IE Fehlermeldungen

_anousha · 12.03.2008, 19:30

Hallo,

ich habe folgendes Problem:
Sobald ich einige Minuten online bin, bekomme ich die Meldung: 'iexplore.exe hat ein Probem festgestellt und muss beendet werden'.
Die Problemsignatur ist folgende:

AppName: iexplore.exe
AppVer: 6.0.29002180
ModVer: 5.1.2600.2180
Offset: 00002233
ModName: ntdll.dll

Wenn ich die Meldung einfach nicht beachte und nicht auf 'schliessen' drücke, läuft mein IE normal weiter.

Vielleicht kann mir ja jemand helfen. Wenn möglich, leicht verständlich

Merci.

Logfile of HijackThis v1.99.1
Scan saved at 14:27:11, on 12.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Alice\signup\AliceCnn.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\dwwin.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Opera\Opera.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.sueddeutsche.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://alice.aol.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: mscorews - {00009E9F-DDD7-AA59-AA7D-AA4B7D6BE000} - C:\WINDOWS\system32\mscorews.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [vmlib] vmlib.exe
O4 - HKLM\..\Run: [FASTTRACKNETVISION] C:\WINDOWS\NETVISION.exe -A *fjAFFY1RYWO8yRTTf2knDY5xEWNOw5jfMjICjZx1USf835CTLu1nTZ8wYXLt5RXfL8wCmMt1VTf84ACLZy1XXN8wxTMtOdXfR8wCVNx1Rzf8WBCMS81SVN8wNzLxJBXLT8wD0LtE5Xfs8wCMMt1Sj f8wVCLy81Xfa8wCHLt1RXf80wCLcw1XDM8woDatvMHfL5RH3L0VBDcwhMDecxoC3Mv5NDLllU2ec5lGGOuVFTd8ykCUd253GM4w9jNz1FjOd8lDCM4Y5DLx0Amfcz5EmOl5FSd8mwHIZzxgmMT=lTf =
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [FASTTRACKNETVISION] C:\WINDOWS\NETVISION.exe -A *fjAFFY1RYWO8yRTTf2knDY5xEWNOw5jfMjICjZx1USf835CTLu1nTZ8wYXLt5RXfL8wCmMt1VTf84ACLZy1XXN8wxTMtOdXfR8wCVNx1Rzf8WBCMS81SVN8wNzLxJBXLT8wD0LtE5Xfs8wCMMt1Sj f8wVCLy81Xfa8wCHLt1RXf80wCLcw1XDM8woDatvMHfL5RH3L0VBDcwhMDecxoC3Mv5NDLllU2ec5lGGOuVFTd8ykCUd253GM4w9jNz1FjOd8lDCM4Y5DLx0Amfcz5EmOl5FSd8mwHIZzxgmMT=lTf =
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {7288F092-0E1C-48D7-852C-D5718D4EC435} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=h**p://www.tiscali.de
O15 - Trusted Zone: *.windowsupdate.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - h**p://deposito.trafficredlight.net/10257-69.exe
O16 - DPF: {DECEAAA2-370A-49BB-9362-68C3A58DDC62} - h**p://static.zangocash.com/cab/Zango/ie/Bridge-c139.cab?ad0f0457a7f51aef1925a2614cd092e72c838fd1e3851caca5afb00ed5e9e94e98002d1293290ccbb54991c42347a9d591217d4bebbf28298dbff51811400031e3:9926b7a60c 1708c0118f2cd03acd9482
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B051E4D-1790-43BE-BCBD-BA37AECA1729}: NameServer = 213.191.74.11 213.191.92.82
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: LogWatch - Unknown owner - c:\AouY.exe (file missing)
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

**Sunny** · 13.03.2008, 17:07

Hallo und Willkommen!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\mscorews.dll
vmlib.exe (wahrscheinlich C:\windows\system oder system32)
C:\WINDOWS\NETVISION.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

_anousha · 14.03.2008, 01:57

Dank dir, für die Anweisungen, aber ich fürchte sie nicht ganz perfekt ausgeführt zu haben.

Ich hoffe das ist es, was du meintest

mscorews.dll

AhnLab-V3 2008.3.14.0 2008.03.13 Win-Trojan/Xema.variant
AntiVir 7.6.0.73 2008.03.13 TR/Dropper.Gen
Authentium 4.93.8 2008.03.13 -
Avast 4.7.1098.0 2008.03.13 Win32:Agent-RHS
AVG 7.5.0.516 2008.03.13 -
BitDefender 7.2 2008.03.14 -
CAT-QuickHeal 9.50 2008.03.13 -
ClamAV 0.92.1 2008.03.13 -
DrWeb 4.44.0.09170 2008.03.13 -
eSafe 7.0.15.0 2008.03.09 -
eTrust-Vet 31.3.5613 2008.03.13 -
Ewido 4.0 2008.03.13 Trojan.Agent.ecf
FileAdvisor 1 2008.03.14 -
Fortinet 3.14.0.0 2008.03.13 -
F-Prot 4.4.2.54 2008.03.13 -
F-Secure 6.70.13260.0 2008.03.14 -
Ikarus T3.1.1.20 2008.03.14 Virus.Win32.Agent.RHS
Kaspersky 7.0.0.125 2008.03.14 -
McAfee 5251 2008.03.13 -
Microsoft 1.3301 2008.03.13 -
NOD32v2 2946 2008.03.14 -
Norman 5.80.02 2008.03.13 -
Panda 9.0.0.4 2008.03.13 -
Prevx1 V2 2008.03.14 -
Rising 20.35.32.00 2008.03.13 -
Sophos 4.27.0 2008.03.14 -
Sunbelt 3.0.930.0 2008.03.05 -
Symantec 10 2008.03.14 -
TheHacker 6.2.92.245 2008.03.14 -
VBA32 3.12.6.2 2008.03.13 -
VirusBuster 4.3.26:9 2008.03.13 -
Webwasher-Gateway 6.6.2 2008.03.13 Trojan.Dropper.Gen

weitere Informationen
File size: 81920 bytes
MD5: 0456e107e5d1351c2a2839e3dc886a32
SHA1: 4f543ab942f40a7438e02a5d4ea3901962a7e3bc
PEiD: -

vmlib.exe konnte ich nicht finden- auch nicht, nachdem ich versteckte Dateien habe anzeigen lassen.
NETVISION.EXE habe ich finden können, habe das Ergebnis aber nicht abgespeichert und nach dem Neustart von Combofix war alles weg. Ist jetzt danach aber nicht mehr zu finden.

ComboFix 08-03-13.4 - Anousha 2008-03-14 1:03:32.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.126 [GMT 1:00]
ausgeführt von:: C:\Programme\Opera\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WinReanimator
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WinReanimator\Uninstall.lnk
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\WinReanimator\WinReanimator.lnk
C:\WINDOWS\Downloaded Program Files\UERSU_0001_N68M1402NetInstaller.exe
C:\WINDOWS\netvision.exe
C:\WINDOWS\system32\braviax.exe
C:\WINDOWS\system32\users32.dat

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\LEGACY_MSDIRECT
-------\msdirect

((((((((((((((((((((((( Dateien erstellt von 2008-02-14 bis 2008-03-14 ))))))))))))))))))))))))))))))
.

2008-03-12 12:44 . 2008-03-12 12:44 <DIR> d-------- C:\Programme\IObit
2008-03-12 11:54 . 2008-03-12 11:54 230 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-03-12 01:32 . 2007-12-07 03:04 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-03-12 01:32 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-03-12 01:32 . 2007-07-01 04:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-03-12 01:32 . 2007-12-07 03:04 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-03-12 01:32 . 2007-12-07 03:04 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-03-12 01:32 . 2007-12-07 03:04 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-03-12 01:32 . 2007-12-07 03:04 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-03-12 01:32 . 2007-12-07 03:04 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-03-12 01:32 . 2007-12-06 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-03-12 01:31 . 2008-03-12 11:58 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-03-05 12:05 . 2008-03-07 16:12 337,929 --a------ C:\WINDOWS\system32\msratnit.dll
2008-03-05 01:46 . 2008-03-13 01:34 13,843 --a------ C:\WINDOWS\system32\cmnocfg.xml
2008-03-05 01:16 . 2008-03-13 21:47 5,229 --a------ C:\WINDOWS\system32\comsatac.dll
2008-03-05 01:16 . 2008-03-13 01:34 241 --a------ C:\WINDOWS\system32\qviexio3.dat
2008-03-05 01:10 . 2008-03-05 01:10 81,920 --a------ C:\WINDOWS\system32\mscorews.dll
2008-02-28 00:48 . 2008-02-28 00:48 19,973 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\myhequm.dll
2008-02-28 00:48 . 2008-02-28 00:48 19,755 --a------ C:\WINDOWS\vurugejyh.scr
2008-02-28 00:48 . 2008-02-28 00:48 19,513 --a------ C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\vafe.scr
2008-02-28 00:48 . 2008-02-28 00:48 19,028 --a------ C:\WINDOWS\system32\adov.inf
2008-02-28 00:48 . 2008-02-28 00:48 18,426 --a------ C:\WINDOWS\jizy.vbs
2008-02-28 00:48 . 2008-02-28 00:48 18,424 --a------ C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\ecedyhe.com
2008-02-28 00:48 . 2008-02-28 00:48 18,128 --a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wekades.reg
2008-02-28 00:48 . 2008-02-28 00:48 17,333 --a------ C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\mebubeke.exe
2008-02-28 00:48 . 2008-02-28 00:48 17,220 --a------ C:\WINDOWS\micudoseh.dll
2008-02-28 00:48 . 2008-02-28 00:48 16,412 --a------ C:\WINDOWS\system32\esixehu.vbs
2008-02-28 00:48 . 2008-02-28 00:48 16,159 --a------ C:\WINDOWS\gazonisasa.dl
2008-02-28 00:48 . 2008-02-28 00:48 15,945 --a------ C:\WINDOWS\weqemita.dll
2008-02-28 00:48 . 2008-02-28 00:48 14,940 --a------ C:\WINDOWS\avofes.sys
2008-02-28 00:48 . 2008-02-28 00:48 13,143 --a------ C:\Programme\Gemeinsame Dateien\ezukezodob.vbs
2008-02-28 00:48 . 2008-02-28 00:48 12,933 --a------ C:\WINDOWS\dihihisoc.scr
2008-02-28 00:48 . 2008-02-28 00:48 12,734 --a------ C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\jehipo.exe
2008-02-28 00:48 . 2008-02-28 00:48 12,272 --a------ C:\Programme\Gemeinsame Dateien\uzyguri.com
2008-02-28 00:48 . 2008-02-28 00:48 10,097 --a------ C:\WINDOWS\uxyvanutu.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-14 00:01 --------- d-----w C:\Programme\Opera
2008-03-13 11:59 --------- d-----w C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\AVG7
2008-03-12 11:39 --------- d-----w C:\Programme\CoreFTP
2008-02-28 01:20 --------- d-----w C:\Programme\Wise Registry Cleaner
2008-02-08 23:25 --------- d-----w C:\Programme\QuickTime
2008-02-06 19:47 --------- d-----w C:\Programme\iTunes
2008-02-06 19:47 --------- d-----w C:\Programme\iPod
2008-02-06 19:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-02-02 13:15 --------- d-----w C:\Programme\Last.fm
2008-01-12 22:33 33,920 -c--a-w C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\wklnhst.dat
2008-01-11 10:40 73,856,936 ----a-w C:\HKCR.reg
2007-08-26 21:54 65,016 -c--a-w C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

------- Sigcheck -------

2004-08-04 13:00 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\system32\svchost.exe

2004-08-04 13:00 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\system32\ws2_32.dll

2004-08-04 13:00 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\system32\winlogon.exe

2004-08-04 13:00 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys

2004-08-04 13:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FASTTRACKNETVISION"="C:\WINDOWS\NETVISION.exe" [ ]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-16 21:56 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2004-11-03 05:59 180269]
"FASTTRACKNETVISION"="C:\WINDOWS\NETVISION.exe" [ ]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 03:10 55824 C:\WINDOWS\KHALMNPR.Exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 03:10 55824 C:\WINDOWS\KHALMNPR.Exe]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-01-11 23:12 579072]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-31 23:13 385024]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]
"DriverLoad"="" []
"DriverCheck"="" []
"SystemDriverLoad"="" []
"SystemDriver"="" []
"FDriver"="" []
"ADriver"="" []
"CDriver"="c:\Backup_Drivers\svchost.exe" [ ]
"DDriver"="c:\Backup_Drivers\svchost.exe" [ ]
"alpha"="c:\Backup_Drivers\svchost.exe" [ ]
"beta"="c:\Backup_Drivers\svchost.exe" [ ]
"gamma"="c:\Backup_Drivers\svchost.exe" [ ]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-01-11 23:12 219136]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"CDriver"= c:\Backup_Drivers\svchost.exe
"DDriver"= c:\Backup_Drivers\svchost.exe
"alpha"= c:\Backup_Drivers\svchost.exe
"beta"= c:\Backup_Drivers\svchost.exe
"gamma"= c:\Backup_Drivers\svchost.exe

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TabUserW.exe.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\TabUserW.exe.lnk
backup=C:\WINDOWS\pss\TabUserW.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Anousha^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=C:\Dokumente und Einstellungen\Anousha\Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=C:\WINDOWS\pss\Last.fm Helper.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 19:33 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ADriver]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
--a------ 2004-02-20 13:00 88363 C:\WINDOWS\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\alpha]
c:\Backup_Drivers\svchost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
-ra------ 2006-11-17 12:05 71216 C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a------ 2004-10-06 21:10 344064 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\beta]
c:\Backup_Drivers\svchost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\braviax]
C:\WINDOWS\system32\braviax.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CDriver]
c:\Backup_Drivers\svchost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
-----c--- 2004-08-04 13:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DDriver]
c:\Backup_Drivers\svchost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DriverCheck]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DriverLoad]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FDriver]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gamma]
c:\Backup_Drivers\svchost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-05-11 23:12 49152 C:\Programme\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-01-15 03:22 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 17:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--a------ 2004-11-08 14:25 81920 C:\Programme\Home Cinema\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarAgent]
--a------ 2007-06-18 16:49 98304 C:\Programme\phonostar\ps_agent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer]
--a------ 2007-06-18 16:59 126976 C:\Programme\phonostar\ps_timer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-31 23:13 385024 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 16:17 159744 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-04-28 17:19 66048 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-05-16 21:56 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--------- 2004-09-15 11:18 507904 C:\Programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
--------- 2004-09-15 11:18 98304 C:\Programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System Files Updater]
--a------ 2006-02-26 00:41 118485 C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemDriver]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemDriverLoad]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinReanimator]
C:\Program Files\WinReanimator\WinReanimator.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WANMiniportService"=2 (0x2)
"usnjsvc"=3 (0x3)
"Pml Driver HPZ12"=2 (0x2)
"gusvc"=3 (0x3)
"Fax"=2 (0x2)
"dnlsvc"=2 (0x2)
"CiSvc"=3 (0x3)
"CCALib8"=2 (0x2)
"CA_LIC_SRVR"=3 (0x3)
"CA_LIC_CLNT"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)
"AOL ACS"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=
"%ProgramFiles%\\AOL 9.0\\AOL.exe"=
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe"=
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\Last.fm\\LastFM.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\phonostar\\ps_olect.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgemc.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

S2 AdobeActiveFileMonitor;AdobeActiveFileMonitor;C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe []
S2 LogWatch;LogWatch;c:\AouY.exe []
S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-10-06 14:10]
S3 MPCSYS;MPCSYS;C:\WINDOWS\system32\DRIVERS\mpcsys.sys [2007-11-16 20:15]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 21:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 21:46]
S4 CA_LIC_CLNT;CA_LIC_CLNT;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe []
S4 CA_LIC_SRVR;CA_LIC_SRVR;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe []
S4 dnlsvc;dnlsvc;"C:\DOKUME~1\Anousha\LOKALE~1\Temp\dnlsvc.exe" []

.
Inhalt des "geplante Tasks" Ordners
"2008-03-12 19:38:47 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-14 01:17:25
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-14 1:27:12 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-14 00:27:03
.
2008-03-12 17:42:30 --- E O F ---

boston · 14.03.2008, 13:44

hallo _anousha,

du solltest schon allein deswegen

Zitat:

-------\LEGACY_MSDIRECT
-------\msdirect
S4 dnlsvc;dnlsvc;"C:\DOKUME~1\Anousha\LOKALE~1\Temp\d nlsvc.exe

definitiv neuaufsetzen.
http://www.trojaner-board.de/12154-a...sicherung.html

Technische Kompromittierung - Wikipedia
Rootkit - Wikipedia
dnlsvc.exe - Program Information

**Sunny** · 14.03.2008, 16:33

Zitat:

Zitat von boston

hallo _anousha,

du solltest schon allein deswegen

definitiv neuaufsetzen.

Damit wollen wir doch bitte noch etwas warten.

@_anousha

Nun bitte folgendes:

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:
C:\WINDOWS\system32\mscorews.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Cureit Dr.Web

Downloade Dr.Web CureIt!
Speichere es auf deinem Desktop.
Entpacke es in einen eigenen Ordner.
Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

Lass alle Malware in den Quarantaene Ordner verschieben.
Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr. Web CureIt! abstellen.
Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

Speichere das Logfile - siehe Anleitung - und poste es.

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\myhequm.dll
C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\ecedyhe.com
C:\WINDOWS\weqemita.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Sophos scannen lassen

* Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
* Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
* Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
* Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
* Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.

boston · 14.03.2008, 17:12

hallo, sunny, deine kompetenz in allen ehren,
aber _anousha ist seit mehr als zwei wochen mit einem völlig versifften,
ungepatchten rechner im netz. rootkit, eine vielzahl bekannter, aber auch unbekannter
malware sollten doch grund genug zum Neuaufsetzen sein, oder?
ich halte da ein bereinigen für nicht angebracht.

**Sunny** · 14.03.2008, 17:21

Zitat:

Zitat von boston

ich halte da ein bereinigen für nicht angebracht.

Ansichtssache, meiner Meinung nach sollte man einem User immer die Wahl lassen ob er sein versifftes System weiternutzt, oder aber zu einer Neuinstallation rät, welche widerum ein "Freifahrtschein" ist für neue Infektionen (weil nicht gelernt aus der Situation/Denkzettel).

Also, überlassen wir es dem TO was für ihn das Beste ist.
Meistens soll eine Formatierung umgangen werden, was Angesichts der oft schweren Kompromittierungen unabdingbar wäre/ist.

Hoffe du verstehst was ich meine.

Sabina · 14.03.2008, 17:30

Hallo Sunny

deine Avenger-Anleitung ist von vorvorgestern

The Avenger

und nur die eine dll zu löschen ist ein bisschen mager .......................

Sabina · 14.03.2008, 17:33

Hallo anousha

man könnte das reinigen...jedoch:

das alles müsste raus !!!
wo bist du hingesurft am 2008-02-28 - 00:48 Uhr ????

Zitat:

C:\WINDOWS\system32\cmnocfg.xml
C:\WINDOWS\system32\comsatac.dll
C:\WINDOWS\system32\qviexio3.dat
C:\WINDOWS\system32\mscorews.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\myhequm.dll
C:\WINDOWS\vurugejyh.scr
C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\vafe.scr
C:\WINDOWS\system32\adov.inf
C:\WINDOWS\jizy.vbs
C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\ecedyhe.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wekades.reg
C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\mebubeke.exe
C:\WINDOWS\micudoseh.dll
C:\WINDOWS\system32\esixehu.vbs
C:\WINDOWS\gazonisasa.dl
C:\WINDOWS\weqemita.dll
C:\WINDOWS\avofes.sys
C:\Programme\Gemeinsame Dateien\ezukezodob.vbs
C:\WINDOWS\dihihisoc.scr
C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\jehipo.exe
C:\Programme\Gemeinsame Dateien\uzyguri.com
C:\WINDOWS\uxyvanutu.sys

die Reinigung wird sehr aufwendig..und letztendlich bleibt das System kompromitiert.
Deshalb: formatieren !

**Sunny** · 14.03.2008, 17:37

Zitat:

Zitat von Sabina

Hallo Sunny

deine Avenger-Anleitung ist von vorvorgestern

The Avenger

Ooops, so dann und wann sollte man auch mal seine Clips erneuern und die Programme mal wieder alle durchtesten...

[Ironie]
Werde mich bei swandog beschweren einfach so, ohne mich darüber zu informieren, das Layout zu ändern.[/Ironie]
Ich will die Ampel zurück ...

Aber wenigstens ist das Prozedre noch das gleiche.

boston · 14.03.2008, 17:44

Zitat:

Ansichtssache, meiner Meinung nach sollte man einem User immer die Wahl lassen ob er sein versifftes System weiternutzt, oder aber zu einer Neuinstallation rät, welche widerum ein "Freifahrtschein" ist für neue Infektionen (weil nicht gelernt aus der Situation/Denkzettel).

hi sunny, das verstehe ich nicht, eine Neuinstallation ist doch der beste denkzettel.
dazu noch eine anleitung, was man zukünftig vermeiden sollte.
die diskrepanz der verschiedenen av-foren in puncto Neuaufsetzen ist bemerkenswert.
bitte nicht falsch verstehen:
ich hab großen respekt vor bereinigungskünstlern wie dir und sabina.

_anousha · 15.03.2008, 12:31

Hallo,

erstmal vielen Dank allen : )
Aber um ehrlich zu sein bin ich nicht versiert genug weder das eine noch das andere sicher auszuführen.
Deshalb eine andere Frage: Ich bekomme in ca. einer Woche ein neues Notebook und möchte nun meine Dokumente, Bilder, etc. mit Hilfe einer ext. Festplatte mit rübernehmen. Muss ich dabei was beachten?
Sprich, kann ich mir irgendwas von dem 'Befall' mitnehmen??

Wenn das alles passiert ist denke ich mal über ein neu aufsetzten nach. Schliesslich ist dann nichts mehr zu verlieren.

Sabina · 15.03.2008, 12:48

Hallo,

machen wir also eine "notdüftige Reinigung....

otmoveIt
OTMoveIt by OldTimer
öffne: OTMoveIt.exe
Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move

Code:

ATTFilter

c:\Backup_Drivers\svchost.exe
C:\WINDOWS\system32\cmnocfg.xml
C:\WINDOWS\system32\comsatac.dll
C:\WINDOWS\system32\qviexio3.dat
C:\WINDOWS\system32\mscorews.dll
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\myhequm.dll
C:\WINDOWS\vurugejyh.scr
C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\vafe.scr
C:\WINDOWS\system32\adov.inf
C:\WINDOWS\jizy.vbs
C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\ecedyhe.com
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wekades.reg
C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\mebubeke.exe
C:\WINDOWS\micudoseh.dll
C:\WINDOWS\system32\esixehu.vbs
C:\WINDOWS\gazonisasa.dl
C:\WINDOWS\weqemita.dll
C:\WINDOWS\avofes.sys
C:\Programme\Gemeinsame Dateien\ezukezodob.vbs
C:\WINDOWS\dihihisoc.scr
C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\jehipo.exe
C:\Programme\Gemeinsame Dateien\uzyguri.com
C:\WINDOWS\uxyvanutu.sys

poste das log, was erscheint

+
poste noch mal das log von Combofix

_anousha · 15.03.2008, 20:26

Salut,

danke dir Sabina, ich hab das mal nach deiner Anleitung gemacht und zumindest bisher scheint mein Problem der ständigen Fehlermeldungen nicht mehr vorzukommen.

Zu meiner zweiten Frage, auch wenn das nicht wirklich hierher gerhört, ihr mir da aber durchaus kompetent scheint : ) Was müsste ich denn beachten beim Daten auf das andere Book mitnehmen??

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\myhequm.dll NOT unregistered.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\myhequm.dll moved successfully.
C:\WINDOWS\vurugejyh.scr moved successfully.
C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\vafe.scr moved successfully.
C:\WINDOWS\system32\adov.inf moved successfully.
C:\WINDOWS\jizy.vbs moved successfully.
C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\ecedyhe.com moved successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\wekades.reg moved successfully.
C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\mebubeke.exe moved successfully.
LoadLibrary failed for C:\WINDOWS\micudoseh.dll
C:\WINDOWS\micudoseh.dll NOT unregistered.
C:\WINDOWS\micudoseh.dll moved successfully.
C:\WINDOWS\system32\esixehu.vbs moved successfully.
C:\WINDOWS\gazonisasa.dl moved successfully.
LoadLibrary failed for C:\WINDOWS\weqemita.dll
C:\WINDOWS\weqemita.dll NOT unregistered.
C:\WINDOWS\weqemita.dll moved successfully.
C:\WINDOWS\avofes.sys moved successfully.
C:\Programme\Gemeinsame Dateien\ezukezodob.vbs moved successfully.
C:\WINDOWS\dihihisoc.scr moved successfully.
C:\Dokumente und Einstellungen\Anousha\Anwendungsdaten\jehipo.exe moved successfully.
C:\Programme\Gemeinsame Dateien\uzyguri.com moved successfully.
C:\WINDOWS\uxyvanutu.sys moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03152008_185320

ComboFix 08-03-14.4 - Anousha 2008-03-15 19:00:56.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.216 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Anousha \Lokale Einstellungen\Temporary Internet Files\Content.IE5\OP2FG16F\ComboFix[1].exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-15 bis 2008-03-15 ))))))))))))))))))))))))))))))
.

2008-03-15 18:53 . 2008-03-15 18:53 <DIR> d-------- C:\_OTMoveIt
2008-03-14 03:16 . 2008-03-15 13:21 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-14 03:16 . 2008-03-14 03:16 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-12 12:44 . 2008-03-12 12:44 <DIR> d-------- C:\Programme\IObit
2008-03-12 11:54 . 2008-03-12 11:54 230 --a------ C:\WINDOWS\system32\spupdsvc.inf
2008-03-12 01:32 . 2007-12-07 03:04 6,066,176 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll
2008-03-12 01:32 . 2007-07-01 04:31 2,455,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-03-12 01:32 . 2007-07-01 04:36 1,040,384 -----c--- C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-03-12 01:32 . 2007-12-07 03:04 459,264 -----c--- C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-03-12 01:32 . 2007-12-07 03:04 383,488 -----c--- C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-03-12 01:32 . 2007-12-07 03:04 267,776 -----c--- C:\WINDOWS\system32\dllcache\iertutil.dll
2008-03-12 01:32 . 2007-12-07 03:04 63,488 -----c--- C:\WINDOWS\system32\dllcache\icardie.dll
2008-03-12 01:32 . 2007-12-07 03:04 52,224 -----c--- C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-03-12 01:32 . 2007-12-06 12:00 13,824 -----c--- C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-03-12 01:31 . 2008-03-12 11:58 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-03-05 12:05 . 2008-03-07 16:12 337,929 --a------ C:\WINDOWS\system32\msratnit.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-15 11:16 --------- d-----w C:\Programme\Opera
2008-03-15 10:02 --------- d-----w C:\Dokumente und Einstellungen\Anousha \Anwendungsdaten\AVG7
2008-03-12 11:39 --------- d-----w C:\Programme\CoreFTP
2008-02-28 01:20 --------- d-----w C:\Programme\Wise Registry Cleaner
2008-02-08 23:25 --------- d-----w C:\Programme\QuickTime
2008-02-06 19:47 --------- d-----w C:\Programme\iTunes
2008-02-06 19:47 --------- d-----w C:\Programme\iPod
2008-02-06 19:39 --------- d-----w C:\Programme\Gemeinsame Dateien\Apple
2008-02-02 13:15 --------- d-----w C:\Programme\Last.fm
2008-01-12 22:33 33,920 -c--a-w C:\Dokumente und Einstellungen\Anousha \Anwendungsdaten\wklnhst.dat
2008-01-11 10:40 73,856,936 ----a-w C:\HKCR.reg
2008-01-11 01:12 8,704 -c--a-w C:\WINDOWS\system32\clipsrv.exe
2007-08-26 21:54 65,016 -c--a-w C:\Dokumente und Einstellungen\Anousha \Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

------- Sigcheck -------

2004-08-04 13:00 14336 65a819b121eb6fdab4400ea42bdffe64 C:\WINDOWS\system32\svchost.exe

2004-08-04 13:00 82944 d569240a22421d5f670bb6fb6dd522b5 C:\WINDOWS\system32\ws2_32.dll

2004-08-04 13:00 507392 2b6a0baf33a9918f09442d873848ff72 C:\WINDOWS\system32\winlogon.exe

2004-08-04 13:00 182912 558635d3af1c7546d26067d5d9b6959e C:\WINDOWS\system32\drivers\ndis.sys

2004-08-04 13:00 29056 4448006b6bc60e6c027932cfc38d6855 C:\WINDOWS\system32\drivers\ip6fw.sys
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"FASTTRACKNETVISION"="C:\WINDOWS\NETVISION.exe" [ ]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-05-16 21:56 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2004-11-03 05:59 180269]
"FASTTRACKNETVISION"="C:\WINDOWS\NETVISION.exe" [ ]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 03:10 55824 C:\WINDOWS\KHALMNPR.Exe]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 03:10 55824 C:\WINDOWS\KHALMNPR.Exe]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-01-11 23:12 579072]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-31 23:13 385024]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360]
"DriverLoad"="" []
"DriverCheck"="" []
"SystemDriverLoad"="" []
"SystemDriver"="" []
"FDriver"="" []
"ADriver"="" []
"CDriver"="c:\Backup_Drivers\svchost.exe" [ ]
"DDriver"="c:\Backup_Drivers\svchost.exe" [ ]
"alpha"="c:\Backup_Drivers\svchost.exe" [ ]
"beta"="c:\Backup_Drivers\svchost.exe" [ ]
"gamma"="c:\Backup_Drivers\svchost.exe" [ ]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-01-11 23:12 219136]

C:\Dokumente und Einstellungen\Anousha \Startmen\Programme\Autostart\
Last.fm Helper.lnk - C:\Programme\Last.fm\LastFMHelper.exe [2007-10-22 19:45:33 106496]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"CDriver"= c:\Backup_Drivers\svchost.exe
"DDriver"= c:\Backup_Drivers\svchost.exe
"alpha"= c:\Backup_Drivers\svchost.exe
"beta"= c:\Backup_Drivers\svchost.exe
"gamma"= c:\Backup_Drivers\svchost.exe

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^HP Digital Imaging Monitor.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\HP Digital Imaging Monitor.lnk
backup=C:\WINDOWS\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^TabUserW.exe.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\TabUserW.exe.lnk
backup=C:\WINDOWS\pss\TabUserW.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^WinZip Quick Pick.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^Anousha^Startmenü^Programme^Autostart^Last.fm Helper.lnk]
path=C:\Dokumente und Einstellungen\Anousha \Startmenü\Programme\Autostart\Last.fm Helper.lnk
backup=C:\WINDOWS\pss\Last.fm Helper.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Photo Downloader]
--a------ 2005-06-23 19:33 57344 C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ADriver]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG]
--a------ 2004-02-20 13:00 88363 C:\WINDOWS\AGRSMMSG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\alpha]
c:\Backup_Drivers\svchost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOLDialer]
-ra------ 2006-11-17 12:05 71216 C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
--a------ 2004-10-06 21:10 344064 C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\beta]
c:\Backup_Drivers\svchost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\braviax]
C:\WINDOWS\system32\braviax.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CDriver]
c:\Backup_Drivers\svchost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
-----c--- 2004-08-04 13:00 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DDriver]
c:\Backup_Drivers\svchost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DriverCheck]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DriverLoad]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\FDriver]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\gamma]
c:\Backup_Drivers\svchost.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
--a------ 2005-05-11 23:12 49152 C:\Programme\HP\HP Software Update\HPWuSchd2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2008-01-15 03:22 267048 C:\Programme\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 17:24 1694208 C:\Programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]
--a------ 2004-11-08 14:25 81920 C:\Programme\Home Cinema\PowerCinema\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarAgent]
--a------ 2007-06-18 16:49 98304 C:\Programme\phonostar\ps_agent.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhonostarTimer]
--a------ 2007-06-18 16:59 126976 C:\Programme\phonostar\ps_timer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-01-31 23:13 385024 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 16:17 159744 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2004-04-28 17:19 66048 C:\WINDOWS\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-05-16 21:56 68856 C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--------- 2004-09-15 11:18 507904 C:\Programme\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
--------- 2004-09-15 11:18 98304 C:\Programme\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System Files Updater]
--a------ 2006-02-26 00:41 118485 C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemDriver]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemDriverLoad]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinReanimator]
C:\Program Files\WinReanimator\WinReanimator.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WANMiniportService"=2 (0x2)
"usnjsvc"=3 (0x3)
"Pml Driver HPZ12"=2 (0x2)
"gusvc"=3 (0x3)
"Fax"=2 (0x2)
"dnlsvc"=2 (0x2)
"CiSvc"=3 (0x3)
"CCALib8"=2 (0x2)
"CA_LIC_SRVR"=3 (0x3)
"CA_LIC_CLNT"=3 (0x3)
"Ati HotKey Poller"=2 (0x2)
"AOL ACS"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%ProgramFiles%\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=
"%ProgramFiles%\\AOL 9.0\\AOL.exe"=
"%ProgramFiles%\\AOL 9.0\\WAOL.exe"=
"%WinDir%\\system32\\fxsclnt.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InocIT.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\Realmon.exe"=
"%ProgramFiles%\\CA\\eTrust Antivirus\\InoRpc.exe"=
"C:\\Programme\\Messenger\\msmsgs.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDIAL.exe"=
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLACSD.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Programme\\Internet Explorer\\iexplore.exe"=
"C:\\Programme\\Last.fm\\LastFM.exe"=
"C:\\WINDOWS\\system32\\rtcshare.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Programme\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Programme\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"C:\\Programme\\MSN Messenger\\livecall.exe"=
"C:\\Programme\\phonostar\\ps_olect.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgemc.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=

S2 AdobeActiveFileMonitor;AdobeActiveFileMonitor;C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe []
S2 LogWatch;LogWatch;c:\AouY.exe []
S3 3xHybrid;3xHybrid service;C:\WINDOWS\system32\DRIVERS\3xHybrid.sys [2004-10-06 14:10]
S3 MPCSYS;MPCSYS;C:\WINDOWS\system32\DRIVERS\mpcsys.sys [2007-11-16 20:15]
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNMp50.sys [2006-11-28 21:46]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;C:\WINDOWS\system32\drivers\PDNSp50.sys [2006-11-28 21:46]
S4 CA_LIC_CLNT;CA_LIC_CLNT;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe []
S4 CA_LIC_SRVR;CA_LIC_SRVR;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe []
S4 dnlsvc;dnlsvc;"C:\DOKUME~1\Anousha\LOKALE~1\Temp\dnlsvc.exe" []

.
Inhalt des "geplante Tasks" Ordners
"2008-03-12 19:38:47 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-15 19:03:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-15 19:04:46
ComboFix-quarantined-files.txt 2008-03-15 18:04:23
ComboFix2.txt 2008-03-14 00:27:12
.
2008-03-12 17:42:30 --- E O F ---

Sabina · 15.03.2008, 20:45

Hallo,

wir machen erst mal richtig sauber, dann kannst du alles mitnehmen

1.
gehe in die Registry

Start - Ausführen - regedit
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveSearch"= 1 - in 0 ändern

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001 - in 0 ändern
"UpdatesDisableNotify"=dword:00000001 - in 0 ändern
"AntiVirusOverride"=dword:00000001 - in 0 ändern

2.
wende sdfix an - beachte, ist nur im abgesicherten Modus möglich - post dann hier den Report
SDFix

3.
Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als cfscript.txt mit 'Speichern unter' auf dem Desktop. Gib an "Alle Dateien" - Speichern

Code:

ATTFilter

KILLALL:: 

Driver:: 
dnlsvc

Registry:: 
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemDriver]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemDriverLoad]
[-HKEY_LOCAL_MACHINE\software\microsoft\sharedtools\msconfig\startupreg\alpha]
[-HKEY_LOCAL_MACHINE\software\microsoft\sharedtools\msconfig\startupreg\beta]
[-HKEY_LOCAL_MACHINE\software\microsoft\sharedtools\msconfig\startupreg\braviax]
[-HKEY_LOCAL_MACHINE\software\microsoft\sharedtools\msconfig\startupreg\CDriver]
[-HKEY_LOCAL_MACHINE\software\microsoft\sharedtools\msconfig\startupreg\DDriver]
[-HKEY_LOCAL_MACHINE\software\microsoft\sharedtools\msconfig\startupreg\DriverCheck]
[-HKEY_LOCAL_MACHINE\software\microsoft\sharedtools\msconfig\startupreg\DriverLoad]
[-HKEY_LOCAL_MACHINE\software\microsoft\sharedtools\msconfig\startupreg\FDriver]
[-HKEY_LOCAL_MACHINE\software\microsoft\sharedtools\msconfig\startupreg\gamma]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\run]
"CDriver"=-
"DDriver"=-
"alpha"=-
"beta"=-
"gamma"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"DriverLoad"=-
"DriverCheck"=-
"SystemDriverLoad"=-
"SystemDriver"=-
"FDriver"=-
"ADriver"=-
"CDriver"=-
"DDriver"=-
"alpha"=-
"beta"=-
"gamma"=-

Folder:: 
c:\Backup_Drivers

Man sollte jetzt auf dem Desktop diese Datei cfscript.txt finden.

cfscript.txt und mit der rechten Maustaste auf das Symbol von Combofix ziehen

danach: Combofix noch einmal anwenden

poste das neue Log von Combofix

IE Fehlermeldungen

Log-Analyse und Auswertung: IE Fehlermeldungen