Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Antivirusprogramm verschwunden/PC langsam

Antivirusprogramm verschwunden/PC langsam


Log-Analyse und Auswertung: Antivirusprogramm verschwunden/PC langsam

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 21.12.2007, 20:42   #1
Mr.Burns
 
Antivirusprogramm verschwunden/PC langsam - Standard

Antivirusprogramm verschwunden/PC langsam


Hallo!

Nachdem ich Anfang September 2007 eine Änderung des DSL-Anschlusses (von DSL 2000 auf DSL 16000) beantragt habe und der Anschluss dann am 15.10.2007 geschaltet wurde,habe ich den Eindruck,das mein PC stetig langsamer geworden ist.
Da vom Tag der Anschlussschaltung an Schwierigkeiten mit der Übertragungsgeschwindigkeit auftreten,statt 16000 maximal 1500 (dazu ständige Verbindungsabbrüche-PPPoE-Fehler),habe ich nun (nachdem ein Leitungsfehler durch Telekom und Provider ausgeschlossen wurden) und ich mir keinen Rat mehr wusste einen PC-Dienst bestellt.
Dieser hat den Rechner geprüft und festgestellt,das überhaupt kein Antiviren-Programm installiert ist.Der Ordner war noch vorhanden,das Programm an sich aber verschwunden.Obwohl das Windows-Sicherheitscenter meldete,das das Antivirenprogramm aktiv ist!Dabei war das Programm "Antivir" installiert,das steht fest.
Nachdem ich geschockt war,das ein Antivirenprogramm einfach so verschwindet (wobei ich nicht weiss,wann und warum),kam mir der Verdacht das vielleicht ein Schädling im Hintergrund den PC bremst.
Nun ist Antivir wieder installiert und auch aktiv.Komplettscans mit Antivir und Spybot waren ergebnislos.Der PC ist aber immer noch langsam und mein Verdacht nicht beseitigt.
Für eventuelle Hilfe oder Ratschläge wäre ich dankbar,da ich im Bereich PC-Kenntnisse nun wahrlich kein Experte bin.
Habe folgendes HJT-Logfile erstellt:

AMD Sempron 3000+
Windows XP SP 2
Windows-Firewall
Antivir
Internet über WLAN-Verbindung (FritzBox von AVM)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:23:17, on 21.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DDC\LevelOne_USB_802.11g_Utility\LevelOneWlan.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\INCRED~1\bin\ImNotfy.exe
C:\DOKUME~1\\LOKALE~1\Temp\Temporäres Verzeichnis 5 für HiJackThis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: LevelOne 11g Wireless USB.lnk = C:\Programme\DDC\LevelOne_USB_802.11g_Utility\LevelOneWlan.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?36868da7fcb547748dc7e117bdedac02
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?36868da7fcb547748dc7e117bdedac02
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://www.yakumo.de
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - h**p://maxdomeservice.1und1.de/de/systemcheck/HWTest.CAB
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - h**p://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase2895.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 8526 bytes

Danke im voraus!

Alt 21.12.2007, 21:17   #2
11Boy11
 
Antivirusprogramm verschwunden/PC langsam - Standard

Antivirusprogramm verschwunden/PC langsam


Hallo!

-> Versteckte dateien sichtbar machen

folgendes bitte fixen:


Zitat:
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
______________________________________________

SmitfraudFix

1) - Lade dir SmitfraudFix herunter | klicke hier



2) - Öffne es und lass dein System durchsuchen - Option 1

3) - Im abgesicherten Modus Smitfraudfix mit Option 2 ausführen

4) - Berichte Posten
__________________

__________________
Alt 22.12.2007, 13:51   #3
Mr.Burns
 
Antivirusprogramm verschwunden/PC langsam - Standard

Antivirusprogramm verschwunden/PC langsam


Hallo 11Boy11!

Zunächst einmal Danke für die Tips!Die von Dir gelisteten Dateien habe ich mit HJT gefixt.Um was für Dateien hat es sich dabei gehandelt?

Anbei das Log von SmitfraudFix (Option 1):

SmitfraudFix v2.274
Scan done at 12:36:58,51, 22.12.2007
Run from C:\Dokumente und Einstellungen\*****r\Eigene Dateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DDC\LevelOne_USB_802.11g_Utility\LevelOneWlan.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1 legal-at-spybot.info
127.0.0.1 w*w.legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\*****r


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\*****r\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\*****r\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: LevelOne WNC-0301USB 11g Wireless USB Adapter #2 - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{94616161-FA98-4529-B953-0431DDE570B4}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{94616161-FA98-4529-B953-0431DDE570B4}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{94616161-FA98-4529-B953-0431DDE570B4}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End



Option 2 habe ich nach Anleitung durchgeführt.






















127.0.0.1 007guard.com»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: LevelOne WNC-0301USB 11g Wireless USB Adapter #2 - Paketplaner-Miniport
DNS Server Search Order: 192.168.178.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{94616161-FA98-4529-B953-0431DDE570B4}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{94616161-FA98-4529-B953-0431DDE570B4}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{94616161-FA98-4529-B953-0431DDE570B4}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End
__________________
Alt 22.12.2007, 21:14   #4
Mr.Burns
 
Antivirusprogramm verschwunden/PC langsam - Standard

Antivirusprogramm verschwunden/PC langsam


Hallo nochmal,11Boy11!

Dank meiner "umfangreichen" und "weitreichenden" PC-Kenntnisse habe ich es nicht hinbekommen,den PC in den abgesicherten Modus zu bekommen (F8 drücken hat nicht geklappt),deshalb habe ich nach einer Anleitung gesucht und die Prozedur wiederholt.Diesmal hat es funktioniert.Deswegen meine erste Antwort bitte ausser Acht lassen.
1.ie versteckten Dateien habe ich nun sichtbar gemacht.
2.ie von Dir gelisteten 3 Dateien habe ich mit HJT gefixt.
3.:Option 2 von SmitfraudFix im abgesicherten Modus durchgeführt

Anbei noch ein aktuelles Logfile von HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:59:35, on 22.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DDC\LevelOne_USB_802.11g_Utility\LevelOneWlan.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\WINDOWS\explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\******\Eigene Dateien\HiJackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: LevelOne 11g Wireless USB.lnk = C:\Programme\DDC\LevelOne_USB_802.11g_Utility\LevelOneWlan.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?36868da7fcb547748dc7e117bdedac02
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?36868da7fcb547748dc7e117bdedac02
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://w*w.yakumo.de
O16 - DPF: {162247AF-26A7-44FC-A93A-69506EA244F3} (HWTest.HWTestControl) - h**p://maxdomeservice.1und1.de/de/systemcheck/HWTest.CAB
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - h**p://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase2895.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PsShutdown (PsShutdownSvc) - Systems Internals - C:\WINDOWS\System32\PSSDNSVC.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 7500 bytes


Hier noch das Log von SmitfraudFix:

SmitFraudFix v2.274

Scan done at 20:13:58,07, 22.12.2007
Run from C:\Dokumente und Einstellungen\*******\Eigene Dateien\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 localhost
127.0.0.1 007guard.com
127.0.0.1 w*w.007guard.com
127.0.0.1 008i.com
127.0.0.1 008k.com
127.0.0.1 w*w.008k.com
127.0.0.1 00hq.com
127.0.0.1 w*w.00hq.com
127.0.0.1 010402.com
127.0.0.1 032439.com
127.0.0.1 w*w.032439.com
127.0.0.1 1001-search.info
127.0.0.1 w*w.1001-search.info
127.0.0.1 100888290cs.com
127.0.0.1 w*w.100888290cs.com
127.0.0.1 100**links.com
127.0.0.1 w*w.links.com
127.0.0.1 10sek.com
127.0.0.1 w*w.10sek.com
127.0.0.1 123topsearch.com
127.0.0.1 w*w.123topsearch.com
127.0.0.1 132.com
127.0.0.1 w*w.132.com127.0.0.1 xathzesocc.com
127.0.0.1 xbeta69.com
127.0.0.1 w*w.xbxxrvnyes.com
127.0.0.1 xbxxrvnyes.com
127.0.0.1 xcomics4u.com
127.0.0.1 xcorriere.it
127.0.0.1 w*w.xcorriere.it
127.0.0.1 x-google.net
127.0.0.1 w*w.xibu315.com
127.0.0.1 xibu315.com
127.0.0.1 xic-bs.com
127.0.0.1 w*w.xjupiter.com127.0.0.1 www.xrenoder.com
127.0.0.1 xrenoder.com
127.0.0.1 xrenosearch.com
127.0.0.1 xrensmagpost.com
127.0.0.1 w*w.xsec.org
127.0.0.1 xsec.org
127.0.0.1 xsex.ws
127.0.0.1 w*w.xsremover.com
127.0.0.1 xsremover.com
127.0.0.1 w*w.xtipp.de
127.0.0.1 xtipp.de
127.0.0.1 xtosearch.biz
127.0.0.1 w*w.xtosearch.biz
127.0.0.1 xtragay.com
127.0.0.1 xu.pl
127.0.0.1 xu.xu.pl
127.0.0.1 xupiter.com
127.0.0.1 w*w.xupiter.com
127.0.0.1 w*w.xvgate.com
127.0.0.1 xvgate.com
127.0.0.1 x-webdesign.com
127.0.0.1 w*w.xwebsearch.biz
127.0.0.1 xwebsearch.biz
127.0.0.1 xzoomy.com
127.0.0.1 w*w.yahabags.com
127.0.0.1 yahabags.com
127.0.0.1 yahoo.downloadznow.net
127.0.0.1 yahoo.panet.org
127.0.0.1 yboeragu.com
127.0.0.1 w*w.yboeragu.com
127.0.0.1 yezol.com
127.0.0.1 ygoogle.it
127.0.0.1 w*w.ygoogle.it
127.0.0.1 w*w.ygsondheks.info
127.0.0.1 ygsondheks.info
127.0.0.1 w*w.yim-stop.com
127.0.0.1 yim-stop.com
127.0.0.1 yiscali.it
127.0.0.1 w*w.yiscali.it
127.0.0.1 ymctavxiz.biz
127.0.0.1 w*w.ymctavxiz.biz
127.0.0.1 w*w.yoogee.com
127.0.0.1 yoogee.com
127.0.0.1 yoogle.it
127.0.0.1 w*w.yoogle.it
127.0.0.1 yootube.info
127.0.0.1 w*w.yops.biz
127.0.0.1 yops.biz
127.0.0.1 youfindall.com127.0.0.1 ywebsearch.info
127.0.0.1 w*w.zabywjwzlr.biz.biz
127.0.0.1 zabywjwzlr.biz.biz
127.0.0.1 zalitalia.it
127.0.0.1 w*w.zalitalia.it
127.0.0.1 w*w.zangocash.com
127.0.0.1 zangocash.com
127.0.0.1 zapros.com
127.0.0.1 w*w.zcodec.com
127.0.0.1 zcodec.com
127.0.0.1 w*w.zdrqmpad.com
127.0.0.1 zdrqmpad.com
127.0.0.1 w*w.zelaznyworld.com
127.0.0.1 zelaznyworld.com
127.0.0.1 w*w.zenotecnico.com
127.0.0.1 zenotecnico.com
127.0.0.1 w*w.zenotecnico2.com
127.0.0.1 zenotecnico2.com
127.0.0.1 zero.bestmanage.org
127.0.0.1 zero.bestmanage0.org
127.0.0.1 zero.bestmanage1.org
127.0.0.1 zero.bestmanage2.org
127.0.0.1 zero.bestmanage3.org
127.0.0.1 zero.bestmanage4.org
127.0.0.1 zero.bestmanage5.org
127.0.0.1 zero.bestmanage6.org
127.0.0.1 zero.bestmanage7.org
127.0.0.1 zero.bestmanage8.org
127.0.0.1 zero.bestmanage9.org
127.0.0.1 zero.serverc.org
127.0.0.1 zero.sisdotnet.com
127.0.0.1 w*w.zero-codec.com127.0.0.1 Zipcodec.com
127.0.0.1 zipcodec.com
127.0.0.1 ziportal.com
127.0.0.1 zipportal.com
127.0.0.1 w*w.zippy-lookup.com
127.0.0.1 zippy-lookup.com
127.0.0.1 w*w.zjkjw.gov.cn
127.0.0.1 zjkjw.gov.cn
127.0.0.1 w*w.znext.com
127.0.0.1 znext.com
127.0.0.1 w*w.zonealarm-download-now.com
127.0.0.1 zonealarm-download-now.com
127.0.0.1 w*w.zonealarm-stop.com
127.0.0.1 zonealarm-stop.com
127.0.0.1 w*w.zone-media.com
127.0.0.1 zone-media.com
127.0.0.1 zoofil.com
127.0.0.1 zoomegasite.com
127.0.0.1 zpwebsource.com
127.0.0.1 w*w.zpwebsource.com
127.0.0.1 zqavanjpn.biz
127.0.0.1 w*w.zqavanjpn.biz
127.0.0.1 w*w.z-quest.com
127.0.0.1 z-quest.com
127.0.0.1 zsupereva.it
127.0.0.1 w*w.zsupereva.it
127.0.0.1 w*w.zurrusco.com
127.0.0.1 zurrusco.com
127.0.0.1 zvimigdal.com
127.0.0.1 w*w.zxlinks.com
127.0.0.1 zxlinks.com
127.0.0.1 zyban-zocor-levitra.com

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{94616161-FA98-4529-B953-0431DDE570B4}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{94616161-FA98-4529-B953-0431DDE570B4}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{94616161-FA98-4529-B953-0431DDE570B4}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Ich habe das Log verkürzt,es würde den Rahmen sprengen.Da tauchten eine ganze Menge Web-Adressen auf,bei denen ich sehr sicher bin,die nie besucht zu haben.Woher kommen dann solche Einträge???
Ich hoffe,diesmal alles richtig gemacht zu haben.

P.S.:Sorry,bekomme die Smileys oben nicht weg......
Geändert von Mr.Burns (22.12.2007 um 21:19 Uhr)

Alt 22.12.2007, 21:43   #5
Trojanerade
 
Antivirusprogramm verschwunden/PC langsam - Standard

Antivirusprogramm verschwunden/PC langsam


Poste bitte das Log vollständig !Wenn es zu Gross ist poste es in mehreren abschnitten.Mfg Trojanerade

__________________
Nothing can stop me in MY work

Alt 23.12.2007, 05:56   #6
nochdigger
 
Antivirusprogramm verschwunden/PC langsam - Standard

Antivirusprogramm verschwunden/PC langsam


Hallo

@Mr.Burns deine Logs sind unauffällig.

Zitat:
Da tauchten eine ganze Menge Web-Adressen auf,bei denen ich sehr sicher bin,die nie besucht zu haben.Woher kommen dann solche Einträge???
Die Adressen im Smitfrautfix Log stammen mit großer Wahrscheinlichkeit von Spybot S&D, damit wird der Zugriff auf diese Bösen Seiten (vereinfacht) auf deinen eigenen Rechner zurückgelenkt, die Seiten sind nicht erreichbar.
Das selbe können Schädlinge natürlich auch, dann sind dort natürlich die Seiten der Antivirenhersteller eingetragen und nicht mehr erreichbar.

Warum Smitfraudfix jetzt hier eingesetzt wurde, erschließt sich mir nicht, aber gut.
Arbeite mal diese Programme ab dann können wir mehr sagen
Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

* Blacklight
* eScan
* Silentrunners
* combofix
MFG

Alt 25.12.2007, 11:51   #7
Mr.Burns
 
Antivirusprogramm verschwunden/PC langsam - Standard

Antivirusprogramm verschwunden/PC langsam


Hallo!



@Nochdigger:

SmitfraudFix habe ich eingesetzt,weil mir ein User hier im Forum (siehe unten) dazu geraten hat.Meine PC-Kenntnisse sind bei weitem nicht ausreichend genug um mir dazu ein Urteil zu bilden.
Der Download von escan war mir nicht möglich.Die WLAN-Übertragungsgeschwindigkeit begann bei 160-180 kB/s um danach rasend schnell bis auf 10 oder weniger kB/s abzustürzen.Dann brach der Download-Versuch auch komplett ab.Das liegt an meiner defekten FritzBox,wie ich nun mit Bestimmtheit weiss.Deine anderen Hinweise habe ich abgearbeitet.


Hier das Log von Blacklight:



12/25/07 11:09:29 [Info]: BlackLight Engine 1.0.67 initialized
12/25/07 11:09:29 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/25/07 11:09:29 [Note]: 7019 4
12/25/07 11:09:29 [Note]: 7005 0
12/25/07 11:09:39 [Note]: 7006 0
12/25/07 11:09:39 [Note]: 7011 1424
12/25/07 11:09:40 [Note]: 7026 0
12/25/07 11:09:40 [Note]: 7026 0
12/25/07 11:09:50 [Note]: FSRAW library version 1.7.1024
12/25/07 11:18:57 [Note]: 2000 1012
12/25/07 11:19:18 [Note]: 7007 0





Log von SilentRunners:




"Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"IncrediMail" = "C:\Programme\IncrediMail\bin\IncMail.exe /c" ["IncrediMail, Ltd."]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]
"WMPNSCFG" = "C:\Programme\Windows Media Player\WMPNSCFG.exe" [MS]
"ctfmon.exe" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"AdobeUpdater" = "C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" ["Adobe Systems Incorporated"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"NVRaidService" = "C:\WINDOWS\system32\nvraidservice.exe" ["NVIDIA Corporation"]
"Lexmark X1100 Series" = ""C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"" ["Lexmark International, Inc."]
"Ulead AutoDetector" = "C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" ["Ulead Systems, Inc."]
"SmartSync - ScheduleSync" = "C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE" ["Siemens"]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]
{955BE0B8-BC85-4CAF-856E-8E0D8B610560}\(Default) = "Hilfsobjekt für Encarta Web-Begleiter"
-> {HKLM...CLSID} = "Hilfsobjekt für Encarta Web-Begleiter"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL" [MS]
{BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\Windows Live Toolbar\msntb.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{DEE12703-6333-4D4E-8F34-738C4DCC2E04}" = "RecordNow! SendToExt"
-> {HKLM...CLSID} = "RecordNow! SendToExt"
\InProcServer32\(Default) = "C:\Programme\Sonic\Media Suite\RecordNow! Plus\shlext.dll" [null data]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{EE75AC21-B24F-11d3-BA80-00C0CA16AA37}" = "Siemens Device"
-> {HKLM...CLSID} = "Siemens Device"
\InProcServer32\(Default) = "C:\Programme\Mobile Phone Manager\bin\PhoneExplorer.dll" ["BenQ Mobile GmbH & Co. OHG"]
"{EE75AC22-B24F-11d3-BA80-00C0CA16AA37}" = "Siemens Device ContextMenuHandler"
-> {HKLM...CLSID} = "Siemens Device ContextMenuHandler"
\InProcServer32\(Default) = "C:\Programme\Mobile Phone Manager\bin\PhoneExplorer.dll" ["BenQ Mobile GmbH & Co. OHG"]
"{EE75AC23-B24F-11d3-BA80-00C0CA16AA37}" = "Siemens Device PropertySheetHandlers"
-> {HKLM...CLSID} = "Siemens Device PropertySheetHandler"
\InProcServer32\(Default) = "C:\Programme\Mobile Phone Manager\bin\PhoneExplorer.dll" ["BenQ Mobile GmbH & Co. OHG"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}" = "TuneUp Shredder Shell Context Menu Extension"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
TuneUp Shredder\(Default) = "{00DF1F20-0849-A4D1-0239-00D0AF3E9CB0}"
-> {HKLM...CLSID} = "TuneUp Shredder Shell Context Menu Extension"
\InProcServer32\(Default) = ""C:\Programme\TuneUp Utilities 2006\sdshelex.dll"" ["TuneUp Software GmbH"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\******\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\ssflwbox.scr" [MS]


Startup items in "******" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"LevelOne 11g Wireless USB" -> shortcut to: "C:\Programme\DDC\LevelOne_USB_802.11g_Utility\LevelOneWlan.exe" [empty string]


Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe /schedulestart" ["TuneUp Software GmbH"]
"Auf Updates für Windows Live Toolbar prüfen" -> launches: "C:\Programme\Windows Live Toolbar\MSNTBUP.EXE" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{147D6308-0614-4112-89B1-31402F9B82C4}"
-> {HKLM...CLSID} = "Encarta Web-Begleiter"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL" [MS]
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}"
-> {HKLM...CLSID} = "Windows Live Toolbar"
\InProcServer32\(Default) = "C:\Programme\Windows Live Toolbar\msntb.dll" [MS]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{147D6308-0614-4112-89B1-31402F9B82C4}" = "Encarta Web-Begleiter"
-> {HKLM...CLSID} = "Encarta Web-Begleiter"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL" [MS]
"{BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0}" = (no title provided)
-> {HKLM...CLSID} = "Windows Live Toolbar"
\InProcServer32\(Default) = "C:\Programme\Windows Live Toolbar\msntb.dll" [MS]

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B205A35E-1FC4-4CE3-818B-899DBBB3388C}\

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
Einfache TCP/IP-Dienste, SimpTcp, "C:\WINDOWS\system32\tcpsvcs.exe" [MS]
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
SmartLinkService, SLService, "slserv.exe" ["Smart Link"]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
avm:\Driver = "avmprmon.dll" ["AVM Berlin GmbH"]
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


---------- (launch time: 2007-12-24 17:05:24)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 315 seconds, including 35 seconds for message boxes)


Sollte escan wichtig sein,bleibe ich am Ball und versuche den Download hinzubekommen (sofern die FritzBox mitspielt) und reiche das Log nach.


MFG

Alt 25.12.2007, 11:54   #8
Mr.Burns
 
Antivirusprogramm verschwunden/PC langsam - Standard

Antivirusprogramm verschwunden/PC langsam


@Nochdigger:

Es fehlt noch das Log von Combofix.Das reiche ich jetzt nach,in meiner ersten Antwort war der Text zu lang.....




ComboFix 07-12-21.4 - ****** 2007-12-24 17:26:33.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.119 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\******\Eigene Dateien\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\Lexppsalt.exe.EXE

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-24 bis 2007-12-24 ))))))))))))))))))))))))))))))
.

2007-12-22 20:13 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe
2007-12-22 20:13 . 2006-04-27 16:49 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe
2007-12-22 20:13 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe
2007-12-22 20:13 . 2003-06-05 20:13 53,248 --a------ C:\WINDOWS\system32\Process.exe
2007-12-22 20:13 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe
2007-12-22 20:13 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe
2007-12-22 19:48 . 2007-12-22 19:48 <DIR> d--h----- C:\WINDOWS\PIF
2007-12-22 12:37 . 2007-12-22 20:14 2,724 --a------ C:\WINDOWS\system32\tmp.reg
2007-12-19 13:40 . 2007-12-21 18:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic
2007-12-12 18:00 . 2007-12-12 18:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\ODBC
2007-12-08 11:01 . 2007-12-08 11:01 268 --ah----- C:\sqmdata12.sqm
2007-12-08 11:01 . 2007-12-08 11:01 244 --ah----- C:\sqmnoopt12.sqm
2007-12-07 15:35 . 2007-12-07 15:35 21,035 --a------ C:\WINDOWS\system32\drivers\AegisP.sys
2007-12-07 15:34 . 2007-12-07 15:34 <DIR> d-------- C:\Programme\NETGEAR
2007-12-04 15:24 . 2007-12-04 15:24 <DIR> d-------- C:\WINDOWS\NV27482068.TMP
2007-12-04 15:16 . 2007-12-04 15:16 <DIR> d-------- C:\Programme\AIDA32 - Enterprise System Information
2007-12-04 14:59 . 2007-12-12 21:19 1,393 --a------ C:\WINDOWS\imsins.BAK
2007-12-04 14:20 . 2007-12-04 14:20 <DIR> d-------- C:\Programme\TuneUp Utilities 2006
2007-12-04 14:20 . 2007-12-04 14:20 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-12-04 14:20 . 2007-12-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\******\Anwendungsdaten\TuneUp Software
2007-12-04 14:20 . 2007-12-04 14:20 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TuneUp Software
2007-12-03 16:54 . 2007-12-03 17:16 <DIR> d-------- C:\Programme\DDC
2007-12-01 22:03 . 2007-12-03 15:33 <DIR> d-------- C:\Programme\DDC(4)
2007-12-01 21:36 . 2007-12-03 15:33 <DIR> d-------- C:\Programme\DDC(3)
2007-12-01 20:48 . 2007-12-03 15:34 <DIR> d-------- C:\Programme\DDC(2)
2007-11-29 20:31 . 2007-11-29 20:31 <DIR> d-------- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\MediaOrganizer
2007-11-29 20:26 . 2007-11-29 20:26 <DIR> d-------- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Media Organizer

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-22 17:22 --------- d---a-w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2007-12-22 10:23 --------- d-----w C:\Programme\Lexmark X1100 Series
2007-12-21 15:20 --------- d-----w C:\Programme\Mirror Magic Deluxe
2007-12-13 14:57 --------- d-----w C:\Programme\IncrediMail
2007-12-09 17:06 --------- d-----w C:\Programme\Google
2007-12-09 10:42 --------- d-----w C:\Programme\MSN Games
2007-12-09 10:34 --------- d-----w C:\Programme\Zylom Games
2007-12-09 10:34 --------- d-----w C:\Programme\Yahoo!
2007-12-09 10:33 --------- d-----w C:\Programme\Pharaoh's Curse
2007-12-09 10:31 --------- d-----w C:\Programme\Messenger Plus! Live
2007-12-09 10:31 --------- d-----w C:\Programme\Gemeinsame Dateien\aol
2007-12-09 10:31 --------- d-----w C:\Programme\FRITZ!DSL
2007-12-09 10:31 --------- d-----w C:\Programme\FlightGear
2007-12-09 10:31 --------- d-----w C:\Programme\Bluefish Games
2007-12-09 09:58 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-04 13:23 --------- d-----w C:\Programme\FaxTools
2007-12-04 13:23 --------- d-----w C:\Programme\3D Blocks
2007-12-03 17:24 --------- d-----w C:\Programme\Windows Live Toolbar
2007-11-24 20:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-30 23:19 3,590,656 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\dllcache\quartz.dll
2007-10-25 16:42 8,501,248 ----a-w C:\WINDOWS\system32\shell32(2).dll
2007-10-25 16:42 8,501,248 ----a-w C:\WINDOWS\system32\dllcache\shell32.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\dllcache\wmasf.dll
2007-10-10 23:46 824,832 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2007-10-10 23:46 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2007-10-10 23:46 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll
2007-10-10 23:46 6,065,664 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2007-10-10 23:46 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-10-10 23:46 478,208 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-10-10 23:46 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-10-10 23:46 44,544 ----a-w C:\WINDOWS\system32\dllcache\iernonce.dll
2007-10-10 23:46 384,512 ----a-w C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-10-10 23:46 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-10-10 23:46 27,648 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-10-10 23:46 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll
2007-10-10 23:46 232,960 ----a-w C:\WINDOWS\system32\dllcache\webcheck.dll
2007-10-10 23:46 230,400 ----a-w C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-10-10 23:46 214,528 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-10-10 23:46 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2007-10-10 23:46 153,088 ----a-w C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-10-10 23:46 132,608 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-10-10 23:46 124,928 ----a-w C:\WINDOWS\system32\dllcache\advpack.dll
2007-10-10 23:46 105,984 ----a-w C:\WINDOWS\system32\dllcache\url.dll
2007-10-10 23:46 102,400 ----a-w C:\WINDOWS\system32\dllcache\occache.dll
2007-10-10 23:46 1,159,680 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-10-10 10:59 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-10-10 10:59 625,152 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2007-10-10 10:59 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-10-10 05:46 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2007-03-24 21:39 560 ----a-w C:\Programme\Global.sw
2007-01-31 19:57 38,928 ----a-w C:\Dokumente und Einstellungen\******\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-07-29 18:17 774,144 ----a-w C:\Programme\RngInterstitial.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2007-12-04 18:01]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 15:46]
"WMPNSCFG"="C:\Programme\Windows Media Player\WMPNSCFG.exe" [2006-11-03 09:56]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"AdobeUpdater"="C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe" [2007-03-01 09:37]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-01-18 21:33]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"NVRaidService"="C:\WINDOWS\system32\nvraidservice.exe" [2005-08-12 14:31]
"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 15:51]
"Ulead AutoDetector"="C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe" [2004-02-04 22:04]
"SmartSync - ScheduleSync"="C:\PROGRA~1\MOBILE~1\SMARTS~1\SCHEDU~1.EXE" [2006-02-02 14:50]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-12-19 14:16]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
LevelOne 11g Wireless USB.lnk - C:\Programme\DDC\LevelOne_USB_802.11g_Utility\LevelOneWlan.exe [2007-12-03 16:54:41]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
2004-08-04 13:00 15360 --a------ C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
nwiz.exe /install

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
SOUNDMAN.EXE

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"E06DXLRD_6522218"="C:\Programme\Microsoft Encarta\Encarta 2006 Enzyklopaedie DVD\EDICT.EXE" -m

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"ISUSPM Startup"=C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

R1 Cinemsup;Cinemsup;C:\WINDOWS\system32\drivers\Cinemsup.sys [2003-12-19 02:00]
R3 ZD1211U(Digital Data Communication);LevelOne WNC-0301USB 11g Wireless USB Adapter(Digital Data Communication);C:\WINDOWS\system32\DRIVERS\zd1211u.sys [2004-12-22 20:05]
R3 ZDPNDIS5;ZDPNDIS5 NDIS Protocol Driver;C:\WINDOWS\system32\ZDPNDIS5.SYS [2004-01-14 11:30]
S3 FXDRV;FXDRV;D:\Fxdrv.sys []
S3 jatmlano;jatmlano;C:\DOKUME~1\******\LOKALE~1\Temp\jatmlano.sys []
S3 PsShutdownSvc;PsShutdown;C:\WINDOWS\System32\PSSDNSVC.EXE [2005-01-18 20:39]
S3 RTL8187B;NETGEAR WG111v3 54Mbps Wireless USB 2.0 Adapter Vista Driver;C:\WINDOWS\system32\DRIVERS\wg111v3.sys []
S3 ZDBRGSYS;ZDBRGSYS NDIS Protocol Driver;C:\WINDOWS\system32\ZDBRGSYS.SYS [2004-06-30 13:54]

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
"2007-12-21 16:16:16 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2006\SystemOptimizer.exe
"2007-12-24 16:04:02 C:\WINDOWS\Tasks\Auf Updates für Windows Live Toolbar prüfen.job"
- C:\Programme\Windows Live Toolbar\MSNTBUP.EXE
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-24 17:31:57
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-24 17:33:34
.
2007-12-12 20:21:38 --- E O F ---



MFG

Alt 26.12.2007, 08:51   #9
nochdigger
 
Antivirusprogramm verschwunden/PC langsam - Standard

Antivirusprogramm verschwunden/PC langsam


Hallo

versuche bitte mal diese Datei
Zitat:
C:\DOKUME~1\******\LOKALE~1\Temp \jatmlano.sys
hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(071109)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Da der eScan nicht geklappt hat, würde ich einen Onlinescan empfehlen
Free Virus Scan - Kaspersky Lab
dieser muss mit dem InternetExplorer und erlaubtem ActivX durchgeführt werden.

MFG

Alt 28.12.2007, 14:05   #10
Mr.Burns
 
Antivirusprogramm verschwunden/PC langsam - Standard

Antivirusprogramm verschwunden/PC langsam


Hallo nochdigger!


Heute wollte ich die Datei "jatmlano.sys" von "Virustotal" checken lassen (wie Du ja vorgeschlagen hast).Zu meiner Verblüffung musste ich feststellen,das sich eine solche Datei gar nicht auf dem PC befindet.Ich habe das komplette System abgesucht und auch die sonst versteckten Elemente (über "Extras","Ordneroptionen","Ansicht" etc.)anzeigen lassen.Zweimal habe ich den kompletten PC durchsuchen lassen-es wurde keine Datei mit dem Namen gefunden.Die einzigen Male,wo der Name "jatmlano" auftauchte,war bei "Combofix" bzw. dem Log davon.
Im Log taucht der Name ja auf,aber ich finde diese Datei nicht.....Weder über das XP-Suchprogramm,noch nach der manuellen Eingabe des Namens........
Von der Installation des Kaspersky-Scanners habe ich bisher abgesehen.
Eines der bisher gelaufenen Spür-Programme (Combofix) hatte letztens augenscheinlich irgendwie meine WLAN-Verschlüsselung "vernichtet",deswegen habe ich die Befürchtung,das vielleicht ähnliches passiert.

MFG

Alt 28.12.2007, 19:12   #11
nochdigger
 
Antivirusprogramm verschwunden/PC langsam - Standard

Antivirusprogramm verschwunden/PC langsam


Hallo

scanne bitte von hier
AntiRootkit Scanner Anleitung - HijackThis.de Support Board
mit mindestens 4 Programmen (außer GMER der ist in Combofix enthalten) und poste die Logs.

Anschließend würde ich dir den eScan oder einen Onlinescan hier
Free Virus Scan - Kaspersky Lab
oder hier
Kostenloser Online Virus und Spyware Scanner - Trend Micro Deutschland
anraten, die scans müssen mit dem Internet Explorer und aktiviertem ActivX durchgeführt werden.

Anschließend berichte bitte nochmal.

MFG

Alt 30.12.2007, 19:25   #12
Mr.Burns
 
Antivirusprogramm verschwunden/PC langsam - Standard

Antivirusprogramm verschwunden/PC langsam


Hallo nochdigger!


Habe statt mit 4 Programmen nur mit 3 gescannt.Das Log vom RootkitRevealer liess sich aus irgendwelchen Gründen nicht abspeichern.
Wie auf der Anleitungsseite vom HJT-Support-Board habe ich die Internet-Verbindung getrennt und auch WLAN deaktiviert.
Als Speicherort für das Log vom Rootkitrevealer wurde mir "System32" vorgegeben,aber wenn ich auf "Speichern" geklickt habe,erschien sofort eine Meldung "Speichern der Datei nicht möglich",ausserdem erschien sofort danach ein Fenster mit der Frage "Problembericht an Microsoft senden?"Benötigt der Revealer vielleicht eine intakte Internet-Verbindung??
Als ich danach die Internet-Verbindung wiederherstellen wollte,hatte ich das nächste Problem.Es funktionierte nicht;nachdem letztens die Einstellungen der FritzBox verändert wurden,war es diesmal die Verschlüsselung des WLAN-USB-Sticks........
Nachdem ich das geändert habe,funktionierte zwar das System wieder,dafür hat es dann den DSL-Splitter "zerlegt".Das ergab ein Anruf bei der Störungsstelle der T-Com.
Deswegen habe ich auch den Online-Virenscan nicht mehr durchgeführt-wer weiss,was dann wieder passiert wäre.

So habe ich statt 4 Logs nur 2:


Log von TrendMicro:


+----------------------------------------------------
| Trend Micro RootkitBuster 1.6 Beta.
| Module version: 1.6.0.1052
+----------------------------------------------------


--== Dump Hidden File on C:\ ==--
No hidden files found.

--== Dump Hidden Registry Value on HKLM ==--
No hidden registry entries found.


--== Dump Hidden Process ==--
No hidden processes found.

--== Dump Hidden Driver ==--
No hidden drivers found.


Das Log von BlackLight:


12/28/07 20:37:18 [Info]: BlackLight Engine 1.0.67 initialized
12/28/07 20:37:18 [Info]: OS: 5.1 build 2600 (Service Pack 2)
12/28/07 20:37:19 [Note]: 7019 4
12/28/07 20:37:19 [Note]: 7005 0
12/28/07 20:37:22 [Note]: 7006 0
12/28/07 20:37:22 [Note]: 7011 716
12/28/07 20:37:22 [Note]: 7026 0
12/28/07 20:37:22 [Note]: 7026 0
12/28/07 20:37:34 [Note]: FSRAW library version 1.7.1024
12/28/07 20:46:15 [Note]: 2000 1012
12/28/07 20:46:15 [Note]: 2000 1012
12/28/07 20:46:15 [Note]: 2000 1012
12/28/07 20:46:15 [Note]: 2000 1012
12/28/07 20:46:15 [Note]: 2000 1012
12/28/07 20:46:15 [Note]: 2000 1012
12/28/07 20:46:30 [Note]: 7007 0



MFG

Antwort

Themen zu Antivirusprogramm verschwunden/PC langsam
adobe, anfang, antiviren-programm, avg, avira, bho, components, dll, druck, excel, explorer, google, hijack, hijackthis, hkus\s-1-5-18, internet explorer, langsam, maximal, nvidia, ordner, pdf, programme, rundll, s-1-5-18, schädling, server, software, system, temp, trend micro, tuneup utilities, usb, warum, web companion, windows-sicherheitscenter, wmp


« Virenscan ergab mehrere Trojaner, verdacht auf noch mehr | cid popup öffnet sich andauernd »


Ähnliche Themen: Antivirusprogramm verschwunden/PC langsam


  1. Notebook gehackt? Antivirusprogramm simuliert / deaktiviert
    Plagegeister aller Art und deren Bekämpfung - 01.07.2015 (31)
  2. Win7 langsam, Lizenzierung verschwunden, Scanner findet 'Bloodhound.MalPE', Malwarebytes verschwunden... aah!
    Plagegeister aller Art und deren Bekämpfung - 25.06.2013 (26)
  3. Antivirusprogramm kann nicht updaten - Logfile
    Log-Analyse und Auswertung - 11.05.2013 (15)
  4. GVU-Trojaner nach Kasperky Antivirusprogramm kommt wieder
    Plagegeister aller Art und deren Bekämpfung - 13.12.2012 (8)
  5. Antivirusprogramm hat TR/PSW.AccPhish.B gefunden.....
    Log-Analyse und Auswertung - 05.10.2012 (3)
  6. antivirusprogramm findet versteckte objekte nicht
    Plagegeister aller Art und deren Bekämpfung - 24.09.2012 (8)
  7. Virus? Schwarzer Bildschirm.Antivirusprogramm wurde gesperrt
    Plagegeister aller Art und deren Bekämpfung - 24.06.2012 (93)
  8. Virus im IE öffnet antivirusprogramm
    Log-Analyse und Auswertung - 08.06.2012 (1)
  9. Antivirusprogramm ist in wirklichkeit ein Virus
    Plagegeister aller Art und deren Bekämpfung - 14.10.2010 (12)
  10. Trojaner im Antivirusprogramm
    Plagegeister aller Art und deren Bekämpfung - 07.07.2010 (10)
  11. Aerger mit Fake AntiVirusProgramm
    Log-Analyse und Auswertung - 20.01.2010 (2)
  12. Ich bekomme mein antivirusprogramm nicht gestartet
    Log-Analyse und Auswertung - 02.01.2010 (5)
  13. Viruswarnung und Frage zu Antivirusprogramm
    Plagegeister aller Art und deren Bekämpfung - 16.03.2009 (6)
  14. Antivirusprogramm!!
    Mülltonne - 14.07.2008 (1)
  15. DR/Agent.ZM.4 mein Antivirusprogramm hilft mir nicht weiter
    Log-Analyse und Auswertung - 21.01.2008 (2)
  16. Antivirusprogramm kann nicht installiert werden!
    Plagegeister aller Art und deren Bekämpfung - 12.01.2007 (10)
  17. Welches Antivirusprogramm? Bitte um Hilfe!
    Antiviren-, Firewall- und andere Schutzprogramme - 06.02.2006 (30)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Antivirusprogramm verschwunden/PC langsam - Hallo! Nachdem ich Anfang September 2007 eine Änderung des DSL-Anschlusses (von DSL 2000 auf DSL 16000) beantragt habe und der Anschluss dann am 15.10.2007 geschaltet wurde,habe ich den Eindruck,das mein - Antivirusprogramm verschwunden/PC langsam...
Archiv
Du betrachtest: Antivirusprogramm verschwunden/PC langsam auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131