von AntiVir löschen ließ, aber beim Neustart als C:\WINDOWS\xlavra.exe2 wieder da war, danach als C:\WINDOWS\xlavra3.exe. Dann war sie ganz weg.

Denn dann kam die C:\Windows\System32\sulimo.dat ins Spiel, die ich mit SmitFraudFix löschen wollte, gelang mir oberflächlich(ich kann sie nicht finden, selbst mit cmd, kann ich sie nicht löschen aber zumindest findet das System die Datei.

Und danach zeigte eben SmitFrauFix diese Datei an: C:\Windows\System32\sulimo_Delete_Me_Dummy_systems.dat

Ich hoffe die Hintergrundinfos helfen ein wenig,

bis bald

Günter

Welche Schädlingsnamen hat AntiVir geliefert? Nur den TR/Ddlr.Agent.eao oder auch andere?
Du hast ja neben AntiVir auch den "richtigen" Escan drauf, und nicht den MWAV, also das kleine Standalonetool, das keine Installation braucht. Entscheide dich für einen denn mehrere aktive Virenscanner können Probleme veursachen.

Hallo!

Heute hat er bei ComboFix unter der Datei: C:\DOKUME~\GNTER~1\kdtugmrqSNVB67A.dll den Virus TR/Hijack.Agent.AC angezeigt und damals eben den

TR/Dldr.Agent.eao unter C:\WINDOWS\xlavra.exe

und den TR/Agent.CZP unter C:\WINDOWS\dravic.exe

Lg Günter


PS: eScan ist die Testversion. Komisch, auch während dem Schreiben, hakt der PC immer für einige Sekunden in einem Rhythmus. Kann ich das irgendwie abstellen???? Oder ist das der Virus?

Klar kann das der Schädling sein. Oder aber auch, weil sich die zwei Virenscanner gegenseitig in die Quere kommen. Da du eh nur eine Textversion von escan drauf hast, würde ich dir raten diese zu löschen.

Mach mal bitte ein ausführliches filelisting mit diesem script. Speichere es per Rechtsklick auf dem Desktop ab und klick es an. Nach kurzer Zeit öffnet sich der Editor und es erscheint eine listing.txt ebenfalls auf deinem Desktop - lad die z.B. bei rapidshare hoch und verlink das hier, da diese Logdatei zu groß fürs TB ist.

Ich hoffe, es klappt:

http://rapidshare.com/files/63519140/listing.txt.html

Lg Günter

Wie ich sehe, hast du wohl mit diversen Removaltools gearbeitet (Fixwareout, SDFix, ...) - haben die was gefunden?

Wenn du wirklich auf Nummer sicher gehen willst, solltest du neu aufsetzen. Bei der ganzen Wulst an schädlichen Dateien verliert man schnell den Überblick, insbesondere kann nicht mehr genau geklärt was nun tatsächlich alles schon (halbwegs!) entfernt wurde!

Leider haben ausser AntiVir und SmitFraud keine Scanns was ergeben.

Ich wär ja schon froh, wenn er halbwegs wieder die alte Geschwindigkeit haben würde, aber ich denke ich werde einfach mal alle Scanner entfernen, ausser AntiVir, Adaware und Spybot und dann werd ich sehen, ob sich einfach nur die Programme in die Quere gekommen sind. Ich es hoffe es :-)


Vielen Dank nochmal für deine Hilfe


Günter

PS: Wie komme ich eigentlich in dieses Ordner um die Datei scannen lassen zu können? C:\DOKUME~\GNTER~1\kdtugmrqSNVB67A.dll

Der Ordner dürfte sein:
C:\Dokumente und Einstellungen\<Name>\kdtugmrqSNVB67A.dll

Wie kompliziert macht ihr euch das eig. alle hier....

Die Lösung ist doch schon lange gepostet worden...

Zitat:

Zitat von Heidefighter

Hallo, hätte dazu noch einmal einen anderen Vorschlag der funzt.

Die Datei sulimo.dat mit Editor öffnen und gesamten Inhalt löschen und
schreibgeschützt speichern.
Windows versucht dann zwar immer noch auf die Datei zuzugreifen, kann aber nichts finden, da die Datei ja kein Inhalt mehr hat
Die auftauchenden Meldungen können somit ignoriert werden.


Anschließend mit Spyware Doctor Virus entfernen.

stattdessen gibts hier nen kompetenzteam, welches so kompetent is, das es nicht einmal posts lesen kann

Zitat:

Zitat von cosinus

Hallo.

Werte die beiden fraglichen Dateien mal bei Virustotal aus und poste sämtliche Ergebnisse inkl. Dateigrößen und Prüfsummen.

Führ auch folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Silentrunners
- combofix

wenn du dir die ersten posts durchgelesen hättest, wüsstest du ua. das er escan bereits benutzt hat

und die lösung vom Heidefighter funzt einwandfrei...

aber stattdessen macht ihr euchs alle so schwer


nuja, warum einfach, wenns auch kompliziert geht

Hallo!


Naja, das Problem wird dadurch etwas schwer gemacht, dass SmitFraudFix die Datei eben gelöscht hat, aber leider nur oberflächlich, d.h.: ich kann sie im Explorer nicht finden und demnach auch leider nicht editieren.

Wenn ich über cmd in den Dos Ebene gelange, finde ich zwar die Datei, ich kann auch del C:\WINDOWS\system32\sulimo_Delete_Me_Dummy_systems.dat anwenden, er fragt mich auch ob ich die Datei sicher löschen will, aber sie läßt sich nicht löschen.

Insofern wäre ich für einen Hinweis, welche Alternativen ich noch habe, gerne offen.

So leicht ist es leider nun eben doch nicht,


Lg Günter