blauer desktop mit warnung

Silenzio · 16.07.2008, 18:33

hier jetzt auch das combofix ergebnis:

Zitat:

ComboFix 08-07-15.4 - Yeah 2008-07-16 19:21:16.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.671 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Yeah\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat
C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\rhcraqj0ev0v
C:\Programme\rhcraqj0ev0v
C:\WINDOWS\system32\blphcvaqj0ev0v.scr
C:\WINDOWS\system32\lphcvaqj0ev0v.exe
C:\WINDOWS\system32\phcvaqj0ev0v.bmp
C:\WINDOWS\system32\pphcvaqj0ev0v.exe

----- BITS: Possible infected sites -----

hxxp://fixaserver.ru
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_TCPSR
-------\Service_tcpsr

((((((((((((((((((((((( Dateien erstellt von 2008-06-16 bis 2008-07-16 ))))))))))))))))))))))))))))))
.

2008-07-16 01:52 . 2008-07-16 19:24 30,848 --a------ C:\WINDOWS\system32\drivers\Xhe33.sys
2008-07-15 20:05 . 2008-07-15 20:05 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-07-15 20:05 . 2008-07-15 20:05 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-07-14 20:46 . 2008-07-14 20:46 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-07-14 20:46 . 2008-07-14 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Malwarebytes
2008-07-14 20:46 . 2008-07-14 20:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-07-14 20:46 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-14 20:46 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-14 19:59 . 2008-07-14 19:59 <DIR> d-------- C:\Deckard
2008-07-14 18:57 . 2008-07-14 18:57 <DIR> d-------- C:\Programme\Trend Micro
2008-07-14 18:35 . 2008-07-14 18:35 <DIR> d-------- C:\Programme\CCleaner
2008-06-20 19:39 . 2008-06-20 19:39 247,296 -----c--- C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 12:44 . 2008-06-20 12:44 138,368 -----c--- C:\WINDOWS\system32\dllcache\afd.sys

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-14 00:39 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\skypePM
2008-07-14 00:39 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Skype
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-18 15:26 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\FLEXnet
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-13 10:57 --------- d-----w C:\Programme\Garritan Personal Orchestra
2008-06-09 22:13 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Move Networks
2008-06-05 22:45 --------- d-----w C:\Programme\Skype
2008-06-05 22:45 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2008-06-05 22:45 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2008-06-04 15:15 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\DivX
2008-06-01 22:12 --------- d-----w C:\Programme\Logitech
2008-05-28 18:32 --------- d-----w C:\Programme\DivX
2008-05-28 18:28 --------- d-----w C:\Programme\Mozilla Thunderbird
2008-05-28 18:17 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-05-28 18:17 --------- d-----w C:\Programme\Veoh Networks
2008-05-18 14:26 --------- d-----w C:\Dokumente und Einstellungen\Yeah\Anwendungsdaten\Winamp
.

((((((((((((((((((((((((((((( snapshot@2008-07-15_16.19.11.98 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-07-15 14:15:33 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-07-16 17:24:26 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat
+ 2008-07-16 15:27:49 262,144 ---ha-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
- 2008-07-15 14:15:33 294,912 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
+ 2008-07-16 17:24:26 196,608 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat
- 2008-07-15 14:15:33 81,920 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
+ 2008-07-16 17:24:26 114,688 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\index.dat
- 2008-07-15 14:15:33 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008071520080716\index.dat
+ 2008-07-15 17:08:28 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008071520080716\index.dat
+ 2008-07-16 17:24:26 49,152 ----a-w C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Verlauf\History.IE5\MSHist012008071620080717\index.dat
+ 2005-05-24 10:27:16 213,048 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
+ 2007-10-21 19:40:14 94,208 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
+ 2007-10-21 19:40:16 950,272 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-09-18 16:16 171464]
"Veoh"="C:\Programme\Veoh Networks\Veoh\VeohClient.exe" [2008-05-15 16:11 3644464]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"H2O"="C:\Programme\SyncroSoft\Pos\H2O\cledx.exe" [2005-12-18 15:18 307200]
"Acrobat Assistant 8.0"="C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 22:46 624248]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-22 12:22 7700480]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"= ctwdm32.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Npv70.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xhe33.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2006-10-22 12:22 86016 C:\WINDOWS\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2006-10-22 12:22 1622016 C:\WINDOWS\system32\nwiz.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\MSMSGS.EXE" /background

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"WinampAgent"=C:\Programme\Winamp\winampa.exe
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" -atboottime
"LVCOMSX"=C:\WINDOWS\system32\LVCOMSX.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\Bonjour\\mDNSResponder.exe"=
"C:\\Programme\\Autodesk\\Backburner\\monitor.exe"=
"C:\\Programme\\Autodesk\\Backburner\\manager.exe"=
"C:\\Programme\\Autodesk\\Backburner\\server.exe"=
"C:\\Programme\\Autodesk\\3ds Max 2008\\3dsmax.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Dokumente und Einstellungen\\Yeah\\Desktop\\emule\\emule.exe"=
"C:\\Programme\\FlashFXP\\FlashFXP.exe"=
"C:\\Programme\\Veoh Networks\\Veoh\\VeohClient.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\Skype\\Phone\\Skype.exe"=

R0 Xhe33;Xhe33;C:\WINDOWS\system32\Drivers\Xhe33.sys [2008-07-16 19:24]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 09:58]
R3 CLEDX;Team H2O CLEDX service;C:\WINDOWS\system32\DRIVERS\cledx.sys [2005-05-09 21:08]
S3 TuneUp.Defrag;TuneUp Drive Defrag-Dienst;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-02-27 19:41]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - TCPSR
.
Inhalt des "geplante Tasks" Ordners
"2008-07-11 19:31:52 C:\WINDOWS\Tasks\1-Klick-Wartung.job"
- C:\Programme\TuneUp Utilities 2008\OneClick.exe
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-lphcvaqj0ev0v - C:\WINDOWS\system32\lphcvaqj0ev0v.exe
HKLM-Run-SMrhcraqj0ev0v - C:\Programme\rhcraqj0ev0v\rhcraqj0ev0v.exe

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-16 19:25:49
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\devldr32.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-07-16 19:29:00 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-16 17:27:58
ComboFix2.txt 2008-07-15 17:16:07
ComboFix3.txt 2008-07-15 14:20:30

8 Verzeichnis(se), 1,758,085,120 Bytes frei
10 Verzeichnis(se), 1,750,429,696 Bytes frei

170 --- E O F --- 2008-07-09 15:12:00

ich such sie mal, kannst mir ja schonmal sagen, was ich damit anstellen soll.

schrauber · 16.07.2008, 19:19

Deine userinit.exe wurde duch Malware ersetzt. D.h. wir müssen Sie wieder in den Originalzustand bringen, ohne sie zu löschen, denn dann geht gar nichts mehr.

Versuch mal folgendes:

Geh auf diese Seite:

Recovering userinit.exe for Windows XP - F-PROT Antivirus Support Windows

ziemlich unten ist ein Link zum laden einer userinit.exe. Diese auf den Desktop laden.

Nun kopiere diese Datei in den Ordner C:\Windows\System32

Wenn Du gefragt wirst ob Du die bestehende Datei ersetzen willst, klicke ja.

Gib mir bitte Meldung ob das geklappt hat.

gruß

schrauber

Silenzio · 16.07.2008, 19:30

das ersetzen hat funktioniert...
was machen wir jetzt?

schrauber · 16.07.2008, 19:32

geladene Datei vom Desktop löschen, falls noch vorhanden. Zur Kontrolle die Datei im System32-Ordner ( wie eben schon ) bei Virustotal scannen, Log posten.

gruß

schrauber

Silenzio · 16.07.2008, 19:38

okay...scheint jetzt sauber zu sein.

Zitat:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.7.17.0 2008.07.16 -
AntiVir 7.8.0.68 2008.07.16 -
Authentium 5.1.0.4 2008.07.15 -
Avast 4.8.1195.0 2008.07.16 -
AVG 7.5.0.516 2008.07.16 -
BitDefender 7.2 2008.07.16 -
CAT-QuickHeal 9.50 2008.07.16 -
ClamAV 0.93.1 2008.07.16 -
DrWeb 4.44.0.09170 2008.07.16 -
eSafe 7.0.17.0 2008.07.16 -
eTrust-Vet 31.6.5959 2008.07.16 -
Ewido 4.0 2008.07.16 -
F-Prot 4.4.4.56 2008.07.15 -
F-Secure 7.60.13501.0 2008.07.16 -
Fortinet 3.14.0.0 2008.07.16 -
GData 2.0.7306.1023 2008.07.16 -
Ikarus T3.1.1.26.0 2008.07.16 -
Kaspersky 7.0.0.125 2008.07.16 -
McAfee 5340 2008.07.16 -
Microsoft 1.3704 2008.07.16 -
NOD32v2 3272 2008.07.16 -
Norman 5.80.02 2008.07.16 -
Panda 9.0.0.4 2008.07.16 -
Prevx1 V2 2008.07.16 -
Rising 20.53.22.00 2008.07.16 -
Sophos 4.31.0 2008.07.16 -
Sunbelt 3.1.1536.1 2008.07.15 -
Symantec 10 2008.07.16 -
TheHacker 6.2.96.381 2008.07.16 -
TrendMicro 8.700.0.1004 2008.07.16 -
VBA32 3.12.8.0 2008.07.16 -
VirusBuster 4.5.11.0 2008.07.16 -
Webwasher-Gateway 6.6.2 2008.07.16 -
weitere Informationen
File size: 25088 bytes
MD5...: d1e53dc57143f2584b1dd53b036c0633
SHA1..: 53f6e0e6130cf9f0177e6d48295ae9d84fb9f8fa
SHA256: 66562aa550338571595975a81654834878c890126c8d513141a9903b72f9943d
SHA512: 107162228aefdd96305c3460abada259180a64c71a5994eb2d41daaf97b43e7c
9a18ebdf509b4935ad0c4894846b14b2eca97bead304c73556902022b9b1b94f
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10050e5
timedatestamp.....: 0x41107b78 (Wed Aug 04 06:00:24 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4db8 0x4e00 6.01 510e211d12a2f009afb5f7a90cff9783
.data 0x6000 0x14c 0x200 1.86 cbb599f9267bf53209039d14a3574eb1
.rsrc 0x7000 0xce0 0xe00 3.76 8b4bed593db3a5e5efda36f52c878d12

( 7 imports )
> USER32.dll: CreateWindowExW, DestroyWindow, RegisterClassExW, DefWindowProcW, LoadRemoteFonts, wsprintfW, GetSystemMetrics, GetKeyboardLayout, SystemParametersInfoW, GetDesktopWindow, LoadStringW, MessageBoxW, ExitWindowsEx, CharNextW
> ADVAPI32.dll: RegOpenKeyExA, ReportEventW, RegisterEventSourceW, DeregisterEventSource, OpenProcessToken, RegCreateKeyExW, RegSetValueExW, GetUserNameW, RegQueryValueExW, RegOpenKeyExW, RegQueryInfoKeyW, RegCloseKey, RegQueryValueExA
> CRYPT32.dll: CryptProtectData
> WINSPOOL.DRV: SpoolerInit
> ntdll.dll: RtlLengthSid, RtlCopySid, _itow, RtlFreeUnicodeString, DbgPrint, wcslen, wcscpy, wcscat, wcscmp, RtlInitUnicodeString, NtOpenKey, NtClose, _wcsicmp, memmove, NtQueryInformationToken, RtlConvertSidToUnicodeString
> msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, __setusermatherr, __getmainargs, _acmdln, exit, _cexit, _XcptFilter, _exit, _c_exit, _initterm, _adjust_fdiv
> KERNEL32.dll: GetVersionExW, LocalFree, LocalAlloc, GetEnvironmentVariableW, SetEnvironmentVariableW, lstrlenW, lstrcpyW, FreeLibrary, GetProcAddress, LoadLibraryW, CompareFileTime, CloseHandle, lstrcatW, WaitForSingleObject, DelayLoadFailureHook, GetStartupInfoA, GetModuleHandleA, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, GetSystemTimeAsFileTime, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, LoadLibraryA, InterlockedCompareExchange, LocalReAlloc, GetSystemTime, lstrcmpW, GetCurrentThread, SetThreadPriority, CreateThread, GetFileAttributesExW, GetSystemDirectoryW, SetCurrentDirectoryW, FormatMessageW, lstrcmpiW, GetCurrentProcess, GetUserDefaultLangID, GetCurrentProcessId, ExpandEnvironmentStringsW, SetEvent, OpenEventW, Sleep, GetLastError, SearchPathW, CreateProcessW

schrauber · 16.07.2008, 19:56

Zitat:

C:\WINDOWS\system32\drivers\Xhe33.sys

Bitte ebenso bei Virustotal prüfen, in der Zeit erarbeite ich alles weitere

gruß

schrauber

Silenzio · 16.07.2008, 20:04

Zitat:

0 bytes size received / Se ha recibido un archivo vacio

mach ich etwas falsch wenn ich diese meldung bekomme?

schrauber · 16.07.2008, 20:09

nö, die Datei ist dann leer

Bitte die Datei manuell löschen, dann das:

Start > Ausführen > Schreibe Combofix /u ( mit dem leerzeichen !!).

==========================================================

dann diesen Onlinescan

was macht der Rechner ??

gruß

schrauber

Silenzio · 16.07.2008, 20:28

da ich wieder zur arbeit muss, müsste ich den rechner an lassen, wenn dieser onlinescan genauso lange braucht, wie der von kaspersky. meinst du das ist so okay, oder sollte ich das dann lieber morgen früh laufen lassen? nicht, dass mich später dann wieder so eine nette überraschung erwartet.

die datei lässt sich nicht manuell löschen.
bekomme dann eine fehlermeldung.
ansonsten ist die fehlermeldung auf dem desktop und der dazugehörige screensaver verschwunden.
das antivirus xp 2008 ist zwar noch auf dem desktop, jedoch ohne bildchen.
weiß nich genau, wie man das nennt

ist jetzt einfach so ein kleines fenster.

schrauber · 16.07.2008, 20:46

dann wart bis morgen

das Bild auf dem Desktop löschen bitte.

gruß

schrauber

Silenzio · 17.07.2008, 17:30

hey schrauber...

hab heute morgen f-secure laufen lassen nur hab ich vergessen die logdatei zu speichern. zusätzlich hab ich dann auch mal kaspersky installiert, der übrigens sagt, dass ich sauber bin. bis jetzt hatte ich auch keine probleme mehr.
was meinst du?

edit: malware, ccleaner und tuneup hab ich auch laufen lassen.

schrauber · 17.07.2008, 19:29

Aktuelles HJT-Logfile bitte

gruß

schrauber

Silenzio · 18.07.2008, 06:38

guten morgen..

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:36, on 18.7.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\WINDOWS\system32\devldr32.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [H2O] C:\Programme\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\ie_banner_deny.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\SCIEPlgn.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1204134604062
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Security Suite CBE (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite CBE\avp.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: mental ray 3.6 Satellite for Autodesk 3ds Max 2008 32-bit 32-bit (mi-raysat_3dsMax2008_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 2008\mentalray\satellite\raysat_3dsMax2008_32server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 6956 bytes

schrauber · 18.07.2008, 17:21

Hi,

Wenn Du keine Probleme mehr hast, würd ich sagen das wars dann endgültig

.

Zwei Sachen kannst Du noch machen. Wieder die Systemwiederherstellung zurücksetzen...

Systemwiederherstellung deaktivieren und wieder aktivieren:

•*Windows XP: Deaktiviere die
Systemwiederherstellung
•*Start => ausführen => tippe sysdm.cpl => Ok oder Enter drücken
•*Wähle den Reiter Systemwiederherstellung
•*Mache einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" => drücke "übernehmen"
•*der Rechner rattert eine Weile heftig vor sich hin, wenn er fertig ist,
•*den Haken wieder entfernen und OK drücken
•*wahlweise kannst Du die Systemwiederherstellung für einzelne Partitionen ausschalten

Und die Windows-Update-Seite besuchen und Dich mit den neuesten Updates eindecken. Ansonsten sind wir hier fertig

gruß

schrauber

Silenzio · 21.07.2008, 11:27

hallo schrauber,

ich bin zur zeit ein bißchen beschäftigt, aber die zeit um dir zu danken hab ich mir jetzt einfach mal genommen.

besser zu spät, als nie oder?!
also...
läuft wieder alles wunderbar.
bist ein guter junge:aplaus:

bis nicht allzu bald hoffentlich...

16.07.2008, 20:46	#40
schrauber /// the machine /// TB-Ausbilder	blauer desktop mit warnung dann wart bis morgen das Bild auf dem Desktop löschen bitte. gruß schrauber __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

17.07.2008, 19:29	#42
schrauber /// the machine /// TB-Ausbilder	blauer desktop mit warnung Aktuelles HJT-Logfile bitte gruß schrauber __________________ gruß, schrauber *Proud Member of UNITE and ASAP since 2009* Spenden Anleitungen und Hilfestellungen Trojaner-Board Facebook-Seite Keine Hilfestellung via PM!

blauer desktop mit warnung

Log-Analyse und Auswertung: blauer desktop mit warnung