TR/Crypt.XPACK.Gen
 

Hallo,

ich habe beim letzten Scan mit Avira den Virus TR/Crypt.XPACK.Gen gefunden un d in Quarantäne genommen. Avira findet seitdem keine verdächtigen oder identifizierten Dateien mehr, aber es wäre vielleicht doch ganz gut, wenn sich jemand mit Erfahrung nocheinmal das HJthis Logfile anschaut.

-----------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:12:04, on 07.06.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\WDBtnMgr.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [AdressLittle] C:\Program Files\Adress Little 2.0\ageb.exe /geb
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url_de.pl?http://www.ebay.de/ (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: SmartSurfer Manager (SmartSurferManager) - United Internet AG - C:\Program Files\WEB.DE SmartSurfer\SmurfService.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 8988 bytes


Vielen Dank!!! Jakob

Hier noch die Datei, in dem der Virus gefunden wurde - den hatte ich vergessen.

C:\Users\Mustermann\AppData\Local\Temp\opnnmLFW.dll

Jakob

Hallo Jakob200 und

http://www.mysmilie.de/generator/ablage/156/257.png



ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)

Ok das werde ich gleich machen. Soll ich dann nocheinmal ein HJthis Log posten?


Gerade lasse ich Avira auch nochmal im abgesicherten Modus über mein System laufen kann man anhand dessen Protokoll (diverse Warnungen aber bis jetzt kein Fund) Schlüsse auf die Sicherheit meines Systems ziehen?


Vielen Dank Jakob

Hier das Log von CombFix:
Allerdings habe ich einen kleinen Fehler gemacht und der TeaTimer von Spybot war wohl noch aktiv un nachdem er dieses Log geschrieben wurde, bekam ich die Naricht, dass Spybot zwei eingriffe in die Registry untebunden hat -> ist das ein Problem?

--------------------------------------------

ComboFix 08-06-06.6 - Jakob Silbermann 2008-06-07 19:06:20.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1031.18.1342 [GMT 2:00]
ausgeführt von:: C:\Users\Jakob Silbermann\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

((((((((((((((((((((((( Dateien erstellt von 2008-05-07 bis 2008-06-07 ))))))))))))))))))))))))))))))
.

Keine neuen Dateien erstellt in diesem Zeitraum

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-07 16:59 --------- d-----w C:\Users\Jakob Silbermann\AppData\Roaming\SmartSurfer
2008-06-07 16:48 --------- d-----w C:\Program Files\CCleaner
2008-06-07 11:26 --------- d-----w C:\ProgramData\Spybot - Search & Destroy
2008-06-07 11:13 --------- d-----w C:\Program Files\Spybot - Search & Destroy
2008-06-07 11:06 --------- d-----w C:\Users\Jakob Silbermann\AppData\Roaming\OpenOffice.org2
2008-06-01 15:38 --------- d-----w C:\Program Files\RegCleaner
2008-06-01 15:03 --------- d-----w C:\Program Files\Phase One
2008-06-01 15:00 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-05-08 13:04 --------- d-----w C:\Users\Jakob Silbermann\AppData\Roaming\EPSON
2008-05-03 07:04 --------- d-----w C:\Users\Jakob Silbermann\AppData\Roaming\Media Player Classic
2008-04-14 15:33 2,027,008 ----a-w C:\Windows\System32\win32k.sys
2008-04-14 15:32 83,968 ----a-w C:\Windows\System32\dnsrslvr.dll
2008-04-14 15:32 296,448 ----a-w C:\Windows\System32\gdi32.dll
2008-04-14 15:32 24,576 ----a-w C:\Windows\System32\dnscacheugc.exe
2008-04-08 17:14 --------- d-----w C:\Program Files\Adress Little 2.0
2008-04-07 18:41 --------- d-----w C:\Program Files\Adressbuch
2008-04-06 10:25 1,244,672 ----a-w C:\Windows\System32\mcmde.dll
2008-04-05 18:43 174 --sha-w C:\Program Files\desktop.ini
2008-04-05 18:04 704,000 ----a-w C:\Windows\System32\PhotoScreensaver.scr
2008-04-05 18:04 67,584 ----a-w C:\Windows\System32\wlanhlp.dll
2008-04-05 18:04 542,720 ----a-w C:\Windows\System32\sysmain.dll
2008-04-05 18:04 502,784 ----a-w C:\Windows\System32\wlansvc.dll
2008-04-05 18:04 47,104 ----a-w C:\Windows\System32\wlanapi.dll
2008-04-05 18:04 299,008 ----a-w C:\Windows\System32\wlansec.dll
2008-04-05 18:04 289,280 ----a-w C:\Windows\System32\wlanmsm.dll
2008-04-05 18:04 24,064 ----a-w C:\Windows\System32\wtsapi32.dll
2008-04-05 18:04 2,923,520 ----a-w C:\Windows\explorer.exe
2008-04-05 18:02 194,560 ----a-w C:\Windows\System32\WebClnt.dll
2008-04-05 18:01 613,888 ----a-w C:\Windows\System32\wpd_ci.dll
2008-04-05 17:58 374,456 ----a-w C:\Windows\System32\mcupdate_GenuineIntel.dll
2008-04-05 17:57 86,016 ----a-w C:\Windows\System32\icfupgd.dll
2008-04-05 17:57 8,147,968 ----a-w C:\Windows\System32\wmploc.DLL
2008-04-05 17:57 7,680 ----a-w C:\Windows\System32\spwmp.dll
2008-04-05 17:57 61,952 ----a-w C:\Windows\System32\cmifw.dll
2008-04-05 17:57 4,096 ----a-w C:\Windows\System32\dxmasf.dll
2008-04-05 17:57 396,800 ----a-w C:\Windows\System32\MPSSVC.dll
2008-04-05 17:57 392,192 ----a-w C:\Windows\System32\FirewallAPI.dll
2008-04-05 17:57 356,864 ----a-w C:\Windows\System32\MediaMetadataHandler.dll
2008-04-05 17:57 178,688 ----a-w C:\Windows\System32\iphlpsvc.dll
2008-04-05 17:57 16,896 ----a-w C:\Windows\System32\wfapigp.dll
2008-04-05 17:56 3,504,696 ----a-w C:\Windows\System32\ntkrnlpa.exe
2008-04-05 17:56 3,470,392 ----a-w C:\Windows\System32\ntoskrnl.exe
2008-04-05 17:55 2,048 ----a-w C:\Windows\System32\msxml3r.dll
2008-04-05 17:55 1,191,936 ----a-w C:\Windows\System32\msxml3.dll
2008-04-05 17:54 24,064 ----a-w C:\Windows\System32\netcfg.exe
2008-04-05 17:54 22,016 ----a-w C:\Windows\System32\netiougc.exe
2008-04-05 17:54 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll
2008-04-05 17:54 1,327,104 ----a-w C:\Windows\System32\quartz.dll
2008-04-05 17:53 9,728 ----a-w C:\Windows\System32\LAPRXY.DLL
2008-04-05 17:53 223,232 ----a-w C:\Windows\System32\WMASF.DLL
2008-04-05 17:53 2,048 ----a-w C:\Windows\System32\asferror.dll
2008-04-05 17:52 57,856 ----a-w C:\Windows\System32\SLUINotify.dll
2008-04-05 17:52 566,784 ----a-w C:\Windows\System32\SLCommDlg.dll
2008-04-05 17:52 39,936 ----a-w C:\Windows\System32\slcinst.dll
2008-04-05 17:52 351,232 ----a-w C:\Windows\System32\SLUI.exe
2008-04-05 17:52 33,280 ----a-w C:\Windows\System32\slwmi.dll
2008-04-05 17:52 268,288 ----a-w C:\Windows\System32\mcbuilder.exe
2008-04-05 17:52 223,232 ----a-w C:\Windows\System32\SLC.dll
2008-04-05 17:52 2,605,568 ----a-w C:\Windows\System32\SLsvc.exe
2008-04-05 17:52 2,048 ----a-w C:\Windows\System32\msxml6r.dll
2008-04-05 17:52 186,368 ----a-w C:\Windows\System32\SLLUA.exe
2008-04-05 17:52 1,335,296 ----a-w C:\Windows\System32\msxml6.dll
2008-04-05 17:50 84,480 ----a-w C:\Windows\System32\INETRES.dll
2008-04-05 17:50 737,792 ----a-w C:\Windows\System32\inetcomm.dll
2008-04-05 17:50 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-04-05 17:50 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-04-05 17:50 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll
2008-04-05 17:50 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
2008-04-05 17:50 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-04-05 17:50 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-04-05 17:50 1,686,528 ----a-w C:\Windows\System32\gameux.dll
2008-04-05 17:49 11,776 ----a-w C:\Windows\System32\sbunattend.exe
2008-04-05 17:48 788,992 ----a-w C:\Windows\System32\rpcrt4.dll
2008-04-05 17:48 5,120 ----a-w C:\Windows\System32\wmi.dll
2008-04-05 17:48 152,576 ----a-w C:\Windows\System32\imagehlp.dll
2008-04-05 17:47 2,048 ----a-w C:\Windows\System32\tzres.dll
2008-04-05 17:46 824,832 ----a-w C:\Windows\System32\wininet.dll
2008-04-05 17:46 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-04-05 17:45 750,080 ----a-w C:\Windows\System32\qmgr.dll
2008-04-05 17:45 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-04-05 17:45 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-04-05 17:27 80,896 ----a-w C:\Windows\System32\wudriver.dll
2008-04-05 17:27 549,720 ----a-w C:\Windows\System32\wuapi.dll
2008-04-05 17:27 53,080 ----a-w C:\Windows\System32\wuauclt.exe
2008-04-05 17:27 43,352 ----a-w C:\Windows\System32\wups2.dll
2008-04-05 17:27 33,624 ----a-w C:\Windows\System32\wups.dll
2008-04-05 17:27 1,712,984 ----a-w C:\Windows\System32\wuaueng.dll
2008-04-05 17:27 1,524,224 ----a-w C:\Windows\System32\wucltux.dll
2008-04-05 17:26 31,232 ----a-w C:\Windows\System32\wuapp.exe
2008-04-05 17:26 163,000 ----a-w C:\Windows\System32\wuwebv.dll
2007-12-21 11:57 25,600 ----a-w C:\Users\Jakob Silbermann\usbsermptxp.sys
2007-12-21 11:57 22,768 ----a-w C:\Users\Jakob Silbermann\usbsermpt.sys
2007-01-25 02:52 65,536 ----a-w C:\Program Files\Common Files\NMSAccessU.exe
2006-05-03 09:06 163,328 --sh--r C:\Windows\System32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\Windows\System32\msfDX.dll
2007-12-17 12:43 27,648 --sh--w C:\Windows\System32\Smab0.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"KeNotify"="C:\Program Files\TOSHIBA\Utilities\KeNotify.exe" [2006-11-06 17:14 34352]
"SVPWUTIL"="C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe" [2006-03-22 21:42 438272]
"topi"="C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe" [2007-04-02 12:48 577536]
"RtHDVCpl"="RtHDVCpl.exe" [2007-06-13 07:11 4489216 C:\Windows\RtHDVCpl.exe]
"TPwrMain"="C:\Program Files\TOSHIBA\Power Saver\TPwrMain.EXE" [2007-03-29 10:39 411192]
"HSON"="C:\Program Files\TOSHIBA\TBS\HSON.exe" [2006-12-07 16:49 55416]
"00TCrdMain"="C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe" [2007-05-22 16:32 538744]
"StartCCC"="C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 13:35 90112]
"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2007-06-08 04:53 894512]
"Toshiba Registration"="C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe" [2007-02-19 16:00 571024]
"IAAnotif"="C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-02-12 14:37 174872]
"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-05-29 08:14 262401]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 02:11 132496]
"WD Button Manager"="WDBtnMgr.exe" [2007-12-19 17:24 339968 C:\Windows\System32\WDBtnMgr.exe]
"Acrobat Assistant 8.0"="C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-23 00:24 620152]
"AdressLittle"="C:\Program Files\Adress Little 2.0\ageb.exe" [2007-04-27 20:00 61440]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.i420"= i420vfw.dll
"msacm.dvacm"= C:\PROGRA~1\COMMON~1\ULEADS~1\vio\dvacm.acm
"vidc.yv12"= yv12vfw.dll


------------------------------------------------------

Hier nochmal das HJLogfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:20:14, on 07.06.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe
C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\System32\WDBtnMgr.exe
C:\Program Files\Adobe\Acrobat 8.0\Acrobat\acrotray.exe
C:\Program Files\Synaptics\SynTP\SynToshiba.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\conime.exe
C:\Windows\Explorer.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [KeNotify] C:\Program Files\TOSHIBA\Utilities\KeNotify.exe
O4 - HKLM\..\Run: [SVPWUTIL] C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL
O4 - HKLM\..\Run: [topi] C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE
O4 - HKLM\..\Run: [HSON] %ProgramFiles%\TOSHIBA\TBS\HSON.exe
O4 - HKLM\..\Run: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe
O4 - HKLM\..\Run: [StartCCC] C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Toshiba Registration] C:\Program Files\Toshiba\Registration\ToshibaRegistration.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [WD Button Manager] WDBtnMgr.exe
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Program Files\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [AdressLittle] C:\Program Files\Adress Little 2.0\ageb.exe /geb
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Program Files\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: eBay - {C08CAF1D-C0A3-40D5-9970-06D067EAC017} - http://www.webtip.ch/cgi-bin/toshiba/tracker_url_de.pl?http://www.ebay.de/ (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O13 - Gopher Prefix:
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
O23 - Service: SmartSurfer Manager (SmartSurferManager) - United Internet AG - C:\Program Files\WEB.DE SmartSurfer\SmurfService.exe
O23 - Service: TOSHIBA Navi Support Service (TNaviSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe
O23 - Service: TOSHIBA Optical Disc Drive Service (TODDSrv) - TOSHIBA Corporation - C:\Windows\system32\TODDSrv.exe
O23 - Service: TOSHIBA Power Saver (TosCoSrv) - TOSHIBA Corporation - C:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe
O23 - Service: TOSHIBA Bluetooth Service - Unknown owner - c:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe (file missing)
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program Files\Common Files\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 8749 bytes


Jakob Silbermann

Hallo ich bin es nochmal.

Mir sind gestern Abend noch zwei Dinge aufgefallen, die mich irritieren.
Un zwar wollte ich eScan bei mir ausführen und habe mir die Installationsdatei heruntergeladen. Als ich es dann mit 7-Zip in den Ordner Programme entpacken wollte viel mir auf, das mehrere Ordner im Ordnerbrowser von 7-Zip exisiteren, die ich im "normalen" Dateibrowser von Windows nicht sehe (z.B. Ordner von ehmalig installierten Programmen etc). Als nächstes habe ich dann natürlich die Funktion aktiviert, dass alle versteckten dateien angezeigt werden sollen. Nun werden mir eine Menge Verknüpfungen angezeigt, auf die ich selbst als Administrator keinen Zugriff habe und die selber auch keine Verknüpfung in den Eigenschaften aufweisen. Das sieht nicht ganz normal aus. Ich hane mal einen Screenshot vom Verzeichniss C angefertigt:

Achja dann ist mir da nochetwas aufgefallen:

Auf meinenm Desktop befinden sich zwei versteckte Dateien mit dem Namen Desktop.ini wenn ich diese mit WordPad öffne steht da folgendes:

--------------------------------


[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21799

--------------------------------------

und in der anderen:

---------------------------------------


[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769
IconResource=%SystemRoot%\system32\imageres.dll,-183
[LocalizedFileNames]
Windows Explorer.lnk=@%SystemRoot%\system32\shell32.dll,-22067

----------------------------------------

Ist mir nur so aufgefallen - vielleicht ist es ja völlig harmlos

Jakob

Es ist völlig harmlos. Unter Vista bist Du selbst als Administrator nicht allmächtig, die UAC wirst Du kennen. Genauso verhält es sich mit den Pfadberechtigungen.

Um Combofix zu loeschen(den qoobox ordner) gebe unter Start /Ausführen "combofix /u" ein. Ohne die " natürlich.

http://img247.imageshack.us/img247/7...ombofixvs6.jpg

Ok jetzt ist combofix deinstalliert aber was ist mit dem LogFile von ihm ist das Clean? Und was meinst du mit UAC?

Vielen Dank Jakob

Ja, bei Dir ist alles clean.
An sich kannst Du überlegen das SP1 für Vista zu installieren.
Vorher solltest Du dann aber ein Backup anfertigen.

Das hört sich gut an!

Für meine eigenen Daten lege ich immer ein Backup auf einer externen Festplatte und auf DVD Ram ab. Sollte ich vorher auch eine Systemwiederherstellungsdatei erstellen? Und kann wie installiere ich das SP1 am besten manuell oder über Windows update

Viele Grüße Jakob

Du meinst einen Systemwiederherstellungspunkt? Das macht Windows vor den Updates selber. Allerdings kannst du um ihn leichter zu finden, manuell einen erstellen.
Ich würde das SP1 selbst und nicht via den automatischen Updates installieren, so kannst Du den Zeitpunkt besser festlegen.

Okay so werde ich das machen - vielen dank!