Hi Leute,

Seit einiger Zeit, bricht der Seitenaufbau mit dem Interner Explorer 7.0 und firefox ab. Es lässt sich keine Webseite aufrufen. Nach einem Neustart werden die Seiten wieder aufgebaut, die Zeitintervalle, bis sich keine Seiten mehr aufbauen sind unterschiedlich .

Das komische daran ist, dass ich dennoch im Hintergrund Pings abschicken kann mit positiver Rückmeldung.

Die find.bat hat einige entpackte Handygames mit Befall ausgegeben, Löschen sollte wohl reichen?

Ich vermute einen Befall, Anbei habe ich HJT und Escan Log mit angehängt.
Bitte um Sichtung ggf. Hilfestellung bei weiterer Vorgehensweise.


Logfile of HijackThis v1.99.1
Scan saved at 14:04:39, on 17.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Security\Panda Internet Security 2008\TPSrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Panda Security\Panda Internet Security 2008\PsCtrls.exe
C:\Programme\Panda Security\Panda Internet Security 2008\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Security\Panda Internet Security 2008\pavsrv51.exe
C:\Programme\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe
C:\Programme\Panda Security\Panda Internet Security 2008\AVENGINE.EXE
c:\programme\panda security\panda internet security 2008\firewall\PSHOST.EXE
C:\Programme\Panda Security\Panda Internet Security 2008\PsImSvc.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.e xe
C:\Programme\eigene\UPHClean\uphclean.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\eigene\Acronis\TrueImageHome\TrueImag eMonitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIB VE.EXE
C:\Programme\Panda Security\Panda Internet Security 2008\SRVLOAD.EXE
C:\Programme\Panda Security\Panda Internet Security 2008\WebProxy.exe
C:\Programme\Panda Security\Panda Internet Security 2008\PavBckPT.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Panda Security\Panda Internet Security 2008\PAVJOBS.EXE
C:\Programme\eigene\Mozilla Firefox\firefox.exe
C:\Programme\eigene\totalcmd\TOTALCMD.EXE
C:\Programme\eigene\totalcmd\TOTALCMD.EXE
C:\Programme\Panda Security\Panda Internet Security 2008\psimreal.exe
C:\Security\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\eigene\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\eigene\java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\eigene\Acronis\TrueImageHome\TrueImag eMonitor.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Security\Panda Internet Security 2008\Inicio.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIB VE.EXE /FU "C:\WINDOWS\TEMP\E_S8F.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series auf MWORX-BASE (von MWORX_NOTE2)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIB VE.EXE /FU "C:\WINDOWS\TEMP\E_S2C.tmp" /EF "HKCU"
O8 - Extra context menu item: Download with GetRight Pro - C:\Programme\eigene\GetRight\GRdownload.htm
O8 - Extra context menu item: Mit GetRight downloaden - C:\Programme\eigene\GetRight\GRdownload.htm
O8 - Extra context menu item: Mit Getright-Browser öffnen - C:\Programme\eigene\GetRight\GRbrowse.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\eigene\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Pro Browser - C:\Programme\eigene\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\eigene\java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\eigene\java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\eigene\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\eigene\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\eigene\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DL L
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\programme\panda security\panda internet security 2008\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\TPSrv.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.e xe


eScan Version: 9.6.9
Sprache: German
C:\DOKUME~1\Donny\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei M:\System Volume Information\_restore{96B1CE24-F6AB-4E8C-A9D6-BBF0F1F37590}\RP28\A0010371.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei M:\System Volume Information\_restore{96B1CE24-F6AB-4E8C-A9D6-BBF0F1F37590}\RP28\A0010372.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei M:\[0000]---DOWNLOADS---\Java Handygames\BumbleBeez.jar/MineSweeper.class infiziert von "Trojan-SMS.J2ME.Smarm.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei M:\[0000]---DOWNLOADS---\Java Handygames\DerbyChamp_BFLM.jar/Derby.class infiziert von "Trojan-SMS.J2ME.Smarm.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei M:\[0000]---DOWNLOADS---\Java Handygames\Garfield_Dreamland_by_BFLM.jar/com/ig/gameapi/GameMIDlet.class infiziert von "Trojan-SMS.J2ME.Smarm.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei M:\[0000]---DOWNLOADS---\Java Handygames\Vampire_Bloodline_BFLM.jar/Vampire.class infiziert von "Trojan-SMS.J2ME.Smarm.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei M:\[0000]---DOWNLOADS---\Java Handygames\Zola_Hunter.jar/ZolaHunter.class infiziert von "Trojan-SMS.J2ME.Smarm.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei M:\[0001]---Abarbeiten---\[0000]----WORKSTATION---\HandyStuuf\Java Handygames\BumbleBeez.jar/MineSweeper.class infiziert von "Trojan-SMS.J2ME.Smarm.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei M:\[0001]---Abarbeiten---\[0000]----WORKSTATION---\HandyStuuf\Java Handygames\DerbyChamp_BFLM.jar/Derby.class infiziert von "Trojan-SMS.J2ME.Smarm.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei M:\[0001]---Abarbeiten---\[0000]----WORKSTATION---\HandyStuuf\Java Handygames\Garfield_Dreamland_by_BFLM.jar/com/ig/gameapi/GameMIDlet.class infiziert von "Trojan-SMS.J2ME.Smarm.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei M:\[0001]---Abarbeiten---\[0000]----WORKSTATION---\HandyStuuf\Java Handygames\Vampire_Bloodline_BFLM.jar/Vampire.class infiziert von "Trojan-SMS.J2ME.Smarm.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei M:\[0001]---Abarbeiten---\[0000]----WORKSTATION---\HandyStuuf\Java Handygames\Zola_Hunter.jar/ZolaHunter.class infiziert von "Trojan-SMS.J2ME.Smarm.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei M:\[0001]---Abarbeiten---\[0000]----WORKSTATION---\HandyStuuf\Neusten Java Games für alle Handys mit Java Jamba\Mforma.Call.Of.Duty.v1.0.Samsung.E630.Java.Retail-BiNPDA\BiN-2044.zip/Mforma.Call.Of.Duty.v1.0.Samsung.E630.Java.Retail-BiNPDA.jar/COD.class infiziert von "Trojan-SMS.J2ME.Smarm.c" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
M:\[0001]---Abarbeiten---\[00000]\DVB\Files\Madmax\gbox2.5-win32.zip nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 19:03:38,25
Batchende: 19:04:06,79

Halli hallo.


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateienlass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIB VE.EXE

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Die eScan Funde solltest du löschen.

Hi Undoreal

Alle Dateien anzeigen sowie Systemdateien anzeigen ist OK.

zunächst gibt es ein kleines Problem, die Datei E_FATIB VE.EXE ist im besagten Ordner nicht auffindbar.

es befindet sich lediglich E_FATIBVE.EXE in diesem Ordner.

ich habe Sicherheitshalber einen neuen HJT LOG angehängt.

Selbstverständlich habe ich die E_FATIBVE.EXE bei Virustotal gescannt.
und nachfolgend angehängt

Logfile of HijackThis v1.99.1
Scan saved at 21:10:10, on 17.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Panda Security\Panda Internet Security 2008\TPSrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Panda Security\Panda Internet Security 2008\PsCtrls.exe
C:\Programme\Panda Security\Panda Internet Security 2008\PavFnSvr.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\Programme\Panda Security\Panda Internet Security 2008\pavsrv51.exe
C:\Programme\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe
C:\Programme\Panda Security\Panda Internet Security 2008\AVENGINE.EXE
c:\programme\panda security\panda internet security 2008\firewall\PSHOST.EXE
C:\Programme\Panda Security\Panda Internet Security 2008\PsImSvc.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe
C:\Programme\eigene\UPHClean\uphclean.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\rdpclip.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\eigene\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\Panda Security\Panda Internet Security 2008\SRVLOAD.EXE
C:\Programme\Panda Security\Panda Internet Security 2008\WebProxy.exe
C:\Programme\Panda Security\Panda Internet Security 2008\PavBckPT.exe
C:\Programme\eigene\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\logon.scr
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\eigene\totalcmd\TOTALCMD.EXE
C:\xampp\xampp-control.exe
c:\xampp\apache\bin\apache.exe
C:\xampp\mysql\bin\mysqld.exe
C:\xampp\apache\bin\apache.exe
c:\Security\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\eigene\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\eigene\java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\eigene\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Security\Panda Internet Security 2008\Inicio.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\eigene\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S8F.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series auf MWORX-BASE (von MWORX_NOTE2)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_SE.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O8 - Extra context menu item: Download with GetRight Pro - C:\Programme\eigene\GetRight\GRdownload.htm
O8 - Extra context menu item: Mit GetRight downloaden - C:\Programme\eigene\GetRight\GRdownload.htm
O8 - Extra context menu item: Mit Getright-Browser öffnen - C:\Programme\eigene\GetRight\GRbrowse.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\eigene\MICROS~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Pro Browser - C:\Programme\eigene\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\eigene\java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\eigene\java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\eigene\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\eigene\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\eigene\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\pavsrv51.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\programme\panda security\panda internet security 2008\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\PsImSvc.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Programme\Panda Security\Panda Internet Security 2008\TPSrv.exe
O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe












Datei E_FATIBVE.EXE empfangen 2008.02.17 21:03:58 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.16.10 2008.02.15 -
AntiVir 7.6.0.67 2008.02.15 -
Authentium 4.93.8 2008.02.17 -
Avast 4.7.1098.0 2008.02.17 -
AVG 7.5.0.516 2008.02.17 -
BitDefender 7.2 2008.02.17 -
CAT-QuickHeal None 2008.02.16 -
ClamAV 0.92.1 2008.02.17 -
DrWeb 4.44.0.09170 2008.02.17 -
eSafe 7.0.15.0 2008.02.17 -
eTrust-Vet 31.3.5541 2008.02.15 -
Ewido 4.0 2008.02.17 -
FileAdvisor 1 2008.02.17 -
Fortinet 3.14.0.0 2008.02.17 -
F-Prot 4.4.2.54 2008.02.17 -
F-Secure 6.70.13260.0 2008.02.17 -
Ikarus T3.1.1.20 2008.02.17 -
Kaspersky 7.0.0.125 2008.02.17 -
McAfee 5231 2008.02.15 -
Microsoft 1.3204 2008.02.17 -
NOD32v2 2881 2008.02.17 -
Norman 5.80.02 2008.02.15 -
Panda 9.0.0.4 2008.02.17 -
Prevx1 V2 2008.02.17 -
Rising 20.31.50.00 2008.02.16 -
Sophos 4.26.0 2008.02.17 -
Sunbelt 2.2.907.0 2008.02.16 -
Symantec 10 2008.02.17 -
TheHacker 6.2.9.222 2008.02.16 -
VBA32 3.12.6.1 2008.02.17 -
VirusBuster 4.3.26:9 2008.02.17 -
Webwasher-Gateway 6.6.2 2008.02.15 -
weitere Informationen
File size: 139264 bytes
MD5: 3be50e7b78494145987b66271cddcc98
SHA1: 5c5dab27d37b3910dbed8880fb3494b291e48131
PEiD: -

Zitat:

es befindet sich lediglich E_FATIBVE.EXE in diesem Ordner.

typischer HJT Fehler. Sry, hätte ich auch berichtigen können.. Und gut, dass du mitdenkst..

Das HJT log sieht sauber aus.

Wenn wir tiefer graben wollen dann folgen nun so einige Punkte:

1) Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

2) Deinstalliere Java über die Systemsteuerung.

3) Blacklight bitte laufen lassen und das log posten..

4) Lasse Silentrunners laufen und poste die logFiles..

5) Folge dieser Anleitung.

6) Run Combofix. Poste den erscheinenden Text.

7) Durchsuche mit Lavasoft und Spybot-S&D sowie deinem AV-Prog (alle drei mit aktuellen Signaturen!) dein System jeweils 2x. Erst im normalen und dann im abgesicherten Modus (F8 beim Hochfahren).

8) Räume mit cCleaner auf ( die Registry musst du mehrmals durchsuchen und bereinigen lassen).

9) Poste ein frisches HijackThis log sowie einen iClean Bericht (Prog in eigenem Ordner öffnen->"Yes"->File->Report).

10) Danach machst du einen eScan nach Anleitung in meiner Signatur und postest das log.

Hi Undoreal,

bevor ich nun fortfahre, in Schritt2 Java deinstallieren, ich nutze das Java für Spamato in thunderbird.

Kann ich das danach wieder installieren, wenn ich die Schritte abgearbeitet habe?

Dann lass Java drauf..

Hi Undoreal,

ich habe bereits einige Logs zusammen getragen, aber das Combofix ist mein Sorgenkind im Moment.

ich habe in der Anleitung gelesen, dass Combofix nach dem Neustart weiterscannt bzw. die kmd.exe und Combobatch.bat automatisch startet , wie es in der MSconfig zu finden ist.

Ich kann nur sehen, das nach dem Neustart die Kmd.exe versucht 2-3 mal zu starten und das wars dann.

ich bin nach der Anleitung von Combofix vorgegangen.

anbei der Inhalt aus der Combofix.txt
ComboFix 08-02-18.1 - Donny 2008-02-19 11:19:27.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1569 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Donny\Desktop\ComboFix.exe
.

hat das seine Richtigkeit ??

bye



Nachtrag
es wurde eine Ordner QooBox auf c:\ erstellt, im Quaratine\C\Windows
wird die Regedit.com.vir und unter Quaratine\C\Windows\System32 taskmgr.com.vir
aufgezeigt

Hmmm. Das log ist alles andere als Vollständig. Hindert ein anderes Prog die kmd.exe am Start? Startet evtl. dein AntiViren Programm zur gleichen Zeit? Oder nutzt du andere Sicherheitsprogramme? Wenn ja dann schalte sie bitte alle für die Dauer des Combofix Scans ab (sollte man sowieso machen) und nimm sie bitte auch aus dem Autostart heraus.

Hi Undorel,

AV Programm Panda Internet Security 2008 habe ich deinstalliert,
alles Autostart dateien habe ich deaktiviert.

Combofix will einfach nicht.

anbei hänge ich dir die fertigen Log Datein, villeicht kann man hier schon was erkennen.


1) Systemwiederherstellung deaktiviert
2) Java deinstalliert
3) Blacklight LOG
02/17/08 21:54:21 [Info]: BlackLight Engine 1.0.67 initialized
02/17/08 21:54:21 [Info]: OS: 5.1 build 2600 (Service Pack 2)
02/17/08 21:54:21 [Note]: 7019 4
02/17/08 21:54:21 [Note]: 7005 0
02/17/08 21:54:25 [Note]: 7006 0
02/17/08 21:54:25 [Note]: 7011 3556
02/17/08 21:54:25 [Note]: 7026 0
02/17/08 21:54:25 [Note]: 7026 0
02/17/08 21:54:35 [Note]: FSRAW library version 1.7.1024

4) Silentrunners LOG
"Silent Runners.vbs", revision 55, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"EPSON Stylus DX5000 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S8F.tmp" /EF "HKCU"" ["SEIKO EPSON CORPORATION"]
"EPSON Stylus DX5000 Series auf MWORX-BASE (von MWORX_NOTE2)" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S2E.tmp" /EF "HKCU"" ["SEIKO EPSON CORPORATION"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"TrueImageMonitor.exe" = "C:\Programme\eigene\Acronis\TrueImageHome\TrueImageMonitor.exe" ["Acronis"]
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"APVXDWIN" = ""C:\Programme\Panda Security\Panda Internet Security 2008\APVXDWIN.EXE" /s" ["Panda Software International"]
"SCANINICIO" = ""C:\Programme\Panda Security\Panda Internet Security 2008\Inicio.exe"" ["Panda Software International"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{31FF080D-12A3-439A-A2EF-4BA95A3148E8}\(Default) = (no title provided)
-> {HKLM...CLSID} = "GetRight IE Download Helper"
\InProcServer32\(Default) = "C:\Programme\eigene\GetRight\xx2gr.dll" ["Headlight Software, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\eigene\WinRAR\rarext.dll" [null data]
"{C539A15A-3AF9-4c92-B771-50CB78F5C751}" = "Acronis True Image Shell Context Menu Extension"
-> {HKLM...CLSID} = "Acronis True Image Shell Context Menu Extension"
\InProcServer32\(Default) = "C:\Programme\eigene\Acronis\TrueImageHome\tishell.dll" ["Acronis"]
"{C539A15B-3AF9-4c92-B771-50CB78F5C751}" = "Acronis True Image Shell Extension"
-> {HKLM...CLSID} = "Acronis True Image Shell Extension"
\InProcServer32\(Default) = "C:\Programme\eigene\Acronis\TrueImageHome\tishell.dll" ["Acronis"]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook File Icon Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\eigene\MICROS~1\Office12\OLKFSTUB.DLL" [MS]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\eigene\MICROS~1\Office12\MLSHEXT.DLL" [MS]
"{5858A72C-C2B4-4dd7-B2BF-B76DB1BD9F6C}" = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search"
-> {HKLM...CLSID} = "Microsoft Office OneNote Namespace Extension for Windows Desktop Search"
\InProcServer32\(Default) = "C:\PROGRA~1\eigene\MICROS~1\Office12\ONFILTER.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\eigene\Microsoft Office\Office12\msohevi.dll" [MS]
"{993BE281-6695-4BA5-8A2A-7AACBFAAB69E}" = "Microsoft Office Metadata Handler"
-> {HKLM...CLSID} = "Microsoft Office Metadata Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{C41662BB-1FA0-4CE0-8DC5-9B7F8279FF97}" = "Microsoft Office Thumbnail Handler"
-> {HKLM...CLSID} = "Microsoft Office Thumbnail Handler"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\msoshext.dll" [MS]
"{AD392E40-428C-459F-961E-9B147782D099}" = "UltraISO"
-> {HKLM...CLSID} = "UIContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\eigene\UltraISO\isoshell.dll" ["EZB Systems, Inc."]
"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\eigene\7-Zip\7-zip.dll" ["Igor Pavlov"]
"{65756541-C65C-11CD-0000-4B656E696100}" = "Panda Antivirus"
-> {HKLM...CLSID} = "Panda Antivirus"
\InProcServer32\(Default) = "C:\Programme\Panda Security\Panda Internet Security 2008\PavOLE.dll" ["Panda Software"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Aedebug\
<<!>> "Debugger" = ""C:\WINDOWS\system32\vsjitdebugger.exe" -p %ld -e %ld" [MS]
"Auto" = "1"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> avldr\DLLName = "avldr.dll" ["Panda Software International"]

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807563E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = "Microsoft Office InfoPath XML Mime Filter"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\eigene\7-Zip\7-zip.dll" ["Igor Pavlov"]
Panda Antivirus\(Default) = "{65756541-C65C-11CD-0000-4B656E696100}"
-> {HKLM...CLSID} = "Panda Antivirus"
\InProcServer32\(Default) = "C:\Programme\Panda Security\Panda Internet Security 2008\PavOLE.dll" ["Panda Software"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\eigene\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\eigene\7-Zip\7-zip.dll" ["Igor Pavlov"]
UltraISO\(Default) = "{AD392E40-428C-459F-961E-9B147782D099}"
-> {HKLM...CLSID} = "UIContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\eigene\UltraISO\isoshell.dll" ["EZB Systems, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\eigene\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Panda Antivirus\(Default) = "{65756541-C65C-11CD-0000-4B656E696100}"
-> {HKLM...CLSID} = "Panda Antivirus"
\InProcServer32\(Default) = "C:\Programme\Panda Security\Panda Internet Security 2008\PavOLE.dll" ["Panda Software"]
UltraISO\(Default) = "{AD392E40-428C-459F-961E-9B147782D099}"
-> {HKLM...CLSID} = "UIContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\eigene\UltraISO\isoshell.dll" ["EZB Systems, Inc."]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\eigene\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Donny\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\Programme\Panda Security\Panda Internet Security 2008\pavlsp.dll ["Panda Software International"], 01 - 03, 20
%SystemRoot%\system32\mswsock.dll [MS], 04 - 07, 10 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 08 - 09


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\eigene\MICROS~1\Office12\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{2670000A-7350-4F3C-8081-5663EE0C6C49}\
"ButtonText" = "An OneNote senden"
"MenuText" = "An OneNote s&enden"
"CLSIDExtension" = "{48E73304-E1D6-4330-914C-F5F514E3486C}"
-> {HKLM...CLSID} = "Send to OneNote from Internet Explorer button"
\InProcServer32\(Default) = "C:\PROGRA~1\eigene\MICROS~1\Office12\ONBttnIE.dll" [MS]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Research"

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Acronis Scheduler2 Service, AcrSch2Svc, ""C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe"" ["Acronis"]
Acronis Try And Decide Service, TryAndDecideService, ""C:\Programme\Gemeinsame Dateien\Acronis\Fomatik\TrueImageTryStartService.exe"" [null data]
NMIndexingService, NMIndexingService, ""C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe"" ["Nero AG"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Panda anti-virus service, PAVSRV, ""C:\Programme\Panda Security\Panda Internet Security 2008\pavsrv51.exe"" ["Panda Software International"]
Panda Antispam Engine, pmshellsrv, "C:\Programme\Panda Security\Panda Internet Security 2008\AntiSpam\pskmssvc.exe" ["Panda Software International"]
Panda Function Service, PAVFNSVR, ""C:\Programme\Panda Security\Panda Internet Security 2008\PavFnSvr.exe"" ["Panda Software International"]
Panda Host Service, PSHost, ""c:\programme\panda security\panda internet security 2008\firewall\PSHOST.EXE"" ["Panda Software International"]
Panda IManager Service, PSIMSVC, ""C:\Programme\Panda Security\Panda Internet Security 2008\PsImSvc.exe"" ["Panda Software International"]
Panda Process Protection Service, PavPrSrv, ""C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe"" ["Panda Software"]
Panda Software Controller, Panda Software Controller, ""C:\Programme\Panda Security\Panda Internet Security 2008\PsCtrls.exe"" ["Panda Software International"]
Panda TPSrv, TPSrv, ""C:\Programme\Panda Security\Panda Internet Security 2008\TPSrv.exe"" ["Panda Software International"]
SQL Server (SQLEXPRESS), MSSQL$SQLEXPRESS, ""C:\Programme\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS" [MS]
SQL Server VSS Writer, SQLWriter, ""C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe"" [MS]
User Profile Hive Cleanup, UPHClean, "C:\Programme\eigene\UPHClean\uphclean.exe" [MS]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
EPSON Stylus DX5000 Series 32MonitorBE\Driver = "E_FLBBVE.DLL" ["SEIKO EPSON CORPORATION"]
FRITZ!fax Color Port Monitor\Driver = "FritzColorPort.dll" ["AVM Berlin GmbH"]
FRITZ!fax Port Monitor\Driver = "FritzPort.dll" ["AVM Berlin GmbH"]
PDFCreator\Driver = "pdfcmnnt.dll" ["internet-support foehr.com"]
Send To Microsoft OneNote Monitor\Driver = "msonpmon.dll" [MS]


---------- (launch time: 2008-02-17 22:14:55)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 228 seconds.
---------- (total run time: 287 seconds)
#

5)SmitFraudFix v2.290

Scan done at 22:42:20,00, 17.02.2008
Run from c:\Security\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{5E86A776-97F3-4FA4-B142-93A65EE49676}: DhcpNameServer=192.168.235.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5E86A776-97F3-4FA4-B142-93A65EE49676}: DhcpNameServer=192.168.235.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{5E86A776-97F3-4FA4-B142-93A65EE49676}: DhcpNameServer=192.168.235.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.235.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.235.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.235.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Reboot

C:\WINDOWS\system32\systems.txt Please, Reboot and Run SmitfraudFix option 2 once again.


»»»»»»»»»»»»»»»»»»»»»»»» End









======

Hi Undoreal,

gibt es einen Alternative zu Combofix ??

ich habe Combofix mehrmals gestartet, weder kann ich die "1" auswählen , desweiteren nach dem Neustart gehts net weiter.

Ebenfalls erscheint eine Fehlermeldung in Combofix
"Der Befehl Lösche ist entweder falsch geschrieben oder nicht vorhanden."

hast du eventuell noch einen Tip?



Der Adware Log ist Meterlang ca. 100 kb .tx Datei ich schneide den gleich in kleinere Pakete.

Bye

Hallo.

Das Adaware log bracuhe ich nicht unbedingt! Dort kannst du evtl. interessante Funde einfach hier posten (was wurde wo gefunden).

Zu Combofix gibt es leider keine Alternative und ich habe momentan leider auch keine Lösung parat.

Dann muss es ohne gehen.. wir erstellen alternativ eine filelist.

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net - Ihr kostenloser File Hoster! hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

adaware

Cleaned Infections
===========================
Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Donny\Cookies\index.dat partners.webmasterplan.com fritz0 /, Belonging to Tracking Cookie
Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Donny\Cookies\index.dat partners.webmasterplan.com fritz3607 /, Belonging to Tracking Cookie
Browser: Internet Explorer Cookie: C:\Dokumente und Einstellungen\Donny\Cookies\index.dat ivwbox.de i00 /, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Mozilla\Firefox\Profiles/3av15o95.default\cookies.txt de.sitestat.com s1 /idgcom-de/pcwelt/, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\Mozilla\Firefox\Profiles/bc4x1hyl.default\cookies.txt partypoker.com TRKR /, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\Mozilla\Firefox\Profiles/bc4x1hyl.default\cookies.txt partypoker.com PPID /, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\Mozilla\Firefox\Profiles/bc4x1hyl.default\cookies.txt partypoker.com PPWMID /, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\Mozilla\Firefox\Profiles/bc4x1hyl.default\cookies.txt msnportal.112.2o7.net s_vi /, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\Mozilla\Firefox\Profiles/bc4x1hyl.default\cookies.txt tripod.com CookieStatus /, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\Mozilla\Firefox\Profiles/bc4x1hyl.default\cookies.txt adbutler.de keks10301 /, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\Mozilla\Firefox\Profiles/bc4x1hyl.default\cookies.txt adbutler.de cookiefp[10301] /, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\Mozilla\Firefox\Profiles/bc4x1hyl.default\cookies.txt adbutler.de cookiefp[6449] /, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\Mozilla\Firefox\Profiles/bc4x1hyl.default\cookies.txt adbutler.de keks6449 /, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\Mozilla\Firefox\Profiles/bc4x1hyl.default\cookies.txt box1.counter-service.de revisit_12928 /, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\Mozilla\Firefox\Profiles/bc4x1hyl.default\cookies.txt webhosting.lycos.de LBC /, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\Mozilla\Firefox\Profiles/bc4x1hyl.default\cookies.txt www.googleadservices.com Conversion /pagead/conversion/1069061787/, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\Mozilla\Firefox\Profiles/bc4x1hyl.default\cookies.txt bizrate.com br /, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\Mozilla\Firefox\Profiles/bc4x1hyl.default\cookies.txt hit.gemius.pl Gtestb /, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\Mozilla\Firefox\Profiles/bc4x1hyl.default\cookies.txt hit.gemius.pl Gtesta /, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\Mozilla\Firefox\Profiles/bc4x1hyl.default\cookies.txt hit.gemius.pl Gtestss /, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\Mozilla\Firefox\Profiles/bc4x1hyl.default\cookies.txt partners.webmasterplan.com fritz3237 /, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\Mozilla\Firefox\Profiles/bc4x1hyl.default\cookies.txt partners.webmasterplan.com fritz0 /, Belonging to Tracking Cookie
Browser: Firefox Cookie: C:\Dokumente und Einstellungen\Donny\Anwendungsdaten\Mozilla\Firefox\Profiles/bc4x1hyl.default\cookies.txt 2761.x-tractit.de XT3 /, Belonging to Tracking Cookie

End of Cleaned Infections
===========================

Joar, das AdAware log ist typisch und nicht Besorgniss erregend. Kannst du allles löschen.

Spybot habe ich inzwischen auch durchlaufen lassen,

Meldung : Gratulation keine Spione gefunden

Panda Internet Security läuft gerade