Hi,

ich hatte einen Totalhänger meines Systems und habe Windows neu aufgesetzt.
Dann mit Kaspersky und danach mit Antivir gescannt.
Antivir spuckt alle 2 Sekunden TR/Vundo.Gen aus.

Ich muss dazu sagen dass ich drei Festplatten habe. Eine ist formatiert auf den anderen befinden sich dann natürlich die schädlichen Dateien. Die Daten auf den zwei anderen Festplatten benötige ich aber unbedingt.

Was ich mich noch wundert ist, dass Antivir z.B folgenden Pfad für den Trojaner angibt: C:\WINDOWS\system32\urqNGAPi.dll
Verschleppt der Trojaner sich von festplatte zu festplatte auch wenn ich nicht auf die Festplatte zugreife?

Hier mein Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:07:11, on 19.05.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 8.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 8.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wpabaln.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avnotify.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avnotify.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Dokumente und Einstellungen\xxx\Desktop\HiJackThis.exe

O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 8.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [4490f42c] rundll32.exe "C:\WINDOWS\system32\pasupenk.dll",b
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WintelUpdate] C:\flciijjq.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O9 - Extra button: (no name) - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 8.0\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (antivirscheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (antivirservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 8.0\avp.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 3930 bytes
         

Hi,

ja, das gibt es; Ein beliebtes Mittel dazu ist das autorun.inf (etc.). Das führt Windows bei allen Laufwerken aus, dass es findet (und schwub wandert der Virus vom Memorystick/Usb-Festplatte etc.) auf die Windowsparition.

Du hast einen Backdoor neuster Machart drauf (flciijjq.exe -> FLCIIJJQ.EXE, Prevx)
und noch einiges andere...

Also:
Alle Festplatten abhängen (nur die Bootplatte nicht), dann Bootplatte platt machen, installieren/virenscanner/updaten etc. (http://www.trojaner-board.de/51262-a...sicherung.html)

Registryänderung am neuen System durchführen:

*Wichtig: Immer vorher eine Sicherheitskopie der Systemdateien
anlegen, bevor man die Registry "betritt" oder gar verändert !!*

Es gibt beim Schlüssel
HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\
Policies\Explorer zum einen den Namen: "NoDriveTypeAutoRun"
(Standard ist: "95 00 00 00"), welcher den AutoPlay-Mechanismus der
Laufwerke regelt.

"95 00 00 00" - Autoplay für Festplatten und CD-Rom
"00 00 00 00" - AutoPlay-Mechanismus für alle Laufwerke
"FF 00 00 00" - kein Autoplay für alle Laufwerke
"b1 00 00 00" - Autoplay für Festplatte und Diskette, nicht für
CD-Rom
"b5 00 00 00" - AutoPlay für Musik-CD's, nicht jedoch AutoPlay
von Daten-CD's.
"b9 00 00 00" - Autoplay nur für Diskette
(Allerdings "rattert" dann die Kiste auch öfter ;-)

Änderungen wirken sich hierbei erst nach einem Windows-Neustart
aus.

Auch die Programme "TweakUI" oder "TuneUp97" benutzen diese Registry-
Funktion, mit der das "Autoplay" deaktiviert wird.

Über "NoDriveAutoRun" beim Schlüssel HKEY_CURRENT_USER\Software\
Microsoft\ Windows\CurrentVersion\Policies\Explorer kann darüber
hinaus für jedes Laufwerk einzeln festgelegt werden, ob es die
Autoplay-Fähigkeit haben soll *oder nicht*.
Hat der Name "NoDriveAutoRun" z.B. einen Dword-Wert von "7" (Option:
"dezimal" aktivieren !) sind alle Laufwerke von A:\ bis C:\ vom
AutoPlay ausgeschlossen.

Oder:
Zum Ausschalten des AutoPlay für AudioCD
unter: HKEY_LOCAL_MACHINE\Software\CLASSES\AudioCD\Shell
den Schlüssel (default) auf "" setzen
Zum Einschalten des AutoPlay den Schlüssel (default) auf
"play" setzen.

Jetzt kommt der kritische Punkt, das Booten mit den angeschlossenen, verseuchten Festplatten...

Dann alle Platten scannen lassen!

chris

Ich hab jetzt XP neu aufgespielt und Patches für die Hardware installiert.
Dann hab ich TweakUI installiert und eingestellt das kein Laufwerk oder Harddiskdrive einen automatischen Suchlauf durchführen und ebenfalls die Audio und Datencd/DVD Erkennung ausgeschaltet.
Dann hab ich die zwei anderen HDDs angeschlossen und gebootet.

Jetzt scanne ich mit Kaspersky Internet Security 8 und Antivir.

Meine Frage: Werden die erkannten Trojaner/Viren wirklich gelöscht oder ist das nicht möglich.
Normalerweise poppt nämlich der Antivir Guard immer im Normalbetrieb auf und das einzige was man tun kann ist ihn wegklicken, da "In Quarantäne verschieben" und "Löschen" sowie "Zugriff verweigern" keinen Effekt zeigen.

Ich hoffe das ist verständlich geschrieben.

MfG

Mark

Der PC reagiert nur noch ganz langsam. Irgendwas is da noch.
Ich hab Combofix drüber rennen lassen und hier ist die Logdatei.

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 08-05-15.3 - Administrator 2008-05-19 20:19:26.1 - NTFSx86 NETWORK
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.3344 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Administrator\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((   Dateien erstellt von 2008-04-19 bis 2008-05-19  ))))))))))))))))))))))))))))))
.

2008-05-19 19:21 . 2008-05-19 19:21	4,444	--a------	C:\WINDOWS\system32\pid.PNF
2008-05-19 19:20 . 2008-04-14 08:22	57,728	--a------	C:\WINDOWS\system32\drivers\redbook.sys
2008-05-19 19:20 . 2008-04-14 08:52	21,504	--a------	C:\WINDOWS\system32\hidserv.dll
2008-05-19 19:20 . 2001-08-17 14:59	3,072	--a------	C:\WINDOWS\system32\drivers\audstub.sys
2008-05-19 19:19 . 2008-04-14 08:52	77,312	--a------	C:\WINDOWS\system32\usbui.dll
2008-05-19 19:19 . 2001-08-17 14:46	6,400	--a------	C:\WINDOWS\system32\drivers\enum1394.sys
2008-05-19 19:18 . 2008-05-19 18:22	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Default User\Vorlagen
2008-05-19 19:18 . 2008-05-19 19:18	<DIR>	dr-------	C:\Dokumente und Einstellungen\Default User\Startmenü
2008-05-19 19:18 . 2008-05-19 19:18	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung
2008-05-19 19:18 . 2008-05-19 19:18	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen
2008-05-19 19:18 . 2008-05-19 19:18	<DIR>	d--------	C:\Dokumente und Einstellungen\Default User\Favoriten
2008-05-19 19:18 . 2008-05-19 19:18	<DIR>	d--h-----	C:\Dokumente und Einstellungen\Default User\Druckumgebung
2008-05-19 19:18 . 2008-05-19 19:18	<DIR>	d--h-----	C:\Dokumente und Einstellungen\All Users\Vorlagen
2008-05-19 19:18 . 2008-05-19 18:42	<DIR>	dr-------	C:\Dokumente und Einstellungen\All Users\Startmenü
2008-05-19 19:18 . 2008-05-19 19:18	<DIR>	d--------	C:\Dokumente und Einstellungen\All Users\Favoriten
2008-05-19 19:18 . 2008-05-19 18:23	<DIR>	dr-------	C:\Dokumente und Einstellungen\All Users\Dokumente
2008-05-19 19:16 . 2008-05-19 19:50	<DIR>	d--------	C:\WINDOWS\system32\CatRoot2
2008-05-19 19:16 . 2008-05-19 19:18	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\Default User\Anwendungsdaten
2008-05-19 19:16 . 2008-05-19 18:57	<DIR>	dr-h-----	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten
1 Datei(en) . 	62		C:\ComboFix\Bytes

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-19 18:10	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-05-19 18:02	---------	d-----w	C:\Programme\Unlocker
2008-05-19 18:01	---------	d-----w	C:\Dokumente und Einstellungen\Mark\Anwendungsdaten\FRITZ!
2008-05-19 17:45	18,169,120	--sha-w	C:\WINDOWS\system32\drivers\fidbox.dat
2008-05-19 16:57	---------	d-----w	C:\Programme\Avira
2008-05-19 16:57	---------	d-----w	C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2008-05-19 16:47	11,996	--sha-w	C:\WINDOWS\system32\drivers\fidbox.idx
2008-05-19 16:39	---------	d-----w	C:\Programme\FRITZ!DSL
2008-05-19 16:38	---------	d-----w	C:\Programme\Gemeinsame Dateien\AVM
2008-05-19 16:37	96,645	----a-w	C:\WINDOWS\system32\drivers\klin.dat
2008-05-19 16:37	87,941	----a-w	C:\WINDOWS\system32\drivers\klick.dat
2008-05-19 16:30	---------	d-----w	C:\Programme\Kaspersky Lab
2008-05-19 16:29	---------	d-----w	C:\Programme\Gemeinsame Dateien\InstallShield
2008-05-19 16:25	---------	d-----w	C:\Programme\microsoft frontpage
2008-05-19 16:24	---------	d-----w	C:\Programme\Online-Dienste
2008-05-19 16:24	---------	d-----w	C:\Programme\Gemeinsame Dateien\Dienste
2008-04-14 06:52	76,288	----a-w	C:\WINDOWS\system32\storprop.dll
2008-04-14 05:53	40,840	----a-w	C:\WINDOWS\system32\drivers\termdd.sys
2008-04-13 22:02	196,224	----a-w	C:\WINDOWS\system32\drivers\rdpdr.sys
.

((((((((((((((((((((((((((((   Autostart Punkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 14:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 8.0\avp.exe" [2007-11-09 17:09 217088]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401]
"UnlockerAssistant"="C:\Programme\Unlocker\UnlockerAssistant.exe" [2008-05-02 06:15 15872]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 14:00 15360]

C:\Dokumente und Einstellungen\Mark\Startmen�\Programme\Autostart\
FRITZ!DSL Protect.lnk - C:\Programme\FRITZ!DSL\FwebProt.exe [2008-05-19 18:38:49 917504]
FRITZ!DSL Startcenter.lnk - C:\Programme\FRITZ!DSL\StCenter.exe [2008-05-19 18:38:49 679936]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\FRITZ!DSL\\IGDCTRL.EXE"=
"C:\\Programme\\FRITZ!DSL\\FBOXUPD.EXE"=

R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2007-10-31 12:58]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-05-30 17:49]
S0 KLBG;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\DRIVERS\klbg.sys [2007-10-24 14:16]

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-19 20:20:01
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-05-19 20:20:13
ComboFix-quarantined-files.txt  2008-05-19 18:20:12

               7 Verzeichnis(se), 313,415,770,112 Bytes frei
               9 Verzeichnis(se), 315,708,571,648 Bytes frei

100	--- E O F ---	2008-05-19 16:46:51
         

Hi,

Du hast einen Terminalserver laufen (bewußt?) und zwei Virenscanner;
Hast Du den Rechner ohne die restlichen Festplatten erst ausprobiert und ist er nach dem anschließen der restlichen Festplatten langsamer geworden?

Die Windowsversion passt auf den Rechner und ist regulär?
(Falsche/veraltete Treiber können bremsen...)

Silentrunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

chris

Code: Alles auswählenAufklappen

ATTFilter

"Silent Runners.vbs", revision 58, http://www.silentrunners.org/
Operating System: Windows XP
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"ICQ" = ""C:\Programme\ICQ6\ICQ.exe" silent" ["ICQ, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"SoundMAXPnP" = "C:\Programme\Analog Devices\Core\smax4pnp.exe" ["Analog Devices, Inc."]
"SoundMAX" = ""C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray" ["Analog Devices, Inc."]
"GDFirewallTray" = "C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFirewallTray.exe" ["G DATA Software AG"]
"AVKTray" = ""C:\Programme\G DATA InternetSecurity Trial\AVKTray\AVKTray.exe"" ["G DATA Software AG"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{0124123D-61B4-456f-AF86-78C53A0790C5}\(Default) = "G DATA WebFilter Class"
  -> {HKLM...CLSID} = "G DATA WebFilter"
                   \InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity Trial\Webfilter\AVKWebIE.dll" ["G DATA Software AG"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                   \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
  -> {HKLM...CLSID} = "DesktopContext Class"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
  -> {HKLM...CLSID} = "NVIDIA CPL Extension"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {HKLM...CLSID} = "Desktop Explorer"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {HKLM...CLSID} = (no title provided)
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {HKLM...CLSID} = "nView Desktop Context Menu"
                   \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

HKLM\SOFTWA	RE\Microsoft\Windows NT\CurrentVersion\Winlogon\
<<!>> "Userinit" = "C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity trial\avkkid\avkcks.exe" [MS], [file not found], [file not found], [file not found], [file not found]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}"
  -> {HKLM...CLSID} = "AVK9ContextMenue"
                   \InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity Trial\AVK\ShellExt.dll" ["G DATA Software AG"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
AVK9CM\(Default) = "{CAF4C320-32F5-11D3-A222-004095200FF2}"
  -> {HKLM...CLSID} = "AVK9ContextMenue"
                   \InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity Trial\AVK\ShellExt.dll" ["G DATA Software AG"]
Reisswolf\(Default) = "{1F0F1EE7-36B9-11D2-8985-0080ADA96E9B}"
  -> {HKLM...CLSID} = "ReisswolfContextMenu"
                   \InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity Trial\Shredder\Reisswlf.dll" ["G DATA Software AG"]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
Reisswolf\(Default) = "{1F0F1EE7-36B9-11D2-8985-0080ADA96E9B}"
  -> {HKLM...CLSID} = "ReisswolfContextMenu"
                   \InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity Trial\Shredder\Reisswlf.dll" ["G DATA Software AG"]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\WINDOWS\web\wallpaper\Grüne Idylle.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]


Startup items in "Mark" & "All Users" startup folders:
------------------------------------------------------

C:\Dokumente und Einstellungen\Mark\Startmenü\Programme\Autostart
"FRITZ!DSL Protect" -> shortcut to: "C:\Programme\FRITZ!DSL\FwebProt.exe" ["AVM Berlin"]
"FRITZ!DSL Startcenter" -> shortcut to: "C:\Programme\FRITZ!DSL\StCenter.exe" ["AVM Berlin"]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"G DATA Firewall Tray" -> shortcut to: "C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFirewallTray.exe" ["G DATA Software AG"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000004\LibraryPath = "C:\Programme\FRITZ!DSL\sarah.dll" ["AVM Berlin"]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\Programme\FRITZ!DSL\sarah.dll ["AVM Berlin"], 01 - 03, 19
%SystemRoot%\system32\mswsock.dll [MS], 04 - 06, 09 - 18
%SystemRoot%\system32\rsvpsp.dll [MS], 07 - 08


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\
"{0124123D-61B4-456F-AF86-78C53A0790C5}" = "G DATA WebFilter"
  -> {HKLM...CLSID} = "G DATA WebFilter"
                   \InProcServer32\(Default) = "C:\Programme\G DATA InternetSecurity Trial\Webfilter\AVKWebIE.dll" ["G DATA Software AG"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVirus Wächter, AVKWCtl, "C:\Programme\G DATA InternetSecurity Trial\AVK\AVKWCtl.exe" ["G DATA Software AG"]
AVM IGD CTRL Service, AVM IGD CTRL Service, "C:\Programme\FRITZ!DSL\IGDCTRL.EXE" ["AVM Berlin"]
G DATA AntiVirus Proxy, AVKProxy, ""C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe"" ["G DATA Software AG"]
G DATA Personal Firewall, GDFwSvc, "C:\Programme\G DATA InternetSecurity Trial\Firewall\GDFwSvc.exe" ["G DATA Software AG"]
G DATA Scheduler, AVKService, "C:\Programme\G DATA InternetSecurity Trial\AVK\AVKService.exe" ["G DATA Software AG"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]


---------- (launch time: 2008-05-22 11:02:31)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 17 seconds, including 2 seconds for message boxes)
         

Hi,

was ich auf die Schnelle erkennen konnte:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
dimsntfy\DLLName = "C:\WINDOWS\System32\dimsntfy.dll" [MS]

(Angeblich von MS, Online prüfen lassen)...

->DIMSNTFY.DLL, Prevx

chris

Vielen, vielen, vielen, vielen Dank.

Alles scheint wieder gut zu sein.