Programme beenden sich automatisch

mephi69 · 26.02.2009, 13:56

Hallo,
ich habe Folgendes Problem. Programme die ich öffne wie Word, Internet Explorer… eigentlich alle
schließen sich nach ca 1-3 Minuten automatisch ohne Fehlermeldung. Auch im Ereignisprotokoll sind keine Fehler eingetragen. Antivir hat keinen Virus gefunden wenn es denn mal durch gelaufen ist und S&D kommt garnicht erst so weit.
Ich kann es mir irgendwie nich selber erklären, für Hilfe bin ich sehr dankbar.

Hijackthis hat auch keine „bösen“ Prozesse angezeigt. Hier der Logfile:
Ich habe auch schon mit sophos gescannt welcher auch nichts gefunden hat.
Eine Systemüberprüfung ergab auch keine Fehler.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:19:57, on 25.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
C:\VIRUSfighter\Npm\Bin\Zanda.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\VIRUSfighter\Npm\bin\ZLH.EXE
D:\Programme\ICQ\ICQ6.5\ICQ.exe
D:\Programme\Nero 8\Nero BackItUp\NBService.exe
D:\Programme\Xfire\Xfire.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\VIRUSfighter\Nse\bin\NSESVC.EXE
C:\WINDOWS\System32\alg.exe
d:\programme\avira\antivir personaledition classic\avcenter.exe
C:\WINDOWS\system32\taskmgr.exe
D:\Programme\Highjack\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\Office\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Norman ZANDA] "C:\VIRUSfighter\Npm\bin\ZLH.EXE" /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = D:\Programme\Xfire\Xfire.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\Office\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\Office\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\Office\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\Office\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\Office\Office12\GR99D3~1.DLL
O18 - Protocol: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - D:\Programme\Vector NTI\Ncbi.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Programme\Magix\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Programme\Nero 8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Norman NJeeves - Norman ASA - C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\VIRUSfighter\Npm\Bin\Zanda.exe
O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\VIRUSfighter\Nse\bin\NSESVC.EXE
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\VIRUSfighter\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe

--
End of file - 8050 bytes

hier noch der log zumindest meiner Systempartition von Antivir:
vira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 25. Februar 2009 17:03

Es wird nach 1265334 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Olaf
Computername: MEPHISTO

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 23:29:19
ANTIVIR2.VDF : 7.1.2.55 248832 Bytes 20.02.2009 23:29:20
ANTIVIR3.VDF : 7.1.2.79 105984 Bytes 25.02.2009 13:17:30
Engineversion : 8.2.0.88
AEVDF.DLL : 8.1.1.0 106868 Bytes 21.02.2009 23:29:26
AESCRIPT.DLL : 8.1.1.52 348538 Bytes 24.02.2009 21:31:52
AESCN.DLL : 8.1.1.7 127347 Bytes 21.02.2009 23:29:25
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.8 397684 Bytes 21.02.2009 23:29:24
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 21.02.2009 23:29:24
AEHEUR.DLL : 8.1.0.97 1610103 Bytes 21.02.2009 23:29:23
AEHELP.DLL : 8.1.2.0 119159 Bytes 21.02.2009 23:29:22
AEGEN.DLL : 8.1.1.21 336244 Bytes 24.02.2009 21:31:52
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.6.6 176501 Bytes 21.02.2009 23:29:21
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: ShlExt
Konfigurationsdatei..............: C:\DOKUME~1\Olaf\LOKALE~1\Temp\ab953474.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Mittwoch, 25. Februar 2009 17:03

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <T-Virus>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\adjys.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Ende des Suchlaufs: Mittwoch, 25. Februar 2009 17:12
Benötigte Zeit: 08:49 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3174 Verzeichnisse wurden überprüft
125271 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
125268 Dateien ohne Befall
780 Archive wurden durchsucht
3 Warnungen
0 Hinweise

raman · 26.02.2009, 14:29

Aktualisiere bitte einmal dein Antivir, mache dann ein Rootkitscan und poste das Ergebnis.

Ein Report von Mbam waere auch hilfreich...
http://www.trojaner-board.de/51187-a...i-malware.html

mephi69 · 26.02.2009, 17:26

hier der neue bericht:
Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 26. Februar 2009 17:12

Es wird nach 1267461 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Olaf
Computername: MEPHISTO

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 23:29:19
ANTIVIR2.VDF : 7.1.2.55 248832 Bytes 20.02.2009 23:29:20
ANTIVIR3.VDF : 7.1.2.89 134144 Bytes 26.02.2009 16:02:08
Engineversion : 8.2.0.88
AEVDF.DLL : 8.1.1.0 106868 Bytes 21.02.2009 23:29:26
AESCRIPT.DLL : 8.1.1.52 348538 Bytes 24.02.2009 21:31:52
AESCN.DLL : 8.1.1.7 127347 Bytes 21.02.2009 23:29:25
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.8 397684 Bytes 21.02.2009 23:29:24
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 21.02.2009 23:29:24
AEHEUR.DLL : 8.1.0.97 1610103 Bytes 21.02.2009 23:29:23
AEHELP.DLL : 8.1.2.0 119159 Bytes 21.02.2009 23:29:22
AEGEN.DLL : 8.1.1.21 336244 Bytes 24.02.2009 21:31:52
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.6.6 176501 Bytes 21.02.2009 23:29:21
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: ShlExt
Konfigurationsdatei..............: C:\DOKUME~1\Olaf\LOKALE~1\Temp\5c897ac2.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 26. Februar 2009 17:12

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <T-Virus>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\adjys.exe
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Ende des Suchlaufs: Donnerstag, 26. Februar 2009 17:21
Benötigte Zeit: 09:43 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3182 Verzeichnisse wurden überprüft
125485 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
125482 Dateien ohne Befall
780 Archive wurden durchsucht
3 Warnungen
0 Hinweise

wie kann ich nen rootkitscan machen bin da nicht so versiert drin ^^

mephi69 · 26.02.2009, 18:08

und hier dass mailware ergebnis:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1806
Windows 5.1.2600 Service Pack 3

26.02.2009 18:07:35
mbam-log-2009-02-26 (18-07-35).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 197746
Laufzeit: 34 minute(s), 3 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\seneka.sys (Trojan.Agent) -> Quarantined and deleted successfully.

raman · 26.02.2009, 18:11

Einen Rootkitscan mit Antivir machst du, indem du es startest, dann auf "Lokaler Schutz"/"Pruefen" gehst nd dort rootkitscan waehlen

mephi69 · 26.02.2009, 18:24

gibt es da noch andere möglichkeiten da ich antivir nur noch über einen rechtsklick auf die festplatten und dann überprüfen mit gestartet bekomme

weil sonst hängt dass Programm schon im ladebildschirm

mcchrisy · 26.02.2009, 18:54

Hab das selbe Problem seit gestern auch, wäre wirklich nett wenn jemand helfen könnte.

mephi69 · 26.02.2009, 19:09

hier das Protokoll des rootki scans :

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 26. Februar 2009 19:06

Es wird nach 1267461 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 3) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: Olaf
Computername: MEPHISTO

Versionsinformationen:
BUILD.DAT : 8.2.0.337 16934 Bytes 18.11.2008 13:01:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 23:29:19
ANTIVIR2.VDF : 7.1.2.55 248832 Bytes 20.02.2009 23:29:20
ANTIVIR3.VDF : 7.1.2.89 134144 Bytes 26.02.2009 16:02:08
Engineversion : 8.2.0.88
AEVDF.DLL : 8.1.1.0 106868 Bytes 21.02.2009 23:29:26
AESCRIPT.DLL : 8.1.1.52 348538 Bytes 24.02.2009 21:31:52
AESCN.DLL : 8.1.1.7 127347 Bytes 21.02.2009 23:29:25
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.8 397684 Bytes 21.02.2009 23:29:24
AEOFFICE.DLL : 8.1.0.33 196987 Bytes 21.02.2009 23:29:24
AEHEUR.DLL : 8.1.0.97 1610103 Bytes 21.02.2009 23:29:23
AEHELP.DLL : 8.1.2.0 119159 Bytes 21.02.2009 23:29:22
AEGEN.DLL : 8.1.1.21 336244 Bytes 24.02.2009 21:31:52
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.6.6 176501 Bytes 21.02.2009 23:29:21
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 12:02:15
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Suche nach Rootkits
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\rootkit.avp
Protokollierung..................: hoch
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Durchsuche aktive Programme......: aus
Durchsuche Registrierung.........: aus
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
Erweiterte Sucheinstellungen.....: 0x00300922

Beginn des Suchlaufs: Donnerstag, 26. Februar 2009 19:06

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '341352' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Ende des Suchlaufs: Donnerstag, 26. Februar 2009 19:08

raman · 26.02.2009, 19:13

Ich dachte Mbam haette dafuer gesorgt, das Antivir wieder vernuenftig funktioniert. Aber dann holen wir mal den Hammer raus.

Nutze bitte Combofix:

Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichere es als tester.exe, auf den Desktop
Danach schliesse alle Fenster, deaktiviere alle Hintergrundwaechter (AV und z.B. Spybots Tea-Timer) starte die tester.exe, lies die Informationen auf den auftauchenden Fenstern und beantworte sie danach mit Ja.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Waehrend des Scans bitte nichts am Rechner unternehmen
Es kann moeglich sein, das der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

Nutze immer eine aktuelle Version von Combofix, auch wenn du "deine" erst vor einem Tag heruntergeladen hast.

mephi69 · 26.02.2009, 19:43

so mir wurde jetzt folgendes ausgespuckt:

ComboFix 09-02-25.02 - Olaf 2009-02-26 19:35:52.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.49.1031.18.3327.2769 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Olaf\Desktop\tester.exe
AV: VIRUSfighter ver. 5.99 *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\winlogon2.exe

.
((((((((((((((((((((((((((((((((((((((( Treiber/Dienste )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_seneka

((((((((((((((((((((((( Dateien erstellt von 2009-01-26 bis 2009-02-26 ))))))))))))))))))))))))))))))
.

2009-02-26 18:12 . 2009-02-26 18:12 74,603 --a------ c:\windows\system32\pqwoc
2009-02-26 17:32 . 2009-02-26 17:32 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-26 17:32 . 2009-02-26 17:32 <DIR> d-------- c:\dokumente und einstellungen\Olaf\Anwendungsdaten\Malwarebytes
2009-02-26 17:32 . 2009-02-26 17:32 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-26 17:32 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-26 17:32 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-25 15:25 . 2009-02-25 15:25 <DIR> d-------- c:\dokumente und einstellungen\LocalService\Startmenü
2009-02-25 15:14 . 2009-02-26 19:38 <DIR> d-------- C:\VIRUSfighter
2009-02-25 15:03 . 2009-02-25 15:03 <DIR> d--h----- c:\windows\PIF
2009-02-24 22:50 . 2009-02-24 22:50 141,312 --a------ c:\windows\system32\unrar.dll
2009-02-24 22:50 . 2009-02-24 22:50 102,400 --a------ c:\windows\system32\bz2.dll
2009-02-24 22:50 . 2009-02-24 22:50 74,240 --a------ c:\windows\system32\zlib.dll
2009-02-20 16:36 . 2009-02-20 16:36 72 --a------ c:\windows\MediaManager.INI
2009-02-17 16:41 . 2009-02-17 18:51 <DIR> d-------- c:\dokumente und einstellungen\Olaf\Anwendungsdaten\teamspeak2
2009-02-17 16:41 . 2009-02-17 16:41 34,064 --a------ c:\windows\system32\lhacm.acm
2009-02-14 19:35 . 2009-02-14 19:48 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-02-13 09:15 . 2009-02-13 09:15 <DIR> d-------- c:\dokumente und einstellungen\Olaf\Anwendungsdaten\Move Networks
2009-02-09 20:39 . 2009-02-09 20:39 <DIR> d-------- c:\windows\Sun
2009-02-09 20:38 . 2009-02-09 20:38 410,984 --a------ c:\windows\system32\deploytk.dll
2009-02-09 20:38 . 2009-02-09 20:38 73,728 --a------ c:\windows\system32\javacpl.cpl
2009-02-09 20:37 . 2009-02-09 20:37 <DIR> d-------- c:\programme\Java
2009-02-05 21:50 . 2009-02-05 21:50 42,320 --a------ c:\windows\system32\xfcodec.dll
2009-02-04 13:44 . 2009-02-23 19:46 <DIR> d-------- c:\dokumente und einstellungen\Olaf\Anwendungsdaten\dvdcss
2009-02-02 19:50 . 2009-02-02 19:50 <DIR> d-------- c:\programme\MSECache
2009-02-02 19:47 . 2009-02-02 19:49 <DIR> d-------- c:\dokumente und einstellungen\Olaf\Anwendungsdaten\FileZilla
2009-02-01 18:56 . 2009-02-18 16:00 <DIR> d-------- c:\dokumente und einstellungen\Olaf\Anwendungsdaten\skypePM
2009-02-01 18:56 . 2009-02-01 18:56 56 --ah----- c:\windows\system32\ezsidmv.dat
2009-02-01 18:54 . 2009-02-18 19:06 <DIR> d-------- c:\dokumente und einstellungen\Olaf\Anwendungsdaten\Skype
2009-02-01 18:53 . 2009-02-01 18:53 <DIR> d-------- c:\programme\Skype
2009-02-01 18:53 . 2009-02-01 18:53 <DIR> d-------- c:\programme\Gemeinsame Dateien\Skype
2009-02-01 18:52 . 2009-02-01 18:53 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2009-02-01 11:43 . 2009-02-01 11:55 139,264 --a------ c:\windows\War3Unin.exe
2009-02-01 11:43 . 2009-02-01 12:01 72,017 --a------ c:\windows\War3Unin.dat
2009-02-01 11:43 . 2009-02-01 11:55 2,829 --a------ c:\windows\War3Unin.pif
2009-01-28 17:36 . 2008-04-14 07:52 159,232 --a------ c:\windows\system32\ptpusd.dll
2009-01-28 17:36 . 2001-08-18 04:54 5,632 --a------ c:\windows\system32\ptpusb.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-26 18:27 --------- d-----w c:\dokumente und einstellungen\Olaf\Anwendungsdaten\Xfire
2009-02-25 14:14 --------- d--h--w c:\programme\InstallShield Installation Information
2009-02-25 14:13 --------- d-----w c:\programme\Gemeinsame Dateien\InstallShield
2009-02-24 23:16 --------- d-----w c:\dokumente und einstellungen\Olaf\Anwendungsdaten\uTorrent
2009-02-11 13:48 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\CyberLink
2009-02-03 14:20 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\MAGIX
2009-01-25 12:53 --------- d-----w c:\dokumente und einstellungen\Olaf\Anwendungsdaten\vlc
2009-01-24 21:57 --------- d-----w c:\programme\USB Vibration
2009-01-24 17:32 --------- d-----w c:\dokumente und einstellungen\Olaf\Anwendungsdaten\InstallShield
2009-01-20 13:53 --------- d-----w c:\programme\Invitrogen
2009-01-20 13:53 --------- d-----w c:\programme\Gemeinsame Dateien\Informax
2009-01-20 13:53 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Informax
2009-01-20 13:52 --------- d-----w c:\programme\Informax Installations
2009-01-20 13:52 --------- d-----w c:\programme\Gemeinsame Dateien\Crystal Decisions
2009-01-20 13:48 --------- d-----w c:\programme\Vector NTI Advance
2009-01-18 16:16 --------- d-----w c:\programme\Xvid
2009-01-14 19:03 --------- d-----w c:\dokumente und einstellungen\Olaf\Anwendungsdaten\Winamp
2009-01-14 15:53 --------- d-----w c:\dokumente und einstellungen\NetworkService\Anwendungsdaten\Xfire
2009-01-14 15:44 --------- d-----w c:\dokumente und einstellungen\Olaf\Anwendungsdaten\ICQ
2009-01-14 12:48 --------- d-----w c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Xfire
2009-01-14 11:41 --------- d-----w c:\programme\EPSON
2009-01-14 11:25 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\SimCity Societies
2009-01-14 11:20 --------- d--h--r c:\dokumente und einstellungen\Olaf\Anwendungsdaten\SecuROM
2009-01-14 10:44 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Fallout3
2009-01-14 10:42 --------- d-----w c:\programme\MSBuild
2009-01-14 10:40 --------- d-----w c:\programme\Reference Assemblies
2009-01-14 09:48 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft Help
2009-01-14 09:47 --------- d-----w c:\programme\Microsoft Works
2009-01-14 09:42 --------- d-----w c:\dokumente und einstellungen\Olaf\Anwendungsdaten\DAEMON Tools Pro
2009-01-14 09:42 --------- d-----w c:\dokumente und einstellungen\Olaf\Anwendungsdaten\DAEMON Tools Lite
2009-01-14 09:42 --------- d-----w c:\dokumente und einstellungen\Olaf\Anwendungsdaten\DAEMON Tools
2009-01-14 09:41 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\DAEMON Tools Lite
2009-01-14 09:38 717,296 ----a-w c:\windows\system32\drivers\sptd.sys
2009-01-14 09:34 --------- d-----w c:\programme\Gemeinsame Dateien\Nero
2009-01-14 09:34 --------- d-----w c:\dokumente und einstellungen\Olaf\Anwendungsdaten\Nero
2009-01-14 09:34 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Nero
2009-01-14 09:23 --------- d-----w c:\programme\Cyberlink
2009-01-14 09:23 --------- d-----w c:\dokumente und einstellungen\Olaf\Anwendungsdaten\CyberLink
2009-01-14 09:18 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\FLEXnet
2009-01-14 09:16 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2009-01-14 09:16 --------- d-----w c:\programme\Bonjour
2009-01-14 09:11 --------- d-----w c:\programme\Gemeinsame Dateien\Macrovision Shared
2009-01-13 23:24 --------- d-----w c:\programme\MSXML 4.0
2009-01-13 23:05 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-01-13 23:05 --------- d-----w c:\programme\AGEIA Technologies
2009-01-13 23:00 --------- d-----w c:\programme\Marvell
2009-01-13 22:58 --------- d-----w c:\programme\Realtek
2009-01-13 22:57 315,392 ----a-w c:\windows\HideWin.exe
2009-01-13 22:47 --------- d-----w c:\programme\Intel
2009-01-13 20:27 --------- d-----w c:\programme\microsoft frontpage
2009-01-13 20:25 --------- d-----w c:\programme\Online-Dienste
2009-01-13 20:25 --------- d-----w c:\programme\Gemeinsame Dateien\Dienste
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"ICQ"="d:\programme\ICQ\ICQ6.5\ICQ.exe" [2008-12-17 172792]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-08-02 13570048]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-08-02 86016]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2008-04-13 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2008-04-13 59392]
"SunJavaUpdateSched"="c:\programme\Java\jre6\bin\jusched.exe" [2009-02-09 148888]
"RTHDCPL"="RTHDCPL.EXE" [2008-05-16 c:\windows\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2008-08-02 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\dokumente und einstellungen\Olaf\Startmen\Programme\Autostart\
Xfire.lnk - d:\programme\Xfire\Xfire.exe [2009-02-05 3008336]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.XFR1"= xfcodec.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-06-12 02:38 34672 d:\programme\Adobe\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BDRegion]
--a------ 2007-11-14 23:10 91432 c:\programme\Cyberlink\Shared files\brs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2007-09-20 15:35 202024 c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
--a------ 2008-12-29 11:40 687560 d:\programme\DAEMON Tools Lite\daemon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus C66 Series]
--a------ 2003-11-26 19:00 99840 c:\windows\system32\spool\drivers\w32x86\3\E_S4I0S2.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 d:\programme\Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2008-04-14 07:52 1695232 c:\programme\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]
--a------ 2007-09-20 09:51 1836328 d:\programme\Nero 8\Nero BackItUp\NBKeyScan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2007-03-01 15:57 153136 c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Norman ZANDA]
--a------ 2008-06-02 14:46 273520 c:\virusfighter\npm\bin\Zlh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDVD8LanguageShortcut]
--a------ 2007-12-14 11:36 50472 d:\programme\Power DVD\PowerDVD8\Language\Language.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]
--a------ 2008-04-13 22:13 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]
--a------ 2008-04-13 22:13 455168 c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl8]
--------- 2008-02-18 18:33 77824 d:\programme\Power DVD\PowerDVD8\PDVD8Serv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
-ra------ 2008-11-18 16:31 21633320 c:\programme\Skype\Phone\Skype.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
--a------ 2009-02-01 12:03 1410296 d:\gamez\Steam\Steam.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
--a------ 2008-08-04 00:02 36352 d:\programme\Winamp\winampa.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AntiVirService"=2 (0x2)
"AntiVirScheduler"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"d:\\Programme\\Office\\Office12\\OUTLOOK.EXE"=
"d:\\Programme\\Office\\Office12\\GROOVE.EXE"=
"d:\\Programme\\Office\\Office12\\ONENOTE.EXE"=
"d:\\Gamez\\call of duty\\CoDUOMP.exe"=
"d:\\Gamez\\Starship Troopers\\stgame.exe"=
"d:\\Programme\\ICQ\\ICQ6.5\\ICQ.exe"=
"d:\\Programme\\Xfire\\Xfire.exe"=
"d:\\Programme\\torrent\\uTorrent.exe"=
"d:\\Programme\\Vector NTI\\Vector NTI 10.exe"=
"d:\\Downloads\\Duke Nukem 3d\\duke3d.exe"=
"d:\\Gamez\\Steam\\steamapps\\xxmephistoxx\\day of defeat\\hl.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"d:\\Gamez\\Steam\\steamapps\\xxmephistoxx\\counter-strike source\\hl2.exe"=
"d:\\Gamez\\Steam\\steamapps\\xxmephistoxx\\team fortress classic\\hl.exe"=
"d:\\Gamez\\Steam\\steamapps\\xxmephistoxx\\deathmatch classic\\hl.exe"=
"d:\\Gamez\\Steam\\steamapps\\xxmephistoxx\\half-life\\hl.exe"=
"d:\\Gamez\\Warcraft III\\Frozen Throne.exe"=
"d:\\Gamez\\Warcraft III\\Warcraft III.exe"=
"c:\\Programme\\Java\\jre6\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"6112:TCP"= 6112:TCP:wc3
"6112:UDP"= 6112:UDP:wc3a

R0 mv61xx;mv61xx;c:\windows\system32\drivers\mv61xx.sys [2008-06-23 150568]
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};d:\programme\Power DVD\PowerDVD8\000.fcl [2008-02-01 17:24:04 41456]
R2 Ndiskio;Ndiskio;c:\virusfighter\Nse\Bin\Ndiskio.sys [2009-02-25 20448]
R3 L1e;Miniport Driver for Atheros AR8121/AR8113/AR8114 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1e51x86.sys [2009-01-14 36864]
R3 nsesvc;Norman Scanner Engine Service;c:\virusfighter\Nse\Bin\Nsesvc.exe [2009-02-25 183352]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;d:\programme\Magix\Common\Database\bin\fbserver.exe [2009-01-24 1527900]
S3 hid8101;hid8101;c:\windows\system32\drivers\hid8101.sys [2009-01-24 31899]

--- Andere Dienste/Treiber im Speicher ---

*Deregistered* - sfc

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{07a89cc2-e1af-11dd-9101-806d6172696f}]
\Shell\AutoRun\command - e:\sinstall\SInstall.exe
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-avgnt - d:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.google.de/
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft E&xel exportieren - d:\progra~1\Office\Office12\EXCEL.EXE/3000
Handler: ncbi8 - {2B576DD3-0B3E-4718-BCBF-B15E4FB8009D} - d:\programme\Vector NTI\Ncbi.dll
FF - ProfilePath - c:\dokumente und einstellungen\Olaf\Anwendungsdaten\Mozilla\Firefox\Profiles\hgt0buor.default\
FF - plugin: d:\programme\Adobe\Reader\browser\nppdf32.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-26 19:39:05
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\d:\programme\Power DVD\PowerDVD8\000.fcl"
.
------------------------ Weitere laufende Prozesse ------------------------
.
c:\virusfighter\npm\bin\elogsvc.exe
c:\virusfighter\npm\bin\Zanda.exe
c:\programme\Bonjour\mDNSResponder.exe
c:\programme\Java\jre6\bin\jqs.exe
d:\programme\Nero 8\Nero BackItUp\NBService.exe
c:\windows\system32\rundll32.exe
c:\windows\system32\nvsvc32.exe
c:\programme\Cyberlink\Shared files\RichVideo.exe
c:\windows\system32\wdfmgr.exe
c:\virusfighter\npm\bin\Njeeves.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2009-02-26 19:41:35 - PC wurde neu gestartet
ComboFix-quarantined-files.txt 2009-02-26 18:41:33

Vor Suchlauf: 11 Verzeichnis(se), 10.829.230.080 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 11,105,193,984 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

259 --- E O F --- 2009-02-26 16:05:51

mephi69 · 26.02.2009, 21:20

danke für die hilfe aber ich denke ich komme um eine formatierung nicht drum rum jetzt resettet der explorer alle 2 min ...

raman · 26.02.2009, 22:19

Das ist mit Sicherheit die beste Loesung. Eine Kleinigkeit noch. Falls du die Moeglichkeit hast, bzw noch den Ehrgeiz, sichere folgende Dateien extern in ein Zip Archiv:

C:\WINDOWS\system32\adjys.exe
c:\windows\system32\pqwoc

und pruefe sie nachherbei virustotal.com mich wuerde interessieren, was das genau ist.

mephi69 · 26.02.2009, 23:04

sry dein post kam 10 min zu spät ^^ aber mir ist die datei auch schon aufgefallen da wuste ich aber noch nichts von diesem virustotal

aber nochmals danke für deine hilfe

Programme beenden sich automatisch

Plagegeister aller Art und deren Bekämpfung: Programme beenden sich automatisch