Windows Error Message Virus/Wurm?

M4tze · 10.11.2007, 20:42

also ich bekomm beim starten von windows immer einen error: "ERROR: execution of the specified command has failed!".
Daraufhin hab ich in der msconfig die systemstarts deaktiviert und einzeln wieder aktiviert. Es stellte sich heraus dass es an diesem eintrag lag:

Systemstartelement:
conf

Befehl:
C:\WINDOWS\system32\drivers\etc\LSASS.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\svchost.exe -b C:\WINDOWS\SYSTEM32\DRIVERS\etc\conf.dll

jetzt möchte ich wohl gerne wissen ob mein system infiziert ist.

Hier meine HijackThis log file:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:36:29, on 10.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Raptor-Gaming\RGM2\Panel.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\programme\steam\steam.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe
C:\Dokumente und Einstellungen\*****\Desktop\files\mousometer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\WINDOWS\system32\r_server.exe
C:\Programme\Virtual CD v8\System\VC8SecS.exe
C:\WINDOWS\System32\svchost.exe
C:\Dokumente und Einstellungen\*****\Desktop\Gulli stuff\RSD0.52T5\RSD.exe
C:\Programme\DTM III\RD3.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\HijackThis\HijackThis.exe

O1 - Hosts: 80.190.241.30 home.edonkey.com
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Raptor-Gaming M2] C:\Programme\Raptor-Gaming\RGM2\Panel.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: My_AutoWarkey_Script.lnk = C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe
O4 - Startup: Verknüpfung mit mousometer.lnk = C:\Dokumente und Einstellungen\*****\Desktop\files\mousometer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Loki Drivers Auto Removal (pr2agqwc) (pr2agqwc) - Cyanide - C:\WINDOWS\system32\pr2agqwc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe
O23 - Service: Virtual CD v8 Management Service (VC8SecS) - H+H Software GmbH - C:\Programme\Virtual CD v8\System\VC8SecS.exe

cosinus · 11.11.2007, 00:15

Tach!

Code:

ATTFilter

C:\Dokumente und Einstellungen\*****\Desktop\Gulli stuff\RSD0.52T5\RSD.exe
C:\WINDOWS\system32\pr2agqwc.exe

Werte diese Dateien mal bei Virustotal aus und poste die Ergebnisse.

Zitat:

C:\WINDOWS\system32\drivers\etc\LSASS.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\svchost.exe -b C:\WINDOWS\SYSTEM32\DRIVERS\etc\conf.dll

Sieht nach Schädlingen aus, die sich mit den Namen legitimer Systemdateien tarnen. Werte diese Dateien ebenfalls mal bei VT aus.

Zitat:

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe

Dir ist bewusst, dass auf deiner Kiste ein RAT läuft?

M4tze · 11.11.2007, 11:15

moin! und danke für die hilfe!

Bei der RSD.exe handelt es sich um einen "rapidshare downloader", den ich selber installiert hab. Sollte also kein Problem darstellen.
Der server wurde von mir mit hilfe von "remote administrator v.2.2" eingerichtet und ist ein remote server.

Also bei den beiden Sachen kann ich entwarnung geben.
Nach VirusTotal sind diese dateien ebenfalls unschädlich "pr2agqwc.exe" , "conf.dll".

Und bei der "svchost.exe" ist das Problem dass diese Datei sich nicht mehr in "C:\WINDOWS\SYSTEM32\DRIVERS\etc\" befindet sondern in "C:\WINDOWS\SYSTEM32\". VirusTotal stuft diese datei jedoch auch als unschädlich ein.

Hier die "LSASS.exe":
AhnLab-V3 2007.11.10.0 2007.11.09 -
AntiVir 7.6.0.34 2007.11.09 -
Authentium 4.93.8 2007.11.10 W32/Hidestd.component
Avast 4.7.1074.0 2007.11.10 Win32:HideWindows-B
AVG 7.5.0.503 2007.11.10 Obfustat.LFQ
BitDefender 7.2 2007.11.11 Spyware.Tool.Hidewindows.D
CAT-QuickHeal 9.00 2007.11.10 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.11.11 -
DrWeb 4.44.0.09170 2007.11.11 Trojan.PWS.Sable
eSafe 7.0.15.0 2007.11.08 suspicious Trojan/Worm
eTrust-Vet 31.2.5284 2007.11.09 -
Ewido 4.0 2007.11.11 -
FileAdvisor 1 2007.11.11 -
Fortinet 3.11.0.0 2007.10.19 HackerTool/HideRun
F-Prot 4.4.2.54 2007.11.10 W32/Hidestd.component
F-Secure 6.70.13030.0 2007.11.10 -
Ikarus T3.1.1.12 2007.11.11 not-a-virus

ialer.Win32.Agent.d
Kaspersky 7.0.0.125 2007.11.11 not-a-virus:RiskTool.Win32.HideWindows
McAfee 5160 2007.11.09 potentially unwanted program HideRun
Microsoft 1.3007 2007.11.11 VirTool:Win32/HiddenRun.B
NOD32 v2 2652 2007.11.11 -
Norman 5.80.02 2007.11.09 -
Panda 9.0.0.4 2007.11.10 Application/HideWindow.A
Prevx1 V2 2007.11.11 -
Rising 20.17.62.00 2007.11.11 -
Sophos 4.23.0 2007.11.11 HideWindow
Sunbelt 2.2.907.0 2007.11.09 Trojan.HideWindow
Symantec 10 2007.11.11 Hacktool.HideWindow
TheHacker 6.2.9.123 2007.11.10 -
VBA32 3.12.2.4 2007.11.08 -
VirusBuster 4.3.26:9 2007.11.10 Packed/Exe32Pack
Webwasher-Gateway 6.0.1 2007.11.11 Riskware.Tool.HideWindows.C

weitere Informationen
File size: 24724 bytes
MD5: 8c9c15e2633f65313170e01547038534
SHA1: a37e9da0722fbb13761b4615322686fb24875207
packers: exe32pack
packers: EXE32Pack
packers: Exe32Pack

cosinus · 11.11.2007, 18:21

Zitat:

Und bei der "svchost.exe" ist das Problem dass diese Datei sich nicht mehr in "C:\WINDOWS\SYSTEM32\DRIVERS\etc\" befindet sondern in "C:\WINDOWS\SYSTEM32\". VirusTotal stuft diese datei jedoch auch als unschädlich ein.

Die in System32 ist ja auch klar, denn das ist eine legitime Windows-Systemdatei. Es hat sich aber ein Schädling in den anderen Pfad eingenistet.

Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Silentrunners
- combofix

M4tze · 11.11.2007, 22:30

combofix log:
ComboFix 07-11-08.1 - Matze 2007-11-11 21:13:53.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.586 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Matze\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\drivers\etc\lsass.exe
C:\WINDOWS\system32\pskill.exe
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-10-11 bis 2007-11-11 ))))))))))))))))))))))))))))))
.

2007-11-11 21:13 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-11 20:16 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-11-11 19:29 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-11-11 19:29 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2007-11-11 19:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2007-11-11 19:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-11-11 19:29 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2007-11-11 19:29 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2007-11-11 19:29 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-11-11 19:15 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-11-11 19:15 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-11-11 19:15 <DIR> d-a------ C:\WINDOWS\system32\systems.txt
2007-11-11 19:15 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-11-11 19:15 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-11-11 19:15 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-11-11 19:15 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-11-11 19:12 153,600 --a------ C:\WINDOWS\R.COM
2007-11-11 19:12 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-11-11 17:17 82,061 --a------ C:\WINDOWS\system32\drivers\klick.dat
2007-11-11 17:17 81,549 --a------ C:\WINDOWS\system32\drivers\klin.dat
2007-11-11 17:16 <DIR> d-------- C:\Programme\Kaspersky Lab
2007-11-11 17:16 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-11-11 17:16 881,696 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2007-11-11 17:16 16,160 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2007-11-11 17:10 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab Setup Files
2007-11-11 14:03 28,672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys
2007-11-10 23:24 <DIR> d-------- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Media Player Classic
2007-11-10 23:23 <DIR> d-------- C:\Programme\K-Lite Codec Pack
2007-11-10 23:23 1,559,040 --a------ C:\WINDOWS\system32\xvidcore.dll
2007-11-10 23:23 282,624 --a------ C:\WINDOWS\system32\xvidvfw.dll
2007-11-10 23:23 217,088 --a------ C:\WINDOWS\system32\yv12vfw.dll
2007-11-10 23:23 164,352 --a------ C:\WINDOWS\system32\unrar.dll
2007-11-10 23:23 7,680 --a------ C:\WINDOWS\system32\ff_vfw.dll
2007-11-08 14:32 103,736 --a------ C:\WINDOWS\system32\PnkBstrB.exe
2007-11-08 14:32 66,872 --a------ C:\WINDOWS\system32\PnkBstrA.exe
2007-11-08 14:32 22,328 --a------ C:\WINDOWS\system32\drivers\PnkBstrK.sys
2007-11-08 14:32 22,328 --a------ C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\PnkBstrK.sys
2007-11-08 14:24 <DIR> d-------- C:\Programme\Enemy Territory - QUAKE Wars
2007-11-08 14:21 <DIR> d-------- C:\WINDOWS\ftpcache
2007-11-06 20:03 153,088 --a------ C:\UNWISE.EXE
2007-11-04 16:46 <DIR> d-------- C:\Programme\DTM III
2007-11-04 15:01 0 --a------ C:\WINDOWS\ativpsrm.bin
2007-11-03 20:56 <DIR> d-------- C:\Programme\Firefly Studios
2007-11-02 13:25 3,497,832 --a------ C:\WINDOWS\system32\d3dx9_34.dll
2007-11-02 13:25 1,124,720 --a------ C:\WINDOWS\system32\D3DCompiler_34.dll
2007-11-02 13:25 443,752 --a------ C:\WINDOWS\system32\d3dx10_34.dll
2007-11-02 13:16 <DIR> d-------- C:\Programme\Flagship Studios
2007-11-01 19:25 <DIR> d-------- C:\Programme\gulli load
2007-10-29 00:27 <DIR> d-------- C:\Programme\EA GAMES
2007-10-29 00:27 442,368 -ra------ C:\WINDOWS\system32\vp6vfw.dll
2007-10-24 17:33 241,664 --a------ C:\WINDOWS\system32\UCLiveSocket.dll
2007-10-24 17:33 159,744 --a------ C:\WINDOWS\system32\UCLiveCore.dll
2007-10-20 10:28 <DIR> d-------- C:\Programme\Google
2007-10-19 18:25 <DIR> d-------- C:\WINDOWS\system32\udesight
2007-10-19 14:02 <DIR> d-------- C:\Programme\Disc2Phone
2007-10-19 13:59 <DIR> d-------- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Teleca
2007-10-19 13:59 <DIR> d-------- C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Sony Ericsson
2007-10-19 13:58 <DIR> d-------- C:\Programme\Sony Ericsson
2007-10-19 13:58 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Teleca Shared
2007-10-19 13:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Documents
2007-10-19 13:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Teleca
2007-10-19 13:58 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sony Ericsson
2007-10-19 13:57 90,768 -ra------ C:\WINDOWS\system32\drivers\se26unic.sys
2007-10-19 13:57 88,688 -ra------ C:\WINDOWS\system32\drivers\SE26mgmt.sys
2007-10-19 13:57 86,560 -ra------ C:\WINDOWS\system32\drivers\SE26obex.sys
2007-10-19 13:57 18,704 -ra------ C:\WINDOWS\system32\drivers\se26nd5.sys
2007-10-19 13:57 4,128 -ra------ C:\WINDOWS\system32\drivers\se26cr.sys
2007-10-19 13:56 97,184 -ra------ C:\WINDOWS\system32\drivers\SE26mdm.sys
2007-10-19 13:56 61,600 -ra------ C:\WINDOWS\system32\drivers\SE26bus.sys
2007-10-19 13:56 9,360 -ra------ C:\WINDOWS\system32\drivers\SE26mdfl.sys
2007-10-19 13:56 6,240 -ra------ C:\WINDOWS\system32\drivers\SE26cmnt.sys
2007-10-19 13:56 6,240 -ra------ C:\WINDOWS\system32\drivers\SE26cm.sys
2007-10-19 13:56 5,872 -ra------ C:\WINDOWS\system32\drivers\SE26whnt.sys
2007-10-19 13:56 5,872 -ra------ C:\WINDOWS\system32\drivers\se26wh.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-11-11 20:12 --------- d-----w C:\Programme\Steam
2007-11-11 18:27 2,276 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2007-11-11 18:27 11,972 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2007-11-10 22:00 --------- d-----w C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\dvdcss
2007-11-10 21:48 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-10 21:47 --------- d-----w C:\Programme\Two Worlds
2007-11-10 21:47 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-11-10 21:44 --------- d-----w C:\Programme\Loki
2007-11-09 13:33 --------- d-----w C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Hamachi
2007-11-06 19:14 --------- d-----w C:\Programme\SopCast
2007-11-04 21:42 --------- d-----w C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\teamspeak2
2007-11-03 21:41 --------- d-----w C:\Programme\Teamspeak2_RC2 B
2007-11-03 17:51 25,280 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-11-01 13:53 --------- d-----w C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\Azureus
2007-11-01 13:01 --------- d-----w C:\Programme\Warcraft III
2007-10-22 01:19 --------- d-----w C:\Programme\World of Warcraft
2007-10-21 13:27 --------- d-----w C:\Programme\devolo
2007-10-04 11:52 --------- d-----w C:\Programme\Java
2007-10-03 18:06 --------- d-----w C:\Programme\EA SPORTS
2007-10-01 14:57 359,808 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS.ORIGINAL
2007-10-01 14:57 359,808 ----a-w C:\WINDOWS\system32\drivers\TCPIP.SYS
2007-09-30 14:15 --------- d-----w C:\Programme\DivX
2007-09-29 05:46 47,376 ----a-w C:\WINDOWS\system32\drivers\ativvpxx.vp
2007-09-29 03:21 9,854,976 ----a-w C:\WINDOWS\system32\atioglx2.dll
2007-09-29 03:07 356,352 ----a-w C:\WINDOWS\system32\ATIDEMGX.dll
2007-09-29 03:06 268,800 ----a-w C:\WINDOWS\system32\ati2dvag.dll
2007-09-29 03:05 2,456,064 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-09-29 02:58 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll
2007-09-29 02:58 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe
2007-09-29 02:58 143,360 ----a-w C:\WINDOWS\system32\atipdlxx.dll
2007-09-29 02:58 122,880 ----a-w C:\WINDOWS\system32\Oemdspif.dll
2007-09-29 02:57 122,880 ----a-w C:\WINDOWS\system32\ati2evxx.dll
2007-09-29 02:56 483,328 ----a-w C:\WINDOWS\system32\ati2evxx.exe
2007-09-29 02:55 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL
2007-09-29 02:49 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll
2007-09-29 02:47 3,130,720 ----a-w C:\WINDOWS\system32\ati3duag.dll
2007-09-29 02:47 172,032 ----a-w C:\WINDOWS\system32\atiok3x2.dll
2007-09-29 02:36 1,593,600 ----a-w C:\WINDOWS\system32\ativvaxx.dll
2007-09-29 02:23 5,435,392 ----a-w C:\WINDOWS\system32\atioglxx.dll
2007-09-29 02:22 376,832 ----a-w C:\WINDOWS\system32\atikvmag.dll
2007-09-29 02:20 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll
2007-09-29 02:19 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll
2007-09-29 02:14 499,712 ----a-w C:\WINDOWS\system32\ati2cqag.dll
2007-09-28 20:05 593,920 ------w C:\WINDOWS\system32\ati2sgag.exe
2007-09-22 16:35 --------- d-----w C:\Programme\WC3Banlist
2007-09-19 14:51 --------- d-----w C:\Programme\EVEREST Home Edition
2007-09-17 18:23 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-09-17 18:23 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-09-17 18:22 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-09-17 18:22 739,840 ----a-w C:\WINDOWS\system32\DivX.dll
2007-09-14 12:14 --------- d-----w C:\Programme\eDonkey2000 Lite
2007-09-14 11:19 --------- d-----w C:\Programme\Lexware
2007-09-12 14:33 --------- d-----w C:\Programme\Europa-Führerschein 2004-2005
2007-09-11 23:14 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2007-09-11 13:27 --------- d-----w C:\Programme\Ocean Technology
2007-08-21 06:16 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-21 00:26 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-08-21 00:26 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-08-15 22:33 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-08-15 22:33 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-08-15 22:33 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-08-15 22:33 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-08-15 22:31 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-08-15 22:31 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-08-15 22:31 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-08-15 22:31 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-08-15 22:31 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-08-15 22:31 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-08-15 22:30 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2001-11-23 04:08 712,704 ----a-w C:\WINDOWS\inf\OTHER\audio3d.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Raptor-Gaming M2"="C:\Programme\Raptor-Gaming\RGM2\Panel.exe" [2006-01-20 15:45]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-06-28 12:51]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Steam"="c:\programme\steam\steam.exe" [2007-10-05 15:24]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]

C:\Dokumente und Einstellungen\Matze\Startmen\Programme\Autostart\
My_AutoWarkey_Script.lnk - C:\Programme\Warkeys\AutoWarkey\AutoHotkey\AutoHotkey.exe [2007-01-02 13:12:14]
Verknpfung mit mousometer.lnk - C:\Dokumente und Einstellungen\Matze\Desktop\files\mousometer.exe [2007-01-21 18:25:54]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"AllowLegacyWebView"=1 (0x1)
"AllowUnhashedWebView"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"SpecifyDefaultButtons"=0 (0x0)
"Btn_Search"=2 (0x2)
"Btn_Folders"=2 (0x2)
"Btn_PrintPreview"=2 (0x2)
"Btn_Encoding"=2 (0x2)
"Btn_Paste"=2 (0x2)
"Btn_Copy"=2 (0x2)
"Btn_Cut"=2 (0x2)
"Btn_Discussions"=2 (0x2)
"Btn_Edit"=2 (0x2)
"Btn_Size"=2 (0x2)
"Btn_MailNews"=2 (0x2)
"Btn_Tools"=2 (0x2)
"Btn_Fullscreen"=2 (0x2)
"Btn_History"=2 (0x2)
"Btn_Media"=2 (0x2)
"Btn_Print"=2 (0x2)
"Btn_Favorites"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^Matze^Startmenü^Programme^Autostart^Warkeys Update.lnk]
path=C:\Dokumente und Einstellungen\Matze\Startmenü\Programme\Autostart\Warkeys Update.lnk
backup=C:\WINDOWS\pss\Warkeys Update.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Echo Control]
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\C-Media Mixer]
Mixer.exe /startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ]
"C:\Programme\ICQ6\ICQ.exe" silent

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ppmate]
C:\Programme\PPMate\PPMate\ppmate.exe -autoplay

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
"C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VC8Player]
C:\Programme\Virtual CD v8\System\VC8Play.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Services Loader]
C:\WINDOWS\SYSTEM32\DRIVERS\services.exe C:\WINDOWS\SYSTEM32\DRIVERS\serv-u.ini

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows svchost]
C:\WINDOWS\system32\drivers\etc\LSASS.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\svchost.exe -b C:\WINDOWS\SYSTEM32\DRIVERS\etc\conf.dll

R0 sfsync03;StarForce Protection Synchronization Driver (version 3.x);C:\WINDOWS\system32\drivers\sfsync03.sys
R1 vdrv8000;vdrv8000;C:\WINDOWS\system32\DRIVERS\vdrv8000.sys
R2 NPF_devolo;NetGroup Packet Filter Driver (devolo);C:\WINDOWS\system32\drivers\npf_devolo.sys
R2 r_server;Remote Administrator Service;"C:\WINDOWS\system32\r_server.exe" /service
R3 GMFilter Filter;GMFilter Filter;C:\WINDOWS\system32\Drivers\GMFilter.sys
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys
S2 ACDZone;ArchiCrypt SecureDZone Driver;\??\C:\WINDOWS\system32\drivers\ACDZone.sys
S3 cmudau;C-Media USB Sound Interface;C:\WINDOWS\system32\drivers\cmudau.sys
S3 FWLANUSB;AVM FRITZ!WLAN;C:\WINDOWS\system32\DRIVERS\fwlanusb.sys
S3 HHCDHelp.sys;HHCDHelp.sys;\??\C:\WINDOWS\system32\drivers\HHCDHelp.sys
S3 Maplom;Maplom;C:\WINDOWS\system32\drivers\Maplom.sys
S3 mirrorv3;mirrorv3;C:\WINDOWS\system32\DRIVERS\rminiv3.sys
S3 NETFWDSL;AVM FRITZ!web DSL PPP;C:\WINDOWS\system32\DRIVERS\NETFWDSL.SYS
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys
S3 PLCMPR5;PLCMPR5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\PLCMPR5.SYS
S3 TIEHDUSB;TIEHDUSB;C:\WINDOWS\system32\drivers\tiehdusb.sys

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\I]
\Shell\AutoRun\command - I:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\J]
\Shell\AutoRun\command - J:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\L]
\Shell\AutoRun\command - L:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\M]
\Shell\AutoRun\command - M:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\N]
\Shell\AutoRun\command - N:\Setup.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\O]
\Shell\AutoRun\command - O:\autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\P]
\Shell\AutoRun\command - P:\Autorun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\Q]
\Shell\AutoRun\command - Q:\Autorun.exe

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-11 21:22:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-11-11 21:23:30
.
--- E O F ---

M4tze · 11.11.2007, 22:32

Silent Runners log:
"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\CTFMON.EXE" [MS]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"NeroHomeFirstStart" = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMFirstStart.exe" ["Nero AG"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"Raptor-Gaming M2" = "C:\Programme\Raptor-Gaming\RGM2\Panel.exe" [null data]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"KernelFaultCheck" = "%systemroot%\system32\dumprep 0 -k" [MS]
"AVP" = ""C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Active Setup\Installed Components\
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]
>{60B49E34-C7CC-11D0-8953-00A0C90347FF}MICROS\(Default) = "Browseranpassungen"
\StubPath = "RunDLL32 IEDKCS32.DLL,BrandIE4 SIGNUP" [MS]
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]
{2C7339CF-2B09-4501-B3F3-F3508C9228ED}\(Default) = "Themes Setup"
\StubPath = "C:\WINDOWS\system32\regsvr32.exe /s /n /i:/UserInstall C:\WINDOWS\system32\themeui.dll" [MS]
{44BBA840-CC51-11CF-AAFA-00AA00B6015C}\(Default) = "Microsoft Outlook Express 6"
\StubPath = ""C:\Programme\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install" [MS]
{5945c046-1e7d-11d1-bc44-00c04fd912be}\(Default) = "Windows Messenger 4.7"
\StubPath = "rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\msmsgs.inf,BLC.QuietInstall.PerUser" [MS]
{7790769C-0471-11d2-AF11-00C04FA35D02}\(Default) = "Adressbuch 6"
\StubPath = ""C:\Programme\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install" [MS]
{89820200-ECBD-11cf-8B85-00AA005B4340}\(Default) = "Windows Desktop-Update"
\StubPath = "regsvr32.exe /s /n /i:U shell32.dll" [MS]
{89820200-ECBD-11cf-8B85-00AA005B4383}\(Default) = "Internet Explorer 6"
\StubPath = "C:\WINDOWS\system32\ie4uinit.exe" [MS]
{89B4C1CD-B018-4511-B0A1-5476DBF70820}\(Default) = (no title provided)
\StubPath = "C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\mscories.dll,Install" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{2F5AC606-70CF-461C-BFE1-6063670C3484}" = "Mouse CPL Extension"
-> {HKLM...CLSID} = "MouseCplExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\MousePage.dll" [empty string]
"{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}" = "PowerISO"
-> {HKLM...CLSID} = "PowerISO"
\InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{97F68CE3-7146-45FF-BE24-D9A7DD7CB8A2}" = "NeroCoverEd Live Icons"
-> {HKLM...CLSID} = "NeroCoverEdLiveIcons Class"
\InProcServer32\(Default) = "C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{A5110426-177D-4e08-AB3F-785F10B4439C}" = "Sony Ericsson Datei-Manager"
-> {HKLM...CLSID} = "Sony Ericsson Datei-Manager"
\InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\fmgrgui.dll" ["Sony Ericsson Mobile Communications AB"]
"{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Statistik für Web-Anti-Virus"
-> {HKLM...CLSID} = "Statistik für Web-Anti-Virus"
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "AppInit_DLLs" = "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> klogon\DLLName = "C:\WINDOWS\system32\klogon.dll" ["Kaspersky Lab"]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Cover Designer\(Default) = "{73FCA462-9BD5-4065-A73F-A8E5F6904EF7}"
-> {HKLM...CLSID} = "NeroCoverEdContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Nero\Nero 7\Nero CoverDesigner\CoverEdExtension.dll" ["Nero AG"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ShellEx.dll" ["Kaspersky Lab"]
PowerISO\(Default) = "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}"
-> {HKLM...CLSID} = "PowerISO"
\InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."]
UltimateZip\(Default) = "{2F860D81-AF3C-11D4-BDB3-00E0987D8540}"
-> {HKLM...CLSID} = "UltimateZip Shell Extension 1"
\InProcServer32\(Default) = "C:\Programme\UltimateZip\uzshlex.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [file not found]
PowerISO\(Default) = "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}"
-> {HKLM...CLSID} = "PowerISO"
\InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ShellEx.dll" ["Kaspersky Lab"]
PowerISO\(Default) = "{967B2D40-8B7D-4127-9049-61EA0C2C6DCE}"
-> {HKLM...CLSID} = "PowerISO"
\InProcServer32\(Default) = "C:\Programme\PowerISO\PWRISOSH.DLL" ["PowerISO Computing, Inc."]
UltimateZip\(Default) = "{2F860D81-AF3C-11D4-BDB3-00E0987D8540}"
-> {HKLM...CLSID} = "UltimateZip Shell Extension 1"
\InProcServer32\(Default) = "C:\Programme\UltimateZip\uzshlex.dll" [null data]

Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"AllowLegacyWebView" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

"AllowUnhashedWebView" = (REG_DWORD) hex:0x00000001
{unrecognized setting}

"NoCDBurning" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "(Kein)"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "%SystemRoot%\System32\logon.scr" [MS]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 19

Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Statistik für Web-Anti-Virus"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll" ["Kaspersky Lab"]

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\
"ButtonText" = "Statistik für Web-Anti-Virus"

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" [file not found]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 3 domain names to IP addresses,
1 of the IP addresses is *not* localhost!

All Non-Disabled Services (Display Name, Service Name, Path {Service DLL}):
---------------------------------------------------------------------------

.NET Runtime Optimization Service v2.0.50727_X86, clr_optimization_v2.0.50727_32, "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe" [MS]
Anwendungsverwaltung, AppMgmt, "C:\WINDOWS\system32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\appmgmts.dll" [file not found]}
ASP.NET State Service, aspnet_state, "C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe" [MS]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
ATI Smart, ATI Smart, "C:\WINDOWS\system32\ati2sgag.exe" [empty string]
AVM FRITZ!web Routing Service, de_serv, "C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe" [file not found]
Dienst für Seriennummern der tragbaren Medien, WmdmPmSN, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\system32\MsPMSNSv.dll" [MS]}
Google Updater Service, gusvc, ""C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe"" ["Google"]
Kaspersky Internet Security 7.0, AVP, ""C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r" ["Kaspersky Lab"]
Machine Debug Manager, MDM, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE"" [MS]
NBService, NBService, "C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe" ["Nero AG"]
Netzwerkversorgungsdienst, xmlprov, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\xmlprov.dll" [MS]}
NMIndexingService, NMIndexingService, ""C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe"" ["Nero AG"]
Office Source Engine, ose, ""C:\Programme\Gemeinsame Dateien\Microsoft Shared\Source Engine\OSE.EXE"" [MS]
PnkBstrA, PnkBstrA, "C:\WINDOWS\system32\PnkBstrA.exe" [null data]
PnkBstrB, PnkBstrB, "C:\WINDOWS\system32\PnkBstrB.exe" [null data]
Remote Administrator Service, r_server, ""C:\WINDOWS\system32\r_server.exe" /service" [empty string]
Remote Packet Capture Protocol v.0 (experimental), rpcapd, ""C:\Programme\WinPcap\rpcapd.exe" -d -f "C:\Programme\WinPcap\rpcapd.ini"" ["CACE Technologies"]
Verwaltungsdienst für die Verwaltung logischer Datenträger, dmadmin, "C:\WINDOWS\System32\dmadmin.exe /com" ["Microsoft Corp., Veritas Software"]
Virtual CD v8 Management Service, VC8SecS, "C:\Programme\Virtual CD v8\System\VC8SecS.exe" ["H+H Software GmbH"]
Windows Driver Foundation - User-mode Driver Framework, WudfSvc, "C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup" {"C:\WINDOWS\System32\WUDFSvc.dll" [MS]}
Windows Media Player-Netzwerkfreigabedienst, WMPNetworkSvc, ""C:\Programme\Windows Media Player\WMPNetwk.exe"" [MS]
WMI-Leistungsadapter, WmiApSrv, "C:\WINDOWS\system32\wbem\wmiapsrv.exe" [MS]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
EPSON V6 2KMonitor\Driver = "EBPMON24.DLL" ["SEIKO EPSON CORPORATION"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]

---------- (launch time: 2007-11-11 20:15:40)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 50 seconds, including 18 seconds for message boxes)

M4tze · 11.11.2007, 22:43

und hier noch von eScan:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.5.4
Sprache: German
C:\DOKUME~1\Matze\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "titanshield antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "optserve Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with rohbot Worm (C:\WINDOWS\system32\pslist.exe)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\r_server.exe//RadPack markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.22. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Matze\Desktop\Gulli stuff\ip-change\bat\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Matze\Desktop\Gulli stuff\ip-change\exe\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Matze\Desktop\Gulli stuff\ip-change.zip/bat/nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Matze\Desktop\Gulli stuff\USDownloader134\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\r_server.exe//RadPack markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.22. Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\raddrv.dll markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.20. Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\r_server.exe//RadPack markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.22. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Matze\Desktop\Gulli stuff\ip-change\bat\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Matze\Desktop\Gulli stuff\ip-change\exe\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Matze\Desktop\Gulli stuff\ip-change.zip/bat/nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Matze\Desktop\Gulli stuff\USDownloader134\nc.exe markiert als not-a-virus:RemoteAdmin.Win32.NetCat. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\WINDOWS\system32\pslist.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Matze\Anwendungsdaten\sopcast\adv
Offending Folder found: C:\Dokumente und Einstellungen\Matze\Desktop\mukke\lp
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCR\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\I !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\J !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\L !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\M !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\N !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\O !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\P !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\Q !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :80.190.241.30 home.edonkey.com
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 22:42:14,93
Batchende: 22:42:30,21

cosinus · 11.11.2007, 23:02

Sry, aber hast du hier nicht schonmal gepostet => http://board.gulli.com/thread/908399-fehlermeldung-virus-help-plz/

Da wurde dir schon der Rat gegeben, das System neu aufzusetzen. Ich denke der Tippgeber hat auch recht mit dem versteckten FTP-Server auf deiner Kiste:

Aus dem combofix-Log:
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Services Loader]
C:\WINDOWS\SYSTEM32\DRIVERS\services.exe C:\WINDOWS\SYSTEM32\DRIVERS\serv-u.ini

Serv-u wird für solche Zwecke recht häufig missbraucht.

Du solltest wirklich nicht mehr lange fackeln und die Kiste flachmachen.

M4tze · 11.11.2007, 23:18

ja stimmt... jedoch wurde mir dort per pm empfohlen mich an dieses board zu wenden. aber du würdest auch sagen ich sollte neu aufsetzen?

cosinus · 11.11.2007, 23:25

Ja, leider. Es sieht zu sehr nach Rootkit-/Backdoorbefall aus...
In dem alten Logfile aus dem gulliforum sieht man auch sehr viel deutlicher den Befall:

Code:

ATTFilter

O4 - HKLM\..\Run: [Windows svchost] C:\WINDOWS\system32\drivers\etc\LSASS.exe C:\WINDOWS\SYSTEM32\DRIVERS\etc\svchost.exe -b C:\WINDOWS\SYSTEM32\DRIVERS\etc\conf.dll
O4 - HKLM\..\Run: [Windows Services Loader] C:\WINDOWS\SYSTEM32\DRIVERS\services.exe C:\WINDOWS\SYSTEM32\DRIVERS\serv-u.ini

Und du bist

-Fan!

Edit:

Zitat:

was könnte denn eig im schlimmsten fall passieren?

Dein Rechner wird über den (versteckten) FTP-Server als Ablage für Kinderpornos missbraucht...

M4tze · 11.11.2007, 23:30

ok werd mir aber wahrscheinlich erst ne externe platte holn.
was könnte denn eig im schlimmsten fall passieren?

hm woher weisst du das jetzt?

aber geiler spieltag!!

cosinus · 11.11.2007, 23:39

Zitat:

ok werd mir aber wahrscheinlich erst ne externe platte holn.

Ist okay zum Sichern. Sei aber vorsichtig beim Zurückspielen, denn alle Dateien aus dem verseuchten System können potentiell gefährlich sein. Sichere daher am besten nur reine Datenteien wie z.B. Musik, Videos, Officedokumente, aber keinesfalls ausführbare Dateien wie z.B. *.exe *.com *.scr etc.

Zitat:

was könnte denn eig im schlimmsten fall passieren?

Siehe vorheriges Postings von mir...

Zitat:

hm woher weisst du das jetzt?
aber geiler spieltag!!

Hab ich im Logfile gesehen aus dem Gulliboard, da war werder.de drin!

M4tze · 11.11.2007, 23:51

Ich hab jetzt auch Kaspersky Internet Security installiert. Könnte ich nicht glück haben das Kaspersky es erkennt und entfernt?
oder kann das nicht sein weil der virus oder was auch immer getarnt ist?
Und das dümmste ist noch ich weiss nicht mal wie und wann ich mir das scheiss ding eingefangen hab...
Hing das alles denn wohl mit der Error message zusammen?

cosinus · 12.11.2007, 00:00

Zitat:

Könnte ich nicht glück haben das Kaspersky es erkennt und entfernt?

Nein!

Zitat:

oder kann das nicht sein weil der virus oder was auch immer getarnt ist?

Ja, genau deswegen. Du darfst nicht drauf hoffen, dass der Schädling irgendwie erkannt wird. Virenscanner sind absolut ungeeignet, ein verseuchtes System wieder vertrauenswürdig zu machen.
=> Entfernung von Schädlingen

Zitat:

Hing das alles denn wohl mit der Error message zusammen?

Sehr wahrscheinlich ja. Dein Virenscanner hat die offensichtlichen Einträge/Dateien entfernt, aber die Änderungen am System kann es nicht rückgängig machen.

M4tze · 12.11.2007, 00:19

schade hätt ja sein können

dann sach ich mal dankö

Windows Error Message Virus/Wurm?

Log-Analyse und Auswertung: Windows Error Message Virus/Wurm?