Guten Tag und Willkommen!

Ich bin [SYP] Battlecommander, und kenne mich eigentlich sehr gut mit PC´s aus.

Leider habe ich letzterzeit Probleme bekommen, die ich nicht selber lösen kann.

Ich starte ganz normal mein Windows. (Alles ist noch in Ordnung).
Es lädt mein Anti Virus (Avira Anti Virus Personal Edition Classic) und meine zwei Anti Spyware Sofwares (Uniblue Spy Eraser, AVG Anti Spyware 7.5).
Alles funktioniert! Dann urplötzlich nach ca. 30 Minuten kann ich keine Programme mehr starten wie zB. Mozilla Firefox. Der Prozess erscheint in dem Task Manager aber es erscheint kein Fenster! Das nervt mich schon seit 3 Tagen. Ich dachte zuerst es könne an einem Virus liegen, aber ich habe mehrere Fullscans mit keinem Fund gemacht. Ich habe keine Spyware bzw. Malware, Adware oder Viren, Würmer gefunden. Dann habe ich HijackThis benutzt, ich glaube mein HijackThis Logfile ist auch in Ordnung.

Ich poste mal für professionelle User mal mein Hijack This Logfile:
Ich bräuchte unbedingt Hilfe von einem der sich gut auskennt.

Ich Danke im Voraus, das Ihr mir helft!
Mit Lieben Grüßen [SYP] Battlecommander.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:04:48, on 16.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer Version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\aon\aonMessageCenter\aonMessageCenter.exe
D:\John\Anti Virus und Registryrepairprogramme\Anti Spyware\AVG Anti Spyware\AVG Anti-Spyware 7.5\avgas.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\aon\aonUpdate\aonUpdate.exe
D:\John\Anti Virus und Registryrepairprogramme\Anti Malware\a squared Anti Malware\a-squared Free\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\John\Anti Virus und Registryrepairprogramme\Anti Spyware\AVG Anti Spyware\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\John\Anti Virus und Registryrepairprogramme\Anti Spyware\Spy Eraser\Programmdateien\SpyEraser.exe
D:\John\Anti Virus und Registryrepairprogramme\Anti Spyware\HijackThis\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aon.at
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
O4 - HKLM\..\Run: [1aonmessagecenter] C:\Programme\aon\aonMessageCenter\aonMessageCenter.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\John\Anti Virus und Registryrepairprogramme\Anti Spyware\AVG Anti Spyware\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [aonUpdate] C:\Programme\aon\aonUpdate\aonUpdate.exe /tray
O4 - HKCU\..\Run: [Uniblue SpyEraser] "D:\John\Anti Virus und Registryrepairprogramme\Anti Spyware\Spy Eraser\Programmdateien\SpyEraser.exe" -m
O17 - HKLM\System\CCS\Services\Tcpip\..\{944E9592-6819-41A2-A6EA-3CAFCB7112E5}: NameServer = 195.3.96.67 195.3.96.68
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - D:\John\Anti Virus und Registryrepairprogramme\Anti Malware\a squared Anti Malware\a-squared Free\a2service.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\John\Anti Virus und Registryrepairprogramme\Anti Spyware\AVG Anti Spyware\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: MXRS(mxrs) (MXRS) - ATI Technologies Inc. - (no file)

--
End of file - 3253 bytes
         

"mxrs.exe" war infeziert, hat mir a-squared Anti Malware berichtet. Deswegen habe ich es gelöscht. (Also nicht wundern über No file).

Hallo.

Ist das alles vom HJT-Logfile? Das ist ganz schön schon kurz.
Schädlinge hab ich dadrin auch nicht so gesehen. Führ mal für weitere Analysezwecke folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Silentrunners
- combofix

Guten Tag und Hallo "@cosinus".

Danke für deine rasche Antwort!

Also ich bin sehr positiv überrascht über "e-scan" es hat 6 Viren gefunden. Respekt kann ich nur sagen =). Ich hab schon diese Viren beseitigt. Bis jetzt läuft alles gut . Hatte heute keine Probleme. Ich war 2 Stunden online und alles hat geklappt. Ich merk mir diese Softwares .

Und ich hatte nichts im HijackThis Logfile verändert. Das war wirklich alles!

e-Scan:

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.7
Sprache: German
C:\DOKUME~1\USER~2.USE\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\System32\ftpupd.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\System32\i infiziert von "Trojan-Downloader.BAT.Ftp.ab" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\System32\mxrs.exe infiziert von "Backdoor.Win32.SdBot.avj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\System32\swreg.exe
Offending file found: C:\WINDOWS\System32\swsc.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 16:30:22,19
Batchende: 16:30:24,38

SillentRunners:

Zitat:

"Silent Runners.vbs", revision 52, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"aonUpdate" = "C:\Programme\aon\aonUpdate\aonUpdate.exe /tray" ["mquadr.at software engineering und consulting GmbH"]
"Uniblue SpyEraser" = ""D:\John\Anti Virus und Registryrepairprogramme\Anti Spyware\Spy Eraser\Programmdateien\SpyEraser.exe" -m" ["Uniblue Software"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"1aonmessagecenter" = "C:\Programme\aon\aonMessageCenter\aonMessageCenter.exe" ["mquadr.at software engineering & consulting GmbH"]
"!AVG Anti-Spyware" = ""D:\John\Anti Virus und Registryrepairprogramme\Anti Spyware\AVG Anti Spyware\AVG Anti-Spyware 7.5\avgas.exe" /minimized" ["GRISOFT s.r.o."]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
{306D6C21-C1B6-4629-986C-E59E1875B8AF}\(Default) = (no title provided)
\StubPath = ""C:\WINDOWS\System32\rundll32.exe" "C:\Programme\Messenger\msgsc.dll",ShowIconsUser" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{ABC70703-32AF-11d4-90C4-D483A70F4825}" = "CMenuExtender"
-> {HKLM...CLSID} = "CMenuExtender"
\InProcServer32\(Default) = "C:\WINDOWS\BricoPacks\Vista Inspirat 2\iColorFolder\CMExt.dll" ["Revenger inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{416651E4-9C3C-11D9-8BDE-F66BAD1E3F3A}" = "Nokia Phone Browser"
-> {HKLM...CLSID} = "Nokia Phone Browser"
\InProcServer32\(Default) = "D:\John\Sonstiges\Andere Programme und Dateien\Nokia 6151 PC Suite\Dateien\Nokia PC Suite 6\PhoneBrowser.dll" ["Nokia"]
"{A155339D-CCCD-4714-85EB-3754B804C9DF}" = "a-squared Free Shell Extension"
-> {HKLM...CLSID} = "a-squared Free Shell Extension"
\InProcServer32\(Default) = "d:\john\anti virus und registryrepairprogramme\anti malware\a squared anti malware\a-squared free\a2freecontmenu.dll" ["Emsi Software GmbH"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
<<!>> "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "AVG Anti-Spyware 7.5"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "D:\John\Anti Virus und Registryrepairprogramme\Anti Spyware\AVG Anti Spyware\AVG Anti-Spyware 7.5\shellexecutehook.dll" ["GRISOFT s.r.o."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "D:\John\Anti Virus und Registryrepairprogramme\Anti Spyware\AVG Anti Spyware\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
AVG Anti-Spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "D:\John\Anti Virus und Registryrepairprogramme\Anti Spyware\AVG Anti Spyware\AVG Anti-Spyware 7.5\context.dll" ["GRISOFT s.r.o."]
CMenuExtender\(Default) = "{ABC70703-32AF-11d4-90C4-D483A70F4825}"
-> {HKLM...CLSID} = "CMenuExtender"
\InProcServer32\(Default) = "C:\WINDOWS\BricoPacks\Vista Inspirat 2\iColorFolder\CMExt.dll" ["Revenger inc."]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
a-squared Free Shell Extension\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}"
-> {HKLM...CLSID} = "a-squared Free Shell Extension"
\InProcServer32\(Default) = "d:\john\anti virus und registryrepairprogramme\anti malware\a squared anti malware\a-squared free\a2freecontmenu.dll" ["Emsi Software GmbH"]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
a-squared Free Shell Extension\(Default) = "{A155339D-CCCD-4714-85EB-3754B804C9DF}"
-> {HKLM...CLSID} = "a-squared Free Shell Extension"
\InProcServer32\(Default) = "d:\john\anti virus und registryrepairprogramme\anti malware\a squared anti malware\a-squared free\a2freecontmenu.dll" ["Emsi Software GmbH"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableChangePassword" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"DisableLockWorkstation" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

"DisableRegistryTools" = (REG_DWORD) hex:0x00000000
{User Configuration|Administrative Templates|System|
Prevent access to registry editing tools}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\BricoPack Wallpaper.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\BricoPack Wallpaper.bmp"


Enabled Scheduled Tasks:
------------------------

"RegCure Program Check" -> launches: "D:\John\Anti Virus und Registryrepairprogramme\Anti Registryfehler\Registry Cure\RegCure\RegCure.exe ShowReminders" [null data]
"RegCure" -> launches: "D:\John\Anti Virus und Registryrepairprogramme\Anti Registryfehler\Registry Cure\RegCure\RegCure.exe -t" [null data]
"Uniblue SpeedUpMyPC Nag" -> launches: "D:\John\Anti Virus und Registryrepairprogramme\Anti Registryfehler\Speed Up My PC 3\Programmdateien\SpeedUpMyPC.exe -s" [file not found]
"Uniblue SpeedUpMyPC" -> launches: "D:\John\Anti Virus und Registryrepairprogramme\Anti Registryfehler\Speed Up My PC 3\Programmdateien\SpeedUpMyPC.exe -s" [file not found]
"Uniblue SpyEraser Nag" -> launches: "D:\John\Anti Virus und Registryrepairprogramme\Anti Spyware\Spy Eraser\Programmdateien\SpyEraser.exe -ynag" ["Uniblue Software"]
"Uniblue SpyEraser" -> launches: "D:\John\Anti Virus und Registryrepairprogramme\Anti Spyware\Spy Eraser\Programmdateien\SpyEraser.exe -s" ["Uniblue Software"]
"XoftSpySE" -> launches: "D:\John\Anti Virus und Registryrepairprogramme\Anti Spyware\Xoftspy\Xoftspy\XoftSpy.exe -t" ["ParetoLogic"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

a-squared Free Service, a2free, ""D:\John\Anti Virus und Registryrepairprogramme\Anti Malware\a squared Anti Malware\a-squared Free\a2service.exe"" ["Emsi Software GmbH"]
AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
AVG Anti-Spyware Guard, AVG Anti-Spyware Guard, "D:\John\Anti Virus und Registryrepairprogramme\Anti Spyware\AVG Anti Spyware\AVG Anti-Spyware 7.5\guard.exe" ["GRISOFT s.r.o."]


---------- (launch time: 2007-10-17 16:41:03)

ComboFix:

Zitat:

ComboFix 07-10-17.8@ - User 2007-10-17 15:59:32.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.1031.18.274 [GMT 2:00]
ausgeführt von:: D:\John\Anti Virus und Registryrepairprogramme\Tools\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\efcya.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-09-17 bis 2007-10-17 ))))))))))))))))))))))))))))))
.

2007-10-17 15:57 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-16 19:26 2,854,400 --a------ C:\WINDOWS\system32\msi.dll
2007-10-16 18:56 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Uniblue
2007-10-16 18:43 182,272 --a------ C:\WINDOWS\system32\mxrs.exe
2007-10-15 19:12 29,696 --a------ C:\WINDOWS\system32\flcss.exe
2007-10-15 16:23 33,824 --a------ C:\WINDOWS\system32\drivers\oreans32.sys
2007-10-14 20:26 <DIR> d-------- C:\Dokumente und Einstellungen\User.USERORGA-I4WSA7\Anwendungsdaten\Microsoft Web Folders
2007-10-14 20:11 <DIR> d-------- C:\WINDOWS\A5W_DATA
2007-10-14 14:53 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\BOC425
2007-10-14 14:53 235,008 --a------ C:\WINDOWS\UNBOC.EXE
2007-10-14 14:53 208,896 --a------ C:\WINDOWS\CMDLIC.DLL
2007-10-10 16:45 <DIR> d-------- C:\Programme\SPYWAREfighter
2007-10-09 17:20 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
2007-10-09 16:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application
2007-10-08 19:04 0 --a------ C:\WINDOWS\system32\ftpupd.exe
2007-10-08 05:21 21,760 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2007-10-07 15:45 108,728 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2007-10-07 15:45 48,824 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2007-10-07 15:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2007-10-06 17:26 <DIR> C:\Dokumente und Einstellungen\LocalService.NT-AUTORITÄT\Startmen�
2007-10-04 16:28 <DIR> d-------- C:\Dokumente und Einstellungen\User.USERORGA-I4WSA7\Phone Browser
2007-10-04 16:19 <DIR> d-------- C:\Dokumente und Einstellungen\User.USERORGA-I4WSA7\Anwendungsdaten\Nokia
2007-10-04 16:19 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\PC Suite
2007-10-04 16:17 <DIR> d-------- C:\Dokumente und Einstellungen\User.USERORGA-I4WSA7\Anwendungsdaten\PC Suite
2007-10-04 16:17 137,216 --a------ C:\WINDOWS\system32\drivers\nmwcd.sys
2007-10-04 16:17 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll
2007-10-04 16:17 65,536 --a------ C:\WINDOWS\system32\nmwcdcocls.dll
2007-10-04 16:17 12,288 --a------ C:\WINDOWS\system32\drivers\nmwcdcm.sys
2007-10-04 16:17 12,288 --a------ C:\WINDOWS\system32\drivers\nmwcdcj.sys
2007-10-04 16:17 8,320 --a------ C:\WINDOWS\system32\drivers\nmwcdc.sys
2007-10-04 16:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Installations
2007-10-03 15:45 2,297,552 --a------ C:\WINDOWS\system32\d3dx9_26.dll
2007-10-03 15:38 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\TEMP
2007-10-02 17:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\ParetoLogic Anti-Spyware
2007-10-02 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\User.USERORGA-I4WSA7\Anwendungsdaten\vlc
2007-10-02 17:12 852 --a------ C:\WINDOWS\system32\tmp.reg
2007-10-02 16:31 203,776 --a------ C:\WINDOWS\system32\uxtheme.dll
2007-10-02 16:31 203,776 --a--c--- C:\WINDOWS\system32\dllcache\uxtheme.dll
2007-10-02 16:24 221 --a------ C:\WINDOWS\BricoPackFoldersDelete.cmd
2007-10-02 16:10 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-10-02 16:10 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2007-10-02 15:57 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-10-02 15:57 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-10-02 15:57 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-10-02 15:57 186,648 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-10-02 15:57 33,624 --a------ C:\WINDOWS\system32\wups.dll
2007-10-01 18:08 <DIR> d-------- C:\Dokumente und Einstellungen\User.USERORGA-I4WSA7\Contacts
2007-10-01 18:00 <DIR> d-------- C:\Dokumente und Einstellungen\User.USERORGA-I4WSA7\Anwendungsdaten\ICQLite
2007-10-01 17:32 70,517 --a------ C:\WINDOWS\BricoPackUninst.cmd
2007-10-01 17:12 <DIR> d-------- C:\Programme\Avira
2007-10-01 16:28 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Avira
2007-09-30 21:07 <DIR> d-------- C:\Dokumente und Einstellungen\User.USERORGA-I4WSA7\Anwendungsdaten\Talkback
2007-09-30 21:00 159,360 --a------ C:\WINDOWS\system32\drivers\kmixer.sys
2007-09-30 21:00 142,208 --a------ C:\WINDOWS\system32\drivers\aec.sys
2007-09-30 21:00 77,440 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2007-09-30 21:00 56,832 --a------ C:\WINDOWS\system32\drivers\sysaudio.sys
2007-09-30 21:00 54,272 --a------ C:\WINDOWS\system32\drivers\swmidi.sys
2007-09-30 21:00 50,048 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2007-09-30 21:00 5,888 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2007-09-30 21:00 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2007-09-30 21:00 2,816 --a------ C:\WINDOWS\system32\drivers\drmkaud.sys
2007-09-30 20:59 56,704 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-09-30 20:59 50,176 --a------ C:\WINDOWS\system32\vfwwdm32.dll
2007-09-30 20:59 9,856 --a------ C:\WINDOWS\system32\drivers\gameenum.sys
2007-09-30 20:58 921,475 --a------ C:\WINDOWS\system32\ati3d2ag.dll
2007-09-30 20:58 844,675 --a------ C:\WINDOWS\system32\ati3d1ag.dll
2007-09-30 20:58 134,272 --a------ C:\WINDOWS\system32\drivers\portcls.sys
2007-09-30 20:58 84,480 --a------ C:\WINDOWS\system32\drivers\ac97via.sys
2007-09-30 20:58 57,856 --a------ C:\WINDOWS\system32\drivers\drmk.sys
2007-09-30 20:58 27,392 --a------ C:\WINDOWS\system32\drivers\VIAAGP.SYS
2007-09-30 20:58 24,960 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2007-09-30 20:57 70,144 --a------ C:\WINDOWS\system32\usbui.dll
2007-09-30 20:57 23,070 --a------ C:\WINDOWS\system32\drivers\RTL8139.sys
2007-09-30 20:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Vorlagen
2007-09-30 20:52 <DIR> dr------- C:\Dokumente und Einstellungen\Default User.WINDOWS\Startmen�
2007-09-30 20:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Netzwerkumgebung
2007-09-30 20:52 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Lokale Einstellungen
2007-09-30 20:52 <DIR> d-------- C:\Dokumente und Einstellungen\Default User.WINDOWS\Favoriten
2007-09-30 20:52 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Druckumgebung
2007-09-30 20:52 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User.WINDOWS\Anwendungsdaten
2007-09-30 20:52 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users.WINDOWS\Vorlagen
2007-09-30 20:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Startmen�
2007-09-30 20:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Favoriten
2007-09-30 20:52 <DIR> dr------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Dokumente
2007-09-30 20:52 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten
2007-09-30 20:39 <DIR> d-------- C:\Dokumente und Einstellungen\User.USERORGA-I4WSA7\Anwendungsdaten\Grisoft
2007-09-30 20:39 <DIR> d-------- C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Grisoft
2007-09-30 20:39 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2007-09-30 20:36 0 --a------ C:\WINDOWS\nsreg.dat
2007-09-30 20:35 2,266 --a------ C:\WINDOWS\mozver.dat
2007-09-30 20:31 <DIR> d-------- C:\Dokumente und Einstellungen\User.USERORGA-I4WSA7\Anwendungsdaten\Uniblue
2007-09-30 20:29 <DIR> d--h----- C:\Dokumente und Einstellungen\User.USERORGA-I4WSA7\Vorlagen
2007-09-30 20:29 <DIR> d-------- C:\Dokumente und Einstellungen\User.USERORGA-I4WSA7\Startmen�
2007-09-30 20:29 <DIR> d--h----- C:\Dokumente und Einstellungen\User.USERORGA-I4WSA7\Netzwerkumgebung
2007-09-30 20:29 <DIR> d--h----- C:\Dokumente und Einstellungen\User.USERORGA-I4WSA7\Lokale Einstellungen
2007-09-30 20:29 <DIR> d---s---- C:\Dokumente und Einstellungen\User.USERORGA-I4WSA7\Favoriten
2007-09-30 20:29 <DIR> d---s---- C:\Dokumente und Einstellungen\User.USERORGA-I4WSA7\Eigene Dateien
2007-09-30 20:29 <DIR> d--h----- C:\Dokumente und Einstellungen\User.USERORGA-I4WSA7\Druckumgebung
2007-09-30 20:29 <DIR> d--h----- C:\Dokumente und Einstellungen\User.USERORGA-I4WSA7\Anwendungsdaten
2007-09-30 20:27 <DIR> C:\Dokumente und Einstellungen\NetworkService.NT-AUTORITÄT\Lokale Einstellungen

(Musste ich hier kürzen! Waren zu viele Zeichen!)
**************************************************************************
Zeit der Fertigstellung: 2007-10-17 16:06:55 - machine was rebooted

Moin.

Zitat:

Zitat von Battlecommander

Also ich bin sehr positiv überrascht über "e-scan" es hat 6 Viren gefunden. Respekt kann ich nur sagen =). Ich hab schon diese Viren beseitigt. Bis jetzt läuft alles gut . Hatte heute keine Probleme.

Du hast aber schon das

Zitat:

Zitat von Battlecommander

Datei C:\WINDOWS\System32\mxrs.exe infiziert von "Backdoor.Win32.SdBot.avj" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

gelesen, oder?

Zitat:

Datei C:\WINDOWS\System32\mxrs.exe infiziert von "Backdoor.Win32.SdBot.avj"

Jupp, ein "schöner" Sdbot!
@Battlecommander: Du hast eine Windows-Neuinstallation gewonnen!

mxrs.exe habe ich mit HijackThis entfernt. Bin MiscTools und dann "Delete File on reboot". Habe die Datei ausgewählt, Windows automatisch restartet und finito, Datei gelöscht. Dann habe ich einen neuen Scan mit E-scan gemacht. Nichts gefunden außer das in der Registry. Außerdem Franz 1968, ich hab die version von e-scan die nix löschen kann. Und der Eintrag war mir bewusst. Deswegen löschte ich mxrs.exe da ichs nur für ATI Technologies bräuchte. ATI habe ich neu installiert! Windows werde ich erst wieder Neuinstallieren, wenn es zu große Probleme mit dem PC gibt. Ich weiß das wenn ich mxrs.exe auch gelöscht habe ich mein System trotzdem neuinstallieren muss, also keiner soll mir davon ein Vortrag halten.

Trotzdem Danke für eure NETTE UNTERSTÜTZUNG !!

Zitat:

O23 - Service: MXRS(mxrs) (MXRS) - ATI Technologies Inc. - (no file)

Irrtum. Nur das Löschen dieser Datei reicht nicht aus. Du hast vllt. den sichtbaren Teil entfernt, mehr aber auch nicht. Wir schreiben auch nicht zum Spaß, dass du die Kiste neu aufsetzen musst.

Hallo,

der O23 Eintrag hat nix zu sagen !!
Das ist ein alter bekannter Fehler in HJT.

Zitat:

Ich bin [SYP] Battlecommander, und kenne mich eigentlich sehr gut mit PC´s aus.

Das stelle ich mal heftigst in Abrede....
Dein Auskennen dürfte sich maximal auf das Starten irgendwelcher Tools beziehen....
Ein "Auskenner" würde nach dem benannten Bot googeln....
Ein "Auskenner" würde sein Unwissen ahnen ,wenn zwei Kompetenzler sagen "setz neu auf"...
Ein "Auskenner" hätte ein Image zur Hand und bräuchte 15 Minuten dafür...

Bevor du weitere Tips hier verbreitest möchte ich dir unsere FAQ ans Herz legen.Dort gibt es sehr viel wissentswerten Links nachzuspüren...
Irrlicht