Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Virtumonde - HiJackThis Log File (https://www.trojaner-board.de/54357-virtumonde-hijackthis-log-file.html)

lorenzina 20.06.2008 16:14
Virtumonde - HiJackThis Log File
 
Hallo ihr guten Helfer!
hab das gefühl, dass ich seit fast ner woche von nem virus befallen bin. Anzeichen waren: PC versucht beim hochfahren, die Verbindung zum Internet herzustellen, wenn eine Verbindung zum Internet besteht, öffneten sich immer tabs mit viruswarnungen und einmal auch ne xxxsite :pfui:.
diese anzeichen sind seit 2 tagen nicht mehr da.

hab aber selbst schon einiges getan: da mein avira nichts gefunden hat, hab ich die escan testversion heruntergeholt.

Ergebnis: scannt ewig, fast nur Fehlermeldungen und die warnung, dass das File
C:\Windows\System32\tuvSkKBQ.dll
infected ist bei virus:
not-a-virus:AdWare.Win32.Virtumonde.yti

Diesen kann er aber nicht löschen!

Hab jetzt grad HiJackThis File erstellt, die sieht wie folgt aus:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:52:54, on 20.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\rmctrl.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\eScan\AvpM.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\PROGRA~1\eScan\vista\ScanningProcess.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis\HijackThis.exe
C:\Dokumente und Einstellungen\Martha\Desktop\HiJackThis\test.com.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://register.spss.com/prod_reg/1.cfm?prod_id=spss
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {FAFEFDA6-712E-450B-A604-B7BBA73A235E} - C:\WINDOWS\system32\tuvSkKBQ.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [MailScan Dispatcher] C:\PROGRA~1\eScan\LAUNCH.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=h**p://www.google.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFD9EE8C-2191-498A-84A4-DFB9F42743BE}: NameServer = 213.153.32.1,213.153.32.129
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5650 bytes


Jetzt steh ich an, was muss ich tun?
Bin ich den Virus nun schon los?
Danke für die Hilfe!
LG Lorenzina

cosinus 20.06.2008 16:24
Zitat:
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Du solltest das System bzgl. der Updates besser im Auge behalten. Da fehlen das SP3 und der IE7!

Zitat:
hab aber selbst schon einiges getan: da mein avira nichts gefunden hat, hab ich die eScan testversion heruntergeholt.
Zwei oder mehr Virenscanner mit Wächter sollte man nicht installieren, die können sich gegenseitig aushebeln und reduzieren obendrein die Performance. Schmeiß die Testversion daher lieber wieder runter...

Code:
O2 - BHO: (no name) - {FAFEFDA6-712E-450B-A604-B7BBA73A235E} - C:\WINDOWS\system32\tuvSkKBQ.dll
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://register.spss.com/prod_reg/1.cfm?prod_id=spss
Diese Einträge mit hijackthis fixen...
Folge danach dem DSS-Link in meiner Sig und beachte die Anweisungen.

lorenzina 20.06.2008 19:12
DANKE für deine hilfe. hab das jetzt mal gemacht, DSS spuckt dann 2 (sehr lange) Logfiles aus, die hier folgen:

extra.txt
Code:
Deckard's System Scanner v20071014.68
Extra logfile - please post this as an attachment with your post.
--------------------------------------------------------------------------------

-- System Information ----------------------------------------------------------

Microsoft Windows XP Professional (build 2600) SP 2.0
Architecture: X86; Language: German

CPU 0: AMD Athlon(tm)
Percentage of Memory in Use: 58%
Physical Memory (total/avail): 255.48 MiB / 106.36 MiB
Pagefile Memory (total/avail): 618.22 MiB / 364.53 MiB
Virtual Memory (total/avail): 2047.88 MiB / 1945.23 MiB

A: is Removable (No Media)
C: is Fixed (NTFS) - 37.27 GiB total, 30.38 GiB free.
D: is CDROM (No Media)
E: is Removable (FAT)
F: is CDROM (CDFS)

\\.\PHYSICALDRIVE0 - ST340810A - 37.27 GiB - 1 partition
  \PARTITION0 (bootable) - Installierbares Dateisystem - 37.27 GiB - C:

\\.\PHYSICALDRIVE1 - CBM Flash Disk USB Device - 243.17 MiB - 1 partition
  \PARTITION0 (bootable) - MS-DOS V4 Huge - 243.61 MiB - E:



-- Security Center -------------------------------------------------------------

AUOptions is disabled.
Windows Internal Firewall is enabled.

FirstRunDisabled is set.
AntiVirusDisableNotify is set.
FirewallDisableNotify is set.
UpdatesDisableNotify is set.

AV: Avira AntiVir PersonalEdition v8.0.1.18 (Avira GmbH) Outdated

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"="C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent"
"C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE"="C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE:*:Enabled:eScan Remote Administration Tool"

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Programme\\Java\\bin\\javaw.exe"="C:\\Programme\\Java\\bin\\javaw.exe:*:Enabled:Java(TM) 2 Platform Standard Edition binary"
"C:\\WINDOWS\\system32\\winver.exe"="C:\\WINDOWS\\system32\\winver.exe:*:Enabled:winver"
"C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"="C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent"
"C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE"="C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE:*:Enabled:eScan Remote Administration Tool"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"


-- Environment Variables -------------------------------------------------------

ALLUSERSPROFILE=C:\Dokumente und Einstellungen\All Users
APPDATA=C:\Dokumente und Einstellungen\XXX\Anwendungsdaten
ARCGISHOME=C:\Programme\ArcGIS\
CLIENTNAME=Console
CommonProgramFiles=C:\Programme\Gemeinsame Dateien
COMPUTERNAME=AMD2400
ComSpec=C:\WINDOWS\system32\cmd.exe
DEFAULT_CA_NR=CA8
FP_NO_HOST_CHECK=NO
HOMEDRIVE=C:
HOMEPATH=\Dokumente und Einstellungen\XXX
LOGONSERVER=\\AMD2400
NUMBER_OF_PROCESSORS=1
OS=Windows_NT
Path=C:\WINDOWS\system32;C:\WINDOWS;C:\WINDOWS\System32\Wbem;C:\Programme\VDMSound\;C:\Programme\Gemeinsame Dateien\Teleca Shared
PATHEXT=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
PROCESSOR_ARCHITECTURE=x86
PROCESSOR_IDENTIFIER=x86 Family 6 Model 8 Stepping 1, AuthenticAMD
PROCESSOR_LEVEL=6
PROCESSOR_REVISION=0801
ProgramFiles=C:\Programme
PROMPT=$P$G
PYTHONPATH=C:\Programme\ArcGIS\bin
SESSIONNAME=Console
SystemDrive=C:
SystemRoot=C:\WINDOWS
TEMP=C:\DOKUME~1\XXX\LOKALE~1\Temp
TMP=C:\DOKUME~1\XXX\LOKALE~1\Temp
USERDOMAIN=AMD2400
USERNAME=XXX
USERPROFILE=C:\Dokumente und Einstellungen\XXX
VDMSPath=C:\Programme\VDMSound\
windir=C:\WINDOWS


-- User Profiles ---------------------------------------------------------------

XXX (admin)
Administrator (admin)


-- Add/Remove Programs ---------------------------------------------------------

 --> rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Reader 7.0 - Deutsch --> MsiExec.exe /I{AC76BA86-7AD7-1031-7B44-A70000000000}
Alt-Tab Task Switcher Powertoy for Windows XP --> MsiExec.exe /I{A7050037-F0EA-4BAB-BCD5-FC05507D6147}
ArcGIS Desktop --> MsiExec.exe /I{1F34839E-4826-4B64-B1B3-42E5AE8DEC5A}
ArcGIS Tutorial Data --> MsiExec.exe /I{1032F58F-D319-42C1-A25F-2D3C9A26705B}
Avira AntiVir Personal – Free Antivirus --> C:\Programme\Avira\AntiVir PersonalEdition Classic\SETUP.EXE /REMOVE
CmdHere Powertoy For Windows XP --> MsiExec.exe /I{6855CCDD-BDF9-48E4-B80A-80DFB96FE36C}
eMusic - 50 Free MP3 offer --> "C:\Programme\Winamp\eMusic\Uninst-eMusic-promotion.exe"
f4 3.0.3 --> C:\Programme\f4\uninstall.exe
HijackThis 2.0.2 --> "C:\Dokumente und Einstellungen\XXX\Desktop\HiJackThis\HijackThis.exe" /uninstall
Hotfix für Windows XP (KB907865) --> "C:\WINDOWS\$NtUninstallKB907865$\spuninst\spuninst.exe"
J2SE Runtime Environment 5.0 --> MsiExec.exe /I{3248F0A8-6813-11D6-A77B-00B0D0150000}
K-Lite Mega Codec Pack 1.16 --> "C:\Programme\K-Lite Codec Pack\unins000.exe"
Microsoft Data Access Components KB870669 --> C:\WINDOWS\muninst.exe C:\WINDOWS\INF\KB870669.inf
Microsoft Office Professional Edition 2003 --> MsiExec.exe /I{90110407-6000-11D3-8CFE-0150048383C9}
Microsoft SQL Server Native Client --> MsiExec.exe /I{50A0893D-47D8-48E0-A7E8-44BCD7E4422E}
Microsoft SQL Server Setup Support Files (English) --> MsiExec.exe /X{53F5C3EE-05ED-4830-994B-50B2F0D50FCE}
Mobile Connect --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\PROFES~1\RunTime\10\50\Intel32\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{3EAAC5FD-E209-4856-8C49-D4EA40F85032}\setup.exe" -l0x7  -removeonly
Mozilla Firefox (1.5.0.12) --> C:\PROGRA~1\MOZILL~1\uninstall\uninstall.exe /ua "1.5.0.12 (de)"
Nero 6 --> C:\Programme\Ahead\nero\uninstall\UNNERO.exe /UNINSTALL
NVIDIA Drivers --> C:\WINDOWS\system32\nvudisp.exe UninstallGUI
NvMixer --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{D7A6C517-11F2-419F-B5BB-27772B939698}\Setup.exe"  -uninstall
PowerDVD --> RunDll32 C:\PROGRA~1\GEMEIN~1\INSTAL~1\engine\6\INTEL3~1\Ctor.dll,LaunchSetup "C:\Programme\InstallShield Installation Information\{6811CAA0-BF12-11D4-9EA1-0050BAE317E1}\Setup.exe"  -uninstall
Shockwave --> C:\WINDOWS\system32\Macromed\SHOCKW~1\UNWISE.EXE C:\WINDOWS\system32\Macromed\SHOCKW~1\INSTALL.LOG
Sicherheitsupdate für Step by Step Interactive Training (KB898458) --> "C:\WINDOWS\$NtUninstallKB898458$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB890046) --> "C:\WINDOWS\$NtUninstallKB890046$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893066) --> "C:\WINDOWS\$NtUninstallKB893066$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB893756) --> "C:\WINDOWS\$NtUninstallKB893756$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896358) --> "C:\WINDOWS\$NtUninstallKB896358$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896422) --> "C:\WINDOWS\$NtUninstallKB896422$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896423) --> "C:\WINDOWS\$NtUninstallKB896423$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896424) --> "C:\WINDOWS\$NtUninstallKB896424$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896428) --> "C:\WINDOWS\$NtUninstallKB896428$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB896688) --> "C:\WINDOWS\$NtUninstallKB896688$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899587) --> "C:\WINDOWS\$NtUninstallKB899587$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899588) --> "C:\WINDOWS\$NtUninstallKB899588$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899589) --> "C:\WINDOWS\$NtUninstallKB899589$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB899591) --> "C:\WINDOWS\$NtUninstallKB899591$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB900725) --> "C:\WINDOWS\$NtUninstallKB900725$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901017) --> "C:\WINDOWS\$NtUninstallKB901017$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB901214) --> "C:\WINDOWS\$NtUninstallKB901214$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB902400) --> "C:\WINDOWS\$NtUninstallKB902400$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB904706) --> "C:\WINDOWS\$NtUninstallKB904706$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905414) --> "C:\WINDOWS\$NtUninstallKB905414$\spuninst\spuninst.exe"
Sicherheitsupdate für Windows XP (KB905749) --> "C:\WINDOWS\$NtUninstallKB905749$\spuninst\spuninst.exe"
Skype™ 3.5 --> MsiExec.exe /X{5C82DAE5-6EB0-4374-9254-BE3319BA4E82}
Sony Ericsson Device Data --> MsiExec.exe /I{C92E7DF1-624A-4D95-A4C4-18CB491B44A4}
Sony Ericsson Drivers --> MsiExec.exe /I{5CC68528-24FF-4DF8-91C9-AF540F98505A}
Sony Ericsson PC Suite --> C:\WINDOWS\Installer\{D6BF6477-8369-489F-8DE6-3731F4B88560}\setup.exe /uninstall
Sony Ericsson PC Suite --> MsiExec.exe /I{B192E1BB-98A4-4369-9271-96117A57F546}
SPSS 13.0 for Windows --> MsiExec.exe /X{381CC72A-6BC3-430a-A847-A7BCEB63A8A1}
SPSS 15.0 für Windows [Auswertung Version] --> MsiExec.exe /X{6D9B9CF3-1E9C-45B6-B41E-5CF568605556}
Update für Windows XP (KB894391) --> "C:\WINDOWS\$NtUninstallKB894391$\spuninst\spuninst.exe"
Update für Windows XP (KB898461) --> "C:\WINDOWS\$NtUninstallKB898461$\spuninst\spuninst.exe"
Update für Windows XP (KB900930) --> "C:\WINDOWS\$NtUninstallKB900930$\spuninst\spuninst.exe"
VDMSound 2.0.4 --> MsiExec.exe /I{8ECBE643-8230-11D5-9D6B-00A024112F81}
Winamp (remove only) --> "C:\Programme\Winamp\UninstWA.exe"
Windows Media Format SDK Hotfix - KB891122 --> "C:\WINDOWS\$NtUninstallKB891122$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB826939 --> C:\WINDOWS\$NtUninstallKB826939$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873333 --> C:\WINDOWS\$NtUninstallKB873333$\spuninst\spuninst.exe
Windows XP-Hotfix - KB873339 --> C:\WINDOWS\$NtUninstallKB873339$\spuninst\spuninst.exe
Windows XP-Hotfix - KB884020 --> C:\WINDOWS\$NtUninstallKB884020$\spuninst\spuninst.exe
Windows XP-Hotfix - KB884883 --> "C:\WINDOWS\$NtUninstallKB884883$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB885222 --> C:\WINDOWS\$NtUninstallKB885222$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885250 --> C:\WINDOWS\$NtUninstallKB885250$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885523 --> C:\WINDOWS\$NtUninstallKB885523$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885835 --> C:\WINDOWS\$NtUninstallKB885835$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885836 --> C:\WINDOWS\$NtUninstallKB885836$\spuninst\spuninst.exe
Windows XP-Hotfix - KB885894 --> C:\WINDOWS\$NtUninstallKB885894$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886185 --> C:\WINDOWS\$NtUninstallKB886185$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886677 --> C:\WINDOWS\$NtUninstallKB886677$\spuninst\spuninst.exe
Windows XP-Hotfix - KB886716 --> "C:\WINDOWS\$NtUninstallKB886716$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB887472 --> C:\WINDOWS\$NtUninstallKB887472$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887742 --> C:\WINDOWS\$NtUninstallKB887742$\spuninst\spuninst.exe
Windows XP-Hotfix - KB887797 --> C:\WINDOWS\$NtUninstallKB887797$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888113 --> C:\WINDOWS\$NtUninstallKB888113$\spuninst\spuninst.exe
Windows XP-Hotfix - KB888302 --> C:\WINDOWS\$NtUninstallKB888302$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890047 --> C:\WINDOWS\$NtUninstallKB890047$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890175 --> C:\WINDOWS\$NtUninstallKB890175$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890831 --> C:\WINDOWS\$NtUninstallKB890831$\spuninst\spuninst.exe
Windows XP-Hotfix - KB890859 --> "C:\WINDOWS\$NtUninstallKB890859$\spuninst\spuninst.exe"
Windows XP-Hotfix - KB891781 --> C:\WINDOWS\$NtUninstallKB891781$\spuninst\spuninst.exe
Windows XP-Hotfix - KB893086 --> "C:\WINDOWS\$NtUninstallKB893086$\spuninst\spuninst.exe"
WinRAR Archivierer --> C:\Programme\WinRAR\uninstall.exe


-- Application Event Log -------------------------------------------------------

Event Record #/Type5771 / Warning
Event Submitted/Written: 06/17/2008 05:47:03 PM
Event ID/Source: 63 / WinMgmt
Event Description:
Ein Anbieter, OffProv11, wurde im WMI-Namespace, Root\MSAPPS11, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden.

Event Record #/Type5770 / Warning
Event Submitted/Written: 06/17/2008 05:47:03 PM
Event ID/Source: 63 / WinMgmt
Event Description:
Ein Anbieter, OffProv11, wurde im WMI-Namespace, Root\MSAPPS11, zum Verwenden des Kontos "LocalSystem" registriert. Dieses Konto ist ein bevorzugtes Konto, d.h. der Anbieter kann Sicherheitsverletzungen verursachen, falls Benutzeranfragen nicht richtig verarbeitet werden.

Event Record #/Type5746 / Error
Event Submitted/Written: 06/14/2008 10:38:13 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung acrord32.exe, Version 7.0.0.0, fehlgeschlagenes Modul unknown, Version 0.0.0.0, Fehleradresse 0x00000000.
Das medienspezifische Ereignis für [acrord32.exe!ws!] wird verarbeitet.

Event Record #/Type5744 / Error
Event Submitted/Written: 06/14/2008 05:13:54 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung drwtsn32.exe, Version 5.1.2600.0, fehlgeschlagenes Modul dbghelp.dll, Version 5.1.2600.2180, Fehleradresse 0x0001295d.
Das medienspezifische Ereignis für [drwtsn32.exe!ws!] wird verarbeitet.

Event Record #/Type5743 / Error
Event Submitted/Written: 06/14/2008 05:13:40 PM
Event ID/Source: 1000 / Application Error
Event Description:
Fehlgeschlagene Anwendung explorer.exe, Version 6.0.2900.2649, fehlgeschlagenes Modul shlwapi.dll, Version 6.0.2900.2753, Fehleradresse 0x00019abd.
Das medienspezifische Ereignis für [explorer.exe!ws!] wird verarbeitet.



-- Security Event Log ----------------------------------------------------------

No Errors/Warnings found.


-- System Event Log ------------------------------------------------------------

Event Record #/Type21948 / Error
Event Submitted/Written: 06/20/2008 06:46:31 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{1BE1F766-5536-11D1-B726-00C04FB926AF}

Event Record #/Type21947 / Error
Event Submitted/Written: 06/20/2008 06:46:09 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "netman" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{BA126AE5-2166-11D1-B1D0-00805FC1270E}

Event Record #/Type21946 / Error
Event Submitted/Written: 06/20/2008 06:40:11 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "netman" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{BA126AE5-2166-11D1-B1D0-00805FC1270E}

Event Record #/Type21945 / Error
Event Submitted/Written: 06/20/2008 06:40:11 PM
Event ID/Source: 10005 / DCOM
Event Description:
Bei DCOM ist der Fehler "%%1084" aufgetreten, als der Dienst "EventSystem" mit den Argumenten ""
gestartet wurde, um den folgenden Server zu verwenden:
{1BE1F766-5536-11D1-B726-00C04FB926AF}

Event Record #/Type21944 / Error
Event Submitted/Written: 06/20/2008 06:39:45 PM
Event ID/Source: 7026 / Service Control Manager
Event Description:
Das Laden folgender Boot- oder Systemstarttreiber ist fehlgeschlagen:
AFD
AmdK7
avgio
avipbb
Fips
IPSec
MRxSmb
NetBIOS
NetBT
RasAcd
Rdbss
ssmdrv
Tcpip



-- End of Deckard's System Scanner: finished at 2008-06-20 19:02:00 ------------
da die Log Files zu lang sind, folgt Fortsetzung in der nächsten Antwort.
Lorenzing

lorenzina 20.06.2008 19:13
Hier die Fortsetzung: Log File main.txt
Code:
Deckard's System Scanner v20071014.68
Run by XXX on 2008-06-20 18:55:20
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

System Restore is disabled; attempting to re-enable...success.


-- Last 1 Restore Point(s) --
1: 2008-06-20 16:55:25 UTC - RP1 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.

Total Physical Memory: 256 MiB (512 MiB recommended).


-- HijackThis (run as XXX.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:00:39, on 20.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\WINDOWS\system32\rmctrl.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Dokumente und Einstellungen\XXX\Desktop\dss.exe
C:\WINDOWS\system32\cidaemon.exe
C:\DOKUME~1\XXX\Desktop\HIJACK~1\XXX.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {979741AE-13BB-479B-9259-952609511619} - C:\WINDOWS\system32\tuvSkKBQ.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\bin\npjpi150.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=h**p://www.google.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFD9EE8C-2191-498A-84A4-DFB9F42743BE}: NameServer = 213.153.32.1,213.153.32.129
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4821 bytes

-- HijackThis Fixed Entries (C:\DOKUME~1\XXX\Desktop\HIJACK~1\backups\) -----

backup-20080620-184451-643 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://register.spss.com/prod_reg/1.cfm?prod_id=spss
backup-20080620-184451-685 O2 - BHO: (no name) - {172FC286-641A-495A-ABF9-4F964DF7D8AF} - C:\WINDOWS\system32\tuvSkKBQ.dll

-- File Associations -----------------------------------------------------------

All associations okay.


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >

S3 A3AB (D-Link AirPro 802.11a/b Wireless Adapter Service(A3AB)) - c:\windows\system32\drivers\a3ab.sys <Not Verified; D-Link Corporation; D-Link Wireless Network adapter>
S3 aaudstum - c:\dokume~1\XXX\lokale~1\temp\aaudstum.sys (file missing)
S3 Ext2Fsd (Ext2 File System Driver for NT) - c:\windows\system32\drivers\ext2fsd.sys <Not Verified; Tuning Software (tuningsoft.com); Ext2 File System Driver>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>
R2 MWAgent - c:\programme\gemeinsame dateien\microworld\agent\mwaser.exe <Not Verified; MicroWorld Technologies Inc.; eScan>


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Files created between 2008-05-20 and 2008-06-20 -----------------------------

2008-06-20 18:47:38        0 d------c- C:\WINDOWS\Prefetch
2008-06-17 23:15:30        0 d-a----c- C:\WINDOWS\zts2.exe
2008-06-17 23:15:30        0 d-a----c- C:\WINDOWS\system32\vcmgcd32.dll
2008-06-17 23:15:30        0 d-a----c- C:\WINDOWS\system32\systems.txt
2008-06-17 23:15:30        0 d-a----c- C:\WINDOWS\system32\iifgfgf.dll
2008-06-17 23:15:30        0 d-a----c- C:\WINDOWS\rundll16.exe
2008-06-17 23:15:30        0 d-a----c- C:\WINDOWS\rundl132.dll
2008-06-17 23:15:30        0 d-a----c- C:\WINDOWS\logo1_.exe
2008-06-17 21:02:38  65335772 --a----c- C:\WINDOWS\hklmSW.reg
2008-06-17 21:00:32  43139406 --a----c- C:\WINDOWS\hkcrRT.reg
2008-06-17 20:53:29        0 d------c- C:\WINDOWS\system32\winpdc32.dll
2008-06-17 18:12:44        0 d------c- C:\PUB
2008-06-17 18:12:08    105888 --a----c- C:\WINDOWS\winsbak2.reg
2008-06-17 18:12:08    14866 --a----c- C:\WINDOWS\winsbak.reg
2008-06-17 18:11:57        0 d------c- C:\Programme\Gemeinsame Dateien\MicroWorld
2008-06-17 18:10:46    43520 --a----c- C:\WINDOWS\killproc.exe <Not Verified; MicroWorld Technologies Inc.; KILLPROC>
2008-06-17 18:10:24  1044480 --a----c- C:\WINDOWS\system32\contfilt.dll <Not Verified; MicroWorld Technologies Inc.; contfilt>
2008-06-17 18:10:23    126976 --a----c- C:\WINDOWS\system32\mwnsp.dll <Not Verified; MicroWorld Technologies Inc.; MicroWorld Internet Traffic Scanner>
2008-06-17 18:10:18      7680 --a----c- C:\WINDOWS\sporder.exe <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(R) Operating System>
2008-06-17 18:10:18      9488 --a----c- C:\WINDOWS\sporder.dll <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(R) Operating System>
2008-06-17 18:10:17    130560 --a----c- C:\WINDOWS\system32\ZIPDLL.DLL <Not Verified; ; BCB/Delphi Zip>
2008-06-17 18:10:17    125440 --a----c- C:\WINDOWS\system32\UNZDLL.DLL <Not Verified; ; BCB/Delphi UnZip>
2008-06-17 18:10:16    356352 --a----c- C:\WINDOWS\system32\mwtsp.dll <Not Verified; MicroWorld Technologies Inc.; MicroWorld Internet Traffic Scanner>
2008-06-17 18:10:16    44032 --a----c- C:\WINDOWS\inst_tsp.exe <Not Verified; MicroWorld Technologies Inc.; eScan/MailScan/eConceal/X-Spam>
2008-06-17 18:10:11        0 d------c- C:\WINDOWS\system32\FLCSS.EXE
2008-06-17 15:12:47        0 d------c- C:\VIRUSfighter
2008-06-14 17:23:22  3407872 --a------ C:\Dokumente und Einstellungen\XXX\ntuser.dat
2008-06-14 17:21:26      2075 --ahs--c- C:\WINDOWS\system32\QBKkSvut.ini2
2008-06-14 17:20:53    285696 --a----c- C:\WINDOWS\system32\tuvSkKBQ.dll
2008-06-08 18:41:25        0 --a----c- C:\Programme\temp01
2008-05-22 10:52:45        0 d------c- C:\WINDOWS\system32\DRVSTORE
2008-05-22 10:48:23        0 d------c- C:\Programme\Gemeinsame Dateien\Sony Ericsson Shared
2008-05-22 10:48:13        0 d------c- C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-05-22 10:48:04        0 d------c- C:\Programme\Sony Ericsson


-- Find3M Report ---------------------------------------------------------------

2008-06-20 18:59:46        0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Skype
2008-06-19 19:39:22        0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Help
2008-06-17 18:11:57        0 d------c- C:\Programme\Gemeinsame Dateien
2008-06-17 15:12:44        0 d--h---c- C:\Programme\InstallShield Installation Information
2008-06-12 20:27:48        0 d------c- C:\Programme\SPSSEVAL
2008-06-12 19:13:59        73 --a----c- C:\WINDOWS\system32\ssprs.dll
2008-06-12 19:13:48      341 --a----c- C:\WINDOWS\system32\lsprst7.dll
2008-06-08 18:49:16        0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Adobe
2008-05-22 11:00:35        0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Teleca
2008-05-22 10:49:23        0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Sony Ericsson
2008-05-15 20:21:42    408618 --a----c- C:\WINDOWS\system32\perfh007.dat
2008-05-15 20:21:42    71598 --a----c- C:\WINDOWS\system32\perfc007.dat
2008-05-07 22:29:38        0 d------c- C:\Programme\Microsoft SQL Server
2008-05-07 20:55:03        0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ESRI
2008-05-07 13:23:25        0 d------c- C:\Programme\ESRI
2008-05-07 13:14:14        0 d------c- C:\Programme\Gemeinsame Dateien\ESRI
2008-05-07 13:13:22        0 d------c- C:\Programme\ArcGIS
2008-05-07 13:06:30        0 d------c- C:\Programme\Leica Geosystems
2008-05-07 12:34:11        0 d------c- C:\Programme\Gemeinsame Dateien\AnswerWorks 4.0
2008-04-22 19:36:40        0 d------c- C:\Programme\f4
2008-04-22 16:02:24  15532238 --a----c- C:\Programme\f4-v303.exe


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{979741AE-13BB-479B-9259-952609511619}]
14.06.2008 17:21        285696        --a--c---        C:\WINDOWS\system32\tuvSkKBQ.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CoolSwitch"="C:\WINDOWS\system32\taskswitch.exe" [19.03.2002 18:30]
"NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [03.06.2004 21:51]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [15.06.2005 18:20]
"nwiz"="nwiz.exe" [15.06.2005 18:20 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [15.06.2005 18:20]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 12:50]
"RemoteControl"="C:\WINDOWS\system32\rmctrl.exe" [09.11.2001 21:17]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [27.04.2008 19:23]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [28.05.2007 10:14]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 01:57]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [13.09.2007 13:31]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [14.12.2004 05:44:06]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"=0 (0x0)
"SynchronousUserGroupPolicy"=0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\tuvSkKBQ




-- End of Deckard's System Scanner: finished at 2008-06-20 19:02:00 ------------
Ist der Virus damit vernichtet?:confused:

Danke fürs checken :), ich hab alleine einfach nicht mehr weiter gewußt!

cosinus 24.06.2008 10:13
Zitat:
Total Physical Memory: 256 MiB (512 MiB recommended).
Du hast etwas wenig Arbeitsspeicher wie es scheint. Rüste ihn mal auf mindestens 512 MB auf. Ist zwar nicht zwingend notwendig, aber der Rechner wird dadurch erheblich schneller.
Wegen der Updates für Win hab ich Dich schon drauf angesprochen, was noch wichtig wäre ist ein Java-Update. Deinstalliere vorher die alte Java-Version und installiere erst dann die neue Version von java.com: Java für Sie
Den AdobeReader7 auch wegschmeißen und durch einen aktuellen Reader von Adobe oder Foxitsoftware ersetzen.

Dann müssen einige Dateien gelöscht werden, denn das sind noch einige Schädlingsdateien im System. Gehe nach dieser Anleitung vor => The Avenger
Aber benutze folgenden Text fürs das scriptfeld:

Code:
files to delete:
C:\WINDOWS\hklmSW.reg
C:\WINDOWS\hkcrRT.reg
C:\WINDOWS\winsbak2.reg
C:\WINDOWS\winsbak.reg
C:\WINDOWS\system32\tuvSkKBQ.dll
C:\WINDOWS\system32\QBKkSvut.ini2
Nach dem Reboot nat. das Avenger-Log posten. Mach danach bitte auch noch einen neuen Durchlauf mit DSS sowie einen mit silentrunners (siehe Signatur).

lorenzina 26.06.2008 15:58
Hallo
das mein lieber computer etwas wenig Leistung hat, weiss ich und werd mal schauen, wie ich ihn am besten aufrüste.
Updates bin ich dabei.
Hier das Avenger File:
Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
h**p://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\hklmSW.reg" deleted successfully.
File "C:\WINDOWS\hkcrRT.reg" deleted successfully.
File "C:\WINDOWS\winsbak2.reg" deleted successfully.
File "C:\WINDOWS\winsbak.reg" deleted successfully.
File "C:\WINDOWS\system32\tuvSkKBQ.dll" deleted successfully.
File "C:\WINDOWS\system32\QBKkSvut.ini2" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.
DSS Main text
Code:
Deckard's System Scanner v20071014.68
Run by XXX on 2008-06-26 16:23:40
Computer is in Normal Mode.
--------------------------------------------------------------------------------

Total Physical Memory: 256 MiB (512 MiB recommended).


-- HijackThis (run as XXX.exe) ----------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:23:56, on 26.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\taskswitch.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\rmctrl.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Dokumente und Einstellungen\XXX\Desktop\dss.exe
C:\DOKUME~1\XXX\Desktop\HIJACK~1\XXX.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {942206EF-5F60-45A3-918A-3415EA766D84} - C:\WINDOWS\system32\tuvSkKBQ.dll (file missing)
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=h**p://www.google.at
O17 - HKLM\System\CCS\Services\Tcpip\..\{EFD9EE8C-2191-498A-84A4-DFB9F42743BE}: NameServer = 213.153.32.1,213.153.32.129
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4956 bytes

-- Files created between 2008-05-26 and 2008-06-26 -----------------------------

2008-06-26 15:05:12        0 d------c- C:\Programme\Java
2008-06-26 15:05:04        0 d------c- C:\Programme\Gemeinsame Dateien\Java
2008-06-20 18:47:38        0 d------c- C:\WINDOWS\Prefetch
2008-06-17 23:15:30        0 d-a----c- C:\WINDOWS\zts2.exe
2008-06-17 23:15:30        0 d-a----c- C:\WINDOWS\system32\vcmgcd32.dll
2008-06-17 23:15:30        0 d-a----c- C:\WINDOWS\system32\systems.txt
2008-06-17 23:15:30        0 d-a----c- C:\WINDOWS\system32\iifgfgf.dll
2008-06-17 23:15:30        0 d-a----c- C:\WINDOWS\rundll16.exe
2008-06-17 23:15:30        0 d-a----c- C:\WINDOWS\rundl132.dll
2008-06-17 23:15:30        0 d-a----c- C:\WINDOWS\logo1_.exe
2008-06-17 20:53:29        0 d------c- C:\WINDOWS\system32\winpdc32.dll
2008-06-17 18:12:44        0 d------c- C:\PUB
2008-06-17 18:11:57        0 d------c- C:\Programme\Gemeinsame Dateien\MicroWorld
2008-06-17 18:10:46    43520 --a----c- C:\WINDOWS\killproc.exe <Not Verified; MicroWorld Technologies Inc.; KILLPROC>
2008-06-17 18:10:24  1044480 --a----c- C:\WINDOWS\system32\contfilt.dll <Not Verified; MicroWorld Technologies Inc.; contfilt>
2008-06-17 18:10:23    126976 --a----c- C:\WINDOWS\system32\mwnsp.dll <Not Verified; MicroWorld Technologies Inc.; MicroWorld Internet Traffic Scanner>
2008-06-17 18:10:18      7680 --a----c- C:\WINDOWS\sporder.exe <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(R) Operating System>
2008-06-17 18:10:18      9488 --a----c- C:\WINDOWS\sporder.dll <Not Verified; Microsoft Corporation; Microsoft(R) Windows NT(R) Operating System>
2008-06-17 18:10:17    130560 --a----c- C:\WINDOWS\system32\ZIPDLL.DLL <Not Verified; ; BCB/Delphi Zip>
2008-06-17 18:10:17    125440 --a----c- C:\WINDOWS\system32\UNZDLL.DLL <Not Verified; ; BCB/Delphi UnZip>
2008-06-17 18:10:16    356352 --a----c- C:\WINDOWS\system32\mwtsp.dll <Not Verified; MicroWorld Technologies Inc.; MicroWorld Internet Traffic Scanner>
2008-06-17 18:10:16    44032 --a----c- C:\WINDOWS\inst_tsp.exe <Not Verified; MicroWorld Technologies Inc.; eScan/MailScan/eConceal/X-Spam>
2008-06-17 18:10:11        0 d------c- C:\WINDOWS\system32\FLCSS.EXE
2008-06-14 17:23:22  3407872 --a------ C:\Dokumente und Einstellungen\XXX\ntuser.dat
2008-06-08 18:41:25        0 --a----c- C:\Programme\temp01


-- Find3M Report ---------------------------------------------------------------

2008-06-26 16:08:58        0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Skype
2008-06-26 15:05:04        0 d------c- C:\Programme\Gemeinsame Dateien
2008-06-21 01:35:12        0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Teleca
2008-06-21 01:34:29        0 d------c- C:\Programme\Gemeinsame Dateien\Teleca Shared
2008-06-19 19:39:22        0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Help
2008-06-17 15:12:44        0 d--h---c- C:\Programme\InstallShield Installation Information
2008-06-12 20:27:48        0 d------c- C:\Programme\SPSSEVAL
2008-06-12 19:13:59        73 --a----c- C:\WINDOWS\system32\ssprs.dll
2008-06-12 19:13:48      341 --a----c- C:\WINDOWS\system32\lsprst7.dll
2008-06-08 18:49:16        0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Adobe
2008-05-22 10:49:23        0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\Sony Ericsson
2008-05-15 20:21:42    408618 --a----c- C:\WINDOWS\system32\perfh007.dat
2008-05-15 20:21:42    71598 --a----c- C:\WINDOWS\system32\perfc007.dat
2008-05-07 22:29:38        0 d------c- C:\Programme\Microsoft SQL Server
2008-05-07 20:55:03        0 d------c- C:\Dokumente und Einstellungen\XXX\Anwendungsdaten\ESRI
2008-05-07 13:23:25        0 d------c- C:\Programme\ESRI
2008-05-07 13:14:14        0 d------c- C:\Programme\Gemeinsame Dateien\ESRI
2008-05-07 13:13:22        0 d------c- C:\Programme\ArcGIS
2008-05-07 13:06:30        0 d------c- C:\Programme\Leica Geosystems
2008-05-07 12:34:11        0 d------c- C:\Programme\Gemeinsame Dateien\AnswerWorks 4.0
2008-04-22 16:02:24  15532238 --a----c- C:\Programme\f4-v303.exe


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{942206EF-5F60-45A3-918A-3415EA766D84}]
                        C:\WINDOWS\system32\tuvSkKBQ.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CoolSwitch"="C:\WINDOWS\system32\taskswitch.exe" [19.03.2002 18:30]
"NVMixerTray"="C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" [03.06.2004 21:51]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [15.06.2005 18:20]
"nwiz"="nwiz.exe" [15.06.2005 18:20 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [15.06.2005 18:20]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [09.07.2001 12:50]
"RemoteControl"="C:\WINDOWS\system32\rmctrl.exe" [09.11.2001 21:17]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [27.04.2008 19:23]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_06\bin\jusched.exe" [25.03.2008 04:28]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 01:57]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [13.09.2007 13:31]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [14.12.2004 05:44:06]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"SynchronousMachineGroupPolicy"=0 (0x0)
"SynchronousUserGroupPolicy"=0 (0x0)

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\tuvSkKBQ


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{777853af-fe42-11d5-929b-000c7613516b}]
AutoRun\command- F:\AutoRun.exe




-- End of Deckard's System Scanner: finished at 2008-06-26 16:24:42 ------------
DSS hat kein extra.txt abgespeichert, auch beim 2. mal - kann das sein?:confused:
Silentrunners folgt gleich!
LG

lorenzina 26.06.2008 16:01
Hier nun silentrunners scan:

Code:
"Silent Runners.vbs", revision 58, h**p://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Skype" = ""C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized" ["Skype Technologies S.A."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"CoolSwitch" = "C:\WINDOWS\system32\taskswitch.exe" [null data]
"NVMixerTray" = ""C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"RemoteControl" = "C:\WINDOWS\system32\rmctrl.exe" [null data]
"avgnt" = ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "AcroIEHlprObj Class"
                  \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM...CLSID} = "SSVHelper Class"
                  \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{942206EF-5F60-45A3-918A-3415EA766D84}\(Default) = (no title provided)
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\tuvSkKBQ.dll" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
  -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
                  \InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
  -> {HKLM...CLSID} = "HyperTerminal Icon Ext"
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{64BC5640-700F-4E7E-8462-D3092DD74B0F}" = "VDMSound LaunchPad"
  -> {HKLM...CLSID} = "LaunchPadShellEx Class"
                  \InProcServer32\(Default) = "C:\Programme\VDMSound\LaunchPad.dll" [empty string]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
  -> {HKLM...CLSID} = "RealOne Player Context Menu Class"
                  \InProcServer32\(Default) = "C:\Programme\K-Lite Codec Pack\Real\rpshell.dll" ["RealNetworks, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
  -> {HKLM...CLSID} = "DesktopContext Class"
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
  -> {HKLM...CLSID} = "NVIDIA CPL Extension"
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
  -> {HKLM...CLSID} = "Desktop Explorer"
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
  -> {HKLM...CLSID} = "nView Desktop Context Menu"
                  \InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
  -> {HKLM...CLSID} = "Microsoft Office Outlook"
                  \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
  -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
                  \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                  \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]

HKLM\SYSTEM\CurrentControlSet\Control\Lsa\
<<!>> "Authentication Packages" = "msv1_0"|"C:\WINDOWS\system32\tuvSkKBQ"

HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
  -> {HKLM...CLSID} = (no title provided)
                  \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\
{4A681BEC-7727-49BD-B695-79F8354CD2E5}\(Default) = "PMF Custom Columns"
  -> {HKLM...CLSID} = "PMFColumns Class"
                  \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\ESRI\esriShellExt.dll" ["ESRI "]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
  -> {HKLM...CLSID} = "PDF Shell Extension"
                  \InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                  \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
  -> {HKLM...CLSID} = "Shell Extension for Malware scanning"
                  \InProcServer32\(Default) = "C:\Programme\Avira\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
  -> {HKLM...CLSID} = "WinRAR"
                  \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

"SynchronousMachineGroupPolicy" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

"SynchronousUserGroupPolicy" = (REG_DWORD) dword:0x00000000
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\system32\logon.scr" [MS]


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

NeroAutoPlay2AudioToNeroDigital\
"Provider" = "Nero Burning ROM"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "PlayCDAudioOnArrival_AudioToNeroDigital"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_AudioToNeroDigital\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracks  /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2CDAudio\
"Provider" = "Nero Express"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_CDAudio"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_CDAudio\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:AudioCD /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2CopyCD\
"Provider" = "Nero Express"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "PlayCDAudioOnArrival_CopyCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_CopyCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /Dialog:DiscCopy /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2DataDisc\
"Provider" = "Nero Express"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_DataDisc"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_DataDisc\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:ISODisc /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2LaunchNeroStartSmart\
"Provider" = "Nero StartSmart"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_LaunchNeroStartSmart"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_LaunchNeroStartSmart\command\(Default) = "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe /AutoPlay /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2RipCD\
"Provider" = "Nero Burning ROM"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "PlayCDAudioOnArrival_RipCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_RipCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracks  /Drive:%L" ["Ahead Software AG"]


Startup items in "XXX" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 17
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0006-ABCDEFFEDCBC}"
  -> {HKCU...CLSID} = "Java Plug-in 1.6.0_06"
                  \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
  -> {HKLM...CLSID} = "Java Plug-in 1.6.0_06"
                  \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_06\bin\npjpi160_06.dll" ["Sun Microsystems, Inc."]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\MSMSGS.EXE" [MS]


Miscellaneous IE Hijack Points
------------------------------

C:\WINDOWS\INF\IERESET.INF (used to "Reset Web Settings")

Added lines (compared with English-language version):
[Strings]: START_PAGE_URL=h**p://www.google.at

Missing lines (compared with English-language version):
[Strings]: 1 line


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
MWAgent, MWAgent, "C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE" ["MicroWorld Technologies Inc."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


---------- (launch time: 2008-06-26 16:35:53)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points, use the -supp parameter or answer "No" at the
  first message box and "Yes" at the second message box.
---------- (total run time: 85 seconds, including 12 seconds for message boxes)
Danke
Lg Lorenzina

cosinus 26.06.2008 20:39
Code:
O2 - BHO: (no name) - {942206EF-5F60-45A3-918A-3415EA766D84} - C:\WINDOWS\system32\tuvSkKBQ.dll (file missing)
Mit hijackthis zu fixen.
Dann wieder den Avenger anwenden, diesmal diesen Text:

Code:
registry keys to delete:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{942206EF-5F60-45A3-918A-3415EA766D84}
Log wieder posten nach dem Reboot.

Schau auch mal mit dem Registry-Editor (regedit.exe) nach diesem Eintrag:

Code:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\tuvSkKBQ
"Authentication Packages" sollte als Wert nur msv1_0 haben und nicht das Geraffel noch dahinter (stammt von Malware!).

lorenzina 27.06.2008 17:31
Hallo
also, hab mit HJT den Eintrag gefixt und bin dann mit dem Avenger drüber.
Hier das File:

Code:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{942206EF-5F60-45A3-918A-3415EA766D84}" not found!
Deletion of registry key "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{942206EF-5F60-45A3-918A-3415EA766D84}" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.
:confused: Hat da etwas nicht hingehauen?

Im Registry-Editor hab ich geschaut,
Name: Authentication Packages
Typ: REG_MULTI_SZ
Wert: msv1_0 C:\WINDOWS\system32\tuvSkKBQ

was genau soll ich hier machen?
Lg, schönes WE
Lorenzina

cosinus 27.06.2008 19:55
Zitat:
Im Registry-Editor hab ich geschaut,
Name: Authentication Packages
Typ: REG_MULTI_SZ
Wert: msv1_0 C:\WINDOWS\system32\tuvSkKBQ
Veränder den Wert so (Doppelklick auf Authentication Packages) daß nur noch msv1_0 dort steht. Also C:\WINDOWS\system32\tuvSkKBQ entfernen. Hinter msv1_0 sollte kein Leerzeichen sein.

Werden überhaupt noch diese XXX-Seiten angezeigt? :rolleyes:
Egal ob ja oder nein, mach mal noch nen Durchlauf mit malwarebytes.

lorenzina 01.07.2008 16:33
Hallo

Zitat:
Zitat
Zitat:
Veränder den Wert so (Doppelklick auf Authentication Packages) daß nur noch msv1_0 dort steht. Also C:\WINDOWS\system32\tuvSkKBQ entfernen. Hinter msv1_0 sollte kein Leerzeichen sein.
hab ich erledigt, danach neu gebootet.

Logfile von Malwarebytes:
Code:
Malwarebytes' Anti-Malware 1.19
Datenbank Version: 899
Windows 5.1.2600 Service Pack 2

17:21:16 01.07.2008
mbam-log-7-1-2008 (17-20-46).txt

Scan Art: Komplett Scan (C:\|)
Objekte gescannt: 77879
Scan Dauer: 29 minute(s), 12 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.
Zeigt mir 3x Vundo an. Hab diese jetzt mal nicht gelöscht, warte lieber auf dein OK.
Die Seiten werden nicht mehr geöffnet, mir fallen beim Arbeiten am Computer selbst keine Merkwürdigkeiten mehr auf.

Kriegen wir das Zeug noch weg? Bin am überlegen, ob ich ihn nicht einfach neu aufsetzen soll.
Lg und sonnige Grüsse aus Salzburg

cosinus 01.07.2008 16:57
Die Dateien kannste von Malwarebytes löschen lassen.
Deine Kiste sollte soweit wieder okay sein, nat. kann ich einige Einträge übersehen haben, aber die Symptome sind weg. Wenn Du Garantie für ein sauberes System haben willst, mußt Du natürlich neu aufsetzen.

lorenzina 01.07.2008 18:39
Danke!:aplaus:


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:22 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131