Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   System beschäftigt sich selbst (https://www.trojaner-board.de/33039-system-beschaeftigt-selbst.html)

Labbeduddel 21.10.2006 15:53
System beschäftigt sich selbst
 
Hi!

Mein System fängt direkt nach dem Start an, sich mit irgendeiner Tätigkeit selbst zu beschäftigen. Die CPU-Auslastung schwankt zwar unter 50 %, aber es ist trotzdem kein Arbeiten möglich.

Hijack-This file wie folgt:

Logfile of HijackThis v1.99.1
Scan saved at 16:44:47, on 21.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\vmhevnet.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [sserrvv] C:\WINDOWS\sserrvv.exe s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: RaptisoftGameLoader - http://w*w.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://w*w.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - h**p://ak.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - h**p://w*w.miniclip.com/bestfriends/miniclipGameLoader.dll
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - h**p://w*w.pestpatrol.com/pestscan/pestscan.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - h**p://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143979586031
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - AppInit_DLLs: mp4sglmf.dll e1.dll
O20 - Winlogon Notify: vmhevnet - C:\WINDOWS\system32\vmhevnet.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Es weiß doch sicher jemand Hilfe. Danke im Voraus!

Grüße vom Labbeduddel

Rene-gad 21.10.2006 21:20
@Labbeduddel
Zitat:
C:\WINDOWS\System32\vmhevnet.exe
O4 - HKLM\..\Run: [sserrvv] C:\WINDOWS\sserrvv.exe s
O20 - AppInit_DLLs: mp4sglmf.dll e1.dll
O20 - Winlogon Notify: vmhevnet - C:\WINDOWS\system32\vmhevnet.dll
Hier sind IMO die Anzeichen von einer neuen Version von Mail-Wurm Warezov. Bitte fixen. Danach: Versuche mal die Dateien im abgesicherten Modus zu löschen und danach KAV-Online in Anspruch zu nehmen (nur über IE oder IE-Tabs in Gecko-Browser).

Labbeduddel 22.10.2006 14:40
Hier mein Bericht:

1. Beim Fixen trat bezüglich einer der Dateien ein Fehler auf. Die Datei scheint trotzdem gelöscht worden zu sein.

2. Beim Löschen im abgesicherten Modus ließ sich die Datei vmhevnet.dll nicht löschen.

3. Der Fehler ("Computer beschäftigt sich selbst") tritt zurzeit nicht mehr auf.

4. Der Kaspersky-online-Scan brachte das Ergebnis 1 Virus und 477 verseuchte Objekte wurden gefunden. Nach den mir völlig unbekannten email-Teilnehmern nehme ich an, dass hier der Virus sich selbst fröhlich hin und hermailte.

Was tun? Mails löschen ok. Ist was zu retten? Auf der online-Virusliste stehen Löschanweisungen zu alten Versionen des warezov. Funktioniert das hier? Wenn ja, dann aber nicht ganz einfach, weil die Dateien jetzt wohl anders heißen, die zu löschen wären.

Erbitte nochmals Hilfe. Hier die Protokolle, erst HiJackThis neu und dann Kaspersky online:

Logfile of HijackThis v1.99.1
Scan saved at 12:08:15, on 22.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/
O16 - DPF: RaptisoftGameLoader - http://w*w.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://w*w.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetup1.0.0.15.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://w*w.miniclip.com/bestfriends/miniclipGameLoader.dll
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://w*w.pestpatrol.com/pestscan/pestscan.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - h**p://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143979586031
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - AppInit_DLLs: e1.dll
O20 - Winlogon Notify: vmhevnet - C:\WINDOWS\system32\vmhevnet.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

(Kaspersky folgt - zuviele Zeichen).

Labbeduddel 22.10.2006 14:44
-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Sonntag, 22. Oktober 2006 15:24:02
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 22/10/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 220405
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Ordner:
C:\
I:\
Z:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 12500
Viren gefunden: 1
Infizierte Objekte gefunden: 477 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:05:10

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\LiveUpdate\2006-10-22_Log.ALUSchedulerSvc.LiveUpdate Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Anwendungsdaten\Mozilla\Firefox\Profiles\toc3b6gw.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Anwendungsdaten\Mozilla\Firefox\Profiles\toc3b6gw.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC129.tmp/[From debby harris <debby.harris@guierfence.com>][Date Sat, 21 Oct 2006 08:33:28 +0200]/doc.zip/doc.dat.pif Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC129.tmp/[From debby harris <debby.harris@guierfence.com>][Date Sat, 21 Oct 2006 08:33:28 +0200]/doc.zip Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC129.tmp Mail: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC134.tmp/[From helen <helen.king@firstclassmoving.com>][Date Sat, 21 Oct 2006 08:35:49 +0200]/doc.zip/doc.dat.pif Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC134.tmp/[From helen <helen.king@firstclassmoving.com>][Date Sat, 21 Oct 2006 08:35:49 +0200]/doc.zip Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC134.tmp Mail: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC137.tmp/[From anna <anna.moore@scholzes.com>][Date Sat, 21 Oct 2006 08:38:03 +0200]/doc.zip/doc.dat.pif Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC137.tmp/[From anna <anna.moore@scholzes.com>][Date Sat, 21 Oct 2006 08:38:03 +0200]/doc.zip Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC137.tmp Mail: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC138.tmp/[From claudia <baker_jumsk@megaman.com>][Date Sat, 21 Oct 2006 08:36:22 +0200]/doc.zip/doc.dat.pif Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC138.tmp/[From claudia <baker_jumsk@megaman.com>][Date Sat, 21 Oct 2006 08:36:22 +0200]/doc.zip Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC138.tmp Mail: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC139.tmp/[From sec@megaman.com][Date Sat, 21 Oct 2006 08:36:30 +0200]/Update-KB3593-x86.zip/Update-KB3593-x86.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC139.tmp/[From sec@megaman.com][Date Sat, 21 Oct 2006 08:36:30 +0200]/Update-KB3593-x86.zip Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC139.tmp Mail: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC189.tmp/[From joe <joe.joe@tjh.com>][Date Sat, 21 Oct 2006 08:38:47 +0200]/doc.zip/doc.dat.pif Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC189.tmp/[From joe <joe.joe@tjh.com>][Date Sat, 21 Oct 2006 08:38:47 +0200]/doc.zip Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC189.tmp Mail: infiziert - 2 übersprungen

viele Ähnliche ausgelassen hier

C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC782.tmp/[From gerhard gonzalez <gerhard.gonzalez@iinet.net.au>][Date Sat, 21 Oct 2006 09:08:50 +0200]/document.txt.scr Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC782.tmp Mail: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC7B7.tmp/[From sec@tjh.com][Date Sat, 21 Oct 2006 09:10:20 +0200]/Update-KB3593-x86.zip/Update-KB3593-x86.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC7B7.tmp/[From sec@tjh.com][Date Sat, 21 Oct 2006 09:10:20 +0200]/Update-KB3593-x86.zip Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC7B7.tmp Mail: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC7EF.tmp/[From helen carter <helen.carter@tjh.com>][Date Sat, 21 Oct 2006 09:11:04 +0200]/message.log.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC7EF.tmp Mail: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC80F.tmp/[From serv@fcradio.net][Date Sat, 21 Oct 2006 09:14:59 +0200]/Update-KB875-x86.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC80F.tmp Mail: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC82B.tmp/[From sec@telcan.com][Date Sat, 21 Oct 2006 09:16:12 +0200]/Update-KB3593-x86.zip/Update-KB3593-x86.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC82B.tmp/[From sec@telcan.com][Date Sat, 21 Oct 2006 09:16:12 +0200]/Update-KB3593-x86.zip Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC82B.tmp Mail: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC840.tmp/[From serv@niet.com][Date Sat, 21 Oct 2006 09:14:24 +0200]/Update-KB3593-x86.zip/Update-KB3593-x86.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC840.tmp/[From serv@niet.com][Date Sat, 21 Oct 2006 09:14:24 +0200]/Update-KB3593-x86.zip Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC840.tmp Mail: infiziert - 2 übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC847.tmp/[From secur@iinet.net.au][Date Sat, 21 Oct 2006 09:12:38 +0200]/Update-KB953-x86.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC847.tmp Mail: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC84D.tmp/[From brent green <brent.green@iinet.net.au>][Date Sat, 21 Oct 2006 09:14:59 +0200]/body.elm.bat Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC84D.tmp Mail: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC84E.tmp/[From john <john.lopez@midmich.net>][Date Sat, 21 Oct 2006 09:14:59 +0200]/doc.txt.bat Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC84E.tmp Mail: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC84F.tmp/[From maria <maria.jackson@megaman.com>][Date Sat, 21 Oct 2006 09:12:59 +0200]/body.log.pif Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC84F.tmp Mail: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC852.tmp/[From serv@telcan.com][Date Sat, 21 Oct 2006 09:14:00 +0200]/Update-KB453-x86.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC852.tmp Mail: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC85D.tmp/[From jane gonzalez <jane.gonzalez@fcradio.net>][Date Sat, 21 Oct 2006 09:17:05 +0200]/doc.log.cmd Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC85D.tmp Mail: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC860.tmp/[From carol <carol.king@elamex.com>][Date Sat, 21 Oct 2006 09:16:06 +0200]/test.log.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dn übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temp\CC860.tmp Mail: infiziert - 1 übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** mein Name ***\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen

Rene-gad 22.10.2006 16:22
@Labbeduddel
Bitte keine Logs posten, ohne dass jemand dich darum bittet.
Leere erst die Temp-Ordner (s. Link ClearProg in meiner Signatur).

Labbeduddel 23.10.2006 08:10
Temp-Ordner sind geleert. Wie geht es jetzt weiter, bitte?

Rene-gad 23.10.2006 11:08
Zitat:
Zitat von Labbeduddel
Temp-Ordner sind geleert. Wie geht es jetzt weiter, bitte?
Wiederhole bitte Scan mit KAV-Online.

Labbeduddel 23.10.2006 11:16
... und file posten, nehme ich an?

Labbeduddel 23.10.2006 11:20
IMHO bin ich nicht weiter gekommen. Virus lebt und ist gesund. Allerdings ist das Ausgangsproblem (Selbst-Beschäftigung des Rechners) bisher nicht wiedergekommen.

Grüße vom Labbeduddel

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 23. Oktober 2006 11:29:47
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 23/10/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 220485
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Ordner:
C:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 122802
Viren gefunden: 8
Infizierte Objekte gefunden: 40 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 01:54:48

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\LiveUpdate\2006-10-23_Log.ALUSchedulerSvc.LiveUpdate Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Anwendungsdaten\Mozilla\Firefox\Profiles\toc3b6gw.default\cert8.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Anwendungsdaten\Mozilla\Firefox\Profiles\toc3b6gw.default\formhistory.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Anwendungsdaten\Mozilla\Firefox\Profiles\toc3b6gw.default\history.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Anwendungsdaten\Mozilla\Firefox\Profiles\toc3b6gw.default\key3.db Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Anwendungsdaten\Mozilla\Firefox\Profiles\toc3b6gw.default\parent.lock Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\toc3b6gw.default\Cache\_CACHE_001_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\toc3b6gw.default\Cache\_CACHE_002_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\toc3b6gw.default\Cache\_CACHE_003_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\toc3b6gw.default\Cache\_CACHE_MAP_ Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Lokale Einstellungen\Temp\~DF3CE.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Lokale Einstellungen\Temp\~DFEDC3.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Lokale Einstellungen\Temp\~DFEDF7.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2006-10-23.08-31-54.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDALRT.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDCON.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDDBG.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDFW.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDIDS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSYS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPPolicy.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPStart.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPStop.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVApp.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVError.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVVirus.log Das Objekt ist gesperrt übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP329\A0050631.exe Infizierte Objekte: Trojan-PSW.Win32.LdPinch.baa übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP329\A0050632.exe Infizierte Objekte: Trojan-PSW.Win32.LdPinch.baa übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP329\A0050633.exe Infizierte Objekte: Email-Worm.Win32.Warezov.cw übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP329\A0050637.exe Infizierte Objekte: Email-Worm.Win32.Warezov.df übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP330\A0050649.exe Infizierte Objekte: Email-Worm.Win32.Warezov.df übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP331\A0050656.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dq übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP331\A0050659.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dq übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP331\A0050662.exe Infizierte Objekte: Email-Worm.Win32.Warezov.df übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP332\A0050671.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dq übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP332\A0050678.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dq übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP332\A0050681.exe Infizierte Objekte: Email-Worm.Win32.Warezov.df übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP332\A0051678.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dq übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP332\A0051681.exe Infizierte Objekte: Email-Worm.Win32.Warezov.df übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP332\A0054678.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dq übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP332\A0054681.exe Infizierte Objekte: Email-Worm.Win32.Warezov.df übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP332\A0054687.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dq übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP332\A0056687.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dq übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP332\A0056690.exe Infizierte Objekte: Email-Worm.Win32.Warezov.df übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP332\A0057696.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dq übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP332\A0057699.exe Infizierte Objekte: Email-Worm.Win32.Warezov.df übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP332\A0057708.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dq übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP332\A0057711.exe Infizierte Objekte: Email-Worm.Win32.Warezov.df übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP333\A0058717.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dq übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP333\A0058719.exe Infizierte Objekte: Email-Worm.Win32.Warezov.df übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP333\A0058721.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dc übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP333\A0058722.dll Infizierte Objekte: Email-Worm.Win32.Warezov.da übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP333\A0058761.dll Infizierte Objekte: Email-Worm.Win32.Warezov.cu übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP333\A0058762.exe Infizierte Objekte: Email-Worm.Win32.Warezov.gen übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP333\A0058763.dll Infizierte Objekte: Email-Worm.Win32.Warezov.cu übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP333\A0058764.exe Infizierte Objekte: Email-Worm.Win32.Warezov.gen übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP333\A0058765.dll Infizierte Objekte: Email-Worm.Win32.Warezov.cu übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP333\A0058766.dll Infizierte Objekte: Email-Worm.Win32.Warezov.cu übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP333\A0058771.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dq übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP333\A0058774.exe Infizierte Objekte: Email-Worm.Win32.Warezov.df übersprungen
C:\System Volume Information\_restore{C4C273DD-4D98-45B2-B115-94900DF50511}\RP333\change.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\msupdate.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dq übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{1CD80C35-00F0-4E4D-8C3E-29D72BBA64D2}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\vaxscsi.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\ipxpextm.exe Infizierte Objekte: Email-Worm.Win32.Warezov.gen übersprungen
C:\WINDOWS\system32\mp4sglmf.dll Infizierte Objekte: Email-Worm.Win32.Warezov.da übersprungen
C:\WINDOWS\system32\msihftpw.dll Infizierte Objekte: Email-Worm.Win32.Warezov.da übersprungen
C:\WINDOWS\system32\vmhevnet.dll Infizierte Objekte: Email-Worm.Win32.Warezov.da übersprungen
C:\WINDOWS\system32\vmhevnet.exe Infizierte Objekte: Email-Worm.Win32.Warezov.df übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Rene-gad 23.10.2006 11:30
@Labbeduddel
Schalte SWH ab, danach KAV-Scan wiederholen.

Labbeduddel 23.10.2006 15:33
Die Systemwiederherstellung war und ist abgeschaltet. Ich weiß nicht, warum da noch eine Datei im Recycler steht.

Ansonsten besteht das Problem offenbar weiterhin und ich brauche immer noch Rat.

Grüße vom Labbeduddel

-------------------------------------------------------------------------------
PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
Montag, 23. Oktober 2006 16:31:21
Betriebssystem: Microsoft Windows XP Home Edition, Service Pack 2 (Build 2600)
Version von Kaspersky Online Scanner: 5.0.83.0
Letztes Update der Antiviren-Datenbanken: 23/10/2006
Anzahl der Einträge in den Antiviren-Datenbanken: 220509
-------------------------------------------------------------------------------

Scan-Einstellungen:
Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Standard
Archive untersuchen: ja
Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Ordner:
C:\

Untersuchungsergebnisse:
Untersuchte Objekte insgesamt: 119262
Viren gefunden: 4
Infizierte Objekte gefunden: 7 / 0
Verdächtige Objekte gefunden: 0
Untersuchungszeit: 02:05:12

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Common Client\settings.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\LiveUpdate\2006-10-23_Log.ALUSchedulerSvc.LiveUpdate Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Cookies\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Lokale Einstellungen\Temp\~DFEAA.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Lokale Einstellungen\Temp\~DFFDFD.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Lokale Einstellungen\Temp\~DFFE2D.tmp Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\Lokale Einstellungen\Verlauf\History.IE5\index.dat Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\NTUSER.DAT Das Objekt ist gesperrt übersprungen
C:\Dokumente und Einstellungen\*** ich ***\ntuser.dat.LOG Das Objekt ist gesperrt übersprungen
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\logs\starwind.2006-10-23.13-28-55.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcrst.dll Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDALRT.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDCON.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDDBG.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDFW.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDIDS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSYS.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPPolicy.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPStart.log Das Objekt ist gesperrt übersprungen
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPStop.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVApp.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVError.log Das Objekt ist gesperrt übersprungen
C:\Programme\Norton AntiVirus\AVVirus.log Das Objekt ist gesperrt übersprungen
C:\RECYCLER\S-1-5-21-927890586-2501954535-3646181656-500\Dc1.dll Infizierte Objekte: Email-Worm.Win32.Warezov.da übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Debug\PASSWD.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\msupdate.exe Infizierte Objekte: Email-Worm.Win32.Warezov.dq übersprungen
C:\WINDOWS\SchedLgU.Txt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{33770B27-CDB3-4420-B53E-22F82E662928}.bin Das Objekt ist gesperrt übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\Sti_Trace.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\DEFAULT Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\default.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\Internet.evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SAM.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SOFTWARE Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\software.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\SYSTEM Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\config\system.LOG Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\sptd.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\drivers\vaxscsi.sys Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\ipxpextm.exe Infizierte Objekte: Email-Worm.Win32.Warezov.gen übersprungen
C:\WINDOWS\system32\mp4sglmf.dll Infizierte Objekte: Email-Worm.Win32.Warezov.da übersprungen
C:\WINDOWS\system32\msihftpw.dll Infizierte Objekte: Email-Worm.Win32.Warezov.da übersprungen
C:\WINDOWS\system32\vmhevnet.dll Infizierte Objekte: Email-Worm.Win32.Warezov.da übersprungen
C:\WINDOWS\system32\vmhevnet.exe Infizierte Objekte: Email-Worm.Win32.Warezov.df übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Das Objekt ist gesperrt übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiadebug.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\wiaservc.log Das Objekt ist gesperrt übersprungen
C:\WINDOWS\WindowsUpdate.log Das Objekt ist gesperrt übersprungen

Die Untersuchung wurde abgeschlossen.

Labbeduddel 23.10.2006 21:31
Pardon, Antwort steht noch aus?

Labbeduddel 24.10.2006 13:14
denkt noch jemand an mich?

ordell1234 24.10.2006 22:18
Hallo, ich springe mal kurz für Rene-gad ein. Fixe folgende Einträge:

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O16 - DPF: RaptisoftGameLoader - http://w*w.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/CursorManiaFWBInitialSetu p1.0.0.15.cab
O16 - DPF: {288C5F13-7E52-4ADA-A32E-F5BF9D125F99} (CR64Loader Object) - http://w*w.miniclip.com/bestfriends/miniclipGameLoader.dll
O20 - AppInit_DLLs: e1.dll
O20 - Winlogon Notify: vmhevnet - C:\WINDOWS\system32\vmhevnet.dll

Lade die Killbox herunter. Häkchen bei delete on reboot. Füge folgende Strings einzeln in das Textfeld ein:

C:\WINDOWS\msupdate.exe
C:\WINDOWS\system32\ipxpextm.exe
C:\WINDOWS\system32\mp4sglmf.dll
C:\WINDOWS\system32\msihftpw.dll
C:\WINDOWS\system32\vmhevnet.dll
C:\WINDOWS\system32\vmhevnet.exe

klicke "all Files", gehe dann auf delete files (weißes Kreuz auf rot). Verneine die Frage nach dem Reboot zunächst.
Suche mit Windows (erweiterte Optionen) nach e1.dl und lösche die Datei, notfalls über die Killbox.

Starte jetzt im abgesicherten Modus neu (F8 beim Start) und gehe in der Registry nach

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows].

Falls vorhanden:
Suche den Eintrag: AppInit_DLLs: e1.dl, lösche den Wert e1.dl (falls möglich), nicht aber das Datum "AppInit_DLLs".

Suche im Schlüssel HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify nach „vmhevnet“ und lösche den gesamten Schlüssel vmhevnet.

Neustart. Lade den ccleaner und reinige incl. der Registry.
Gehe wieder in die Registry und rufe bei dem Schlüssel

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows]

das Kontextmenü auf (rechte Maustaste auf den Ordner Windows), exportiere den Schlüssel auf den Desktop und nenne die Datei reg1Win.txt
Verfahre in gleicher Weise mit dem Schlüssel

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify] und nenne die Datei reg2logon.txt.

Poste später zusammen mit den anderen logs den Inhalt der reg1Win.txt und reg2logon.txt

Überprüfe C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe bei virustotal.com und poste

- ein neues HJT-log
- ein Log von silentrunners
- reg1win.txt
- reg2logon.txt
- das log von Blacklight
- die vollständige Auswertung der Boonty.exe

Labbeduddel 25.10.2006 11:36
Hab' alles so gemacht. Ich glaube aber, erfolglos. Hier die gewünschten Infos, zunächst HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 12:17:55, on 25.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\vmhevnet.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://GLOBAL.ACER.COM/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://w*w.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - h**p://w*w.pestpatrol.com/pestscan/pestscan.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - h**p://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143979586031
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - AppInit_DLLs: mp4sglmf.dll
O20 - Winlogon Notify: vmhevnet - C:\WINDOWS\system32\vmhevnet.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Labbeduddel 25.10.2006 11:39
Hier der Stille Läufer:

(Hierbei soll ich Dich schön von Peter Norton grüßen, der den Silentrunner für ein ganz und gar bösartiges Programm hält - ich hab' ihn beruhigt, d.h. skipped).

"Silent Runners.vbs", revision 49, h**p://w*w.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"MSMSGS" = ""C:\Programme\Messenger\msmsgs.exe" /background" [MS]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NVMixerTray" = ""C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"]
"RemoteControl" = "C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" ["Cyberlink Corp."]
"ATIPTA" = "(empty string)" [file not found]
"ccApp" = ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"" ["Symantec Corporation"]
"Symantec NetDriver Monitor" = "C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer" ["Symantec Corporation"]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"ICQ Lite" = ""C:\Programme\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."]
"Adobe Photo Downloader" = ""C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"" ["Adobe Systems Incorporated"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{83A30C59-3A50-49E6-9DAF-4923C4EA3C23}\(Default) = "WebSpeechBHO Class"
-> {HKLM...CLSID} = "WebSpeechBHO Class"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll" ["G DATA Software AG"]
{BDF3E430-B101-42AD-A544-FADC6B084872}\(Default) = (no title provided)
-> {HKLM...CLSID} = "CNavExtBho Class"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{43886CD5-6529-41c4-A707-7B3C92C05E68}" = "IE Navigation Bar"
-> {HKLM...CLSID} = "IE Navigation Bar"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [file not found]
"{3028902F-6374-48b2-8DC6-9725E775B926}" = "IE AutoComplete"
-> {HKLM...CLSID} = "IE AutoComplete"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [file not found]
"{4B78D326-D922-44f9-AF2A-07805C2A3560}" = "IE Menu Band"
-> {HKLM...CLSID} = "IE Menu Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [file not found]
"{6CF48EF8-44CD-45d2-8832-A16EA016311B}" = "IE IShellFolderBand"
-> {HKLM...CLSID} = "IE IShellFolderBand"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [file not found]
"{F2CF5485-4E02-4f68-819C-B92DE9277049}" = "&Links"
-> {HKLM...CLSID} = "&Links"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [file not found]
"{1C1EDB47-CE22-4bbb-B608-77B48F83C823}" = "IE Fade Task"
-> {HKLM...CLSID} = "IE Fade Task"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [file not found]
"{6B4ECC4F-16D1-4474-94AB-5A763F2A54AE}" = "IE Tracking Shell Menu"
-> {HKLM...CLSID} = "IE Tracking Shell Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [file not found]
"{44C76ECD-F7FA-411c-9929-1B77BA77F524}" = "IE Menu Site"
-> {HKLM...CLSID} = "IE Menu Site"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [file not found]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\axshlex.dll" ["Alcohol Soft Development Team"]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows\
<<!>> "AppInit_DLLs" = " mp4sglmf.dll" [null data]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"|"stera" [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> vmhevnet\DLLName = "C:\WINDOWS\system32\vmhevnet.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Symantec.Norton.Antivirus.IEContextMenu\(Default) = "{5345A4D5-41EB-4A2F-9616-CE1D4F6C35B2}"
-> {HKLM...CLSID} = "IEContextMenu Class"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\*** das bin ich ***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\sstext3d.scr" [MS]


Startup items in "*** das bin ich ***" & "All Users" startup folders:
-----------------------------------------------------------------

C:\Dokumente und Einstellungen\*** das bin ich ***\Startmenü\Programme\Autostart
"wkcalrem" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe" ["Microsoft® Corporation"]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader Speed Launch" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]


Enabled Scheduled Tasks:
------------------------

"Norton AntiVirus - Meinen Computer prüfen - *** das bin ich ***" -> launches: "C:\PROGRA~1\NORTON~1\Navw32.exe /task:"C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus\Tasks\mycomp.sca"" ["Symantec Corporation"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}"
-> {HKLM...CLSID} = "Norton AntiVirus"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}"
-> {HKLM...CLSID} = "Norton AntiVirus"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]
"{F2CF5485-4E02-4F68-819C-B92DE9277049}"
-> {HKLM...CLSID} = "&Links"
\InProcServer32\(Default) = "C:\WINDOWS\system32\ieframe.dll" [file not found]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}" = "Norton AntiVirus"
-> {HKLM...CLSID} = "Norton AntiVirus"
\InProcServer32\(Default) = "C:\Programme\Norton AntiVirus\NavShExt.dll" ["Symantec Corporation"]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{2D9700CB-A777-4DB0-96E1-1EBEBB7D1510}\(Default) = "WebSpeech Reader"
Implemented Categories\{00021494-0000-0000-C000-000000000046}\ [horizontal bar]
InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll" ["G DATA Software AG"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{1CE4DE72-7FCC-4EB8-8F66-AE6A56A0A54D}\
"ButtonText" = "WebSpeech"
"MenuText" = "Seite/Markierung vorlesen (WebSpeech)"
"CLSIDExtension" = "{0854DA01-5BF8-4E9D-A0E9-3CD5500AFB8C}"
-> {HKLM...CLSID} = "WebSpeechCmd Class"
\InProcServer32\(Default) = "C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll" ["G DATA Software AG"]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=h**p://GLOBAL.ACER.COM/

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."]
Automatisches LiveUpdate - Scheduler, Automatisches LiveUpdate - Scheduler, ""C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe"" ["Symantec Corporation"]
Norton AntiVirus Auto-Protect-Dienst, navapsvc, ""C:\Programme\Norton AntiVirus\navapsvc.exe"" ["Symantec Corporation"]
Norton AntiVirus Firewall Monitor Service, NPFMntor, ""C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe"" ["Symantec Corporation"]
StarWind iSCSI Service, StarWindService, "C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe" ["Rocket Division Software"]
Symantec Core LC, Symantec Core LC, "C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe" ["Symantec Corporation"]
Symantec Event Manager, ccEvtMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"" ["Symantec Corporation"]
Symantec Network Drivers Service, SNDSrvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe"" ["Symantec Corporation"]
Symantec Settings Manager, ccSetMgr, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"" ["Symantec Corporation"]
Symantec SPBBCSvc, SPBBCSvc, ""C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe"" ["Symantec Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Canon BJ Language Monitor i560\Driver = "CNMLM58.DLL" ["CANON INC."]


----------
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 45 seconds, including 10 seconds for message boxes)

Labbeduddel 25.10.2006 11:39
reg1win.txt hat folgenden Inhalt:

Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 25.10.2006 - 12:04
Wert 0
Name: AppInit_DLLs
Typ: REG_SZ
Daten:

Wert 1
Name: DeviceNotSelectedTimeout
Typ: REG_SZ
Daten: 15

Wert 2
Name: GDIProcessHandleQuota
Typ: REG_DWORD
Daten: 0x2710

Wert 3
Name: Spooler
Typ: REG_SZ
Daten: yes

Wert 4
Name: swapdisk
Typ: REG_SZ
Daten:

Wert 5
Name: TransmissionRetryTimeout
Typ: REG_SZ
Daten: 90

Wert 6
Name: USERProcessHandleQuota
Typ: REG_DWORD
Daten: 0x2710

Labbeduddel 25.10.2006 11:40
Hier reg2logon.txt:

Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 25.10.2006 - 12:05

Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\AtiExtEvent
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:27
Wert 0
Name: DLLName
Typ: REG_SZ
Daten: Ati2evxx.dll

Wert 1
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x0

Wert 2
Name: Impersonate
Typ: REG_DWORD
Daten: 0x1

Wert 3
Name: Lock
Typ: REG_SZ
Daten: AtiLockEvent

Wert 4
Name: Logoff
Typ: REG_SZ
Daten: AtiLogoffEvent

Wert 5
Name: Logon
Typ: REG_SZ
Daten: AtiLogonEvent

Wert 6
Name: Disconnect
Typ: REG_SZ
Daten: AtiDisConnectEvent

Wert 7
Name: Reconnect
Typ: REG_SZ
Daten: AtiReConnectEvent

Wert 8
Name: Safe
Typ: REG_DWORD
Daten: 0x0

Wert 9
Name: Shutdown
Typ: REG_SZ
Daten: AtiShutdownEvent

Wert 10
Name: StartScreenSaver
Typ: REG_SZ
Daten: AtiStartScreenSaverEvent

Wert 11
Name: StartShell
Typ: REG_SZ
Daten: AtiStartShellEvent

Wert 12
Name: Startup
Typ: REG_SZ
Daten: AtiStartupEvent

Wert 13
Name: StopScreenSaver
Typ: REG_SZ
Daten: AtiStopScreenSaverEvent

Wert 14
Name: Unlock
Typ: REG_SZ
Daten: AtiUnLockEvent


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:26
Wert 0
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x0

Wert 1
Name: Impersonate
Typ: REG_DWORD
Daten: 0x0

Wert 2
Name: DllName
Typ: REG_EXPAND_SZ
Daten: crypt32.dll

Wert 3
Name: Logoff
Typ: REG_SZ
Daten: ChainWlxLogoffEvent


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:26
Wert 0
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x0

Wert 1
Name: Impersonate
Typ: REG_DWORD
Daten: 0x0

Wert 2
Name: DllName
Typ: REG_EXPAND_SZ
Daten: cryptnet.dll

Wert 3
Name: Logoff
Typ: REG_SZ
Daten: CryptnetWlxLogoffEvent


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:26
Wert 0
Name: DLLName
Typ: REG_SZ
Daten: cscdll.dll

Wert 1
Name: Logon
Typ: REG_SZ
Daten: WinlogonLogonEvent

Wert 2
Name: Logoff
Typ: REG_SZ
Daten: WinlogonLogoffEvent

Wert 3
Name: ScreenSaver
Typ: REG_SZ
Daten: WinlogonScreenSaverEvent

Wert 4
Name: Startup
Typ: REG_SZ
Daten: WinlogonStartupEvent

Wert 5
Name: Shutdown
Typ: REG_SZ
Daten: WinlogonShutdownEvent

Wert 6
Name: StartShell
Typ: REG_SZ
Daten: WinlogonStartShellEvent

Wert 7
Name: Impersonate
Typ: REG_DWORD
Daten: 0x0

Wert 8
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x1


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:26
Wert 0
Name: DLLName
Typ: REG_SZ
Daten: wlnotify.dll

Wert 1
Name: Logon
Typ: REG_SZ
Daten: SCardStartCertProp

Wert 2
Name: Logoff
Typ: REG_SZ
Daten: SCardStopCertProp

Wert 3
Name: Lock
Typ: REG_SZ
Daten: SCardSuspendCertProp

Wert 4
Name: Unlock
Typ: REG_SZ
Daten: SCardResumeCertProp

Wert 5
Name: Enabled
Typ: REG_DWORD
Daten: 0x1

Wert 6
Name: Impersonate
Typ: REG_DWORD
Daten: 0x1

Wert 7
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x1


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:30
Wert 0
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x0

Wert 1
Name: DllName
Typ: REG_EXPAND_SZ
Daten: wlnotify.dll

Wert 2
Name: Impersonate
Typ: REG_DWORD
Daten: 0x0

Wert 3
Name: StartShell
Typ: REG_SZ
Daten: SchedStartShell

Wert 4
Name: Logoff
Typ: REG_SZ
Daten: SchedEventLogOff


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:31
Wert 0
Name: Logoff
Typ: REG_SZ
Daten: WLEventLogoff

Wert 1
Name: Impersonate
Typ: REG_DWORD
Daten: 0x0

Wert 2
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x1

Wert 3
Name: DllName
Typ: REG_EXPAND_SZ
Daten: sclgntfy.dll


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:26
Wert 0
Name: DLLName
Typ: REG_SZ
Daten: WlNotify.dll

Wert 1
Name: Lock
Typ: REG_SZ
Daten: SensLockEvent

Wert 2
Name: Logon
Typ: REG_SZ
Daten: SensLogonEvent

Wert 3
Name: Logoff
Typ: REG_SZ
Daten: SensLogoffEvent

Wert 4
Name: Safe
Typ: REG_DWORD
Daten: 0x1

Wert 5
Name: MaxWait
Typ: REG_DWORD
Daten: 0x258

Wert 6
Name: StartScreenSaver
Typ: REG_SZ
Daten: SensStartScreenSaverEvent

Wert 7
Name: StopScreenSaver
Typ: REG_SZ
Daten: SensStopScreenSaverEvent

Wert 8
Name: Startup
Typ: REG_SZ
Daten: SensStartupEvent

Wert 9
Name: Shutdown
Typ: REG_SZ
Daten: SensShutdownEvent

Wert 10
Name: StartShell
Typ: REG_SZ
Daten: SensStartShellEvent

Wert 11
Name: PostShell
Typ: REG_SZ
Daten: SensPostShellEvent

Wert 12
Name: Disconnect
Typ: REG_SZ
Daten: SensDisconnectEvent

Wert 13
Name: Reconnect
Typ: REG_SZ
Daten: SensReconnectEvent

Wert 14
Name: Unlock
Typ: REG_SZ
Daten: SensUnlockEvent

Wert 15
Name: Impersonate
Typ: REG_DWORD
Daten: 0x1

Wert 16
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x1


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:29
Wert 0
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x0

Wert 1
Name: DllName
Typ: REG_EXPAND_SZ
Daten: wlnotify.dll

Wert 2
Name: Impersonate
Typ: REG_DWORD
Daten: 0x0

Wert 3
Name: Logoff
Typ: REG_SZ
Daten: TSEventLogoff

Wert 4
Name: Logon
Typ: REG_SZ
Daten: TSEventLogon

Wert 5
Name: PostShell
Typ: REG_SZ
Daten: TSEventPostShell

Wert 6
Name: Shutdown
Typ: REG_SZ
Daten: TSEventShutdown

Wert 7
Name: StartShell
Typ: REG_SZ
Daten: TSEventStartShell

Wert 8
Name: Startup
Typ: REG_SZ
Daten: TSEventStartup

Wert 9
Name: MaxWait
Typ: REG_DWORD
Daten: 0x258

Wert 10
Name: Reconnect
Typ: REG_SZ
Daten: TSEventReconnect

Wert 11
Name: Disconnect
Typ: REG_SZ
Daten: TSEventDisconnect


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vmhevnet
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 25.10.2006 - 12:05
Wert 0
Name: DllName
Typ: REG_SZ
Daten: C:\WINDOWS\system32\vmhevnet.dll

Wert 1
Name: Startup
Typ: REG_SZ
Daten: WlxStartupEvent

Wert 2
Name: Shutdown
Typ: REG_SZ
Daten: WlxShutdownEvent

Wert 3
Name: Impersonate
Typ: REG_DWORD
Daten: 0x0

Wert 4
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x0


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 08.08.2006 - 08:45
Wert 0
Name: Logon
Typ: REG_SZ
Daten: WLEventLogon

Wert 1
Name: Logoff
Typ: REG_SZ
Daten: WLEventLogoff

Wert 2
Name: Startup
Typ: REG_SZ
Daten: WLEventStartup

Wert 3
Name: Shutdown
Typ: REG_SZ
Daten: WLEventShutdown

Wert 4
Name: StartScreenSaver
Typ: REG_SZ
Daten: WLEventStartScreenSaver

Wert 5
Name: StopScreenSaver
Typ: REG_SZ
Daten: WLEventStopScreenSaver

Wert 6
Name: Lock
Typ: REG_SZ
Daten: WLEventLock

Wert 7
Name: Unlock
Typ: REG_SZ
Daten: WLEventUnlock

Wert 8
Name: StartShell
Typ: REG_SZ
Daten: WLEventStartShell

Wert 9
Name: PostShell
Typ: REG_SZ
Daten: WLEventPostShell

Wert 10
Name: Disconnect
Typ: REG_SZ
Daten: WLEventDisconnect

Wert 11
Name: Reconnect
Typ: REG_SZ
Daten: WLEventReconnect

Wert 12
Name: Impersonate
Typ: REG_DWORD
Daten: 0x1

Wert 13
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x0

Wert 14
Name: SafeMode
Typ: REG_DWORD
Daten: 0x1

Wert 15
Name: MaxWait
Typ: REG_DWORD
Daten: 0xffffffff

Wert 16
Name: DllName
Typ: REG_EXPAND_SZ
Daten: WgaLogon.dll

Wert 17
Name: Event
Typ: REG_DWORD
Daten: 0x0


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WgaLogon\Settings
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 25.10.2006 - 12:06
Wert 0
Name: Data
Typ: REG_BINARY
Daten:
00000000 01 00 00 00 d0 8c 9d df - 01 15 d1 11 8c 7a 00 c0 ....Ð..ß..Ñ..z.À
00000010 4f c2 97 eb 01 00 00 00 - 33 95 03 02 08 ae 08 47 OÂ.ë....3....®.G
00000020 8d 64 c0 a1 5c 3a 5d fb - 04 00 00 00 04 00 00 00 .dÀ¡\:]û........
00000030 53 00 00 00 03 66 00 00 - a8 00 00 00 10 00 00 00 S....f..¨.......
00000040 82 36 9e c8 6e 0c ab 18 - ac b1 70 8c fd 31 72 62 .6.Èn.«.¬±p.ý1rb
00000050 00 00 00 00 04 80 00 00 - a0 00 00 00 10 00 00 00 ........*.......
00000060 30 45 1f c4 5c 57 b8 70 - af 66 7d 74 fe 27 35 57 0E.Ä\W¸p¯f}tþ'5W
00000070 b0 01 00 00 09 fb 49 ab - 6d 40 18 fe 19 c5 7c a2 °... ûI«m@.þ.Å|¢
00000080 7d 42 e9 63 2e e6 1a 52 - c3 e2 71 ac e4 6a fc 76 }Béc.æ.RÃâq¬äjüv
00000090 4d df e3 48 87 d7 d9 c5 - 23 d9 1b a7 ad 3b c1 fc MßãH.×ÙÅ#Ù.§*;Áü
000000a0 97 4a 49 fb 96 96 39 9d - e6 84 fe 51 8b 02 77 7d .JIû..9.æ.þQ..w}
000000b0 d5 d9 3c 2c 45 9d 9e ff - 2e 6b 87 cc d3 38 18 d5 ÕÙ<,E..ÿ.k.ÌÓ8.Õ
000000c0 f1 b8 0a 1b 4e 8a 7c be - 64 f9 cb 04 1a 71 42 8c ñ¸..N.|¾dùË..qB.
000000d0 d4 a6 40 65 01 e0 89 2c - 6c 8a 35 3f a3 0f 82 0d Ô¦@e.à.,l.5?£...
000000e0 3b 6c eb f2 29 5c 35 24 - 54 e2 da 20 5f b9 44 50 ;lëò)\5$TâÚ _¹DP
000000f0 ec a2 6c 22 a8 5a a7 3c - 40 98 99 1c ed 3e ad f4 ì¢l"¨Z§<@...í>*ô
00000100 67 52 50 ec 19 1d e1 25 - 4f 53 75 52 a7 42 13 58 gRPì..á%OSuR§B.X
00000110 54 5c 41 a4 4b 22 cd 5d - 71 28 68 89 ca 23 55 16 T\A¤K"Í]q(h.Ê#U.
00000120 17 8f 70 ca cc d0 34 38 - 74 0a d8 4e e9 a4 da d1 ..pÊÌÐ48t.ØNé¤ÚÑ
00000130 e4 cc b2 56 2c b5 1e e4 - a1 73 cb 1a 1e a7 48 46 ä̲V,µ.ä¡sË..§HF
00000140 0e d8 45 13 a2 40 67 05 - 4e 8a 86 59 80 15 bf 69 .ØE.¢@g.N..Y..¿i
00000150 23 91 83 35 ec d7 07 f6 - 88 cf 32 f1 2c 81 be 39 #..5ì×.ö.Ï2ñ,.¾9
00000160 00 43 47 41 9d 63 cf 4f - a0 2a 94 ce 88 b4 84 30 .CGA.cÏO**.Î.´.0
00000170 dd 5b 0f 1e b3 bc 53 33 - 56 16 11 93 a5 35 eb 71 Ý[..³¼S3V...¥5ëq
00000180 db d6 a1 99 64 f6 57 87 - 37 d5 93 14 c7 2a 43 27 ÛÖ¡.döW.7Õ..Ç*C'
00000190 20 2f 33 13 54 27 47 17 - 1d 00 b2 9a db 5e d9 f0 /3.T'G...².Û^Ùð
000001a0 58 b6 c8 60 b7 d4 b0 c9 - 90 bf 46 97 c7 42 42 2d X¶È`·Ô°É.¿F.ÇBB-
000001b0 4d d2 cd 06 1c 84 cf 72 - 55 f6 8a 6f a9 65 a6 94 MÒÍ...ÏrUö.o©e¦.
000001c0 8c c0 3b 9a bd 34 48 70 - 82 c9 19 aa f8 88 8d 62 .À;.½4Hp.É.ªø..b
000001d0 83 fe 29 a2 65 55 8f 8b - ad 24 f1 81 98 4a cd 65 .þ)¢eU..*$ñ..JÍe
000001e0 92 72 2e ed 67 7d 82 ab - e0 6d cd 69 58 ee 94 fa .r.íg}.«àmÍiXî.ú
000001f0 e1 71 5f 10 40 9a d1 f0 - fa 22 ef 82 c4 e2 72 ce áq_.@.Ñðú"ï.ÄârÎ
00000200 a6 70 65 36 60 ea 0e 92 - a5 56 dc d1 cb 6c df 67 ¦pe6`ê..¥VÜÑËlßg
00000210 8b 03 0f 65 11 20 7e 32 - 21 0e 84 f0 1d a4 d5 cf ...e. ~2!..ð.¤ÕÏ
00000220 48 77 7b 3f 14 00 00 00 - a7 90 ed 8b c4 8f 48 3b Hw{?....§.í.Ä.H;
00000230 d8 28 29 0c d9 35 05 7b - de 4d a5 f9 Ø().Ù5.{ÞM¥ù


Schlüsselname: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon
Klassenname: <KEINE KLASSE>
Letzter Schreibzugriff: 01.01.2004 - 02:26
Wert 0
Name: DLLName
Typ: REG_SZ
Daten: wlnotify.dll

Wert 1
Name: Logon
Typ: REG_SZ
Daten: RegisterTicketExpiredNotificationEvent

Wert 2
Name: Logoff
Typ: REG_SZ
Daten: UnregisterTicketExpiredNotificationEvent

Wert 3
Name: Impersonate
Typ: REG_DWORD
Daten: 0x1

Wert 4
Name: Asynchronous
Typ: REG_DWORD
Daten: 0x1

Labbeduddel 25.10.2006 11:41
Von Blacklight habe ich kein Scanprotokoll zusammengebracht. Ich habe nur ein Screenshot geschossen, was ich Euch aber ersparen kann. Alles durchsucht - 0 Items found.

Labbeduddel 25.10.2006 11:42
... und hier noch die Meuterei auf der Boonty - ein Sturm im Wasserglas:

File "Boonty.exe" received on 10.25.2006 at 12:14:41 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated.

Antivirus Version Update Result
AntiVir 7.2.0.32 10.25.2006 no virus found
Authentium 4.93.8 10.25.2006 no virus found
Avast 4.7.892.0 10.24.2006 no virus found
AVG 386 10.25.2006 no virus found
BitDefender 7.2 10.25.2006 no virus found
CAT-QuickHeal 8.00 10.23.2006 no virus found
ClamAV devel-20060426 10.25.2006 no virus found
DrWeb 4.33 10.25.2006 no virus found
eTrust-InoculateIT 23.73.36 10.25.2006 no virus found
eTrust-Vet 30.3.3156 10.25.2006 no virus found
Ewido 4.0 10.25.2006 no virus found
Fortinet 2.82.0.0 10.25.2006 no virus found
F-Prot 3.16f 10.25.2006 no virus found
F-Prot4 4.2.1.29 10.25.2006 no virus found
Ikarus 0.2.65.0 10.24.2006 no virus found
Kaspersky 4.0.2.24 10.25.2006 no virus found
McAfee 4880 10.24.2006 no virus found
Microsoft 1.1609 10.25.2006 no virus found
NOD32v2 1.1832 10.25.2006 no virus found
Norman 5.80.02 10.24.2006 no virus found
Panda 9.0.0.4 10.24.2006 no virus found
Sophos 4.10.0 10.24.2006 no virus found
TheHacker 6.0.1.105 10.25.2006 no virus found

Aditional Information
File size: 69120 bytes
MD5: 78478ed94ee283aeadc1db3332234e00
SHA1: 99ac3d669ab1b0eca10486bad213852c7c403932

ordell1234 25.10.2006 19:43
O.k., neuer Versuch. Fixe
Zitat:
O20 - AppInit_DLLs: mp4sglmf.dll
O20 - Winlogon Notify: vmhevnet - C:\WINDOWS\system32\vmhevnet.dll
- noch kein Neustart - und folge dieser Anleitung, lade dir den Avanger und füge das erste script ein. Wenn du keine Probleme mit deinen Updates hast, muß dich der untere Teil der Anleitung nicht interessieren. Poste nach dem Neustart das log von avanger (edit: sehe gerade, dass das log recht umfangreich ist, poste bitte nur die Funde und erfolgreich gelöschten keys) und ein neues HJT-log. Gruß

edit: füge dem script noch folgende Einträge hinzu:
%windir%\system32\e1.dll
%windir%\system32\p2psmsih.dll
%windir%\system32\mstle100.dll
%windir%\system32\fsusvcde.exe

sollte auch diese Aktion erfolglos bleiben, poste bitte auch die logs der datfind.bat, bitte nur die Einträge der letzten 3 Monate

Labbeduddel 26.10.2006 08:16
Danke - bin dabei. Erstes Resultat: Das Fixen unter HJT bringt folgende Fehlermeldung (vermute, damit fängt das Problem schon an):

An unexpected error has occurred at procedure: modBackup_MakeBackup(sItem=O20 - AppInit_DLLs: mp4sglmf.dll)
Error #5 - Ungültiger Prozeduraufruf oder ungültiges Argument

Please email me at merijn@spywareinfo.com, reporting the following:
* What you were trying to fix when the error occurred, if applicable
* How you can reproduce the error
* A complete HijackThis scan log, if possible

Windows version: Windows NT 5.01.2600
MSIE version: 6.0.2900.2180
HijackThis version: 1.99.1

This message has been copied to your clipboard.
Click OK to continue the rest of the scan.

Labbeduddel 26.10.2006 09:03
ok, jetzt sieht es gut aus, finde ich. Hier die Aktionen des Avenger:

File C:\WINDOWS\hv4e05.dll deleted successfully.
File C:\WINDOWS\msupdtwiz.exe deleted successfully.
File C:\WINDOWS\msupdtwiz.z deleted successfully.
File C:\WINDOWS\msupdtwiz.dat deleted successfully.
File C:\WINDOWS\attcfg.tmp deleted successfully.
File C:\WINDOWS\concfg.tmp deleted successfully.
File C:\WINDOWS\egadata.tmp deleted successfully.
File C:\WINDOWS\jw9ucgel.scf deleted successfully.
File C:\WINDOWS\sc.xml1 deleted successfully.
File C:\WINDOWS\system32\ipxpextm.exe deleted successfully.
File C:\WINDOWS\system32\mp4sglmf.dll deleted successfully.
File C:\WINDOWS\system32\vmhevnet.dll deleted successfully.
File C:\WINDOWS\system32\vmhevnet.exe deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.
Registry key HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\vmhevnet deleted successfully.
Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

Labbeduddel 26.10.2006 09:06
... und hier das neue HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 10:01:39, on 26.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: WebSpeechBHO Class - {83A30C59-3A50-49E6-9DAF-4923C4EA3C23} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: wkcalrem.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: WebSpeech - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra 'Tools' menuitem: Seite/Markierung vorlesen (WebSpeech) - {1CE4DE72-7FCC-4eb8-8F66-AE6A56A0A54D} - C:\PROGRA~1\GEMEIN~1\WEBSPE~1.0\LgxIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=h**p://GLOBAL.ACER.COM/
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://w*w.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - h**p://w*w.pestpatrol.com/pestscan/pestscan.cab
O16 - DPF: {6A060448-60F9-11D5-A6CD-0002B31F7455} (ExentInf Class) - h**p://god.t-online.de/download/ExentCtl.ocx
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143979586031
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Labbeduddel 26.10.2006 09:07
... melde mich wieder, wenn der neue Kaspersky-Online-Scan durch ist.

Labbeduddel 26.10.2006 11:23
Kaspersky fand noch einen, den Norton schon in Quarantäne genommen hat. Den hab' ich einfach mal gelöscht und CC-gecleant.

Ob jetzt alles in Ordnung ist?

C:\Programme\Norton AntiVirus\Quarantine\4F017A02.dll Infected: Email-Worm.Win32.Warezov.da skipped

Rene-gad 26.10.2006 11:28
Zitat:
Zitat von Labbeduddel
C:\Programme\Norton AntiVirus\Quarantine\4F017A02.dll Infected: Email-Worm.Win32.Warezov.da skipped
Das bedeutet nur das, dass Norton irgendwann den Schädling erkannt, unschädlich gemacht und in seine Quarantäne verschoben hat. Wenn keine Funde mehr gibt's kannst du IMHO den Thread schließen ;).

Labbeduddel 26.10.2006 13:38
Nach dem Löschen, 'runter- und wieder hochfahren ist schon wieder einer da:

C:\Programme\Norton AntiVirus\Quarantine\70EB39D4.dll Infizierte Objekte: Email-Worm.Win32.Warezov.da übersprungen

Dazu fällt mir ein:

1. Norton passt auf, vielleicht passiert ja wirklich nichts mehr.

2. Warezov ist weiter aktiv. Ist er das auf meinem Rechner, oder kommt er womöglich über ICQ dauernd wieder neu 'rein?

Grüße vom Labbeduddel

ordell1234 26.10.2006 14:55
Bei dem Fund
Zitat:
File C:\WINDOWS\hv4e05.dll deleted successfully.
File C:\WINDOWS\msupdtwiz.exe deleted successfully.
File C:\WINDOWS\msupdtwiz.z deleted successfully.
File C:\WINDOWS\msupdtwiz.dat deleted successfully.
File C:\WINDOWS\attcfg.tmp deleted successfully.
File C:\WINDOWS\concfg.tmp deleted successfully.
File C:\WINDOWS\egadata.tmp deleted successfully.
File C:\WINDOWS\jw9ucgel.scf deleted successfully.
File C:\WINDOWS\sc.xml1 deleted successfully.
File C:\WINDOWS\system32\ipxpextm.exe deleted successfully.
File C:\WINDOWS\system32\mp4sglmf.dll deleted successfully.
File C:\WINDOWS\system32\vmhevnet.dll deleted successfully.
File C:\WINDOWS\system32\vmhevnet.exe deleted successfully.
setze ich mein System neu auf. It's up to you. Weder muß das script für Avanger vollständig gewesen sein (wird es auch nicht), noch sind AV-scans das Gelbe vom Ei. Sieht so aus, als rollt gerade eine neue Welle Warezov-Varianten an. Dass nicht alles beseitigt wurde, kann also sehr gut sein, das schließt eine Neuinfektion natürlich nicht aus. Wie sicher/unsicher icq ist, kann ich dir nicht sagen, da ich den Dienst nicht nutze. Würde mich aber wundern, wenn hier kein Mitdenken gefragt ist. :blabla:

Labbeduddel 26.10.2006 15:32
Das bringt mich zu einer sehr ernsthaften Frage.

Ich fühle mich auch deshalb relativ locker bezüglich der Viren, weil ich bei mehreren Verseuchungen noch keinen ernsthaften Schaden erlitten habe. Nix ging dauerhaft kaputt, Bankkonto nicht geplündert et cetera.

Und was der Warezov wirklich an Schaden anrichtet (oder anrichten kann) ist mir auch nicht klar geworden. Ich lese immer nur, dass er sich von selbst verbreitet - ok. Und dann?

Also verzeiht meine Unbedarftheit. Ich will keine Viren, deshalb hab' ich einen Scanner und bin hier im Forum und überhaupt recht aufmerksam.

Muss ich mir ernstere Sorgen machen?

Grüße vom Labbeduddel

ordell1234 26.10.2006 16:25
Zitat:
Zitat von Labbeduddel
Ich fühle mich auch deshalb relativ locker bezüglich der Viren, weil ich bei mehreren Verseuchungen noch keinen ernsthaften Schaden erlitten habe. ...Muss ich mir ernstere Sorgen machen?
Ja. Verlaß dich nicht auf ein AVP sondern auf deinen Verstand. Tausend mal fixiert, tausend mal ist nichts passiert...:rolleyes: Was aber beim 1001 Mal? Schau in die faq und und die Signaturen der Regulars. Dort findest du ne Menge Hinweise/Tipps zum sinnvollen Umgang mit PC und Internet... etwas Eigeninitiative vorausgesetzt :Boogie:
Zitat:
Und was der Warezov wirklich an Schaden anrichtet (oder anrichten kann) ist mir auch nicht klar geworden.
klick Welche Dateien warezov nachlädt und welche die wiederum nachladen usw. usw. wird dir niemand mit Sicherheit sagen können. Fest steht, das Ding gehört nicht auf den Rechner, willst du Herr im eigenen Haus bleiben und auch andere nicht infizieren.

Gruß


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131