Es funzt kein Antivirenprogramm mehr!!!

PeterLustig · 17.03.2009, 00:18

So,

hier der ComboFix log.

EDIT: Nach einem Neustart geht Norton wieder,kleiner Fehlalarm ;-)

Code:

ATTFilter

ComboFix 09-03-15.01 - ***** 2009-03-18  0:14:04.1 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.3.1252.1.1031.18.1023.636 [GMT 4.5:30]
ausgeführt von:: c:\dokumente und einstellungen\*****\Desktop\ComboFix.exe
AV: Norton Internet Security *On-access scanning disabled* (Updated)
FW: Norton Internet Security *enabled*
 * Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

j:\recycler\S-4-5-11-100017703-100031168-100022485-4446.com
j:\recycler\S-5-9-32-100020552-100031408-100014937-4527.com
j:\recycler\S-6-8-31-100003086-100005425-100013277-6189.com
j:\recycler\S-9-7-85-100007146-100020279-100004249-9610.com
J:\resycled
j:\resycled\boot.com

.
(((((((((((((((((((((((   Dateien erstellt von 2009-02-17 bis 2009-03-17  ))))))))))))))))))))))))))))))
.

2009-03-18 00:09 . 2009-03-18 00:09	<DIR>	d--------	c:\winxp\LastGood
2009-03-18 00:02 . 2006-06-29 13:07	14,048	---------	c:\winxp\system32\spmsg2.dll
2009-03-17 23:56 . 2009-03-18 00:02	<DIR>	d--------	c:\winxp\system32\XPSViewer
2009-03-17 23:56 . 2009-03-17 23:56	<DIR>	d--------	c:\programme\Reference Assemblies
2009-03-17 23:56 . 2009-03-17 23:56	<DIR>	d--------	c:\programme\MSBuild
2009-03-17 23:55 . 2009-03-17 23:56	<DIR>	d--------	C:\5446aedc5abd62fb992f966890
2009-03-17 23:55 . 2008-07-06 16:36	1,676,288	---------	c:\winxp\system32\xpssvcs.dll
2009-03-17 23:55 . 2008-07-06 16:36	1,676,288	-----c---	c:\winxp\system32\dllcache\xpssvcs.dll
2009-03-17 23:55 . 2008-07-06 15:20	597,504	-----c---	c:\winxp\system32\dllcache\printfilterpipelinesvc.exe
2009-03-17 23:55 . 2008-07-06 16:36	575,488	---------	c:\winxp\system32\xpsshhdr.dll
2009-03-17 23:55 . 2008-07-06 16:36	575,488	-----c---	c:\winxp\system32\dllcache\xpsshhdr.dll
2009-03-17 23:55 . 2008-07-06 16:36	117,760	---------	c:\winxp\system32\prntvpt.dll
2009-03-17 23:55 . 2008-07-06 16:36	89,088	-----c---	c:\winxp\system32\dllcache\filterpipelineprintproc.dll
2009-03-17 23:44 . 2008-10-24 15:51	455,296	-----c---	c:\winxp\system32\dllcache\mrxsmb.sys
2009-03-17 23:39 . 2008-10-16 14:09	43,544	--a------	c:\winxp\system32\wups2.dll
2009-03-17 23:39 . 2008-10-16 14:08	31,768	--a------	c:\winxp\system32\wucltui.dll.mui
2009-03-17 23:39 . 2008-10-16 14:08	27,672	--a------	c:\winxp\system32\wuaucpl.cpl.mui
2009-03-17 23:39 . 2008-10-16 14:08	27,672	--a------	c:\winxp\system32\wuapi.dll.mui
2009-03-17 23:39 . 2008-10-16 14:07	18,968	--a------	c:\winxp\system32\wuaueng.dll.mui
2009-03-17 23:23 . 2009-03-18 00:07	<DIR>	d--------	c:\programme\Autorun Eater
2009-03-17 22:49 . 2009-03-17 22:51	<DIR>	d--------	c:\programme\uTorrent
2009-03-17 22:49 . 2009-03-18 00:05	<DIR>	d--------	c:\dokumente und einstellungen\SchwanzosLongus\Anwendungsdaten\uTorrent
2009-03-17 22:30 . 2009-03-17 22:30	<DIR>	d--------	c:\winxp\system32\Kaspersky Lab
2009-03-17 22:30 . 2009-03-17 22:30	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-03-17 22:22 . 2009-03-17 22:22	<DIR>	d--------	c:\programme\CCleaner
2009-03-17 21:29 . 2009-03-17 21:29	<DIR>	d--------	c:\programme\Malwarebytes' Anti-Malware
2009-03-17 21:29 . 2009-03-17 21:29	<DIR>	d--------	c:\dokumente und einstellungen\SchwanzosLongus\Anwendungsdaten\Malwarebytes
2009-03-17 21:29 . 2009-03-17 21:29	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-03-17 21:29 . 2009-02-11 10:19	38,496	--a------	c:\winxp\system32\drivers\mbamswissarmy.sys
2009-03-17 21:29 . 2009-02-11 10:19	15,504	--a------	c:\winxp\system32\drivers\mbam.sys
2009-03-17 21:24 . 2009-03-17 21:24	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Symantec
2009-03-17 21:15 . 2009-03-17 21:15	<DIR>	d--------	c:\programme\Trend Micro
2009-03-17 21:09 . 2009-03-17 21:09	<DIR>	d--------	c:\programme\Opera 10 Preview
2009-03-17 21:04 . 2009-03-17 21:19	<DIR>	d--------	c:\programme\avmwlanstick
2009-03-17 21:03 . 2009-03-17 21:03	<DIR>	d--------	c:\programme\AVM_update
2009-03-17 21:03 . 2006-09-29 10:30	1,570	--a------	c:\winxp\system32\nvide.nvu
2009-03-17 21:01 . 2009-03-17 21:01	<DIR>	d--------	c:\winxp\system32\drivers\NIS
2009-03-17 21:01 . 2009-03-17 21:01	<DIR>	d--------	c:\programme\Windows Sidebar
2009-03-17 21:01 . 2009-03-17 21:01	<DIR>	d--------	c:\programme\Symantec
2009-03-17 21:01 . 2009-03-17 21:01	<DIR>	d--------	c:\programme\NortonInstaller
2009-03-17 21:01 . 2009-03-17 21:01	<DIR>	d--------	c:\programme\Norton Internet Security
2009-03-17 21:01 . 2009-03-17 21:14	<DIR>	d--------	c:\programme\Gemeinsame Dateien\Symantec Shared
2009-03-17 21:01 . 2009-03-17 21:01	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\NortonInstaller
2009-03-17 21:01 . 2009-03-17 21:01	<DIR>	d--------	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton
2009-03-17 21:01 . 2009-03-17 21:01	124,464	--a------	c:\winxp\system32\drivers\SYMEVENT.SYS
2009-03-17 21:01 . 2009-03-17 21:01	60,808	--a------	c:\winxp\system32\S32EVNT1.DLL
2009-03-17 21:01 . 2009-03-17 21:01	35,888	-ra------	c:\winxp\system32\drivers\SymIM.sys
2009-03-17 21:01 . 2009-03-17 21:01	10,635	--a------	c:\winxp\system32\drivers\SYMEVENT.CAT
2009-03-17 21:01 . 2009-03-17 21:01	806	--a------	c:\winxp\system32\drivers\SYMEVENT.INF
2009-03-17 20:59 . 2009-03-17 20:59	0	--a------	c:\winxp\ativpsrm.bin

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-03-16 19:56	---------	d--h--w	c:\programme\InstallShield Installation Information
2009-03-16 19:56	---------	d-----w	c:\programme\Realtek AC97
2009-03-16 19:56	---------	d-----w	c:\programme\Gemeinsame Dateien\InstallShield
2009-03-16 19:56	---------	d-----w	c:\programme\ATI Technologies
2009-03-16 19:47	---------	d-----w	c:\programme\microsoft frontpage
2009-03-16 19:43	---------	d-----w	c:\programme\Online-Dienste
2009-03-16 19:43	---------	d-----w	c:\programme\Gemeinsame Dateien\Dienste
2009-03-16 19:41	---------	d-----w	c:\programme\Windows Media Connect 2
2009-02-09 13:57	1,847,680	----a-w	c:\winxp\system32\win32k.sys
2009-02-04 07:27	3,488,768	----a-w	c:\winxp\system32\drivers\ati2mtag.sys
2009-02-04 05:57	11,702,272	----a-w	c:\winxp\system32\atioglxx.dll
2009-02-04 05:03	290,816	----a-w	c:\winxp\system32\atiok3x2.dll
2009-02-04 04:56	442,368	----a-w	c:\winxp\system32\ATIDEMGX.dll
2009-02-04 04:55	324,096	----a-w	c:\winxp\system32\ati2dvag.dll
2009-02-04 04:44	196,608	----a-w	c:\winxp\system32\atipdlxx.dll
2009-02-04 04:44	155,648	----a-w	c:\winxp\system32\Oemdspif.dll
2009-02-04 04:43	43,520	----a-w	c:\winxp\system32\ati2edxx.dll
2009-02-04 04:43	26,112	----a-w	c:\winxp\system32\Ati2mdxx.exe
2009-02-04 04:43	155,648	----a-w	c:\winxp\system32\ati2evxx.dll
2009-02-04 04:41	602,112	----a-w	c:\winxp\system32\ati2evxx.exe
2009-02-04 04:40	53,248	----a-w	c:\winxp\system32\ATIDDC.DLL
2009-02-04 04:30	3,884,768	----a-w	c:\winxp\system32\ati3duag.dll
2009-02-04 04:14	2,645,504	----a-w	c:\winxp\system32\ativvaxx.dll
2009-02-04 03:58	49,664	----a-w	c:\winxp\system32\amdpcom32.dll
2009-02-04 03:54	471,040	----a-w	c:\winxp\system32\atikvmag.dll
2009-02-04 03:53	122,880	----a-w	c:\winxp\system32\atiadlxx.dll
2009-02-04 03:52	53,248	----a-w	c:\winxp\system32\drivers\ati2erec.dll
2009-02-04 03:52	17,408	----a-w	c:\winxp\system32\atitvo32.dll
2009-02-04 03:46	626,688	----a-w	c:\winxp\system32\ati2cqag.dll
2009-02-04 03:44	307,200	----a-w	c:\winxp\system32\atiiiexx.dll
2009-02-04 02:43	45,056	----a-w	c:\winxp\system32\aticalrt.dll
2009-02-04 02:42	45,056	----a-w	c:\winxp\system32\aticalcl.dll
2009-02-04 02:40	3,244,032	----a-w	c:\winxp\system32\aticaldd.dll
2009-02-03 16:35	593,920	------w	c:\winxp\system32\ati2sgag.exe
2008-12-20 22:31	826,368	----a-w	c:\winxp\system32\wininet.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVMWlanClient"="c:\programme\avmwlanstick\wlangui.exe" [2008-09-05 1794048]
"Autorun Eater"="c:\programme\Autorun Eater\oldmcdonald.exe" [2008-11-27 501768]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 c:\winxp\soundman.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\winxp\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=

R0 SymEFA;Symantec Extended File Attributes;c:\winxp\system32\drivers\NIS\1001000.021\SymEFA.sys [2009-03-17 309296]
R1 BHDrvx86;Symantec Heuristics Driver;c:\winxp\system32\drivers\NIS\1001000.021\BHDrvx86.sys [2009-03-17 255536]
R1 ccHP;Symantec Hash Provider;c:\winxp\system32\drivers\NIS\1001000.021\cchpx86.sys [2009-03-17 362544]
R1 IDSxpx86;IDSxpx86;c:\dokumente und einstellungen\All Users\Anwendungsdaten\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20090310.003\IDSxpx86.sys [2009-03-17 276344]
R2 Norton Internet Security;Norton Internet Security;c:\programme\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe [2009-03-17 115560]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programme\Gemeinsame Dateien\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2009-03-16 101936]
S3 avmeject;AVM Eject;c:\winxp\system32\drivers\avmeject.sys [2008-09-05 4352]
S3 FWLANUSB;AVM FRITZ!WLAN;c:\winxp\system32\drivers\fwlanusb.sys [2008-09-05 265088]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - ATAPI
*NewlyCreated* - ERASERUTILREBOOTDRV
*NewlyCreated* - PCIIDE
.
.
------- Zusätzlicher Suchlauf -------
.
TCP: {9CE98B9D-0707-42C6-B224-7F80CF2F4E43} = 192.168.2.1
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-18 00:14:50
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Norton Internet Security]
"ImagePath"="\"c:\programme\Norton Internet Security\Engine\16.1.0.33\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\programme\Norton Internet Security\Engine\16.1.0.33\diMaster.dll\" /prefetch:1"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(1004)
c:\winxp\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-03-18  0:15:29
ComboFix-quarantined-files.txt  2009-03-17 19:45:27

Vor Suchlauf: 10 Verzeichnis(se), 154.862.149.632 Bytes frei
Nach Suchlauf: 10 Verzeichnis(se), 154,928,533,504 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINXP
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINXP="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

174

a5cl3p1o5 · 17.03.2009, 00:58

Lade bitte folgende zwei Dateien bei Virustotal hoch und lass sie analysieren.

Code:

ATTFilter

c:\winxp\system32\dllcache\printfilterpipelinesvc.exe
c:\winxp\system32\drivers\SymIM.sys

Wenn keine Funde ausgegeben werden, dann bitte unter Start -> Ausführen -> "combofix /u" eingeben (ohne "") und ok klicken. Fertig!

Sollten Funde gemeldet werden, bitte das Ergebnis komplett posten. Werde sie mir dann morgen früh anschauen.

Grüße und gute Nacht
a5cl3p1o5

PeterLustig · 17.03.2009, 01:06

Hey,

hab beide Dateien hochgeladen.

Bei der printfilterpipelinesvc.exe wird nur bei McAfee-GW-Edition 6.7.6 folgendes anezeigt ----> Win32.LooksLike.Virut

Die restlichen Analysetools finden nichts.

Bei der SymIM.sys meint jede Analyse das sie sauber wär.

Grüße

PeterLustig · 17.03.2009, 02:32

Hab jetzt noch einen Scan bei http://virscan.org/ gemacht.

Code:

ATTFilter

Datei InformationenDateiname :	  printfilterpipelinesvc.exe
Größe :	  597504 byte
Typ :	  PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 :	  9cac2bee7724fc829567400ee751856a
SHA1 :	  69ededb886e6f0a9220f6463caf6c804f567e7ef

Scan ErgebnisScan Ergebnis :	  Es wurde keine Infektion ermittelt!
Zeit :	  2009/03/17 02:14:02 (CET)

Code:

ATTFilter

Datei InformationenDateiname :	  SymIM.sys
Größe :	  35888 byte
Typ :	  PE32 executable for MS Windows (native) Intel 80386 32-bit
MD5 :	  e9abe92091b108aa5650c18c9fc77356
SHA1 :	  0410c6cc72d2897dc2ed2dae31a639d2e89755d3

Scan ErgebnisScan Ergebnis :	  Es wurde keine Infektion ermittelt!
Zeit :	  2009/03/17 02:25:16 (CET)

schrauber · 17.03.2009, 06:35

Zitat:

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

j:\recycler\S-4-5-11-100017703-100031168-100022485-4446.com
j:\recycler\S-5-9-32-100020552-100031408-100014937-4527.com
j:\recycler\S-6-8-31-100003086-100005425-100013277-6189.com
j:\recycler\S-9-7-85-100007146-100020279-100004249-9610.com
J:\resycled
j:\resycled\boot.com

deswegen meine frage ob alle partitionen gelöscht wurden, aber das wort partitionen war schlecht gewählt

PeterLustig · 17.03.2009, 18:33

Yo

Na ja,jetzt noch gucken was der Meister dazu sagt.
Ich denke soweit ist alles gut :aplaus:

Das Einzige was mich noch ein wenig zum nachdenken bringt
ist das "Zweite Netzwerk" dass mir Norton anzeigt (Pic ist ein
paar posts zu vor zu finden)

Grüße

a5cl3p1o5 · 17.03.2009, 18:43

also meine Meinung dazu ist ganz Bob Marley: don't worry, be happy

Wenn Du über Lan ins Internet gehst und Deine Wlan-Karte nicht nutzt, dann deaktiviere sie.

Grüße
a5cl3p1o5

PeterLustig · 17.03.2009, 18:53

Erst einmal geht ein RIESEN DANKESCHÖN an ALLE die mir hier so gut geholfen haben.Besonders an dich a5cl3p1o5q :aplaus::aplaus:

Ich werde dieses Forum auf jeden Fall weiterempfehlen,ganz große Klasse.

Ich gehe über WLAN ins internet,habe jetzt im Gerätemanager unter
"Netzwerkadapter" folgendes deinstalliert -->"1394-Netzwerkadapter".
Ist nach nem Neustart aber wieder aktiv,hab den Adapter jetzt
deaktiviert,aber die Norton Meldung ist immer noch aktiv,aber ich denke
dass mich die nicht weiter stören sollte oder? *G*

Noch mal,besten Dank für eure Mühe Leute,einfach super.

Grüße

Angel21 · 17.03.2009, 18:56

Bitteschön

PeterLustig · 17.03.2009, 19:06

Das deaktivieren des Netzwerkadapters hat doch was gebracht,die Noron Meldung ist nicht mehr aktiv.

Dass wars nun endgültig,Thread kann auf GELÖST gestellt werden.Besten Danke an alle :aplaus::aplaus:

Grüße

Es funzt kein Antivirenprogramm mehr!!!

Plagegeister aller Art und deren Bekämpfung: Es funzt kein Antivirenprogramm mehr!!!