Werbung nervt, Vieren?

katej · 12.07.2008, 21:23

Nein da ist keine Log-Datei.

schrauber · 12.07.2008, 21:46

Zitat:

C:\WINDOWS\system32\mmlgohbo.dll
C:\WINDOWS\system32\ualirdah.dll
C:\WINDOWS\System32\msqhhqh.dll
C:\WINDOWS\system32\Drivers\COH_Mo n.sys

Diese Dateien bitte bei Virustotal scannen lassen, Button Filter drücken und die Ergebnisse posten.

Denke daran, während des Laufs von Combofix wieder Dein Antiviren-Programm temporär abzustellen. Danach wieder anstellen nicht vergessen!

Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:

Code:

ATTFilter

File::
C:\WINDOWS\system32\kwmpwl.dll
C:\WINDOWS\system32\oinkuwjf.dll
C:\WINDOWS\system32\mwdjxe.dll
C:\WINDOWS\system32\nvnsxxsj.dll
C:\WINDOWS\system32\ykrnhz.dll
C:\WINDOWS\system32\ycbdrpdo.dll
C:\WINDOWS\system32\jslkails.dll
C:\WINDOWS\system32\awturQKC.dll
C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\inst.exe
C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\pcouffin.sys
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{965cc374-a2e9-42a5-a208-31d4ef224843}]

Speichere dies als CFScript.txt auf Deinem Desktop
In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
NB: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

gruß

schrauber

katej · 12.07.2008, 21:55

C:\WINDOWS\system32\mmlgohbo.dll
-> 0 bytes size received / Se ha recibido un archivo vacio

C:\WINDOWS\system32\ualirdah.dll
-> Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.11.0 2008.07.11 -
AntiVir 7.8.0.64 2008.07.11 TR/Trash.Gen
Authentium 5.1.0.4 2008.07.11 -
Avast 4.8.1195.0 2008.07.12 -
AVG 7.5.0.516 2008.07.12 -
BitDefender 7.2 2008.07.12 -
CAT-QuickHeal 9.50 2008.07.11 -
ClamAV 0.93.1 2008.07.12 -
DrWeb 4.44.0.09170 2008.07.12 -
eSafe 7.0.17.0 2008.07.10 -
eTrust-Vet 31.6.5949 2008.07.12 -
Ewido 4.0 2008.07.12 -
F-Prot 4.4.4.56 2008.07.11 -
F-Secure 7.60.13501.0 2008.07.12 -
Fortinet 3.14.0.0 2008.07.12 -
GData 2.0.7306.1023 2008.07.12 -
Ikarus T3.1.1.26.0 2008.07.12 -
Kaspersky 7.0.0.125 2008.07.12 -
McAfee 5337 2008.07.11 -
Microsoft 1.3704 2008.07.12 -
NOD32v2 3263 2008.07.11 -
Norman 5.80.02 2008.07.11 -
Panda 9.0.0.4 2008.07.12 -
Prevx1 V2 2008.07.12 -
Rising 20.52.52.00 2008.07.12 -
Sophos 4.31.0 2008.07.12 -
Sunbelt 3.1.1536.1 2008.07.12 -
Symantec 10 2008.07.12 -
TheHacker 6.2.96.376 2008.07.10 -
TrendMicro 8.700.0.1004 2008.07.11 -
VBA32 3.12.6.9 2008.07.12 -
VirusBuster 4.5.11.0 2008.07.12 -
Webwasher-Gateway 6.6.2 2008.07.11 Trojan.Trash.Gen
weitere Informationen
File size: 81168 bytes
MD5...: 4b735ed982b9e20abdb1124fc4ec8b51
SHA1..: b334ae4abe914aade7ee241ffcf3026b0659879a
SHA256: 84ce32ba832a31f6b4a4972ef7a31724d0bf1b22d3fb384e7d4d012a8dbaad97
SHA512: c5fbc90473892592ae1b45244c73a862c41d17e6b34e4e1e2bdf584e329aadf9
f291ad1902305f12cb7b069e6dce359ebe3d2cdd198e2bcbaf99ce50e4b3a3e4
PEiD..: -
PEInfo: -

C:\WINDOWS\System32\msqhhqh.dll
-> 0 bytes size received / Se ha recibido un archivo vacio

C:\WINDOWS\system32\Drivers\COH_Mo n.sys
-> 0 bytes size received / Se ha recibido un archivo vacio

schrauber · 12.07.2008, 22:05

ok, dann mach bitte mit dem Rest weiter

gruß

schrauber

katej · 12.07.2008, 22:13

ComboFix 08-07-11.1 - Inke-Christine 2008-07-12 23:03:33.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.238 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Inke-Christine\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Inke-Christine\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\inst.exe
C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\pcouffin.sys
C:\WINDOWS\system32\awturQKC.dll
C:\WINDOWS\system32\jslkails.dll
C:\WINDOWS\system32\kwmpwl.dll
C:\WINDOWS\system32\mwdjxe.dll
C:\WINDOWS\system32\nvnsxxsj.dll
C:\WINDOWS\system32\oinkuwjf.dll
C:\WINDOWS\system32\ycbdrpdo.dll
C:\WINDOWS\system32\ykrnhz.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\firstlsp.reg.dat
C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\inst.exe
C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\pcouffin.sys
C:\WINDOWS\system32\awturQKC.dll
C:\WINDOWS\system32\jslkails.dll
C:\WINDOWS\system32\mwdjxe.dll
C:\WINDOWS\system32\nvnsxxsj.dll
C:\WINDOWS\system32\oinkuwjf.dll
C:\WINDOWS\system32\ycbdrpdo.dll
C:\WINDOWS\system32\ykrnhz.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-12 bis 2008-07-12 ))))))))))))))))))))))))))))))
.

2008-07-11 14:38 . 2008-07-12 22:22 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-11 14:38 . 2008-07-11 14:38 <DIR> d----c--- C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\Malwarebytes
2008-07-11 14:38 . 2008-07-11 14:38 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-11 14:38 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-11 14:38 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-11 12:33 . 2008-07-11 16:19 81,168 -----c--- C:\WINDOWS\system32\ualirdah.dll
2008-07-11 12:15 . 2008-07-11 12:15 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-07-11 11:51 . 2008-07-11 11:51 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-07-11 11:48 . 2008-07-11 11:49 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-07-11 08:40 . 2008-07-11 08:40 <DIR> d----c--- C:\Deckard
2008-07-10 18:44 . 2008-07-10 18:44 <DIR> d-------- C:\Programme\DivX
2008-07-10 18:09 . 2008-07-10 18:09 <DIR> d-------- C:\WINDOWS\ERUNT
2008-07-09 21:34 . 2008-07-09 21:34 <DIR> d----c--- C:\SDFix
2008-07-09 13:33 . 2008-07-09 13:33 <DIR> d-------- C:\Programme\Trend Micro
2008-07-09 12:53 . 2008-07-09 12:53 119 --a------ C:\WINDOWS\wininit.ini
2008-07-09 11:38 . 2008-07-09 11:38 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
2008-07-09 11:35 . 2008-07-10 14:10 <DIR> d-------- C:\Programme\The Cleaner Free
2008-06-13 14:45 . 2008-06-13 14:45 579,464 --a------ C:\WINDOWS\system32\SymNeti.dll
2008-06-13 14:45 . 2008-06-13 14:45 207,240 --a------ C:\WINDOWS\system32\SymRedir.dll
2008-06-13 14:14 . 2008-06-13 14:14 31,280 --a------ C:\WINDOWS\system32\drivers\SymIM.sys
2008-06-13 14:14 . 2008-06-13 14:14 13,093 --a------ C:\WINDOWS\system32\drivers\SymRedir.cat
2008-06-13 14:14 . 2008-06-13 14:14 1,611 --a------ C:\WINDOWS\system32\drivers\SymRedir.inf
2008-06-13 14:13 . 2008-06-13 14:13 184,240 --a------ C:\WINDOWS\system32\drivers\symtdi.sys
2008-06-13 14:13 . 2008-06-13 14:13 96,432 --a------ C:\WINDOWS\system32\drivers\symfw.sys
2008-06-13 14:13 . 2008-06-13 14:13 41,008 --a------ C:\WINDOWS\system32\drivers\symndisv.sys
2008-06-13 14:13 . 2008-06-13 14:13 38,576 --a------ C:\WINDOWS\system32\drivers\symids.sys
2008-06-13 14:13 . 2008-06-13 14:13 37,424 --a------ C:\WINDOWS\system32\drivers\symndis.sys
2008-06-13 14:13 . 2008-06-13 14:13 22,320 --a------ C:\WINDOWS\system32\drivers\symredrv.sys
2008-06-13 14:13 . 2008-06-13 14:13 13,616 --a------ C:\WINDOWS\system32\drivers\symdns.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-11 10:39 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-11 10:39 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-07-11 09:42 --------- d-----w C:\Programme\Yahoo!
2008-07-10 13:43 --------- dc----w C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\FRITZ!
2008-07-09 09:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-08 06:09 --------- dc----w C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\AdobeUM
2008-06-12 22:21 --------- dc----w C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\ICQ
2008-06-11 19:29 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-06-11 19:29 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2008-06-11 19:29 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-06-11 19:29 10,671 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-06-11 19:29 --------- d-----w C:\Programme\Symantec
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-29 09:40 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-05-19 06:43 --------- d-----w C:\Programme\Windows Media Connect 2
2008-04-05 07:54 39,984 -c--a-w C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( snapshot@2008-07-11_21.23.04.20 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-11 19:15:55 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-12 20:47:38 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 01:58 1667584]
"Rainlendar2"="C:\Programme\Rainlendar2\Rainlendar2.exe" [BU]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Anvshell"="C:\WINDOWS\Anvshell.exe" [2002-10-22 08:45 331776]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-02 09:19 4640768]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe" [2001-08-17 11:35 196608]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"FLMOFFICE4DMOUSE"="C:\Programme\Trust\MI-2500X OPTICAL MOUSE\Mouse32a.exe" [2007-06-08 17:05 370176]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 23:32 208952]
"MSPY2002"="C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe" [2002-08-28 21:39 59392]
"PHIME2002ASync"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-28 21:39 455168]
"PHIME2002A"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-28 21:39 455168]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-01-31 14:15 51048]
"osCheck"="C:\Programme\Norton AntiVirus\osCheck.exe" [2007-08-24 22:53 714608]
"nwiz"="nwiz.exe" [2003-05-02 09:19 323584 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-05-02 09:19 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\WINDOWS\System32\msqhhqh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

R2 LiveUpdate Notice;LiveUpdate Notice;C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe [2008-01-31 14:15]
R3 wdm_fm801;512i digital PCI Audio (WDM);C:\WINDOWS\system32\drivers\fm801.sys [2001-08-31 17:30]
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 10:05]
S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-03-06 22:32]

.
Inhalt des "geplante Tasks" Ordners
"2008-07-12 13:43:09 C:\WINDOWS\Tasks\Norton AntiVirus 2008 Classic - Systemprüfung ausführen - Inke-Christine.job"
- C:\Programme\Norton AntiVirus\Navw32.exel/TASK:
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-12 23:06:29
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-12 23:09:24
ComboFix-quarantined-files.txt 2008-07-12 21:08:21
ComboFix2.txt 2008-07-11 19:34:53

9 Verzeichnis(se), 8,398,536,704 Bytes frei
11 Verzeichnis(se), 8,422,227,968 Bytes frei

150 --- E O F --- 2007-12-21 21:47:08

schrauber · 12.07.2008, 22:17

Denke daran, während des Laufs von Combofix wieder Dein Antiviren-Programm temporär abzustellen. Danach wieder anstellen nicht vergessen!

Öffne notepad (Start => Ausführen => notepad (reinschreiben) => ok) oder einen Editor Deiner Wahl und kopiere alles aus der nachfolgenden Codebox in ein leeres Dokument:
Code:
ATTFilter
```
File::
C:\WINDOWS\system32\mmlgohbo.dll
C:\WINDOWS\system32\ualirdah.dll
C:\WINDOWS\System32\msqhhqh.dll
Driver:
COH_Mon
         
```
Speichere dies als CFScript.txt auf Deinem Desktop
In Bezug auf obiges Bild, ziehe CFScript.txt in die ComboFix.exe
Wenn ComboFix fertig ist, wird es ein Log erstellen, C:\ComboFix.txt. Bitte füge es hier als Antwort ein.
NB: Bewege nicht die Maus über das ComboFix-Fenster oder klicke in dieses hinein. Dies kann dazu führen, dass ComboFix sich aufhängt.

Hinweis für Mitleser: Obiges Combofix-Script ist ausschließlich für diesen User in dieser Situtation erstellt worden.
Auf keinen Fall auf anderen Rechnern anwenden, das kann andere Systeme nachhaltig schädigen!

katej · 12.07.2008, 22:20

Zitat:

Zitat von schrauber26

Denke daran, während des Laufs von Combofix wieder Dein Antiviren-Programm temporär abzustellen. Danach wieder anstellen nicht vergessen!

Wie stelle ich denn das Antiviern-Programm aus?

Du muss ja fast verzweifenl an meiner Dummheit

Sorry

schrauber · 12.07.2008, 22:24

Das ist jetzt das dritte Mal, dass wir Combofix nutzen, in jeder Anleitung steht AV-Programm beenden, aber Du fragst erst jetzt??

Sieh mal in der Taskleiste, unten rechts neben der Uhr nach, Rechtsklick auf das Symbol deines AV-Programmes. Da steht bestimmt was von beende oder abschalten oder so

.

gruß

schrauber

katej · 12.07.2008, 22:27

Zitat:

Zitat von schrauber26

Das ist jetzt das dritte Mal, dass wir Combofix nutzen, in jeder Anleitung steht AV-Programm beenden, aber Du fragst erst jetzt??

Sieh mal in der Taskleiste, unten rechts neben der Uhr nach, Rechtsklick auf das Symbol deines AV-Programmes. Da steht bestimmt was von beende oder abschalten oder so

.

gruß

schrauber

Leider nicht, das ist Norton und da find ich garnichts. Alle anderen Programme hab ich so beendet.

schrauber · 12.07.2008, 22:30

Doppelklick auf Norton, dann auf Datei > Beenden gehen oder so. Mit Norton kenn ich mich nicht so aus, ich benutze grundsätzlich ein Antivirenprogramm, aslo nicht Norton

katej · 12.07.2008, 22:45

Bei Norten ist das leider nicht so einfach. Hab glaube ich aber ein weg gefunden.

ComboFix 08-07-11.1 - Inke-Christine 2008-07-12 23:39:30.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.239 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Inke-Christine\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Inke-Christine\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\mmlgohbo.dll
C:\WINDOWS\System32\msqhhqh.dll
C:\WINDOWS\system32\ualirdah.dll
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ualirdah.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-06-12 bis 2008-07-12 ))))))))))))))))))))))))))))))
.

2008-07-11 14:38 . 2008-07-12 22:22 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-11 14:38 . 2008-07-11 14:38 <DIR> d----c--- C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\Malwarebytes
2008-07-11 14:38 . 2008-07-11 14:38 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-11 14:38 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-11 14:38 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-11 12:15 . 2008-07-11 12:15 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Office Genuine Advantage
2008-07-11 11:51 . 2008-07-11 11:51 <DIR> d-------- C:\WINDOWS\system32\de-de
2008-07-11 11:48 . 2008-07-11 11:49 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-07-11 08:40 . 2008-07-11 08:40 <DIR> d----c--- C:\Deckard
2008-07-10 18:44 . 2008-07-10 18:44 <DIR> d-------- C:\Programme\DivX
2008-07-10 18:09 . 2008-07-10 18:09 <DIR> d-------- C:\WINDOWS\ERUNT
2008-07-09 21:34 . 2008-07-09 21:34 <DIR> d----c--- C:\SDFix
2008-07-09 13:33 . 2008-07-09 13:33 <DIR> d-------- C:\Programme\Trend Micro
2008-07-09 12:53 . 2008-07-09 12:53 119 --a------ C:\WINDOWS\wininit.ini
2008-07-09 11:38 . 2008-07-09 11:38 5,376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
2008-07-09 11:35 . 2008-07-10 14:10 <DIR> d-------- C:\Programme\The Cleaner Free
2008-06-13 14:45 . 2008-06-13 14:45 579,464 --a------ C:\WINDOWS\system32\SymNeti.dll
2008-06-13 14:45 . 2008-06-13 14:45 207,240 --a------ C:\WINDOWS\system32\SymRedir.dll
2008-06-13 14:14 . 2008-06-13 14:14 31,280 --a------ C:\WINDOWS\system32\drivers\SymIM.sys
2008-06-13 14:14 . 2008-06-13 14:14 13,093 --a------ C:\WINDOWS\system32\drivers\SymRedir.cat
2008-06-13 14:14 . 2008-06-13 14:14 1,611 --a------ C:\WINDOWS\system32\drivers\SymRedir.inf
2008-06-13 14:13 . 2008-06-13 14:13 184,240 --a------ C:\WINDOWS\system32\drivers\symtdi.sys
2008-06-13 14:13 . 2008-06-13 14:13 96,432 --a------ C:\WINDOWS\system32\drivers\symfw.sys
2008-06-13 14:13 . 2008-06-13 14:13 41,008 --a------ C:\WINDOWS\system32\drivers\symndisv.sys
2008-06-13 14:13 . 2008-06-13 14:13 38,576 --a------ C:\WINDOWS\system32\drivers\symids.sys
2008-06-13 14:13 . 2008-06-13 14:13 37,424 --a------ C:\WINDOWS\system32\drivers\symndis.sys
2008-06-13 14:13 . 2008-06-13 14:13 22,320 --a------ C:\WINDOWS\system32\drivers\symredrv.sys
2008-06-13 14:13 . 2008-06-13 14:13 13,616 --a------ C:\WINDOWS\system32\drivers\symdns.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-11 10:39 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-07-11 10:39 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-07-11 09:42 --------- d-----w C:\Programme\Yahoo!
2008-07-10 13:43 --------- dc----w C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\FRITZ!
2008-07-09 09:25 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-08 06:09 --------- dc----w C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\AdobeUM
2008-06-12 22:21 --------- dc----w C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\ICQ
2008-06-11 19:29 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-06-11 19:29 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2008-06-11 19:29 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-06-11 19:29 10,671 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-06-11 19:29 --------- d-----w C:\Programme\Symantec
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-29 09:40 --------- dc----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DVD Shrink
2008-05-19 06:43 --------- d-----w C:\Programme\Windows Media Connect 2
2008-04-05 07:54 39,984 -c--a-w C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((( snapshot@2008-07-11_21.23.04.20 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-11 19:15:55 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-07-12 20:47:38 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-08-04 01:58 1667584]
"Rainlendar2"="C:\Programme\Rainlendar2\Rainlendar2.exe" [BU]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Anvshell"="C:\WINDOWS\Anvshell.exe" [2002-10-22 08:45 331776]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-05-02 09:19 4640768]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe" [2001-08-17 11:35 196608]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"FLMOFFICE4DMOUSE"="C:\Programme\Trust\MI-2500X OPTICAL MOUSE\Mouse32a.exe" [2007-06-08 17:05 370176]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-03 23:32 208952]
"MSPY2002"="C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe" [2002-08-28 21:39 59392]
"PHIME2002ASync"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-28 21:39 455168]
"PHIME2002A"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE" [2002-08-28 21:39 455168]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-01-31 14:15 51048]
"osCheck"="C:\Programme\Norton AntiVirus\osCheck.exe" [2007-08-24 22:53 714608]
"nwiz"="nwiz.exe" [2003-05-02 09:19 323584 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 01:57 15360]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL" [2003-05-02 09:19 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\WINDOWS\System32\msqhhqh.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=

R2 LiveUpdate Notice;LiveUpdate Notice;C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe [2008-01-31 14:15]
R3 wdm_fm801;512i digital PCI Audio (WDM);C:\WINDOWS\system32\drivers\fm801.sys [2001-08-31 17:30]
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [2002-07-17 10:05]
S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-03-06 22:32]

.
Inhalt des "geplante Tasks" Ordners
"2008-07-12 13:43:09 C:\WINDOWS\Tasks\Norton AntiVirus 2008 Classic - Systemprüfung ausführen - Inke-Christine.job"
- C:\Programme\Norton AntiVirus\Navw32.exel/TASK:
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-12 23:41:01
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

**************************************************************************
.
Zeit der Fertigstellung: 2008-07-12 23:43:46
ComboFix-quarantined-files.txt 2008-07-12 21:42:43
ComboFix2.txt 2008-07-12 21:09:26
ComboFix3.txt 2008-07-11 19:34:53

9 Verzeichnis(se), 8,400,535,552 Bytes frei
10 Verzeichnis(se), 8,394,878,976 Bytes frei

133 --- E O F --- 2007-12-21 21:47:08

schrauber · 12.07.2008, 22:55

Start > Ausführen: Tippe Combofix /u und drücke Enter.

=========================================================

Tool-Bereinigung mit OTMoveIt2
Bitte lade Dir OTMoveIt von OldTimer herunter.

Speichere es auf Deinem Desktop.
Doppelklick auf OTMoveIt2.exe um das Programm auszuführen.
Klicke auf den Button "CleanUp!"
Eine Datei* sollte nun heruntergeladen werden.
*Das ist eine Datei mit einer Liste von Helferprogrammen, die dann automatisch von Deinem System entfernt werden.
OTMoveit fragt eventuell nach einem Neustart.
Sollte es dies tun, so lasse dies bitte zu.

Anmerkung: Nach dem Neustart werden OTMoveIt2 und andere Helferprogramme, die Du im Laufe der Bereinigung heruntergeladen hast, nicht mehr vorhanden sein. Sie wurden entfernt. Es ist daher Ok, wenn diese Programme nicht mehr vorhanden sind.

=========================================================

Kopiere den Text in der Codebox in deinen Editor (z.B. Notepad) und speichere es unter dem Namen regfix.reg (bei Dateityp bitte "alle Dateien" wählen)

Code:

ATTFilter

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"="

Starte die regfix.reg duch Doppelklick.

=========================================================

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten. Bei Nutzung des Internet Explorer musst Du die ActiveX Steuerelemente (Controls) zulassen. Wenn es nicht funktioniert, die jeweilige Seite zu den Sicheren hinzufügen bzw. die Sicherheitseinstellungen (Extras => Internetoptionen) für die Internetzone herabsetzen (danach aber sofort wieder hochsetzen). Der Scan kann auch mit dem Firefox ausgeführt werden. Dafür muss IETab oder IEView als Addon installiert sein und Du musst die Seite in diesem Tab aufrufen.

Kaspersky Online Scanner - Hinweise zu älteren Versionen beachten!
Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als...
=> Dateityp auf .txt umstellen => und auf dem Desktop als Kaspersky.txt speichern => Log hier posten.
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

gruß

schrauber

katej · 13.07.2008, 00:12

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 13. Juli 2008 01:11:28
Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.98.1
Letztes Update der Antiviren-Datenbanken: 12/07/2008
Anzahl der Einträge in den Antiviren-Datenbanken: 844083
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Arbeitsplatz:
A:\
C:\
D:\
E:\
F:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 44912
Viren gefunden: 0
Infizierte Objekte gefunden: 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 00:37:53

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\ccSubSDK\submissions.idx Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\volatile.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\{B8FAF345-D3DA-4F45-94DA-68B7C3D84F03}.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\LiveUpdate\2008-07-13_Log.ALUSchedulerSvc.LiveUpdate Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBConfig.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBDebug.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBDetect.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBNotify.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBRefr.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBSetCfg.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBSetCfg2.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBSetDev.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBSetLoc.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBSetUsr.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBStHash.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\BBValid.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\Shl_{6768EEA8-8CFC-40E1-BDDB-856BE4778562}.ldb Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\Shl_{6768EEA8-8CFC-40E1-BDDB-856BE4778562}.sds Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\SPPolicy.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\SPStart.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SPBBC\SPStop.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtErEvt.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtMoEvt.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtNvEvt.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtScEvt.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtTxFEvt.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\SRTSP\SrtViEvt.log Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Inke-Christine\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Inke-Christine\Lokale Einstellungen\Anwendungsdaten\Microsoft\Feeds Cache\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Inke-Christine\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Inke-Christine\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Inke-Christine\Lokale Einstellungen\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Inke-Christine\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Inke-Christine\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Inke-Christine\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008071320080714\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Inke-Christine\ntuser.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\Inke-Christine\NTUSER.DAT.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\FRITZ!DSL\access\access.lock Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EPERSIST.DAT Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\NFWEVT.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDALRT.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDCON.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDDBG.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDFW.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDIDS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSYS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVApp.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVError.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVVirus.log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{0F5E06D3-112E-491E-8FF6-961546653CAF}\RP119\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\S46757ACA.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\h323log.txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Temp\JET78.tmp Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen
D:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

schrauber · 13.07.2008, 00:16

Sehr schön

Systemwiederherstellung deaktivieren und wieder aktivieren:

•*Windows XP: Deaktiviere die
Systemwiederherstellung
•*Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
•*Wähle den Reiter Systemwiederherstellung
•*Mache einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => drücke "übernehmen"
•*der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
•*den Haken wieder entfernen und OK drücken
•*wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten

Und zeige mir bitte ein neues DSS-Logfile ( falls dss nicht mehr da sein sollte, bitte neu laden )

gruß

schrauber

katej · 13.07.2008, 00:24

main.txt:

Deckard's System Scanner v20071014.68
Run by Inke-Christine on 2008-07-13 01:23:02
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- HijackThis (run as Inke-Christine.exe) --------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:23:07, on 13.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Inke-Christine\Desktop\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\INKE-C~1.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://googel.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O4 - HKLM\..\Run: [Anvshell] C:\WINDOWS\Anvshell.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Trust\MI-2500X OPTICAL MOUSE\Mouse32a.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4DBB4CC1-9B1D-4CA5-9C41-613FC61EA1E6} (bildpartner_de_upload Control) - http://www.bildpartner.de/upload/bildpartner_de_upload.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1198249410750
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198249531203
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.studivz.net/photouploader/ImageUploader4.cab?nocache=20071128-1
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} (Image Uploader Control) - http://static.pe.studivz.net/photouploader/ImageUploader5.cab?nocache=1213805653
O18 - Protocol: haufereader - (no CLSID) - (no file)
O20 - AppInit_DLLs: C:\WINDOWS\System32\msqhhqh.dll
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 6403 bytes

-- Files created between 2008-06-13 and 2008-07-13 -----------------------------

2008-07-13 00:10:20 0 d-------- C:\WINDOWS\LastGood
2008-07-11 20:39:58 0 d------c- C:\Dokumente und Einstellungen\Inke-Christine\Start Menu
2008-07-11 14:38:20 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-11 11:51:57 0 d-------- C:\WINDOWS\system32\de-de
2008-07-10 18:44:19 0 d-------- C:\Programme\DivX
2008-07-10 18:09:49 0 d-------- C:\WINDOWS\ERUNT
2008-07-09 13:33:26 0 d-------- C:\Programme\Trend Micro
2008-07-09 11:38:05 5376 --a------ C:\WINDOWS\system32\drivers\MS1000.sys
2008-07-09 11:35:46 0 d-------- C:\Programme\The Cleaner Free

-- Find3M Report ---------------------------------------------------------------

2008-07-13 00:12:33 0 d-------- C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-07-11 14:38:36 0 d------c- C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\Malwarebytes
2008-07-11 11:42:18 0 d-------- C:\Programme\Yahoo!
2008-07-10 15:43:28 0 d------c- C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\FRITZ!
2008-07-09 12:42:31 0 d-------- C:\Programme\Gemeinsame Dateien
2008-07-08 08:09:43 0 d------c- C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\AdobeUM
2008-07-01 17:30:16 96 --a----c- C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\AVSDVDPlayer.m3u
2008-06-21 13:05:30 405118 --a------ C:\WINDOWS\system32\perfh007.dat
2008-06-21 13:05:30 70580 --a------ C:\WINDOWS\system32\perfc007.dat
2008-06-13 00:21:00 0 d------c- C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\ICQ
2008-06-11 21:29:47 0 d-------- C:\Programme\Symantec
2008-05-31 14:29:52 0 d------c- C:\Dokumente und Einstellungen\Inke-Christine\Anwendungsdaten\Adobe
2008-05-19 08:43:51 0 d-------- C:\Programme\Windows Media Connect 2

-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
31.01.2008 10:53 116088 --a------ C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Anvshell"="C:\WINDOWS\Anvshell.exe" [22.10.2002 08:45]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [02.05.2003 09:19]
"nwiz"="nwiz.exe" [02.05.2003 09:19 C:\WINDOWS\system32\nwiz.exe]
"HPDJ Taskbar Utility"="C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe" [17.08.2001 11:35]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 11:50]
"FLMOFFICE4DMOUSE"="C:\Programme\Trust\MI-2500X OPTICAL MOUSE\Mouse32a.exe" [08.06.2007 17:05]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [03.08.2004 23:32]
"MSPY2002"="C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe" [28.08.2002 21:39]
"PHIME2002ASync"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [28.08.2002 21:39]
"PHIME2002A"="C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.exe" [28.08.2002 21:39]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [31.01.2008 14:15]
"osCheck"="C:\Programme\Norton AntiVirus\osCheck.exe" [24.08.2007 22:53]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [04.08.2004 01:58]
"Rainlendar2"="C:\Programme\Rainlendar2\Rainlendar2.exe" []
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 01:57]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"NvMediaCenter"=RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableRegistryTools"=0 (0x0)
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"HideLegacyLogonScripts"=0 (0x0)
"HideLogoffScripts"=0 (0x0)
"RunLogonScriptSync"=1 (0x1)
"RunStartupScriptSync"=0 (0x0)
"HideStartupScripts"=0 (0x0)
"disableregistrytools"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=C:\WINDOWS\System32\msqhhqh.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

-- End of Deckard's System Scanner: finished at 2008-07-13 01:23:41 ------------

12.07.2008, 22:05	#19
schrauber /// the machine /// TB-Ausbilder	Werbung nervt, Vieren? ok, dann mach bitte mit dem Rest weiter gruß schrauber __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

12.07.2008, 22:30	#25
schrauber /// the machine /// TB-Ausbilder	Werbung nervt, Vieren? Doppelklick auf Norton, dann auf Datei > Beenden gehen oder so. Mit Norton kenn ich mich nicht so aus, ich benutze grundsätzlich ein Antivirenprogramm, aslo nicht Norton __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

Werbung nervt, Vieren?

Log-Analyse und Auswertung: Werbung nervt, Vieren?