Hallo.

Vor kurzem hat mein PC beim Starten die Festpaltte nichtmehr erkannt.
Grund dafür: Im Bios war meine Festplatte deaktiviert (Disabled)
Zusätzlich waren meine USB-Tastatur Treiber auch auf Disabled, deswegen musste ich eine alte PS2 Tastatur herauskramen, um überhaupt ins Bios zu kommen.

Als alles wieder auf Enabled stand, hat der PC wieder brav gebootet, aber mir ist sofort aufgefallen das ein neues Programm installiert wurde (Norton Securiy Scan).

Also hab ich sofort mit HijackThis ein Logfile erstellt.
was meint ihr? "Format c:" ? *gg*

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:21:13, on 13.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehSched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Opera\Opera.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\TVgenial\Interfaces\IEButtonEbayInterface.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StuffIt-Archivnamendienst (Stuffit Archive Name Service) - Smith Micro Software, Inc. - C:\Programme\Smith Micro\StuffIt11\ArcNameService.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - C:\xampp\service.exe

--
End of file - 5177 bytes


Danke für eure Hilfe,
jojoho

keiner eine Idee?

Hallo!


Bitte folgendes abarbeiten:

- eScan

- Combofix

=> combofix.exe starten und bestätige die Abfrage mit 1 und drücke Enter

Achtung:

Combofix nimmt ein wenig Zeit in anspruch!
Bitte nichts während des Scans am Pc machen

Es kann auch sein, dass dein Computer zwischendurch mal herunterfährt!

-

Danke für die Hilfe:

Anbeib das log von combofix.

ComboFix 08-01-15.1 - ******* 2008-01-15 22:39:34.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1552 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Opera\Opera\profile\cache4\temporary_download\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\lsprst7.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\ssprs.dll

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-15 bis 2008-01-15 ))))))))))))))))))))))))))))))
.

2008-01-14 22:21 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-13 14:53 . 2006-09-18 13:58 61,600 -ra------ C:\WINDOWS\system32\drivers\SE27bus.sys
2008-01-13 14:53 . 2006-09-18 13:59 5,872 -ra------ C:\WINDOWS\system32\drivers\SE27whnt.sys
2008-01-13 14:53 . 2006-09-18 13:59 5,872 -ra------ C:\WINDOWS\system32\drivers\SE27wh.sys
2008-01-13 14:05 . 2008-01-13 14:05 <DIR> d-------- C:\Programme\Trend Micro
2008-01-12 09:42 . 2008-01-12 13:34 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-12 09:42 . 2008-01-12 09:42 1,409 --a------ C:\WINDOWS\QTFont.for
2008-01-06 20:01 . 2008-01-06 20:01 <DIR> d-------- C:\Programme\JAlbumWin
2008-01-06 18:17 . 2008-01-11 21:31 754 --a------ C:\WINDOWS\WORDPAD.INI
2008-01-04 17:26 . 2008-01-04 18:48 <DIR> d-------- C:\Dokumente und Einstellungen\*******\Anwendungsdaten\ZoomBrowser EX
2008-01-04 17:25 . 2004-08-04 00:57 159,232 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-01-04 17:25 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-01-04 17:25 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-01-04 17:25 . 2001-08-18 04:54 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-01-04 14:20 . 2008-01-04 18:49 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ZoomBrowser
2008-01-04 14:19 . 2008-01-04 14:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Canon
2008-01-04 14:19 . 2008-01-04 14:20 <DIR> d-------- C:\Programme\Canon
2007-12-24 14:54 . 2007-12-24 14:54 25,000 --a------ C:\Dokumente und Einstellungen\*******\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-12-21 14:27 . 2007-12-21 14:27 <DIR> d-------- C:\Programme\DBConvert
2007-12-17 21:20 . 2007-12-17 21:21 <DIR> d-------- C:\Programme\LEd

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-14 20:45 --------- d-----w C:\Dokumente und Einstellungen\*******\Anwendungsdaten\U3
2008-01-11 13:25 --------- d-----w C:\Dokumente und Einstellungen\*******\Anwendungsdaten\dvdcss
2007-12-26 20:27 --------- d-----w C:\Dokumente und Einstellungen\*******\Anwendungsdaten\OpenOffice.org2
2007-12-14 21:51 --------- d-----w C:\Dokumente und Einstellungen\*******\Anwendungsdaten\mIRC
2007-12-14 20:36 --------- d-----w C:\Programme\mIRC
2007-12-09 18:37 --------- d-----w C:\Programme\HighMAT Viewer
2007-12-03 19:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Minnetonka Audio Software
2007-12-01 13:16 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-01 13:16 --------- d-----w C:\Programme\Google
2007-11-27 06:31 --------- d-----w C:\Programme\DVRMSToolbox
2007-11-26 12:47 --------- d-----w C:\Programme\M.C.R. Hamburg
2007-11-26 12:46 --------- d-----w C:\Programme\DVRSoft
2007-11-26 12:34 --------- d-----w C:\Programme\Dragon Global
2007-11-26 12:34 --------- d-----w C:\Programme\Common Files
2007-11-26 12:31 --------- d-----w C:\Programme\Windows Media Connect 2
2007-11-24 17:28 --------- d-----w C:\Programme\Gemeinsame Dateien\DirectX
2007-11-24 17:14 --------- d-----w C:\Programme\Deep Silver
2007-11-21 07:06 --------- d-----w C:\Programme\ICQ6
2007-11-20 20:43 --------- d-----w C:\Dokumente und Einstellungen\*******\Anwendungsdaten\ICQ
2007-11-20 20:42 --------- d-----w C:\Dokumente und Einstellungen\*******\Anwendungsdaten\InstallShield
2007-11-18 10:08 --------- d-----w C:\Dokumente und Einstellungen\*******\Anwendungsdaten\DeepBurner
2007-11-18 09:58 --------- d-----w C:\Dokumente und Einstellungen\*******\Anwendungsdaten\Media Player Classic
2007-11-18 09:56 --------- d-----w C:\Programme\K-Lite Codec Pack
2007-11-18 09:46 --------- d-----w C:\Programme\Astonsoft
2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-10-29 22:35 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2004-03-09 21:00 142,848 ----a-w C:\Dokumente und Einstellungen\*******\setup.exe
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ICQ"="C:\Programme\ICQ6\ICQ.exe" [2007-11-20 21:44 177400]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="C:\WINDOWS\ehome\ehtray.exe" [2005-08-05 12:34 64512]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-06 15:38 7700480]
"nwiz"="nwiz.exe" [2006-10-06 15:38 1617920 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-10-09 10:50 16236032 C:\WINDOWS\RTHDCPL.exe]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 20:09 249896]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-24 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"= C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles
"InstallTheme"= C:\WINDOWS\Resources\Themes\Royale.theme

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma.lnk
backup=C:\WINDOWS\pss\Adobe Gamma.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Ralink Wireless Utility.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Ralink Wireless Utility.lnk
backup=C:\WINDOWS\pss\Ralink Wireless Utility.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^*******^Startmenü^Programme^Autostart^OpenOffice.org 2.3.lnk]
path=C:\Dokumente und Einstellungen\*******\Startmenü\Programme\Autostart\OpenOffice.org 2.3.lnk
backup=C:\WINDOWS\pss\OpenOffice.org 2.3.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2007-10-10 19:51 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM]
--a------ 2006-03-20 16:34 213936 C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-09-26 13:42 267064 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--------- 2007-01-08 21:17 52256 C:\Programme\CyberLink\PowerDVD\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 17:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-06-29 05:24 286720 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2007-03-14 20:01 71216 C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]
-r------- 2006-10-09 10:50 2879488 C:\WINDOWS\SkyTel.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2006-11-24 00:06 487424 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-09-25 00:11 132496 C:\Programme\Java\jre1.6.0_03\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"RichVideo"=2 (0x2)
"iPod Service"=3 (0x3)
"DVRMSFileWatcherService"=2 (0x2)
"Bonjour Service"=2 (0x2)

R1 VBoxDrv;VirtualBox Service;C:\WINDOWS\system32\DRIVERS\VBoxDrv.sys [2007-08-31 14:19]
R1 VBoxUSBMon;VirtualBox USB Monitor Driver;C:\WINDOWS\system32\DRIVERS\VBoxUSBMon.sys [2007-08-31 14:19]
R2 Stuffit Archive Name Service;StuffIt-Archivnamendienst;"C:\Programme\Smith Micro\StuffIt11\ArcNameService.exe" [2007-10-08 10:23]
R3 3xHybrid;Philips SAA713x PCI Card;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2006-10-10 07:16]
S2 XAMPP;XAMPP Service;C:\xampp\service.exe [2006-10-23 14:24]
S3 netr73;RT73 USB Wireless LAN Card Driver for Vista;C:\WINDOWS\system32\DRIVERS\netr73.sys [2006-09-28 22:41]
S4 DVRMSFileWatcherService;DVRMSFileWatcherService;c:\programme\dvrmstoolbox\dvrmsfilewatcherservice.exe [2006-03-18 21:41]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{639f33fc-6cf5-11dc-b4d5-001a2a27fd7a}]
\Shell\AutoRun\command - J:\LaunchU3.exe -a

*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners
"2007-11-28 08:50:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-15 22:45:02
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-15 22:45:35
ComboFix-quarantined-files.txt 2008-01-15 21:45:27
.
2008-01-10 12:44:56 --- E O F ---

Hi,

ich benötige noch den Bericht von 'eScan'!