Trojaner-Board
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte um Unterstützung / CoolWWWSearch (https://www.trojaner-board.de/47641-bitte-um-unterstuetzung-coolwwwsearch.html)

BataAlexander 07.01.2008 17:32
1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Quotebox in das Notepad Fenster ein.


Zitat:
File::
C:\WINDOWS\addbp.exe
C:\WINDOWS\addos.exe
C:\WINDOWS\apiie32.exe
C:\WINDOWS\apimq32.exe
C:\WINDOWS\apiuz32.exe
C:\WINDOWS\appha.exe
C:\WINDOWS\appqo
C:\WINDOWS\atlxn32.exe
C:\WINDOWS\crnh32.exe
C:\WINDOWS\crpy.exe
C:\WINDOWS\d3wn.exe
C:\WINDOWS\ipnp32.exe
C:\WINDOWS\javaab32.exe
C:\WINDOWS\javalc.exe
C:\WINDOWS\javamy.exe
C:\WINDOWS\javaqb.exe
C:\WINDOWS\javaya32.exe
C:\WINDOWS\mfcsb32.exe
C:\WINDOWS\msjm.exe
C:\WINDOWS\nethq32.exe
C:\WINDOWS\ntib32.ex
C:\WINDOWS\sdkyq.exe
C:\WINDOWS\syscg32.exe
C:\WINDOWS\winbj32.exe
C:\WINDOWS\winbr32.exe
C:\WINDOWS\windk.exe
C:\WINDOWS\winyb32.exe
C:\WINDOWS\system32\addju.exe
C:\WINDOWS\system32\apikr32.exe
C:\WINDOWS\system32\apitj.exe
C:\WINDOWS\system32\apixk32.exe
C:\WINDOWS\system32\atlsv32.exe
C:\WINDOWS\system32\cric32.exe
C:\WINDOWS\system32\d3uk32.exe
C:\WINDOWS\system32\iekr.exe
C:\WINDOWS\system32\iplx32.exe
C:\WINDOWS\system32\javagm.exe
C:\WINDOWS\system32\javakx.exe
C:\WINDOWS\system32\javaod.exe
C:\WINDOWS\system32\javatn.exe
C:\WINDOWS\system32\javavc.exe
C:\WINDOWS\system32\javayu.exe
C:\WINDOWS\system32\mfcbe32.exe
C:\WINDOWS\system32\mfcgo32.exe
C:\WINDOWS\system32\msim.exe
C:\WINDOWS\system32\netio.exe
C:\WINDOWS\system32\ntdw32.exe
C:\WINDOWS\system32\sdkfr.exe
C:\WINDOWS\system32\sdkqb32.exe
C:\WINDOWS\system32\sdkqr.exe
C:\WINDOWS\system32\syszj32.exe
C:\WINDOWS\system32\winbn32.exe
C:\WINDOWS\system32\winoz32.exe
C:\WINDOWS\system32\winqk32.exe
C:\WINDOWS\addbp.exe
C:\WINDOWS\addos.exe
C:\WINDOWS\apiie32.exe
C:\WINDOWS\apimq32.exe
C:\WINDOWS\apiuz32.exe
C:\WINDOWS\appha.exe
C:\WINDOWS\appqo.exe
C:\WINDOWS\atlxn32.exe
C:\WINDOWS\crnh32.exe
C:\WINDOWS\crpy.exe
C:\WINDOWS\d3wn.exe
C:\WINDOWS\ipnp32.exe
C:\WINDOWS\javaab32.exe
C:\WINDOWS\javalc.exe
C:\WINDOWS\javamy.exe
C:\WINDOWS\javaqb.exe
C:\WINDOWS\javaya32.exe
C:\WINDOWS\mfcsb32.exe
C:\WINDOWS\msjm.exe
C:\WINDOWS\nethq32.exe
C:\WINDOWS\ntib32.exe
C:\WINDOWS\sdkyq.exe
C:\WINDOWS\syscg32.exe
C:\WINDOWS\system32\addju.exe
C:\WINDOWS\system32\apikr32.exe
C:\WINDOWS\system32\apitj.exe
C:\WINDOWS\system32\apixk32.exe
C:\WINDOWS\system32\atlsv32.exe
C:\WINDOWS\system32\cric32.exe
C:\WINDOWS\system32\d3uk32.exe
C:\WINDOWS\system32\iekr.exe
C:\WINDOWS\system32\iplx32.exe
C:\WINDOWS\system32\javagm.exe
C:\WINDOWS\system32\javakx.exe
C:\WINDOWS\system32\javaod.exe
C:\WINDOWS\system32\javatn.exe
C:\WINDOWS\system32\javavc.exe
C:\WINDOWS\system32\javayu.exe
C:\WINDOWS\system32\mfcbe32.exe
C:\WINDOWS\system32\mfcgo32.exe
C:\WINDOWS\system32\msim.exe
C:\WINDOWS\system32\netio.exe
C:\WINDOWS\system32\ntdw32.exe
C:\WINDOWS\system32\sdkfr.exe
C:\WINDOWS\system32\sdkqb32.exe
C:\WINDOWS\system32\sdkqr.exe
C:\WINDOWS\system32\syszj32.exe
C:\WINDOWS\system32\winbn32.exe
C:\WINDOWS\system32\winoz32.exe
C:\WINDOWS\system32\winqk32.exe
C:\WINDOWS\winbj32.exe
C:\WINDOWS\winbr32.exe
C:\WINDOWS\windk.exe
C:\WINDOWS\winyb32.exe
C:\WINDOWS\system32\crypt32o.dll
C:\WINDOWS\msao.dll

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2273492E-FE60-454C-894C-71880767E02C}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9CAA18AE-D292-6BEC-6BD6-BA8F78834AD3}]

3. Speichere im Notepad als CFScript.txt auf dem Dektop.

4. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.
http://users.pandora.be/bluepatchy/m...s/CFScript.gif



5. Nach dem Neustart (es wird gefrat ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt
Ein neues HijackThis log.

83Mario83 07.01.2008 17:58
Es wurde nichtnach einem Neustart gefragt, habe trotzdem Windows neu gestartet und dann das Hijackthislog erstellt.

Combofix:

Code:
ComboFix 08-01-07.5 - Mario 2008-01-07 17:45:12.2 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.136 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Mario\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Mario\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE
C:\WINDOWS\addbp.exe
C:\WINDOWS\addos.exe
C:\WINDOWS\apiie32.exe
C:\WINDOWS\apimq32.exe
C:\WINDOWS\apiuz32.exe
C:\WINDOWS\appha.exe
C:\WINDOWS\appqo
C:\WINDOWS\appqo.exe
C:\WINDOWS\atlxn32.exe
C:\WINDOWS\crnh32.exe
C:\WINDOWS\crpy.exe
C:\WINDOWS\d3wn.exe
C:\WINDOWS\ipnp32.exe
C:\WINDOWS\javaab32.exe
C:\WINDOWS\javalc.exe
C:\WINDOWS\javamy.exe
C:\WINDOWS\javaqb.exe
C:\WINDOWS\javaya32.exe
C:\WINDOWS\mfcsb32.exe
C:\WINDOWS\msao.dll
C:\WINDOWS\msjm.exe
C:\WINDOWS\nethq32.exe
C:\WINDOWS\ntib32.ex
C:\WINDOWS\ntib32.exe
C:\WINDOWS\sdkyq.exe
C:\WINDOWS\syscg32.exe
C:\WINDOWS\system32\addju.exe
C:\WINDOWS\system32\apikr32.exe
C:\WINDOWS\system32\apitj.exe
C:\WINDOWS\system32\apixk32.exe
C:\WINDOWS\system32\atlsv32.exe
C:\WINDOWS\system32\cric32.exe
C:\WINDOWS\system32\crypt32o.dll
C:\WINDOWS\system32\d3uk32.exe
C:\WINDOWS\system32\iekr.exe
C:\WINDOWS\system32\iplx32.exe
C:\WINDOWS\system32\javagm.exe
C:\WINDOWS\system32\javakx.exe
C:\WINDOWS\system32\javaod.exe
C:\WINDOWS\system32\javatn.exe
C:\WINDOWS\system32\javavc.exe
C:\WINDOWS\system32\javayu.exe
C:\WINDOWS\system32\mfcbe32.exe
C:\WINDOWS\system32\mfcgo32.exe
C:\WINDOWS\system32\msim.exe
C:\WINDOWS\system32\netio.exe
C:\WINDOWS\system32\ntdw32.exe
C:\WINDOWS\system32\sdkfr.exe
C:\WINDOWS\system32\sdkqb32.exe
C:\WINDOWS\system32\sdkqr.exe
C:\WINDOWS\system32\syszj32.exe
C:\WINDOWS\system32\winbn32.exe
C:\WINDOWS\system32\winoz32.exe
C:\WINDOWS\system32\winqk32.exe
C:\WINDOWS\winbj32.exe
C:\WINDOWS\winbr32.exe
C:\WINDOWS\windk.exe
C:\WINDOWS\winyb32.exe
.

((((((((((((((((((((((((((((((((((((  Weitere Löschungen  ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\addbp.exe
C:\WINDOWS\addos.exe
C:\WINDOWS\apiie32.exe
C:\WINDOWS\apimq32.exe
C:\WINDOWS\apiuz32.exe
C:\WINDOWS\appha.exe
C:\WINDOWS\appqo.exe
C:\WINDOWS\atlxn32.exe
C:\WINDOWS\crnh32.exe
C:\WINDOWS\crpy.exe
C:\WINDOWS\d3wn.exe
C:\WINDOWS\ipnp32.exe
C:\WINDOWS\javaab32.exe
C:\WINDOWS\javalc.exe
C:\WINDOWS\javamy.exe
C:\WINDOWS\javaqb.exe
C:\WINDOWS\javaya32.exe
C:\WINDOWS\mfcsb32.exe
C:\WINDOWS\msjm.exe
C:\WINDOWS\nethq32.exe
C:\WINDOWS\ntib32.exe
C:\WINDOWS\sdkyq.exe
C:\WINDOWS\syscg32.exe
C:\WINDOWS\system32\addju.exe
C:\WINDOWS\system32\apikr32.exe
C:\WINDOWS\system32\apitj.exe
C:\WINDOWS\system32\apixk32.exe
C:\WINDOWS\system32\atlsv32.exe
C:\WINDOWS\system32\cric32.exe
C:\WINDOWS\system32\d3uk32.exe
C:\WINDOWS\system32\iekr.exe
C:\WINDOWS\system32\iplx32.exe
C:\WINDOWS\system32\javagm.exe
C:\WINDOWS\system32\javakx.exe
C:\WINDOWS\system32\javaod.exe
C:\WINDOWS\system32\javatn.exe
C:\WINDOWS\system32\javavc.exe
C:\WINDOWS\system32\javayu.exe
C:\WINDOWS\system32\mfcbe32.exe
C:\WINDOWS\system32\mfcgo32.exe
C:\WINDOWS\system32\msim.exe
C:\WINDOWS\system32\netio.exe
C:\WINDOWS\system32\ntdw32.exe
C:\WINDOWS\system32\sdkfr.exe
C:\WINDOWS\system32\sdkqb32.exe
C:\WINDOWS\system32\sdkqr.exe
C:\WINDOWS\system32\syszj32.exe
C:\WINDOWS\system32\winbn32.exe
C:\WINDOWS\system32\winoz32.exe
C:\WINDOWS\system32\winqk32.exe
C:\WINDOWS\winbj32.exe
C:\WINDOWS\winbr32.exe
C:\WINDOWS\windk.exe
C:\WINDOWS\winyb32.exe

.
(((((((((((((((((((((((  Dateien erstellt von 2007-12-07 bis 2008-01-07  ))))))))))))))))))))))))))))))
.

2008-01-07 16:50 . 2000-08-31 08:00        51,200        --a------        C:\WINDOWS\NirCmd.exe
2008-01-07 16:15 . 2008-01-07 16:15        87        --a------        C:\23990098.$$$
2008-01-07 13:16 . 2008-01-07 13:16        <DIR>        d-a------        C:\WINDOWS\zts2.exe
2008-01-07 13:16 . 2008-01-07 13:16        <DIR>        d-a------        C:\WINDOWS\system32\vcmgcd32.dll
2008-01-07 13:16 . 2008-01-07 13:16        <DIR>        d-a------        C:\WINDOWS\system32\iifgfgf.dll
2008-01-07 13:16 . 2008-01-07 13:16        <DIR>        d-a------        C:\WINDOWS\rundll16.exe
2008-01-07 13:16 . 2008-01-07 13:16        <DIR>        d-a------        C:\WINDOWS\rundl132.dll
2008-01-07 13:16 . 2008-01-07 13:16        <DIR>        d-a------        C:\WINDOWS\logo1_.exe
2008-01-07 13:08 . 2008-01-07 13:17        <DIR>        d--------        C:\mwav
2008-01-02 12:29 . 2008-01-02 12:30        <DIR>        d--------        C:\WINDOWS\system32\de-de
2008-01-02 12:23 . 2007-10-11 00:46        6,065,664        -----c---        C:\WINDOWS\system32\dllcache\ieframe.dll
2008-01-02 12:23 . 2007-07-01 04:31        2,455,488        -----c---        C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-01-02 12:23 . 2007-07-01 04:36        1,040,384        -----c---        C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-01-02 12:23 . 2007-10-11 00:46        459,264        -----c---        C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-01-02 12:23 . 2007-10-11 00:46        383,488        -----c---        C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-01-02 12:23 . 2007-10-11 00:46        267,776        -----c---        C:\WINDOWS\system32\dllcache\iertutil.dll
2008-01-02 12:23 . 2007-10-11 00:46        63,488        -----c---        C:\WINDOWS\system32\dllcache\icardie.dll
2008-01-02 12:23 . 2007-10-11 00:46        52,224        -----c---        C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-01-02 12:23 . 2007-10-10 11:59        13,824        -----c---        C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-01-02 11:30 . 2007-06-05 10:56        44,928        --a------        C:\WINDOWS\system32\drivers\SDTHOOK.SYS
2007-12-29 16:47 . 2007-12-30 15:08        54,156        --ah-----        C:\WINDOWS\QTFont.qfn
2007-12-29 16:47 . 2007-12-29 16:47        1,409        --a------        C:\WINDOWS\QTFont.for
2007-12-27 19:58 . 2007-12-27 19:58        <DIR>        d--------        C:\Programme\Multimedia V3.52
2007-12-27 19:58 . 2003-08-19 14:11        241,664        --a------        C:\WINDOWS\system32\Keyhook.exe
2007-12-27 19:58 . 2003-08-18 05:21        28,416        ---------        C:\WINDOWS\system32\sisesc.sys
2007-12-27 19:58 . 2003-01-07 02:56        1,671        ---------        C:\WINDOWS\system32\SiSService.ini
2007-12-27 19:56 . 2007-12-27 19:58        <DIR>        d--------        C:\WINDOWS\system32\trayres
2007-12-27 19:25 . 2002-08-20 14:58        139,264        --a------        C:\WINDOWS\system32\IDEproperty.dll
2007-12-27 19:25 . 2002-10-17 15:14        49,024        --a------        C:\WINDOWS\system32\drivers\sisidex.sys
2007-12-27 19:25 . 2002-08-20 17:19        9,472        --a------        C:\WINDOWS\system32\drivers\sisperf.sys
2007-12-27 19:24 . 2003-03-25 17:50        4,096        --a------        C:\WINDOWS\system32\drivers\siside.sys
2007-12-27 18:14 . 2008-01-02 11:30        <DIR>        d--------        C:\WINDOWS\system32\AppCert
2007-12-27 18:10 . 2007-12-27 19:49        <DIR>        d--------        C:\Programme\sisagp
2007-12-27 17:38 . 2004-08-03 23:10        51,328        --a------        C:\WINDOWS\system32\drivers\msdv.sys
2007-12-27 17:38 . 2004-08-03 23:10        51,328        --a--c---        C:\WINDOWS\system32\dllcache\msdv.sys
2007-12-27 17:38 . 2004-08-03 23:10        48,128        --a------        C:\WINDOWS\system32\drivers\61883.sys
2007-12-27 17:38 . 2004-08-03 23:10        48,128        --a--c---        C:\WINDOWS\system32\dllcache\61883.sys
2007-12-27 17:38 . 2004-08-03 23:10        38,912        --a------        C:\WINDOWS\system32\drivers\avc.sys
2007-12-27 17:38 . 2004-08-03 23:10        38,912        --a--c---        C:\WINDOWS\system32\dllcache\avc.sys
2007-12-27 17:37 . 2007-12-27 17:37        <DIR>        d--------        C:\Dokumente und Einstellungen\Werner\Anwendungsdaten\Pinnacle Systems
2007-12-27 17:37 . 2002-07-26 18:02        153,088        --a------        C:\Programme\UNWISE.EXE
2007-12-27 17:30 . 2007-12-27 17:30        49        --a------        C:\WINDOWS\system32\blue.SITENAME
2007-12-27 17:30 . 2007-12-28 20:33        17        --a------        C:\WINDOWS\MovingPicture.ini
2007-12-27 17:29 . 2002-12-17 17:23        33,340        --a------        C:\WINDOWS\system32\dbmsqlgc.dll
2007-12-27 17:29 . 2002-10-20 15:05        24,576        --a------        C:\WINDOWS\system32\dbmsgnet.dll
2007-12-27 17:29 . 2007-12-27 17:44        455        --a------        C:\WINDOWS\VFO.VST
2007-12-27 17:23 . 2007-12-27 17:23        <DIR>        d--------        C:\Programme\proDAD
2007-12-27 17:14 . 2007-12-27 17:14        <DIR>        d--------        C:\Programme\AdorageI-SAL
2007-12-27 17:14 . 2007-12-27 17:17        <DIR>        d--------        C:\Programme\AdorageI-GfxDatas
2007-12-27 16:59 . 2002-09-24 11:12        2,653,888        --a------        C:\WINDOWS\system32\LTRDG13n.OCX
2007-12-27 16:59 . 2002-09-24 11:12        534,192        --a------        C:\WINDOWS\system32\LTRVW13N.OCX
2007-12-27 16:59 . 2002-09-24 11:12        466,624        --a------        C:\WINDOWS\system32\LTRPR13n.DLL
2007-12-27 16:59 . 2005-07-12 14:25        401,408        --a------        C:\WINDOWS\system32\pvmjpg30.dll
2007-12-27 16:59 . 2002-09-24 11:12        194,248        --a------        C:\WINDOWS\system32\LTRFD13n.DLL
2007-12-27 16:59 . 2002-09-24 11:12        185,856        --a------        C:\WINDOWS\system32\lfpng13s.dll
2007-12-27 16:59 . 2002-09-24 11:12        79,360        --a------        C:\WINDOWS\system32\lfeps13s.dll
2007-12-27 16:59 . 2002-09-24 11:12        74,752        --a------        C:\WINDOWS\system32\lfgif13s.dll
2007-12-27 16:59 . 2003-04-21 16:11        44,544        --a------        C:\WINDOWS\system32\msxml4a.dll
2007-12-27 16:01 . 2003-11-10 17:06        26,624        ---------        C:\WINDOWS\system32\PSDrvCheck.JP
2007-12-27 16:01 . 2003-11-10 17:06        26,624        ---------        C:\WINDOWS\system32\PSDrvCheck.IT
2007-12-27 16:01 . 2003-11-10 17:06        26,624        ---------        C:\WINDOWS\system32\PSDrvCheck.FR
2007-12-27 16:01 . 2003-11-10 17:06        26,624        ---------        C:\WINDOWS\system32\PSDrvCheck.ES
2007-12-27 16:01 . 2003-11-10 17:06        26,624        ---------        C:\WINDOWS\system32\PSDrvCheck.DE
2007-12-27 16:01 . 2003-11-10 17:06        16,896        ---------        C:\WINDOWS\system32\PSDrvCheck.NL
2007-12-27 16:01 . 2003-10-21 10:02        16,896        ---------        C:\WINDOWS\system32\PSDrvCheck.KO
2007-12-27 15:15 . 2007-12-27 15:15        <DIR>        d--------        C:\Programme\Microsoft SQL Server
2007-12-27 15:14 . 2007-12-27 17:26        <DIR>        d--------        C:\WINDOWS\Cache
2007-12-27 15:14 . 2003-03-19 04:04        765,952        ---------        C:\WINDOWS\system32\msvcp71d.dll
2007-12-27 15:14 . 2003-03-19 04:03        544,768        ---------        C:\WINDOWS\system32\msvcr71d.dll
2007-12-27 15:11 . 2007-12-27 15:11        <DIR>        d--------        C:\WINDOWS\system32\URTTemp
2007-12-27 15:05 . 2007-12-27 15:05        <DIR>        d--------        C:\Programme\SmartSound Software
2007-12-27 15:05 . 2007-12-28 23:45        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc
2007-12-27 15:04 . 2003-11-25 06:02        196,096        --a------        C:\WINDOWS\system32\macd32.dll
2007-12-27 15:04 . 2005-07-13 16:55        171,008        --a------        C:\WINDOWS\system32\drivers\MarvinBus.sys
2007-12-27 15:04 . 2003-11-25 06:02        138,752        --a------        C:\WINDOWS\system32\mase32.dll
2007-12-27 15:04 . 2003-11-25 06:02        136,192        --a------        C:\WINDOWS\system32\mamc32.dll
2007-12-27 15:04 . 2003-11-25 06:02        57,856        --a------        C:\WINDOWS\system32\masd32.dll
2007-12-27 15:04 . 2003-11-25 06:02        27,648        --a------        C:\WINDOWS\system32\ma32.dll
2007-12-27 15:04 . 2008-01-06 14:48        359        --a------        C:\WINDOWS\VFO.INI
2007-12-27 15:02 . 2003-11-21 17:48        61,440        --a------        C:\WINDOWS\system32\MFC71ITA.DLL
2007-12-27 15:02 . 2003-11-21 17:48        61,440        --a------        C:\WINDOWS\system32\MFC71FRA.DLL
2007-12-27 15:02 . 2003-11-21 17:48        61,440        --a------        C:\WINDOWS\system32\MFC71ESP.DLL
2007-12-27 15:02 . 2003-11-21 17:48        57,344        --a------        C:\WINDOWS\system32\MFC71ENU.DLL
2007-12-27 15:02 . 2006-04-21 10:00        49,152        --a------        C:\WINDOWS\system32\PCLEGetGuid.dll
2007-12-27 15:02 . 2003-11-21 17:48        49,152        --a------        C:\WINDOWS\system32\MFC71KOR.DLL
2007-12-27 15:02 . 2003-11-21 17:48        49,152        --a------        C:\WINDOWS\system32\MFC71JPN.DLL
2007-12-27 15:02 . 2003-11-21 17:48        45,056        --a------        C:\WINDOWS\system32\MFC71CHT.DLL
2007-12-27 15:02 . 2003-11-21 17:48        40,960        --a------        C:\WINDOWS\system32\MFC71CHS.DLL
2007-12-27 15:01 . 2007-12-27 17:32        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle Studio
2007-12-27 14:54 . 2007-12-27 17:37        <DIR>        d--------        C:\Programme\Pinnacle
2007-12-27 14:54 . 2007-12-27 17:30        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
2007-12-27 14:54 . 2005-02-09 12:59        14,165        --a------        C:\WINDOWS\system32\drivers\Pclepci.sys
2007-12-18 20:41 . 2001-08-18 04:22        12,288        --a------        C:\WINDOWS\system32\drivers\mouhid.sys
2007-12-18 20:41 . 2001-08-18 04:22        12,288        --a--c---        C:\WINDOWS\system32\dllcache\mouhid.sys
2007-12-18 20:41 . 2001-08-17 14:02        9,600        --a------        C:\WINDOWS\system32\drivers\hidusb.sys
2007-12-18 20:41 . 2001-08-17 14:02        9,600        --a--c---        C:\WINDOWS\system32\dllcache\hidusb.sys
2007-12-11 13:43 . 2007-12-11 13:43        <DIR>        d--------        C:\WINDOWS\SIS
2007-12-11 13:43 . 2007-12-27 19:36        <DIR>        d--------        C:\Programme\SiS VGA Utilities V3.83
2007-12-11 13:43 . 2003-08-19 14:12        667,648        --a------        C:\WINDOWS\system32\sistray.exe
2007-12-11 13:43 . 2003-08-19 06:09        176,128        ---------        C:\WINDOWS\system32\SiSApCom.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-07 15:58        ---------        d-----w        C:\Programme\WLAN Monitor
2008-01-02 11:12        ---------        d-----w        C:\Programme\QuickTime
2008-01-02 11:02        ---------        d-----w        C:\Programme\Gemeinsame Dateien\AccSys
2007-12-31 12:13        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-12-27 17:11        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2007-11-13 10:25        20,480        ----a-w        C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-29 22:42        1,293,312        ----a-w        C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28        222,720        ----a-w        C:\WINDOWS\system32\wmasf.dll
2007-04-18 15:30        81,440        ----a-w        C:\Dokumente und Einstellungen\Werner\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-04-11 16:29        81,440        ----a-w        C:\Dokumente und Einstellungen\Ilse\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-06-20 15:32        68,792        ----a-w        C:\Dokumente und Einstellungen\Mario\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-08-15 07:34 57344 C:\WINDOWS\SOUNDMAN.EXE]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe" [2004-11-25 12:59 143360]
"DataLayer"="C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE" [2004-12-09 12:14 1068032]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-03-13 00:02 98304]
"CloneCDTray"="C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2004-06-28 03:33 57344]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-23 17:31 249896]
"wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2006-03-06 12:45 1347584]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-11 01:26 406016]
"USB2Check"="C:\WINDOWS\system32\PCLECoInst.dll" [2004-09-21 03:22 73728]
"USBToolTip"="C:\Programme\Pinnacle\Shared Files\\Programs\USBTip\USBTip.exe" [2006-06-01 03:37 196608]
"SiS Tray"="C:\WINDOWS\system32\sistray.EXE" [2003-08-19 14:12 667648]
"SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2003-08-19 14:11 241664]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2004-12-31 14:28:11]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]

R0 a19346b;a19346b;C:\WINDOWS\system32\DRIVERS\a19346b.sys [2004-04-30 09:37]
R0 a19346c;a19346c;C:\WINDOWS\system32\Drivers\a19346c.sys [2004-04-30 09:33]
R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-12 20:36]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-12 20:36]
R1 SiSEsc;SISLIB_ESC;C:\WINDOWS\system32\sisesc.sys [2003-08-18 05:21]
R2 accsvc;AccSys WiFi Component;C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2006-01-11 09:06]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 12:13]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 12:14]

.
Inhalt des "geplante Tasks" Ordners
"2008-01-05 18:05:47 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-07 17:49:39
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-07 17:50:36
ComboFix-quarantined-files.txt  2008-01-07 16:50:09
ComboFix2.txt  2008-01-07 16:03:24
.
2008-01-03 20:45:56        --- E O F ---
Hijackthis:

Code:
Logfile of HijackThis v1.99.1
Scan saved at 17:56:00, on 07.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\WLAN Monitor\wlconfig.exe
C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Mario\Eigene Dateien\Allerlei\Viren\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [USBToolTip] "C:\Programme\Pinnacle\Shared Files\\Programs\USBTip\USBTip.exe"
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140778813593
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

BataAlexander 07.01.2008 18:16
Das Log sieht für gut aus.
Clone Cd solltest Du besser vom Rechner entfernen, könnte z.B. ein mögliches Einfallstor gewesen sein.

Stelle Antir ein, wie hier beschrieben, Update die Siganturen und führe einen Systemscan aus. Vorher aber noch den Ordner C:\Combofix löschen.
Falls dort noch etwas gefunden wird, das Log hier posten!

83Mario83 07.01.2008 18:27
Super, ich hatte schon Angst, ich müsste das System neu aufsetzen. Vielen Dank für die Unterstützung!
Ich habe CloneCD und CloneDVD deinstalliert (die habe ich sowieso nie wirklich gebraucht). Aber wo genau ist denn beschrieben, wie ich Antivir einstellen soll?

Gruß
Mario

BataAlexander 07.01.2008 18:29
Glatt den Link vergessen. Link

83Mario83 07.01.2008 19:34
Antivir hat etwas gefunden:

Code:

AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Montag, 7. Januar 2008  18:37

Es wird nach 1004655 Virenstämmen gesucht.

Lizenznehmer:    Avira AntiVir PersonalEdition Classic
Seriennummer:    0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:  (Service Pack 2)  [5.1.2600]
Benutzername:    SYSTEM
Computername:    EX-VIRENKISTE

Versionsinformationen:
BUILD.DAT    : 270          15603 Bytes  19.09.2007 13:29:00
AVSCAN.EXE  : 7.0.6.1      290856 Bytes  12.09.2007 19:36:41
AVSCAN.DLL  : 7.0.6.0      57384 Bytes  12.09.2007 19:36:41
LUKE.DLL    : 7.0.5.3      147496 Bytes  12.09.2007 19:36:42
LUKERES.DLL  : 7.0.6.0      10792 Bytes  12.09.2007 19:36:42
ANTIVIR0.VDF : 6.40.0.0    11030528 Bytes  18.07.2007 16:46:04
ANTIVIR1.VDF : 7.0.1.95    3367424 Bytes  14.12.2007 07:37:38
ANTIVIR2.VDF : 7.0.1.170    311296 Bytes  28.12.2007 19:55:07
ANTIVIR3.VDF : 7.0.1.200    141312 Bytes  07.01.2008 17:36:40
AVEWIN32.DLL : 7.6.0.46    3084800 Bytes  22.12.2007 07:37:38
AVWINLL.DLL  : 1.0.0.7      14376 Bytes  22.04.2007 11:11:18
AVPREF.DLL  : 7.0.2.2      25640 Bytes  12.09.2007 19:36:41
AVREP.DLL    : 7.0.0.1      155688 Bytes  22.04.2007 11:11:21
AVPACK32.DLL : 7.6.0.2      360488 Bytes  22.12.2007 07:37:39
AVREG.DLL    : 7.0.1.6      30760 Bytes  12.09.2007 19:36:41
AVARKT.DLL  : 1.0.0.20    278568 Bytes  12.09.2007 19:36:40
AVEVTLOG.DLL : 7.0.0.20      86056 Bytes  12.09.2007 19:36:40
NETNT.DLL    : 7.0.0.0        7720 Bytes  22.04.2007 11:11:20
RCIMAGE.DLL  : 7.0.1.30    2342952 Bytes  12.09.2007 19:36:27
RCTEXT.DLL  : 7.0.62.0      90152 Bytes  12.09.2007 19:36:27
SQLITE3.DLL  : 3.3.17.1    339968 Bytes  12.09.2007 19:36:42

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Montag, 7. Januar 2008  18:37

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SERVIC~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DATALA~1.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Keyhook.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'USBTip.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLConfig.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Launch Application 2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PMSHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'UAService7.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlservr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'accsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '36' Prozesse mit '36' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
      [HINWEIS]  Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '28' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
      [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Programme\BlazeVideo\BlazeDVD 7 Professional\BlazeDVDCtrl.dll
      [FUND]      Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Asprotect). Bitte verifizieren Sie den Ursprung dieser Datei.
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47e36999.qua' verschoben!
C:\System Volume Information\_restore{E5B31A70-D00A-4340-8860-1C029CB37891}\RP322\A0015240.dll
      [FUND]      Die Datei ist mit einem ungewöhnlichen Laufzeitpacker komprimiert (PCK/Asprotect). Bitte verifizieren Sie den Ursprung dieser Datei.
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47b26d67.qua' verschoben!
C:\WINDOWS\system32\AppCert\prx97w.dll
      [FUND]      Enthält Erkennungsmuster des SPR/SpamTool.Age.EH-Programmes
      [WARNUNG]  Beim Versuch eine Sicherungskopie der Datei anzulegen ist ein Fehler aufgetreten und die Datei wurde nicht gelöscht. Fehlernummer: 16003
      [WARNUNG]  Die Datei konnte nicht gelöscht werden!
C:\WINDOWS\system32\drivers\atapi.sys
      [WARNUNG]  Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Montag, 7. Januar 2008  19:31
Benötigte Zeit: 53:43 min

Der Suchlauf wurde vollständig durchgeführt.

  6585 Verzeichnisse wurden überprüft
 337166 Dateien wurden geprüft
      3 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      2 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 337163 Dateien ohne Befall
  11984 Archive wurden durchsucht
      3 Warnungen
    34 Hinweise

BataAlexander 08.01.2008 16:12
Das Log ist fast Ok. Wenn Du BlazeDVD 7 Professional kennst und die Herkunft kennst und Ok ist, kannst Du die Dateien wiederherstellen.
Für das andere:

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Quotebox in das Notepad Fenster ein.

[QUOTE]
File::
C:\WINDOWS\system32\AppCert\prx97w.dll


3. Speichere im Notepad als CFScript.txt auf dem Dektop.

4. Dann ziehe die CFScript.txt auf die ComboFix.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.
http://users.pandora.be/bluepatchy/m...s/CFScript.gif

5. Nach dem Neustart (es wird gefrat ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

83Mario83 08.01.2008 17:33
Hallo

Der Antivir Guard hat sich jetzt zweimal wegen dieser 'C:\WINDOWS\system32\AppCert\prx97w.dll' gemeldet.

Combofix hat gemeldet, dass der Löschvorgang falsch programmiert oder fehlerhaft sei:
Code:
ComboFix 08-01-07.5 - Mario 2008-01-08 17:23:11.3 - NTFSx86
Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.130 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Mario\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Mario\Desktop\CFScript.txt
 * Neuer Wiederherstellungspunkt wurde erstellt

FILE
C:\WINDOWS\system32\AppCert\prx97w.dll
.

(((((((((((((((((((((((  Dateien erstellt von 2007-12-08 bis 2008-01-08  ))))))))))))))))))))))))))))))
.

2008-01-07 16:50 . 2000-08-31 08:00        51,200        --a------        C:\WINDOWS\NirCmd.exe
2008-01-07 16:15 . 2008-01-07 16:15        87        --a------        C:\23990098.$$$
2008-01-07 13:16 . 2008-01-07 13:16        <DIR>        d-a------        C:\WINDOWS\zts2.exe
2008-01-07 13:16 . 2008-01-07 13:16        <DIR>        d-a------        C:\WINDOWS\system32\vcmgcd32.dll
2008-01-07 13:16 . 2008-01-07 13:16        <DIR>        d-a------        C:\WINDOWS\system32\iifgfgf.dll
2008-01-07 13:16 . 2008-01-07 13:16        <DIR>        d-a------        C:\WINDOWS\rundll16.exe
2008-01-07 13:16 . 2008-01-07 13:16        <DIR>        d-a------        C:\WINDOWS\rundl132.dll
2008-01-07 13:16 . 2008-01-07 13:16        <DIR>        d-a------        C:\WINDOWS\logo1_.exe
2008-01-07 13:08 . 2008-01-07 13:17        <DIR>        d--------        C:\mwav
2008-01-02 12:29 . 2008-01-02 12:30        <DIR>        d--------        C:\WINDOWS\system32\de-de
2008-01-02 12:23 . 2007-10-11 00:46        6,065,664        -----c---        C:\WINDOWS\system32\dllcache\ieframe.dll
2008-01-02 12:23 . 2007-07-01 04:31        2,455,488        -----c---        C:\WINDOWS\system32\dllcache\ieapfltr.dat
2008-01-02 12:23 . 2007-07-01 04:36        1,040,384        -----c---        C:\WINDOWS\system32\dllcache\ieframe.dll.mui
2008-01-02 12:23 . 2007-10-11 00:46        459,264        -----c---        C:\WINDOWS\system32\dllcache\msfeeds.dll
2008-01-02 12:23 . 2007-10-11 00:46        383,488        -----c---        C:\WINDOWS\system32\dllcache\ieapfltr.dll
2008-01-02 12:23 . 2007-10-11 00:46        267,776        -----c---        C:\WINDOWS\system32\dllcache\iertutil.dll
2008-01-02 12:23 . 2007-10-11 00:46        63,488        -----c---        C:\WINDOWS\system32\dllcache\icardie.dll
2008-01-02 12:23 . 2007-10-11 00:46        52,224        -----c---        C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2008-01-02 12:23 . 2007-10-10 11:59        13,824        -----c---        C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-01-02 11:30 . 2007-06-05 10:56        44,928        --a------        C:\WINDOWS\system32\drivers\SDTHOOK.SYS
2007-12-27 19:58 . 2007-12-27 19:58        <DIR>        d--------        C:\Programme\Multimedia V3.52
2007-12-27 19:58 . 2003-08-19 14:11        241,664        --a------        C:\WINDOWS\system32\Keyhook.exe
2007-12-27 19:58 . 2003-08-18 05:21        28,416        ---------        C:\WINDOWS\system32\sisesc.sys
2007-12-27 19:58 . 2003-01-07 02:56        1,671        ---------        C:\WINDOWS\system32\SiSService.ini
2007-12-27 19:56 . 2007-12-27 19:58        <DIR>        d--------        C:\WINDOWS\system32\trayres
2007-12-27 19:25 . 2002-08-20 14:58        139,264        --a------        C:\WINDOWS\system32\IDEproperty.dll
2007-12-27 19:25 . 2002-10-17 15:14        49,024        --a------        C:\WINDOWS\system32\drivers\sisidex.sys
2007-12-27 19:25 . 2002-08-20 17:19        9,472        --a------        C:\WINDOWS\system32\drivers\sisperf.sys
2007-12-27 19:24 . 2003-03-25 17:50        4,096        --a------        C:\WINDOWS\system32\drivers\siside.sys
2007-12-27 18:14 . 2008-01-08 17:17        <DIR>        d--------        C:\WINDOWS\system32\AppCert
2007-12-27 18:10 . 2007-12-27 19:49        <DIR>        d--------        C:\Programme\sisagp
2007-12-27 17:38 . 2004-08-03 23:10        51,328        --a------        C:\WINDOWS\system32\drivers\msdv.sys
2007-12-27 17:38 . 2004-08-03 23:10        51,328        --a--c---        C:\WINDOWS\system32\dllcache\msdv.sys
2007-12-27 17:38 . 2004-08-03 23:10        48,128        --a------        C:\WINDOWS\system32\drivers\61883.sys
2007-12-27 17:38 . 2004-08-03 23:10        48,128        --a--c---        C:\WINDOWS\system32\dllcache\61883.sys
2007-12-27 17:38 . 2004-08-03 23:10        38,912        --a------        C:\WINDOWS\system32\drivers\avc.sys
2007-12-27 17:38 . 2004-08-03 23:10        38,912        --a--c---        C:\WINDOWS\system32\dllcache\avc.sys
2007-12-27 17:37 . 2007-12-27 17:37        <DIR>        d--------        C:\Dokumente und Einstellungen\Werner\Anwendungsdaten\Pinnacle Systems
2007-12-27 17:37 . 2002-07-26 18:02        153,088        --a------        C:\Programme\UNWISE.EXE
2007-12-27 17:30 . 2007-12-27 17:30        49        --a------        C:\WINDOWS\system32\blue.SITENAME
2007-12-27 17:30 . 2007-12-28 20:33        17        --a------        C:\WINDOWS\MovingPicture.ini
2007-12-27 17:29 . 2002-12-17 17:23        33,340        --a------        C:\WINDOWS\system32\dbmsqlgc.dll
2007-12-27 17:29 . 2002-10-20 15:05        24,576        --a------        C:\WINDOWS\system32\dbmsgnet.dll
2007-12-27 17:29 . 2007-12-27 17:44        455        --a------        C:\WINDOWS\VFO.VST
2007-12-27 17:23 . 2007-12-27 17:23        <DIR>        d--------        C:\Programme\proDAD
2007-12-27 17:14 . 2007-12-27 17:14        <DIR>        d--------        C:\Programme\AdorageI-SAL
2007-12-27 17:14 . 2007-12-27 17:17        <DIR>        d--------        C:\Programme\AdorageI-GfxDatas
2007-12-27 16:59 . 2002-09-24 11:12        2,653,888        --a------        C:\WINDOWS\system32\LTRDG13n.OCX
2007-12-27 16:59 . 2002-09-24 11:12        534,192        --a------        C:\WINDOWS\system32\LTRVW13N.OCX
2007-12-27 16:59 . 2002-09-24 11:12        466,624        --a------        C:\WINDOWS\system32\LTRPR13n.DLL
2007-12-27 16:59 . 2005-07-12 14:25        401,408        --a------        C:\WINDOWS\system32\pvmjpg30.dll
2007-12-27 16:59 . 2002-09-24 11:12        194,248        --a------        C:\WINDOWS\system32\LTRFD13n.DLL
2007-12-27 16:59 . 2002-09-24 11:12        185,856        --a------        C:\WINDOWS\system32\lfpng13s.dll
2007-12-27 16:59 . 2002-09-24 11:12        79,360        --a------        C:\WINDOWS\system32\lfeps13s.dll
2007-12-27 16:59 . 2002-09-24 11:12        74,752        --a------        C:\WINDOWS\system32\lfgif13s.dll
2007-12-27 16:59 . 2003-04-21 16:11        44,544        --a------        C:\WINDOWS\system32\msxml4a.dll
2007-12-27 16:01 . 2003-11-10 17:06        26,624        ---------        C:\WINDOWS\system32\PSDrvCheck.JP
2007-12-27 16:01 . 2003-11-10 17:06        26,624        ---------        C:\WINDOWS\system32\PSDrvCheck.IT
2007-12-27 16:01 . 2003-11-10 17:06        26,624        ---------        C:\WINDOWS\system32\PSDrvCheck.FR
2007-12-27 16:01 . 2003-11-10 17:06        26,624        ---------        C:\WINDOWS\system32\PSDrvCheck.ES
2007-12-27 16:01 . 2003-11-10 17:06        26,624        ---------        C:\WINDOWS\system32\PSDrvCheck.DE
2007-12-27 16:01 . 2003-11-10 17:06        16,896        ---------        C:\WINDOWS\system32\PSDrvCheck.NL
2007-12-27 16:01 . 2003-10-21 10:02        16,896        ---------        C:\WINDOWS\system32\PSDrvCheck.KO
2007-12-27 15:15 . 2007-12-27 15:15        <DIR>        d--------        C:\Programme\Microsoft SQL Server
2007-12-27 15:14 . 2007-12-27 17:26        <DIR>        d--------        C:\WINDOWS\Cache
2007-12-27 15:14 . 2003-03-19 04:04        765,952        ---------        C:\WINDOWS\system32\msvcp71d.dll
2007-12-27 15:14 . 2003-03-19 04:03        544,768        ---------        C:\WINDOWS\system32\msvcr71d.dll
2007-12-27 15:11 . 2007-12-27 15:11        <DIR>        d--------        C:\WINDOWS\system32\URTTemp
2007-12-27 15:05 . 2007-12-27 15:05        <DIR>        d--------        C:\Programme\SmartSound Software
2007-12-27 15:05 . 2007-12-28 23:45        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SmartSound Software Inc
2007-12-27 15:04 . 2003-11-25 06:02        196,096        --a------        C:\WINDOWS\system32\macd32.dll
2007-12-27 15:04 . 2005-07-13 16:55        171,008        --a------        C:\WINDOWS\system32\drivers\MarvinBus.sys
2007-12-27 15:04 . 2003-11-25 06:02        138,752        --a------        C:\WINDOWS\system32\mase32.dll
2007-12-27 15:04 . 2003-11-25 06:02        136,192        --a------        C:\WINDOWS\system32\mamc32.dll
2007-12-27 15:04 . 2003-11-25 06:02        57,856        --a------        C:\WINDOWS\system32\masd32.dll
2007-12-27 15:04 . 2003-11-25 06:02        27,648        --a------        C:\WINDOWS\system32\ma32.dll
2007-12-27 15:04 . 2008-01-06 14:48        359        --a------        C:\WINDOWS\VFO.INI
2007-12-27 15:02 . 2003-11-21 17:48        61,440        --a------        C:\WINDOWS\system32\MFC71ITA.DLL
2007-12-27 15:02 . 2003-11-21 17:48        61,440        --a------        C:\WINDOWS\system32\MFC71FRA.DLL
2007-12-27 15:02 . 2003-11-21 17:48        61,440        --a------        C:\WINDOWS\system32\MFC71ESP.DLL
2007-12-27 15:02 . 2003-11-21 17:48        57,344        --a------        C:\WINDOWS\system32\MFC71ENU.DLL
2007-12-27 15:02 . 2006-04-21 10:00        49,152        --a------        C:\WINDOWS\system32\PCLEGetGuid.dll
2007-12-27 15:02 . 2003-11-21 17:48        49,152        --a------        C:\WINDOWS\system32\MFC71KOR.DLL
2007-12-27 15:02 . 2003-11-21 17:48        49,152        --a------        C:\WINDOWS\system32\MFC71JPN.DLL
2007-12-27 15:02 . 2003-11-21 17:48        45,056        --a------        C:\WINDOWS\system32\MFC71CHT.DLL
2007-12-27 15:02 . 2003-11-21 17:48        40,960        --a------        C:\WINDOWS\system32\MFC71CHS.DLL
2007-12-27 15:01 . 2007-12-27 17:32        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle Studio
2007-12-27 14:54 . 2007-12-27 17:37        <DIR>        d--------        C:\Programme\Pinnacle
2007-12-27 14:54 . 2007-12-27 17:30        <DIR>        d--------        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Pinnacle
2007-12-27 14:54 . 2005-02-09 12:59        14,165        --a------        C:\WINDOWS\system32\drivers\Pclepci.sys
2007-12-18 20:41 . 2001-08-18 04:22        12,288        --a------        C:\WINDOWS\system32\drivers\mouhid.sys
2007-12-18 20:41 . 2001-08-18 04:22        12,288        --a--c---        C:\WINDOWS\system32\dllcache\mouhid.sys
2007-12-18 20:41 . 2001-08-17 14:02        9,600        --a------        C:\WINDOWS\system32\drivers\hidusb.sys
2007-12-18 20:41 . 2001-08-17 14:02        9,600        --a--c---        C:\WINDOWS\system32\dllcache\hidusb.sys
2007-12-11 13:43 . 2007-12-11 13:43        <DIR>        d--------        C:\WINDOWS\SIS
2007-12-11 13:43 . 2007-12-27 19:36        <DIR>        d--------        C:\Programme\SiS VGA Utilities V3.83
2007-12-11 13:43 . 2003-08-19 14:12        667,648        --a------        C:\WINDOWS\system32\sistray.exe
2007-12-11 13:43 . 2003-08-19 06:09        176,128        ---------        C:\WINDOWS\system32\SiSApCom.dll
2007-12-11 13:43 . 2007-10-03 15:57        110,592        ---------        C:\WINDOWS\system32\TVMode.dll
2007-12-11 13:43 . 2007-10-03 15:58        65,536        ---------        C:\WINDOWS\system32\SiSHook.dll

.
((((((((((((((((((((((((((((((((((((  Find3M Bericht  ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-08 16:16        ---------        d-----w        C:\Programme\WLAN Monitor
2008-01-07 17:23        ---------        d-----w        C:\Programme\SlySoft
2008-01-02 11:12        ---------        d-----w        C:\Programme\QuickTime
2008-01-02 11:02        ---------        d-----w        C:\Programme\Gemeinsame Dateien\AccSys
2007-12-31 12:13        ---------        d-----w        C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-12-27 17:11        ---------        d--h--w        C:\Programme\InstallShield Installation Information
2007-11-13 10:25        20,480        ----a-w        C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-29 22:42        1,293,312        ----a-w        C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28        222,720        ----a-w        C:\WINDOWS\system32\wmasf.dll
2007-04-18 15:30        81,440        ----a-w        C:\Dokumente und Einstellungen\Werner\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-04-11 16:29        81,440        ----a-w        C:\Dokumente und Einstellungen\Ilse\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2005-06-20 15:32        68,792        ----a-w        C:\Dokumente und Einstellungen\Mario\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

((((((((((((((((((((((((((((  Autostart Punkte der Registrierung  ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2003-08-15 07:34 57344 C:\WINDOWS\SOUNDMAN.EXE]
"PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe" [2004-11-25 12:59 143360]
"DataLayer"="C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE" [2004-12-09 12:14 1068032]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-03-13 00:02 98304]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-23 17:31 249896]
"wlconfig"="C:\Programme\WLAN Monitor\wlconfig.exe" [2006-03-06 12:45 1347584]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2004-03-11 01:26 406016]
"USB2Check"="C:\WINDOWS\system32\PCLECoInst.dll" [2004-09-21 03:22 73728]
"USBToolTip"="C:\Programme\Pinnacle\Shared Files\\Programs\USBTip\USBTip.exe" [2006-06-01 03:37 196608]
"SiS Tray"="C:\WINDOWS\system32\sistray.EXE" [2003-08-19 14:12 667648]
"SiS Windows KeyHook"="C:\WINDOWS\system32\keyhook.exe" [2003-08-19 14:11 241664]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 00:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Gamma Loader.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2004-12-31 14:28:11]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04]

R0 a19346b;a19346b;C:\WINDOWS\system32\DRIVERS\a19346b.sys [2004-04-30 09:37]
R0 a19346c;a19346c;C:\WINDOWS\system32\Drivers\a19346c.sys [2004-04-30 09:33]
R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-12 20:36]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-12 20:36]
R1 SiSEsc;SISLIB_ESC;C:\WINDOWS\system32\sisesc.sys [2003-08-18 05:21]
R2 accsvc;AccSys WiFi Component;C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe [2006-01-11 09:06]
R3 AVMWAN;AVM NDIS WAN CAPI-Treiber;C:\WINDOWS\system32\DRIVERS\avmwan.sys [2001-08-17 12:13]
R3 fpcibase;AVM ISDN-Controller FRITZ!Card PCI;C:\WINDOWS\system32\DRIVERS\fpcibase.sys [2001-08-17 12:14]

.
Inhalt des "geplante Tasks" Ordners
"2008-01-07 18:06:45 C:\WINDOWS\Tasks\Symantec NetDetect.job"
- C:\Programme\Symantec\LiveUpdate\NDETECT.EXE
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-08 17:27:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-08 17:28:21
ComboFix-quarantined-files.txt  2008-01-08 16:27:52
ComboFix2.txt  2008-01-07 16:50:37
ComboFix3.txt  2008-01-07 16:03:24
.
2008-01-03 20:45:56        --- E O F ---
Hijackthis:

Code:
Logfile of HijackThis v1.99.1
Scan saved at 17:30:54, on 08.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\WLAN Monitor\wlconfig.exe
C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
C:\WINDOWS\system32\sistray.EXE
C:\WINDOWS\system32\keyhook.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Mario\Eigene Dateien\Allerlei\Viren\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.net/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\Launch Application 2.exe -onlytray
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\wlconfig.exe" -autostart
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS\system32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [USBToolTip] "C:\Programme\Pinnacle\Shared Files\\Programs\USBTip\USBTip.exe"
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS Windows KeyHook] C:\WINDOWS\system32\keyhook.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1140778813593
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: MSSQL$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe" -sPINNACLESYS (file missing)
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SQLAgent$PINNACLESYS - Unknown owner - C:\Programme\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlagent.EXE" -i PINNACLESYS (file missing)
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

BataAlexander 08.01.2008 17:49
Anleitung Killbox:

Lade dir folgendes Tool herunter -> KILLBOX
-Starte dann das Programm
-klick auf die Option -> "delete on reboot"
-kopiere diesen Text unter -> "Full Path of File to delete"

Zitat:
C:\WINDOWS\system32\AppCert
Nun auf das rote "x" klicken und das System neustarten lassen

http://scr.softonic.com/s2/46000/46370/0_killbox.gif

83Mario83 08.01.2008 17:57
Nach dem Neustart hat sich wieder Antivir gemeldet:

Erst

Code:
In der Datei 'C:\Dokumente und Einstellungen\Mario\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WAGFU78E\prx97w[1].dll'
wurde ein Virus oder unerwünschtes Programm 'SPR/SpamTool.Age.EH' [SPR/SpamTool.Age.EH] gefunden.
Ausgeführte Aktion: Datei löschen
Dann:

Code:
In der Datei 'C:\WINDOWS\system32\AppCert\prx97w.dll'
wurde ein Virus oder unerwünschtes Programm 'SPR/SpamTool.Age.EH' [SPR/SpamTool.Age.EH] gefunden.
Ausgeführte Aktion: Datei löschen
Diese Datei scheint bei jedem Neustart wiederzukommen.

Ich habe mir diesen AppCert Ordner mal angesehen. Da befinden sich vier Dateien:

filter.drv
options.dat
wnl32.dll
wsil32.dll

Google findet zumindest bei den letzten beiden Dateien Hinweise auf Trojaner.

BataAlexander 08.01.2008 18:02
- Lade ATF- The Cleaner
- Doppelklicke die ATF-CLeaner.exe um das Programm zu starten
- Unter Main, wähle alle
- Klicke den Empty selected Button
- Wenn Du Firefox benutzt, klicke den Firefox Button und wähle alle
- Drücke den Empty Selected Button
Wichtig. Wenn Du Deine Passwörter behalten willst, sage nein bei dem Prompt
- Wenn Du Opera benutzt, klicke Opera und wähle alle
- Drücke den Empty Selected Button
Wichtig. Wenn Du Deine Passwörter behalten willst, sage nein bei dem Prompt
- Klicke Exit im Main Menü um das Programm zu schließen

Führe Killbox für den Ordner wieder aus.

83Mario83 08.01.2008 18:15
Hat leider nichts gebracht. Nach dem Neustart ist der Ordner noch da und nach ein paar Sekunden
kommen wieder die Antivir-Meldungen wegen der prx97w.dll :mad:

BataAlexander 08.01.2008 18:17
Ok, GMER - Rootkit Detection

* Lade Gmer von hier
* entpacke es auf den Dektop
* Dopperlklicke die gmer.exe
* Der Reiter Rootkit oben ist schon angewählt
* Entferne die Häckchen rechts bei -System, -Section, -IAT/EAT, -Devices, -Module, -Processes, -Threads, -Libraries
http://img464.imageshack.us/img464/9996/gmerzj1.jpg

* Drücke Scan, Der Vorgang kann je nach System 3 - 10min dauern
* nach Beendigung des Scan, drücke "Copy"
* nun kannst Du das Ergebnis hier posten
* Sollte Gmer sagen "Gmer hasen´t found any System Modifikation", so hat Gmer keine Einträge gefunden.

83Mario83 08.01.2008 18:37
Und das kam dabei raus:

Code:
GMER 1.0.13.12551 - http://www.gmer.net
Rootkit scan 2008-01-08 18:36:07
Windows 5.1.2600 Service Pack 2


---- Registry - GMER 1.0.13 ----

Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel                    Apartment
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b  0x2E 0xE8 0xE1 0x00 ...
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel                    Apartment
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b  0x71 0x3B 0x04 0x66 ...
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel                    Apartment
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016  0x25 0xDA 0xEC 0x7E ...
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel                    Apartment
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48  0x3E 0x1E 0x9E 0xE0 ...
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel                    Apartment
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472  0xE9 0x02 0x6C 0xFA ...
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel                    Apartment
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d  0x50 0x93 0xE5 0xAB ...
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel                    Apartment
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b  0xFB 0xA7 0x78 0xE6 ...
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel                    Apartment
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d  0x83 0x6C 0x56 0x8B ...
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel                    Apartment
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3  0x51 0xFA 0x6E 0x91 ...
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel                    Apartment
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b  0xB1 0xCD 0x45 0x5A ...
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel                    Apartment
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6  0xF8 0x31 0x0F 0xA9 ...
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel                    Apartment
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@                                  C:\WINDOWS\system32\OLE32.DLL
Reg  \Registry\MACHINE\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2  0x05 0x73 0x21 0xDD ...

---- EOF - GMER 1.0.13 ----

BataAlexander 08.01.2008 18:38
Ok, das ist in Ordnung und gut so.

MWAV (eScan) - Free Antivirus

-> Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
Dauer des eScan: ca. 2-3 Stunden, je nach System!


Alle Zeitangaben in WEZ +1. Es ist jetzt 10:34 Uhr.
Seite 2 von 4 1 2 34
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131