Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
ntos.exe Nachwehen

ntos.exe Nachwehen


Plagegeister aller Art und deren Bekämpfung: ntos.exe Nachwehen

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.01.2008, 19:29   #1
Richard der Namenlose
 
ntos.exe Nachwehen - Standard

ntos.exe Nachwehen


Schönen guten Abend!

Und erstmal vielen Dank, daß Ihr Euch völlig unentgeltlich mit den Problemen anderer User beschäftigt. Das ist doch kostenlos, oder? Geld kann ich mir nämlich nicht leisten

Was bisher geschah:
Gestern konnte ich plötzlich keine Akzente mehr setzen; bei einem Tastendruck erschienen sofort zwei von den Dingern, sah also so aus: "Expos´´e". Eine Recherche ergab möglichen Virusbefall, also hab ich erstmal mein AVG 7.5 runtergeworfen und Kaspersky installiert (von dem ich persönlich eine hohe Meinung habe). Der Kasper fand auch sofort ntos.exe, konnte es aber nicht entfernen; selbes Ergebnis mit dem flugs installierten Spybot S&D. Die aktive ntos.exe hab ich per Process Explorer zwanghaft geschlossen, ordner wsnpoem samt Inhalt gelöscht, währenddessen hatte Kaspersky auch die ntos.exe deleted. Aus dem HKEY-Eintrag hab ich die C/WINDOWS/system32/ntos.exe per regedit entfernt.
Nach diversen Neustarts werden mir keine Probleme mehr gemeldet (auch die Akzente "gehen" wieder), aber darauf sollte man sich ja nicht verlassen; es wäre also total lieb, wenn jemand bei Gelegenheit mein HijackThis auf Verdächtiges abklopfen bzw. mir andere Möglichkeiten der Überprüfung aufzeigen könnte, die in dieser Situation angebracht wären.
Ja, ich sollte das System neu aufsetzen. Aber ich bin vor kurzem umgezogen und habe jetzt feststellen müssen, daß meine Installations-CDs noch "oben bei Mutti" sind ... :S Aber das wird asap nachgeholt, versprochen.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:20:19, on 05.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Duden\Duden Korrektor\DKTray.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Duden\Duden Korrektor\DKCore.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\Office-Bibliothek\officebib.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Don Diego de la Vega\Eigene Dateien\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Duden Korrektor SysTray] C:\Programme\Duden\Duden Korrektor\DKTray.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe
O15 - Trusted Zone: www.hotornot.de
O15 - Trusted Zone: http://www.hotornot.de
O16 - DPF: {13EC55CF-D993-475B-9ACA-F4A384957956} (Controller Class) - https://www.windowsonecare.com/install/cli/1.0.0971.42/WinSSWebAgent.CAB
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153851795187
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{428F6F18-638A-4500-9D3D-E666468E32D8}: NameServer = 213.xxx.xxx.xxx 213.xxx.xxx.xxx
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 10152 bytes



Ach ja, sollte dies in den HiJacker-Bereich gehören, bitte verschieben; ich war mir da nicht ganz sicher

Alt 05.01.2008, 20:16   #2
undoreal
/// AVZ-Toolkit Guru
 
ntos.exe Nachwehen - Standard

ntos.exe Nachwehen


Hallo Richard.

Zitat:
Ja, ich sollte das System neu aufsetzen.
allerdings

Zitat:
Aber das wird asap nachgeholt, versprochen.
wenn du das versprichst dann will ich dir helfen..

Du musst aber wissen, dass dein Rechner über GB verngesteuert wurde während du infiziert warst. Es kann also alles Mögliche auf deinen Rechner gelangt sein oder von dort aus rausgeschickt worden sein. Dein System ist also bis du neuaufsetzt absolut NICHT vertrauenswürdig!
Soweit die Moralapostel.. ^^

Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{428F6F18-638A-4500-9D3D-E666468E32D8}: NameServer = 213.xxx.xxx.xxx 213.xxx.xxx.xxx
ist das deine IP? IPs brauchst du übrigens nicht editieren. Das behindert nur die Fehlersuche..

Bei einer ntos Infizierung müssen wir wirklich tief graben, das bedeutet für dich wie für mich einen hohen Aufwand.

Also los:


1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

2) Deinstalliere Java über die Systemsteuerung.

3) Lasse Silentrunners laufen und poste die logFiles..


4) Folge dieser Anleitung.

5) Run Combofix. Poste den erscheinenden Text.

6) Durchsuche mit Lavasoft und Spybot-S&D sowie deinem AV-Prog (alle drei mit aktuellen Signaturen!) dein System jeweils 2x. Erst im normalen und dann im abgesicherten Modus (F8 beim Hochfahren).

7) Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

8) Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

9) Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.

10)
svchost.exe -> Systemprozesse anzeigen lassen

- dieses Programm auf den Desktop herunterladen -> Process Explorer
- entpacke die ProcessExplorer.zip und starte dann die procexp.exe
- hier sind alle Systemprozesse aufgelistet, welche momentan im Hintergrund laufen


PS: Kaspersky ist übrigens wirklich eine gute Wahl!
__________________

__________________
Alt 05.01.2008, 21:36   #3
Richard der Namenlose
 
ntos.exe Nachwehen - Standard

ntos.exe Nachwehen


Hey, danke.
Ja, die IP hab ich unkenntlich gemacht, war die von meinem ISP; sorry, ich hab wohl grad 'ne Paranoia-Attacke

- Systemwiederherstellung deaktiviert
- Java deinstalliert (über Systemsteuerung - Software)
- SilentRunners log wie folgt:

"Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [file not found]
"Duden Korrektor SysTray" = "C:\Programme\Duden\Duden Korrektor\DKTray.exe" [null data]
"updateMgr" = ""C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1" [file not found]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite" = "HDAShCut.exe" ["Windows (R) Server 2003 DDK provider"]
"ATIPTA" = "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" ["ATI Technologies, Inc."]
"SoundMan" = "SOUNDMAN.EXE" ["Realtek Semiconductor Corp."]
"AlcWzrd" = "ALCWZRD.EXE" ["RealTek Semicoductor Corp."]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"InstantOn" = ""C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c" [null data]
"TerraTec Remote Control" = ""C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe"" ["TerraTec Electronic GmbH"]
"REGSHAVE" = "C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN" ["FUJI PHOTO FILM CO., LTD."]
"Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"]
"RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"PCMService" = ""C:\Programme\CyberLink\PowerCinema\PCMService.exe"" ["CyberLink Corp."]
"Adobe Reader Speed Launcher" = ""C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"" ["Adobe Systems Incorporated"]
"AVP" = ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"" ["Kaspersky Lab"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4efb-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll" ["Yahoo! Inc."]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{2F603045-309F-11CF-9774-0020AFD0CFF6}" = "Synaptics Control Panel"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Synaptics\SynTP\SynTPCpl.dll" ["Synaptics, Inc."]
"{B327765E-D724-4347-8B16-78AE18552FC3}" = "NeroDigitalIconHandler"
-> {HKLM...CLSID} = "NeroDigitalIconHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{7F1CF152-04F8-453A-B34C-E609530A9DC8}" = "NeroDigitalPropSheetHandler"
-> {HKLM...CLSID} = "NeroDigitalPropSheetHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AxShlex.dll" ["Alcohol Soft Development Team"]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\Office10\msohev.dll" [MS]
"{B8323370-FF27-11D2-97B6-204C4F4F5020}" = "SmartFTP Copy Hook"
-> {HKLM...CLSID} = "SmartFTP Copy Hook"
\InProcServer32\(Default) = "C:\Programme\SmartFTP Client\smarthook.dll" ["SmartSoft Ltd."]
"{F87DED31-303F-4ED1-9BCE-D360FBC74E0A}" = "SmartFTP ContextMenu"
-> {HKLM...CLSID} = "SmartFTP ContextMenu Shell Extension"
\InProcServer32\(Default) = "C:\Programme\SmartFTP Client\sfShellTools.dll" ["SmartSoft Ltd"]
"{40FDFA48-5F4E-4627-A78E-6A49A3D4492F}" = "SmartFTP ShellDropHandler"
-> {HKLM...CLSID} = "SmartFTP ShellDropHandler Class"
\InProcServer32\(Default) = "C:\Programme\SmartFTP Client\sfShellTools.dll" ["SmartSoft Ltd"]
"{EA5A76F7-8138-4B53-B0F5-ADCC730CAFBD}" = "SmartFTP Drop ShellIconOverlayHandler"
-> {HKLM...CLSID} = "SmartFTP Drop ShellIconOverlayHandler"
\InProcServer32\(Default) = "C:\Programme\SmartFTP Client\sfShellTools.dll" ["SmartSoft Ltd"]
"{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Web Anti-Virus statistics"
-> {HKLM...CLSID} = "Web Anti-Virus statistics"
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll" ["Kaspersky Lab"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> klogon\DLLName = "C:\WINDOWS\system32\klogon.dll" ["Kaspersky Lab"]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{7D4D6379-F301-4311-BEBA-E26EB0561882}\(Default) = "NeroDigitalExt.NeroDigitalColumnHandler"
-> {HKLM...CLSID} = "NeroDigitalColumnHandler Class"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroDigitalExt.dll" ["Nero AG"]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\ShellEx.dll" ["Kaspersky Lab"]
SmartFTP\(Default) = "{F87DED31-303F-4ED1-9BCE-D360FBC74E0A}"
-> {HKLM...CLSID} = "SmartFTP ContextMenu Shell Extension"
\InProcServer32\(Default) = "C:\Programme\SmartFTP Client\sfShellTools.dll" ["SmartSoft Ltd"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
SmartFTP\(Default) = "{F87DED31-303F-4ED1-9BCE-D360FBC74E0A}"
-> {HKLM...CLSID} = "SmartFTP ContextMenu Shell Extension"
\InProcServer32\(Default) = "C:\Programme\SmartFTP Client\sfShellTools.dll" ["SmartSoft Ltd"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\ShellEx.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\Web\Wallpaper\Grüne Idylle.bmp"


Startup items in "Don Diego de la Vega" & "All Users" startup folders:
----------------------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Exif Launcher" -> shortcut to: "C:\Programme\FinePixViewer\QuickDCF.exe" ["FUJI PHOTO FILM CO., LTD."]
"Microsoft Office" -> shortcut to: "C:\Programme\Microsoft Office\Office10\OSA.EXE -b -l" [MS]
"Office-Bibliothek-Direktsuche" -> shortcut to: "C:\Programme\Office-Bibliothek\PCLib.exe" [empty string]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 25
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll" ["Yahoo! Inc."]

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll" ["Yahoo! Inc."]

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Web Anti-Virus statistics"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll" ["Kaspersky Lab"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\
"ButtonText" = "Web Anti-Virus statistics"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}\
"MenuText" = "Spybot - Search & Destroy Configuration"
"CLSIDExtension" = "{53707962-6F74-2D53-2644-206D7942484F}"
-> {HKLM...CLSID} = "Spybot-S&D IE Protection"
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]

{E5D12C4E-7B4F-11D3-B5C9-0050045C3C96}\
"ButtonText" = "Yahoo! Messenger"
"MenuText" = "Yahoo! Messenger"
"Exec" = "C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe" ["Yahoo! Inc."]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll" ["Yahoo! Inc."]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
CyberLink Background Capture Service (CBCS), CLCapSvc, ""C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe"" [empty string]
CyberLink Media Library Service, CyberLink Media Library Service, ""C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe"" ["Cyberlink"]
CyberLink Task Scheduler (CTS), CLSched, ""C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe"" [empty string]
Kaspersky Anti-Virus 7.0, AVP, ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r" ["Kaspersky Lab"]
LexBce Server, LexBceS, "C:\WINDOWS\system32\LEXBCES.EXE" ["Lexmark International, Inc."]
SmartLinkService, SLService, "slserv.exe" [" "]
StarWind iSCSI Service, StarWindService, "C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe" ["Rocket Division Software"]
STI Simulator, STI Simulator, "C:\WINDOWS\System32\PAStiSvc.exe" [null data]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
Lexmark Network Port\Driver = "LEXLMPM.DLL" ["Lexmark International, Inc."]
Microsoft Shared Fax Monitor\Driver = "FXSMON.DLL" [MS]


---------- (launch time: 2008-01-05 21:29:39)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 44 seconds.
---------- (total run time: 74 seconds)

mache mich jetzt an Schritt 4 ...
__________________
Alt 05.01.2008, 22:32   #4
Richard der Namenlose
 
ntos.exe Nachwehen - Standard

ntos.exe Nachwehen


- Smitfraudfix gemäß Anleitung abgearbeitet
- Combofix. Irgendwie hakt's da. Bei dem techsupportforum lädt er es mit 0 bytes, was mir die Meldung "ist keine gültige Win32-Anwendung" bringt; Ich hab mich dann im internet auf die Suche gemacht. Bei bleepingcomputer und geekstogo lädt er zwar, aber laut Downloadfenster ist die Größe 1,42 MB, der download ist aber immer nach 1,37 bzw. 1,38 beendet. Beim Start bekomme ich erst die Meldung "Some installation files are corrupt" und dann beim self-extracting:
"CRC failed in ERDNT.e_e
Unexpected end of archive"
Liegt das an mir?

Gibt es noch weitere Quellen für die Combofix? Ich hab auch ein paar Seiten auf Polnisch oder so gefunden, aber da lad ich mir mal vorsichtshalber nichts runter ...

Alt 06.01.2008, 19:21   #5
Richard der Namenlose
 
ntos.exe Nachwehen - Standard

ntos.exe Nachwehen


Sodele,

ich hab mal ohne die Combofix weitergemacht:

- Spybot S&D, AdAware und mein Kaspersky je 2mal durchlaufen lassen; AdAware hat Malware namens ClickSpring entfernt, Kaspersky hat die Reste meiner defekten Combofix-Installationen vernichtet

- cCleaner mehrmals laufen lassen, bis keine fehlerhaften Registry-Einträge mehr auftauchten

- Hier ein frisches HJT-log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:13:17, on 06.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerCinema\PCMService.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Duden\Duden Korrektor\DKTray.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Duden\Duden Korrektor\DKCore.exe
C:\Programme\Office-Bibliothek\officebib.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Dokumente und Einstellungen\Don Diego de la Vega\Eigene Dateien\HiJackThis\HijackThis.exe

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c
O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe"
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PCMService] "C:\Programme\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Duden Korrektor SysTray] C:\Programme\Duden\Duden Korrektor\DKTray.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YahooMessenger.exe
O15 - Trusted Zone: www.hotornot.de
O15 - Trusted Zone: http://www.hotornot.de
O16 - DPF: {13EC55CF-D993-475B-9ACA-F4A384957956} (Controller Class) - https://www.windowsonecare.com/install/cli/1.0.0971.42/WinSSWebAgent.CAB
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1153851795187
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{428F6F18-638A-4500-9D3D-E666468E32D8}: NameServer = 213.209.104.220 213.209.104.250
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LiveUpdate - Unknown owner - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe

--
End of file - 8960 bytes


Alt 06.01.2008, 19:26   #6
Richard der Namenlose
 
ntos.exe Nachwehen - Standard

ntos.exe Nachwehen


Das iClean-log:

iclean log 06.01.2008 19:14:32

Windows XP SP2, Using advanced Kernel functions

Processes
---------
1240 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
1368 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
1396 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
1440 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
1452 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
1600 - C:\WINDOWS\system32\Ati2evxx.exe - ATI External Event Utility EXE Module
1636 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1776 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1980 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2032 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
508 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
808 - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe - Ad-Aware 2007 Service (Signed)
980 - C:\WINDOWS\system32\LEXBCES.EXE - LexBce Service
1004 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
1008 - C:\WINDOWS\system32\LEXPPS.EXE - LEXPPS.EXE
1376 - C:\WINDOWS\system32\Ati2evxx.exe - ATI External Event Utility EXE Module
1696 - C:\WINDOWS\Explorer.EXE - Windows Explorer
404 - C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe - ATI Desktop Control Panel
420 - C:\WINDOWS\SOUNDMAN.EXE - Realtek Sound Manager
552 - C:\Programme\Synaptics\SynTP\SynTPLpr.exe - TouchPad Driver Helper Application
600 - C:\Programme\Synaptics\SynTP\SynTPEnh.exe - Synaptics TouchPad Enhancements
612 - C:\Programme\QuickTime\qttask.exe - C:\Programme\QuickTime\qttask.exe
644 - C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe - Remote Control Receiver & Editor
704 - C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe - Adobe Photoshop Album Starter Edition 3.2 component (Signed)
728 - C:\Programme\CyberLink\PowerDVD\PDVDServ.exe - PowerDVD RC Service
768 - C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe - RealNetworks Scheduler (Signed)
776 - C:\Programme\CyberLink\PowerCinema\PCMService.exe - CyberLink PowerCinema Resident Program
804 - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe - Kaspersky Anti-Virus (Signed)
868 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
880 - C:\Programme\Duden\Duden Korrektor\DKTray.exe - Duden Korrektor SysTray (Signed)
896 - C:\Programme\Spybot - Search & Destroy\TeaTimer.exe - System settings protector (Signed)
1276 - C:\Programme\FinePixViewer\QuickDCF.exe - Exif Launcher
1896 - C:\Programme\Duden\Duden Korrektor\DKCore.exe - Duden Korrektor Core Services (Signed)
344 - C:\Programme\Office-Bibliothek\officebib.exe - Office-Bibliothek
1264 - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe - Kaspersky Anti-Virus (Signed)
848 - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe - CLCapSvc Module
1932 - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe - NT CLMLServer
1976 - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe - Cyberlink MediaLibrary NT Service
2052 - C:\WINDOWS\system32\slserv.exe - User-Level Modem Service
2068 - StarWindService - StarWindService
2212 - C:\WINDOWS\System32\PAStiSvc.exe - C:\WINDOWS\System32\PAStiSvc.exe
2228 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
2248 - C:\WINDOWS\system32\wdfmgr.exe - Windows User Mode Driver Manager
2684 - C:\Programme\CyberLink\PowerCinema\Kernel\TV\CLSched.exe - CLSched Module
3856 - C:\WINDOWS\system32\wscntfy.exe - Windows Security Center Notification App
2264 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
3784 - C:\WINDOWS\system32\wbem\wmiprvse.exe - WMI
1416 - C:\Dokumente und Einstellungen\Don Diego de la Vega\Eigene Dateien\iClean\iclean.exe - Interactive Cleaner
3984 - C:\Programme\Internet Explorer\iexplore.exe - Internet Explorer

Services
--------
c:\programme\lavasoft\ad-aware 2007\aawservice.exe=aawservice
C:\WINDOWS\system32\alg.exe=ALG
C:\WINDOWS\system32\ati2evxx.exe=Ati HotKey Poller
C:\WINDOWS\system32\svchost.exe=AudioSrv
c:\programme\kaspersky lab\kaspersky anti-virus 7.0\avp.exe=AVP
C:\WINDOWS\system32\svchost.exe=Browser
c:\programme\cyberlink\powercinema\kernel\tv\clcapsvc.exe=CLCapSvc
c:\programme\cyberlink\powercinema\kernel\tv\clsched.exe=CLSched
C:\WINDOWS\system32\svchost.exe=CryptSvc
c:\programme\cyberlink\shared files\clml_ntservice\clmlserver.exe=CyberLink Media Library Service
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=HidServ
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
c:\windows\system32\lexbces.exe=LexBceS
C:\WINDOWS\system32\svchost.exe=LmHosts
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
C:\WINDOWS\system32\services.exe=PlugPlay
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
slserv.exe=SLService
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=SSDPSRV
c:\programme\alcohol soft\alcohol 120\starwind\starwindservice.exe=StarWindService
c:\windows\system32\pastisvc.exe=STI Simulator
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\wdfmgr.exe=UMWdf
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=WZCSVC

Registry
--------
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKCU\Run: Duden Korrektor SysTray=c:\programme\duden\duden korrektor\dktray.exe
000=HKCU\Run: SpybotSD TeaTimer=c:\programme\spybot - search & destroy\teatimer.exe
000=HKLM\Run: Adobe Photo Downloader="c:\programme\adobe\photoshop album starter edition\3.2\apps\apdproxy.exe"
000=HKLM\Run: Adobe Reader Speed Launcher="c:\programme\adobe\reader 8.0\reader\reader_sl.exe"
000=HKLM\Run: AlcWzrd=c:\windows\alcwzrd.exe
000=HKLM\Run: ATIPTA=c:\programme\ati technologies\ati control panel\atiptaxx.exe
000=HKLM\Run: AVP="c:\programme\kaspersky lab\kaspersky anti-virus 7.0\avp.exe"
000=HKLM\Run: InstantOn="c:\program files\cyberlink\powercinema linux\ion_install.exe" /c
000=HKLM\Run: NeroFilterCheck=c:\windows\system32\nerocheck.exe
000=HKLM\Run: PCMService="c:\programme\cyberlink\powercinema\pcmservice.exe"
000=HKLM\Run: QuickTime Task="c:\programme\quicktime\qttask.exe" -atboottime
000=HKLM\Run: REGSHAVE=c:\programme\regshave\regshave.exe /autorun
000=HKLM\Run: RemoteControl=c:\programme\cyberlink\powerdvd\pdvdserv.exe
000=HKLM\Run: SoundMan=c:\windows\soundman.exe
000=HKLM\Run: SynTPEnh=c:\programme\synaptics\syntp\syntpenh.exe
000=HKLM\Run: SynTPLpr=c:\programme\synaptics\syntp\syntplpr.exe
000=HKLM\Run: TerraTec Remote Control="c:\programme\gemeinsame dateien\terratec\remote\tttvrc.exe"
000=HKLM\Run: TkBellExe="c:\programme\gemeinsame dateien\real\update_ob\realsched.exe" -osboot
000=HKLM\Run: Verknüpfung mit der High Definition Audio-Eigenschaftenseite=c:\windows\system32\hdashcut.exe
001=Firewall bypass: %windir%\system32\sessmgr.exe=c:\windows\system32\sessmgr.exe
001=Firewall bypass: C:\Programme\AOL 9.0\waol.exe=c:\programme\aol 9.0\waol.exe
001=Firewall bypass: C:\Programme\CyberLink\PowerCinema\PowerCinema.exe=c:\programme\cyberlink\powercinema\powercinema.exe
001=Firewall bypass: C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe=c:\programme\gemeinsame dateien\aol\acs\aolacsd.exe
001=Firewall bypass: C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe=c:\programme\gemeinsame dateien\aol\acs\aoldial.exe
001=Firewall bypass: C:\Programme\Gemeinsame Dateien\XPressUpdate\XPressUpdate.exe=c:\programme\gemeinsame dateien\xpressupdate\xpressupdate.exe
001=Firewall bypass: C:\Programme\ICQLite\ICQLite.exe=c:\programme\icqlite\icqlite.exe
001=Firewall bypass: C:\Programme\Kazaa\kazaa.exe=c:\programme\kazaa\kazaa.exe
001=Firewall bypass: C:\Programme\Messenger\msmsgs.exe=c:\programme\messenger\msmsgs.exe
001=Firewall bypass: C:\Programme\Morpheus\Morpheus.exe=c:\programme\morpheus\morpheus.exe
001=Firewall bypass: C:\Programme\MSN Messenger\msncall.exe=c:\programme\msn messenger\msncall.exe
001=Firewall bypass: C:\Programme\Shareaza\Shareaza.exe=c:\programme\shareaza\shareaza.exe
001=Firewall bypass: C:\Programme\Skype\Phone\Skype.exe=c:\programme\skype\phone\skype.exe
001=Firewall bypass: C:\Programme\SmartFTP Client\SmartFTP.exe=c:\programme\smartftp client\smartftp.exe
001=Firewall bypass: C:\Programme\Yahoo!\Messenger\YahooMessenger.exe=c:\programme\yahoo!\messenger\yahoomessenger.exe
001=Firewall bypass: C:\Programme\Yahoo!\Messenger\YServer.exe=c:\programme\yahoo!\messenger\yserver.exe
010=Kazaa entry found
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: WebCheck=c:\windows\system32\webcheck.dll
030=BHO: {02478D38-C3F9-4efb-9B51-7695ECA05670}=c:\programme\yahoo!\companion\installs\cpn0\yt.dll (&Yahoo! Toolbar Helper)
030=BHO: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=(null) ()
030=BHO: {53707962-6F74-2D53-2644-206D7942484F}=c:\progra~1\spybot~1\sdhelper.dll (Spybot-S&D IE Protection)
030=BHO: {9030D464-4C02-4ABF-8ECC-5164760863C6}=c:\programme\gemeinsame dateien\microsoft shared\windows live\windowslivelogin.dll (Windows Live Sign-in Helper)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7}=(null)
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: {ED4BD629-C1B6-4399-8A34-02CCAA921DC9}=(null)
031=Toolbar: {EF99BD32-C1FB-11D2-892F-0090271D4F88}=c:\programme\yahoo!\companion\installs\cpn0\yt.dll
031=Toolbar: ITBar7Layout=(null)
031=Toolbar: {EF99BD32-C1FB-11D2-892F-0090271D4F88}=c:\programme\yahoo!\companion\installs\cpn0\yt.dll
032=RestrictedZOne: *.008i.com
032=RestrictedZOne: *.010402.com
032=RestrictedZOne: *.17-plus.com
032=RestrictedZOne: *.171203.com
032=RestrictedZOne: *.20x2p.com
032=RestrictedZOne: *.2ndpower.com

hier kommen noch schätzungsweise 800 ähnlich Einträge, die nach recht dubiosen Webseiten aussehen - soll ich die alle posten? Enden tut das ganze jedenfalls mit:

127.0.0.1 outerinfo.net
127.0.0.1 www.outerinfo.net
127.0.0.1 shareaza.com
127.0.0.1 www.shareaza.com
# This list is Copyright 2000-2007 Safer Networking Limited
127.0.0.1 legal-at-spybot.info
127.0.0.1 www.legal-at-spybot.info
# End of entries inserted by Spybot - Search & Destroy

Alt 06.01.2008, 22:05   #7
Richard der Namenlose
 
ntos.exe Nachwehen - Standard

ntos.exe Nachwehen


Mein eScan-log:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.6.4
Sprache: German
Virus-Datenbank Datum: 1/6/2008

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "need2findbar Toolbar" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with proventactics Adware (iun6002ev.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (trace.log)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with ezula Spyware/Adware (antivirus.url)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with mirar Spyware/Adware (hkey_local_machine\software\microsoft\windows\currentversion\internet settings\zonemap\domains\net-nucleus.com)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with need2findbar Toolbar (C:\Programme\need2find\bar\history\search)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\cmd.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\netstat.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\ping.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\taskkill.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\tasklist.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\tracert.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\NIS2005\NAV\External\NORTON\NAVAPW32.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\cmd.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\netstat.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\ping.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\taskkill.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\tasklist.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\tracert.com infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\AUTORUN.INF infiziert von "Fujack" Virus. Aktion vorgenommen: No Action Taken.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Dokumente und Einstellungen\Don Diego de la Vega\Eigene Dateien\SmitfraudFix\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Don Diego de la Vega\Eigene Dateien\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\iun6002ev.exe
Offending file found: C:\Dokumente und Einstellungen\Don Diego de la Vega\Anwendungsdaten\terratec\cinergydvr\trace.log
Offending file found: C:\Dokumente und Einstellungen\Don Diego de la Vega\Desktop\fixpolicies\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\Don Diego de la Vega\Favoriten\antivirus.url
Offending file found: C:\Dokumente und Einstellungen\Don Diego de la Vega\Eigene Dateien\smitfraudfix\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\Don Diego de la Vega\Eigene Dateien\smitfraudfix\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Don Diego de la Vega\Eigene Dateien\smitfraudfix\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\Don Diego de la Vega\Eigene Dateien\smitfraudfix\smitfraudfix\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Don Diego de la Vega\Eigene Dateien\smitfraudfix\smitfraudfix\process.exe
Offending file found: C:\Dokumente und Einstellungen\Don Diego de la Vega\Eigene Dateien\smitfraudfix\smitfraudfix\reboot.exe
Offending file found: C:\Dokumente und Einstellungen\Don Diego de la Vega\Eigene Dateien\smitfraudfix\smitfraudfix\swreg.exe
Offending file found: C:\Dokumente und Einstellungen\Don Diego de la Vega\Eigene Dateien\smitfraudfix\smitfraudfix\swsc.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
Offending file found: C:\Programme\need2find\bar\history\search
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Programme\kazaa
Offending Folder found: C:\Programme\need2find
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\kazaa !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKLM\Software\need2find !!!
Offending Key found: HKCU\Software\kazaa !!!
Offending Key found: HKCU\Software\need2find !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKCR\msiede1egate.application.2 !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{fffbf418-c7b4-11da-99e8-00038a000015} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\MAGIX\Fotos_auf_CD_35\hrpjna01.dat nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\MAGIX\videodeLuxe_0405_SE\hrpjna01.dat nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Postal 2\Extras\Drivers\Win9x\NVidia\41.09_win9x.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 140938
Gefundene Viren: 40
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 95
Dauer des Scans bisher: 01:52:35
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 21:46:13,09
Batchende: 21:46:17,25


:S

Alt 06.01.2008, 22:36   #8
Trojanerade
 
ntos.exe Nachwehen - Standard

ntos.exe Nachwehen


@undo:darf ich mal kurz dazwischen winken???der link beim techsupport forum scheint ja nicht zu funktionieren...

Derweil hier ein anderer Downloadlink

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Danke,fürs Verständnis Undo

Mfg Trojanerade
__________________
Nothing can stop me in MY work

Alt 06.01.2008, 23:16   #9
Richard der Namenlose
 
ntos.exe Nachwehen - Standard

ntos.exe Nachwehen


Danke, der link hat funktioniert!

Hier also Combofix:

ComboFix 08-01-04.1 - Don Diego de la Vega 2008-01-06 22:48:40.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.502 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Don Diego de la Vega\Eigene Dateien\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Autorun.inf
C:\Dokumente und Einstellungen\Don Diego de la Vega\Anwendungsdaten\Winxcd1.dll
C:\Programme\outlook
C:\Programme\outlook\p.zip
C:\setup.exe
C:\WINDOWS\Fonts\acrsecB.fon
C:\WINDOWS\Fonts\acrsecI.fon
C:\WINDOWS\regedit.com
C:\WINDOWS\system32\_000006_.tmp.dll
C:\WINDOWS\system32\_000007_.tmp.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\tracert.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-06 bis 2008-01-06 ))))))))))))))))))))))))))))))
.

2008-01-06 22:46 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-06 22:35 . 2008-01-06 22:35 <DIR> d-------- C:\Programme\MSXML 4.0
2008-01-06 22:35 . 2008-01-06 22:38 1,355 --a------ C:\WINDOWS\imsins.BAK
2008-01-06 22:35 . 2008-01-06 22:35 140 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-01-06 22:20 . 2007-01-10 17:42 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-01-06 22:12 . 2008-01-06 22:15 <DIR> d-------- C:\WINDOWS\LastGood
2008-01-06 22:12 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-01-06 22:12 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-01-06 22:12 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-01-06 22:12 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-01-06 22:12 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-01-06 21:46 . 2008-01-06 21:46 <DIR> d-------- C:\bases_x
2008-01-06 19:50 . 2008-01-06 19:50 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-01-06 19:50 . 2008-01-06 19:50 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-01-06 19:50 . 2008-01-06 19:50 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-01-06 19:50 . 2008-01-06 19:50 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-01-06 19:50 . 2008-01-06 19:50 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-01-06 19:50 . 2008-01-06 19:50 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-01-06 19:34 . 2008-01-06 19:49 50 --a------ C:\WINDOWS\Lic.xxx
2008-01-06 19:33 . 2004-08-04 13:00 153,600 --a------ C:\WINDOWS\R.COM
2008-01-06 19:33 . 2004-08-04 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-01-06 19:14 . 2008-01-06 19:14 3,968 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
2008-01-06 18:34 . 2008-01-06 18:34 <DIR> d-------- C:\Programme\CCleaner
2008-01-05 23:29 . 2008-01-05 23:29 <DIR> d-------- C:\Programme\Lavasoft
2008-01-05 23:29 . 2008-01-05 23:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-01-05 21:43 . 2008-01-05 21:54 3,762 --a------ C:\WINDOWS\system32\tmp.reg
2008-01-04 21:04 . 2008-01-04 21:04 2,335,270 --a------ C:\WINDOWS\system32\c9c4.mht
2008-01-04 20:15 . 2008-01-04 21:18 31 --a------ C:\Opt.ini
2008-01-04 20:11 . 2008-01-04 20:11 <DIR> d-------- C:\Programme\DateiCommander
2008-01-04 20:11 . 2008-01-04 20:11 <DIR> d-------- C:\Dokumente und Einstellungen\Don Diego de la Vega\Anwendungsdaten\Dateicommander
2008-01-04 20:11 . 2008-01-04 20:11 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dateicommander
2008-01-04 14:45 . 2008-01-06 21:51 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-01-04 14:45 . 2008-01-06 22:57 5,591,072 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-04 14:45 . 2008-01-04 14:55 91,492 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-01-04 14:45 . 2008-01-04 14:55 85,860 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-01-04 14:45 . 2008-01-06 19:40 72,812 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-04 14:45 . 2008-01-06 22:57 60,960 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-04 14:45 . 2008-01-06 19:40 4,916 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-04 13:50 . 2008-01-04 14:29 <DIR> d-------- C:\Programme\Gemeinsame Dateien\XPressUpdate
2008-01-04 13:50 . 2008-01-04 13:50 <DIR> d-------- C:\Dokumente und Einstellungen\Don Diego de la Vega\Anwendungsdaten\PixelPlanet
2008-01-04 13:50 . 2008-01-04 13:50 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PixelPlanet
2008-01-04 12:24 . 2005-07-19 17:56 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-01-04 12:24 . 2005-07-19 18:33 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-01-04 12:24 . 2005-07-19 18:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-01-04 12:24 . 2005-07-19 18:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-01-04 12:24 . 2005-07-19 18:32 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-01-04 12:24 . 2005-07-19 18:35 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-01-04 12:24 . 2005-07-19 18:54 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-01-04 12:24 . 2005-07-19 18:32 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\You've Got Pictures Screensaver
2008-01-04 12:24 . 2005-07-19 18:54 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-01-04 03:28 . 2008-01-04 03:28 <DIR> d-------- C:\kav
2008-01-04 00:50 . 2008-01-04 01:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-12-22 15:20 . 2006-01-14 05:30 839,274,496 --a------ C:\Schloss.der.Blauen.Voegel.DVDRip.DivX5.2.1.german.uncut.avi
2007-12-18 18:07 . 2008-01-02 20:08 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-18 18:07 . 2007-12-18 18:07 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-05 22:28 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-01-05 20:38 59,688 ----a-w C:\Dokumente und Einstellungen\Don Diego de la Vega\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2008-01-04 13:59 --------- d-----w C:\Programme\Symantec
2008-01-04 13:45 --------- d-----w C:\Programme\Kaspersky Lab
2008-01-04 13:41 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-01-04 13:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-01-04 13:31 --------- d-----w C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
2008-01-04 13:31 --------- d-----w C:\Dokumente und Einstellungen\Don Diego de la Vega\Anwendungsdaten\AVG7
2008-01-04 13:31 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2008-01-04 13:30 --------- d-----w C:\Programme\Postal2
2008-01-01 17:40 --------- d-----w C:\Dokumente und Einstellungen\Don Diego de la Vega\Anwendungsdaten\Writer's Cafe
2007-12-23 18:53 3,584 ----a-w C:\Dokumente und Einstellungen\Don Diego de la Vega\netcache.dat
2007-11-21 14:44 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-11-21 14:44 --------- d-----w C:\Programme\Kazaa
2007-11-15 17:06 --------- d-----w C:\Dokumente und Einstellungen\Don Diego de la Vega\Anwendungsdaten\Yahoo!
2007-11-15 17:06 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Yahoo! Companion
2007-11-15 17:04 --------- d-----w C:\Programme\DivX
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-11-08 16:51 18,294 ----a-w C:\Dokumente und Einstellungen\Don Diego de la Vega\Anwendungsdaten\wklnhst.dat
2007-11-01 14:28 27,122,176 ----a-w C:\Setup_minicontrol_windows.exe
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-20 21:31 3,752,642 ----a-w C:\klite261d.exe
2007-10-20 21:14 823,296 ----a-w C:\winmx353.exe
2007-10-20 01:58 9,237,944 ----a-w C:\BearShareV6.exe
2007-10-20 01:42 594,880 ----a-w C:\kazaa_setup.exe
2007-10-20 00:56 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-10-20 00:56 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"Duden Korrektor SysTray"="C:\Programme\Duden\Duden Korrektor\DKTray.exe" [2007-06-22 12:32 561880]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 16:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-28 20:05 344064]
"SoundMan"="SOUNDMAN.EXE" [2005-03-10 08:46 90112 C:\WINDOWS\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2005-03-10 08:49 2803712 C:\WINDOWS\ALCWZRD.EXE]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-03-18 14:35 98393]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-03-18 14:34 688217]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-07-19 18:32 98304]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"InstantOn"="C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" [2005-05-11 16:28 93640]
"TerraTec Remote Control"="C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe" [2006-12-07 10:59 1032192]
"REGSHAVE"="C:\Programme\REGSHAVE\REGSHAVE.exe" [2002-02-04 22:32 53248]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 10:45 63712]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-04-15 16:13 45056]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-10-09 02:13 185784]
"PCMService"="C:\Programme\CyberLink\PowerCinema\PCMService.exe" [2005-06-20 05:32 127118]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-06-28 12:51 218376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Exif Launcher.lnk - C:\Programme\FinePixViewer\QuickDCF.exe [2002-01-09 21:53:14]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]
Office-Bibliothek-Direktsuche.lnk - C:\Programme\Office-Bibliothek\PCLib.exe [2006-12-18 07:34:31]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
C:\Programme\ICQLite\ICQLite.exe -minimize

R0 SiSRaid2;SiSRaid2;C:\WINDOWS\system32\drivers\SiSRaid2.sys [2005-01-11 16:58]
R0 viamraid;viamraid;C:\WINDOWS\system32\drivers\viamraid.sys [2005-04-08 10:43]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 14:58]
R3 Slazldrv;SmartLink AMR_PCI Driver;C:\WINDOWS\system32\DRIVERS\SLDRV\slazldrv.sys [2005-02-07 17:33]
S2 Automatisches LiveUpdate - Scheduler;Automatisches LiveUpdate - Scheduler;"C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe" []
S3 AVMUNET;AVM FRITZ!Box;C:\WINDOWS\system32\DRIVERS\avmunet.sys [2004-11-24 02:00]
S3 MS1000;MS1000;C:\WINDOWS\system32\DRIVERS\MS1000.sys [2008-01-06 19:14]
S3 PAC7311;VGA SoC PC-Camera;C:\WINDOWS\system32\DRIVERS\PA707UCM.SYS [2005-10-18 11:48]
S3 USB28xxBGA;Cinergy EM28xx Capture;C:\WINDOWS\system32\DRIVERS\emBDA.sys [2006-08-17 16:17]
S3 USB28xxOEM;Cinergy EM28xx OEM Filter;C:\WINDOWS\system32\DRIVERS\emOEM.sys [2006-08-17 16:16]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fffbf418-c7b4-11da-99e8-00038a000015}]
\Shell\Auto\command - F:\auto.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL auto.exe

*Newly Created Service* - PROCEXP90
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-06 22:57:52
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-06 22:59:09
ComboFix-quarantined-files.txt 2008-01-06 21:58:47


Vielleicht sollte ich den e-scan jetzt nochmal machen ... Im Process Explorer konnte ich bei den svchost-Dateien nicht viel Verdächtiges finden; ich habe allerdings mehrere davon ...

Alt 07.01.2008, 00:08   #10
Trojanerade
 
ntos.exe Nachwehen - Standard

ntos.exe Nachwehen


Kein,Problem das mit dem defekten Link haben wir schon länger zu kämpfen nun übergebe ich undo wieder die stellung ...fals ich nicht dazwischen flunkern durfte melde dich undo per pn ich möchte nichts falschmachen

Mfg Trojanerade
__________________
Nothing can stop me in MY work

Alt 07.01.2008, 11:11   #11
BataAlexander
> MalwareDB
 
ntos.exe Nachwehen - Standard

ntos.exe Nachwehen


C:\klite261d.exe
C:\winmx353.exe
C:\BearShareV6.exe
C:\kazaa_setup.exe[/QUOTE]
Das kann man schon Vorsatz nennen.

Alt 07.01.2008, 12:55   #12
Richard der Namenlose
 
ntos.exe Nachwehen - Standard

ntos.exe Nachwehen


Ich weiß
Die hatte ich mir mal installiert, als ich ein paar schwer zu findende Songs aus den Zwanziger Jahren suchte, und jedesmal nach (erfolgloser) Suche wieder deinstalliert - aber ganz offenbar nicht gründlich genug :S

Antwort

Themen zu ntos.exe Nachwehen
1.exe, adobe, akzente, avg, bho, confused, cyberlink, downloader, druck, einstellungen, entfernen, excel, explorer, geld, helper, hijack, hijackthis, hkus\s-1-5-18, icq, install.exe, internet, internet explorer, kaspersky, microsoft, object, ordner, pdf, photoshop, programme, remote control, s-1-5-18, shockwave, software, symantec, system neu, systray, urlsearchhook, vielen dank, windows xp


« "Internet Explorer funktioniert nicht mehr" Hilfe...:( | TR/Dldr.Small.hlr.3 »


Ähnliche Themen: ntos.exe Nachwehen


  1. Windows Vista: Nachwehen eines BKA Virus ?
    Log-Analyse und Auswertung - 17.11.2013 (12)
  2. Trojan.Win32.Mediyes Nachwehen
    Plagegeister aller Art und deren Bekämpfung - 06.06.2013 (13)
  3. tr/atraps.gen und gen2 und die Nachwehen (Pishing Mail)
    Plagegeister aller Art und deren Bekämpfung - 06.10.2012 (4)
  4. Nachwehen vom ZeroAccess
    Diskussionsforum - 23.09.2012 (2)
  5. Windows Recovery Nachwehen
    Log-Analyse und Auswertung - 20.04.2011 (2)
  6. AV Security Nachwehen - Windows Firewall deaktiviert und Google-Linkumleitung
    Plagegeister aller Art und deren Bekämpfung - 21.07.2010 (12)
  7. ntos.exe ???
    Log-Analyse und Auswertung - 18.02.2009 (3)
  8. wsnpoem und ntos.exe
    Plagegeister aller Art und deren Bekämpfung - 28.10.2008 (29)
  9. ntos.exe
    Diskussionsforum - 25.08.2008 (14)
  10. ntos.exe usw. brauche hilfe
    Log-Analyse und Auswertung - 05.08.2008 (3)
  11. TR/Spy.ZBot.cew mit ntos.exe
    Plagegeister aller Art und deren Bekämpfung - 09.06.2008 (5)
  12. ntos.exe bzw. wsnpoem !
    Plagegeister aller Art und deren Bekämpfung - 08.02.2008 (4)
  13. ntos.exe
    Plagegeister aller Art und deren Bekämpfung - 04.01.2008 (3)
  14. ntos.exe
    Plagegeister aller Art und deren Bekämpfung - 25.09.2007 (7)
  15. TR/dropagent.nts in Systemdatei Ntos.exe
    Log-Analyse und Auswertung - 30.05.2007 (1)
  16. ntos.exe pls help
    Log-Analyse und Auswertung - 11.04.2007 (1)
  17. ntos.exe - hat zugeschlagen
    Plagegeister aller Art und deren Bekämpfung - 25.03.2007 (5)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema ntos.exe Nachwehen - Schönen guten Abend! Und erstmal vielen Dank, daß Ihr Euch völlig unentgeltlich mit den Problemen anderer User beschäftigt. Das ist doch kostenlos, oder? Geld kann ich mir nämlich nicht leisten - ntos.exe Nachwehen...
Archiv
Du betrachtest: ntos.exe Nachwehen auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55